Datenschutz und Datensicherheit

Tätigkeitsschwerpunkte
Ihr Unternehmen unterliegt den Bestimmungen des Bundesdatenschutzgesetz (BDSG) und ist gemäß § 4f BDSG verpflichtet, einen Datenschutzbeauftragten (DSB) zu ernennen. Der DSB unterstützt Sie und Ihr Unternehmen bei der Einhaltung der gesetzlichen Vorschriften nach dem BDSG und gewährleistet die damit verbundenen Pflichten im Sinne des BDSG. Die Bestellung erfolgt je eingetragenem Unternehmen, ein Konzern-DSB muß also beispielsweise von jeder GmbH einzeln bestellt werden.

Vorgehensweise
Sobald wir vertraglich überein gekommen sind, bestellen Sie mich schriftlich zum Datenschutzbeauftragten. Als Ansprechpartner ist jedes Mitglied Ihrer Geschäftsleitung geeignet. Üblicherweise entfällt der räumliche Aufwand des eigenen Zimmers, das Sie einem internen Mitarbeiter zur Verfügung stellen müssten. Hilfskräfte werden durch den externen Datenschutzbeauftragten deutlich effektiver genutzt. Die Kosten für die eigene Schulung und Fortbildung trägt der externe DSB selber.

Geschäftsführung, Personalvertretung, IT Fachabteilung und Mitarbeiter erhalten grundlegende Ausführungen zum Datenschutz und zur Datensicherheit und werden darüber informiert, welche Aufgaben ein Datenschutzbeauftragter hat. Das Unternehmen wird auf den Nutzen des Datenschutzes für das Unternehmen hingewiesen. Die Mitarbeiter werden für die Einhaltung wichtiger Hintergründe zum Datenschutz sensibilisiert. Viele Anforderungen der IT Fachabteilung decken sich mit den Anforderungen des Datenschutzbeauftragten, so daß man miteinander gemeinsame Wege geht.

Ablauf
Zunächst werden real existierende Datenschutzregelungen und Betriebsvereinbarungen erhoben und überprüft. In den meisten Unternehmen existieren bereits Betriebsvereinbarungen zu Themen wie IT Nutzung, private Internetnutzung im Unternehmen, E-Mail Nutzung, Telefonanlage, Zeiterfassung und ähnliche. Existieren diese nicht, werden sie erstellt.

Sodann werden die Verfahrensverzeichnisse erstellt. Hierzu benötigt man zunächst eine Übersicht über die Prozesse, in denen personenbezogene Daten verarbeitet werden, von der Exceltabelle bis zur SQL Serverdatenbank. Es wird der Prozessverantwortliche festgelegt und jede Datenverarbeitung einzeln dokumentiert. Dies gilt auch für Daten, die durch andere Unternehmen oder freiberuflich tätige Personen verarbeitet werden. In den meisten Fällen hat das Unternehmen auch die Verantwortung, den ordnungsgemäßen Umgang mit den Daten sicherzustellen.

Mögliche Verfahren, bei denen personenbezogene Daten erfasst sind, finden sich in unterschiedlichen Abteilungen. Daher werden die Leiter der Fachabteilungen befragt. Fragen zum Datenschutz werden beim Erheben des Ist-Zustandes natürlich beantwortet, aber es geht in dieser Stufe noch nicht um proaktive Verbesserungsvorschläge.

In der Personalabteilung werden Daten zur Bewerberauswahl, Lohnbuchhaltung, Zeiterfassung, Weiterbildung, Reisekosten, Urlaubsplanung, Sozialprogramme, Leistungsdaten MA, Leih- und Zeitarbeit, Arbeitsvertrag, Bewerberfragebogen, Mitarbeiterbefragung erhoben.

Im Vertrieb werden Angaben zur Kundenstruktur gemacht. Ausgewertet werden können die Anzahl der Kunden und welche Daten über Kunden gespeichert werden. Man erhält dort Informationen zu Marketingaktivitäten, welche Software wird eingesetzt, gibt es Auftragnehmer die diese Aufgaben untersützen, z.B. Lettershops, Adresshandel.

Um die Erfüllung technischer Voraussetzungen zu prüfen, muß die IT Fachabteilung zahlreiche Systemdokumentationen vorlegen. Existieren diese noch nicht, werden sie gemeinsam erarbeitet.

Die Netzwerkinfrastruktur gibt Auskunft über die Zusammenhänge der IT Ressourcen untereinander und Zugangsmöglichkeiten von innen und von außen. Mit der Hardware Inventarisierung kann diese Information abgeglichen werden. Insebsondere ist darauf zu achten, ob wirklich jedes Gerät erfasst ist. Ist dies der Fall kann in der Regel auch nachvollzogen werden, wenn ein Gerät fehlt. Sind die Geräte schlecht oder garnicht dokumentiert, räumt das Unternehmen einem unberechtigten Zugriff die Möglichkeit ein, komplette Systeme und damit auch die darauf enthaltenen personenbezogenen Daten mitzunehmen. Daher müssen die Systeme auch entsprechend gesichert werden.

Die vollständige Softwaredokumentation gibt Auskunft darüber, ob sich das Unternehmen potentiellen Schwachstellen bewußt ist. Auf äquivalente Kriterien wird das Virenschutzkonzept, das Datensicherungskonzept, das Firewallkonzept, Verbindungen zu anderen Standorten, Verbindungen nach außen und Verbindungen nach innen, die Notfallplanung, das Schulungskonzept, Spambehandlung, Möglichkeiten der Protokollierung von Useraktivitäten und wie diese ausgewertet werden, und Telearbeitsplätze überprüft.

Der Gesetzgeber sieht vor, daß dem Datenschutzbeauftragten vom Unternehmen ein Verfahrensverzeichnis zur Verfügung gestellt wird. Dies wird in der Regel nicht möglich sein, so daß der DSB das Unternehmen beim Erstellen und pflegen dieser Übersicht der Datenverarbeitungen unterstützt.

Nach § 4g BDSG wirkt der Beauftragte für den Datenschutz auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen, die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

Für die Verpflichtung auf das Datengeheimnis ist demnach eine Schulung bzw. Sensibilisierung aller Mitarbeiter „durch geeignete Maßnahmen“ für den Umgang mit personenbezogenen Daten erforderlich. Um Fragen der Schulungsteilnehmer zu beantworten führe ich Schulungen mit einer Software durch, die zum Eigentraining gedacht ist. In dieser Schulung führe ich das Online Training auf dem Beamer vor und biete die Möglichkeit, im persönlichen Gespräch gemeinsam nicht vorhandenes Wissen zu erarbeiten. Davor und danach hat jeder Schulungsteilnehmer Gelegenheit, die Schulung an seinem eigenen PC durchzuführen, um das Schulungszeugnis auszudrucken.

Auch wenn alle Ressourcen, also Computer, Software, Telefone, Faxgeräte zur ausschliesslich dienstlichen Verwendung zur Verfügung gestellt werden, so werden auf diesen Geräten dennoch personenbezogene Daten nach dem Bundesdatenschutzgesetz verarbeitet. Dies können persönliche Informationen über die Kollegen, Lieferanten, Kunden oder andere Partner sein. Daher betrifft der Datenschutz jeden Mitarbeiter. Jeder Mitarbeiter muß dafür sorgen, daß die zu verarbeitenden Daten unberechtigt oder unbeabsichtigt offenbart werden, d.h. daß Menschen Zugriff darauf erhalten, die diese Daten nichts angehen. Die Daten dürfen nicht unberechtigt oder unbeabsichtigt zerstört, beschädigt, oder geändert werden können. Mitarbeiter müssen die Geschäftsführung umgehend informieren, sollte sich das System ungewöhnlich verhalten, da ein ungewöhnliches Verhalten auf ein Eindringen von Computerviren oder ein anderes Sicherheitsproblem hindeuten kann.

Die ordnungsgemäße Verwendung von Informations- und Kommunikationsressourcen im Unternehmen wird regelmäßig überprüft. Daher muß neben den allgemeinen Bestimmungen zum Datenschutz auch sichergestellt sein, daß das Unternehmen personen-, gruppen- oder bereichsbezogen Einzel- oder Gesamtauswertungen und Kontrollen durchführen darf und daß die Mitarbeiter auch über diese Maßnahmen informiert sind. Individuelle Überwachung hingegen darf nur im Verdachtsfall und auch nur unter Berücksichtigung diverser Auflagen durchgeführt werden. Die technischen Gegebenheiten erlauben heutzutage fast uneingeschränkt Protokollierung und Kontrolle. Wenn die Daten personenbezogen sind dürfen sie aber nur für Ihren Zweck erhoben und ausgewertet werden. Nach dem Gebot der Datensparsamkeit dürfen nur die Daten erhoben werden, die wirklich benötigt werden. Jeder Mitarbeiter hat ein Recht, zu erfahren, welche Daten über ihn erhoben werden.