Basisdatenschutz für Jungunternehmer
eBook - ePub

Basisdatenschutz für Jungunternehmer

Ein Praxisratgeber

  1. 104 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Basisdatenschutz für Jungunternehmer

Ein Praxisratgeber

Über dieses Buch

IT-Sicherheit und Datenschutz sind nicht nur in den Medien ein Dauerbrenner geworden. Es vergeht kaum ein Tag, an dem nicht irgendwo von einem neuen Risiko oder neuen Vorfall berichtet wird. Auf diese Änderungen hat der Gesetzgeber reagiert und auch auf EU-Ebene wurde die EU-Datenschutzgrundverordnung verabschiedet. Umfragen haben ergeben, dass ca. 97 % aller Unternehmen in Deutschland auf die aktuellen Änderungen nicht vorbereitet sind. Kleinere Unternehmen oder neu gegründete Unternehmen werden mit diesen Themen oft alleine gelassen und riskieren unkalkulierbare Risiken, welche es von Anfang an zu vermeiden gilt.Die wichtigsten Themen sind hier einfach verständlich aufgearbeitet, bei Betrachtung der aktuellen rechtlichen Anforderungen und den künftigen rechtlichen Anforderungen bis 2018. Erfahren Sie mehr über die Grundlagen des Datenschutzes, was die TOM's im eigenen Unternehmen sind, woraus sie achten müssen, wenn es um den Schutz der Daten geht und was sie bei Auftragnehmern beachten müssen. Seien Sie nicht nur im Unternehmen konform, sondern auch im Web. Lernen Sie nicht nur worauf Sie achten müssen, sondern auch warum es sinnvoll ist.

Häufig gestellte Fragen

Ja, du kannst dein Abo jederzeit über den Tab Abo in deinen Kontoeinstellungen auf der Perlego-Website kündigen. Dein Abo bleibt bis zum Ende deines aktuellen Abrechnungszeitraums aktiv. Erfahre, wie du dein Abo kündigen kannst.
Derzeit stehen all unsere auf mobile Endgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Perlego bietet zwei Pläne an: Elementar and Erweitert
  • Elementar ist ideal für Lernende und Interessierte, die gerne eine Vielzahl von Themen erkunden. Greife auf die Elementar-Bibliothek mit über 800.000 professionellen Titeln und Bestsellern aus den Bereichen Wirtschaft, Persönlichkeitsentwicklung und Geisteswissenschaften zu. Mit unbegrenzter Lesezeit und Standard-Vorlesefunktion.
  • Erweitert: Perfekt für Fortgeschrittene Studenten und Akademiker, die uneingeschränkten Zugriff benötigen. Schalte über 1,4 Mio. Bücher in Hunderten von Fachgebieten frei. Der Erweitert-Plan enthält außerdem fortgeschrittene Funktionen wie Premium Read Aloud und Research Assistant.
Beide Pläne können monatlich, alle 4 Monate oder jährlich abgerechnet werden.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja! Du kannst die Perlego-App sowohl auf iOS- als auch auf Android-Geräten verwenden, um jederzeit und überall zu lesen – sogar offline. Perfekt für den Weg zur Arbeit oder wenn du unterwegs bist.
Bitte beachte, dass wir keine Geräte unterstützen können, die mit iOS 13 oder Android 7 oder früheren Versionen laufen. Lerne mehr über die Nutzung der App.
Ja, du hast Zugang zu Basisdatenschutz für Jungunternehmer von Birgit Pauls,Bernd Sommerfeldt im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Law & Law Theory & Practice. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
Books on Demand
Jahr
2017
ISBN drucken
9783743197336
eBook-ISBN:
9783744824484
Auflage
1
Thema
Law
Thema
Law Theory & Practice

Technische und organisatorische Maßnahmen

Der Gesetzgeber hat (in § 9 BDSG mit Anhang, Art. 32 DS-GVO) festgelegt, dass personenbezogene Daten und die damit in Zusammenhang stehenden Persönlichkeitsrechte hinreichend zu schützen sind. Hieraus ergeben sich auch die sogenannten technischen und organisatorischen Maßnahmen, kurz TOMs. Neben den allgemeinen Datenschutzbestimmungen können in weiteren Gesetzen zusätzliche Anforderungen hineinfließen, so dass diese nicht alleine betrachtet werden sollten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein umfangreiches Werk an Richtlinien, Empfehlungen und Katalogen erstellt, welche der Sicherheit in der Informationstechnologie dienen. Hierbei wird allerdings insgesamt auf die IT und alle zugehörigen Daten Bezug genommen. Es kommt zwangsläufig zu Überschneidungen.
Obgleich Datenschutz und IT-Sicherheit uns schon seit vielen Jahrzehnten begleiten, werden sie allzu leicht als Bürde gesehen, obgleich der Nutzen unverkennbar ist, wie auch die Notwendigkeit einer klaren Sicherheit und definierten Regelungen zum Umgang mit den Daten. Bewusst wird dies jedem Einzelnen und auch dem Unternehmer selbst, wenn seine eigenen Daten und seine eigene Sicherheit hiervon betroffen sind oder wieder eine große (inter-)nationale Datenpanne publik wird. Sehen Sie die Richtlinien und Vorgaben als das, was Sie sind: Als Hilfe für einen optimalen Schutz von Daten, Geschäftsgeheimnissen und der Persönlichkeitsrechte eines jeden Einzelnen.

Schutzbedarf feststellen

Es gibt zwei typische Verfahren zur Ermittlung des Schutzbedarfes von Daten. Das eine stellt im Schwerpunkt die wirtschaftlichen Folgen für den Unternehmer in den Fokus, die andere Form betrachtet die möglichen Risiken von Daten bei deren Missbrauch.
Vor jeder Datenverarbeitung muss der Verantwortliche entscheiden, welchen Schutzbedarf die Daten haben. Was bedeutet es, wenn die Daten nicht termingerecht zur Verfügung stehen? Welche Auswirkungen hat es, wenn die Daten in die Hände unberechtigter Dritter gelangen oder manipuliert wurden?
Diese Bewertung muss sowohl aus Sicht des Unternehmens als auch aus der Perspektive des Betroffenen erfolgen. Mit der Anwendbarkeit der DS-GVO wird deutlich mehr Gewicht auf Risikobetrachtungen und die möglichen Gefahren für die Rechte und Freiheiten der Betroffenen gelegt.
Im Datenschutz hat sich das 4-Stufen-Modell bewährt.
Stufe 1: Frei verfügbare Daten, die keines besonderen Schutzes bedürfen und von denen auch kein Schaden zu erwarten ist, unabhängig davon, in welchen Händen sich diese befinden (z. B. Telefonbucheinträge).
Stufe 2: Daten, die nicht frei verfügbar sind, die aber in den falschen Händen auch keine Schadensfolgen vermuten lassen (z.B. Alter).
Stufe 3: Daten, die nicht frei verfügbar sind und die in falschen Händen persönliche oder wirtschaftliche Schäden ermöglichen würden (z.B. Kontodaten).
Stufe 4: Daten, die nicht frei verfügbar sind und die in falschen Händen erhebliche Schäden bis hin zu Gefahr für Leib und Leben verursachen können (z.B. Gesundheitsdaten).
Daten aus niedrigen Stufen können bei bestimmten Konstellationen auch höheren Stufen zugeordnet werden - beispielsweise sind Adressdaten grundsätzlich in der Stufe 1 zu finden, im Rahmen eines Zeugenschutzprogrammes rücken solche Daten aber automatisch in Stufe 4, da das sich Risiko entsprechend erhöht.
Bereits heute hat der Gesetzgeber bestimmte Daten als besonders schützenswert deklariert; diese sind auch in den Stufen 3 und 4 wiederzufinden, unabhängig von dieser besonderen Hervorhebung. Auch wenn Personaldaten nicht in der Liste besonders schützenswerter Daten benannt sind, haben Praxis sowie Risikobewertung und juristische Betrachtung dazu geführt, dass auch diese Daten uneingeschränkt zu den besonders schützenswerten Daten zu rechnen sind. Diese Regelung greift bereits im Bewerbungsverfahren.
Wenn der Schutzbedarf bestimmt wurde, müssen technische und organisatorische Maßnahmen getroffen werden, um das Schutzniveau zu gewährleisten. In diesem Zusammenhang nimmt auch der Datenschutzbeauftragte die Risikofolgeabschätzung vor, welche derzeit noch in ähnlicher Form bei der Vorabkontrolle vorliegt. Im Bereich der IT erscheint dies immer sehr theoretisch und ungreifbar, deshalb versetzen Sie sich ruhig vorher in die Lage, wie Sie die Daten ohne IT schützen und trennen würden. Durch dieses Gefühl gewinnen Sie auch ein besseres Verständnis dafür, wie Daten in der IT zu schützen sind.
Das BSI betrachtet den Schutzbedarf in Zusammenhang mit möglichen Bußgeldern und Vertragsstrafen. Beide Betrachtungen gemeinsam können zur Feststellung eines angemessenen Schutzbedarfes führen. Das BSI geht hier von 3 Risikostufen aus; hier werden Sie nachfolgend auch feststellen, dass es klare Überschneidungen mit dem Datenschutz gibt, da IT-Sicherheit auch Datenschutz ist.
Hilfreich ist es, nach dem BSI-Standard 100-2 vorzugehen und die Schutzstufen „normal“, „mittel“ und „hoch“ zu verwenden. Zunächst einmal muss die Unternehmensleitung festlegen, was Datenpannen kosten dürfen. Wie lange können die Geschäftsprozesse ohne IT und Daten aufrechterhalten werden? Welche Umsatzverluste, Bußgelder und Vertragsstrafen sind verschmerzbar, ohne dass das Unternehmen in finanzielle Schieflage gerät oder die Situation gar existenzbedrohend wäre? Haben Datenpannen möglicherweise Auswirkungen auf die Gesundheit, sind sie sogar lebensbedrohend?
Das BSI schlägt folgende Schadensszenarien zur Bewertung des Schutzbedarfs vor:
  1. Verstoß gegen Gesetze / Vorschriften / Verträge
  2. Beeinträchtigung des informationellen Selbstbestimmungsrechts
  3. Beeinträchtigung der persönlichen Unversehrtheit
  4. Beeinträchtigung der Aufgabenerfüllung
  5. negative Innen- oder Außenwirkung
  6. finanzielle Auswirkungen
Eine mögliche Matrix könnte dann so aussehen:
Normal Hoch Sehr hoch
1 Bußgelder und Vertragsstrafen von maximal 10.000 € Bußgelder und Vertragsstrafen über 10.000 € und bis zu 100.000 € Bußgelder und Vertragsstrafen über 100.000 €
Normal Hoch Sehr hoch
2 Für den Betroffenen kaum Beeinträchtigungen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen. Für den Betroffenen erhebliche Beeinträchtigungen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen. Für den Betroffenen ruinöse Beeinträchtigungen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen, Gefahr für Leib und Leben.
3 Keine Beeinträchtigung. Eine Beeinträchtigung der körperlichen Unversehrtheit kann nicht ausgeschlossen werden. Gravierende Beeinträchtigung der körperlichen Unversehrtheit, Gefahr für Leib und Leben.
Normal Hoch Sehr hoch
4 Eine Ausfall- dauer von über 48 Stunden ist akzeptabel. Die Ausfall- dauer darf zwischen einer und 48 Stunden liegen. Die Ausfalldauer muss unter einer Stunde liegen.
5 Die Anse- hens- und Vertrauens- beeinträch- tigung ist gering. Die Anse- hens- und Vertrauens- beeinträch- tigung ist regional / auf be- stimmte Gruppen begrenzt. Eine landesweite Ansehens- und Vertrauensbeeinträchtigung mit existenzbedrohenden Folge ist zu erwarten.
Normal Hoch Sehr hoch
6 Der zu er- wartende Schaden beträgt ma- ximal 10.000 €. Der zu er- wartende Schaden liegt zwi- schen 10.000 € und bis zu 100.000 €. Zu erwartende Schäden über 100.000 €.
Die Grenzen für die Schutzbedarfsstufen werden einmalig durch die Geschäftsleitung festgelegt. Diese sollten dann in regelmäßigen Abständen überprüft und entsprechend der Entwicklung des Unternehmens sowie bei jeder Veränderung angepasst werden.
Nun werden alle Daten in Bezug auf die drei Schutzziele bewertet:
  • Vertraulichkeit – Daten sind nur Berechtigten zugänglich
  • Integrität – Daten sind aktuell und unverändert
  • Verfügbarkeit – Daten und Systeme stehen zur Verfügung, wenn sie benötigt werden, dabei sind auch gesetzliche und vertragliche Aufbewahrungsfristen zu beachten
Die Bewertungen ergeben sich aus der Vorabkontrolle bzw. Risikofolgeabschätzung und fließen direkt in das RISK-Management ein.
Aus dieser Bewertung sollten dann dem Schutzzweck der Daten angemessene technische und organisatorische Maßnahmen abgeleitet werden. Hilfreich dabei kann ein Blick in die IT-Grundschutzkataloge oder manchmal sogar in das Gesetz sein. Für Schulen ist beispielsweise im Schulgesetz geregelt, dass alle Daten, die auf Datenträgern außerhalb der Schule verarbeitet werden, grundsätzlich verschlüsselt sein müssen.
Neu im der DS-GVO ist die Anforderung „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Art. 25 DS-GVO).
Die Anforderungen aus der Datenschutzgesetzgebung an die TOMs beziehen sich nur auf die personenbezogenen Daten. Trotzdem sollten gleichzeitig auch Betriebs- und Geschäftsgeheimnisse ohne Personenbezug bewertet werden, da sie für das Unternehmen überlebenswichtig sind, besonders bei innovativen Firmen oder Unternehmen mit anderen Alleinstellungsmerkmalen.
Die Maßnahmen sollten kurz, prägnant und für alle Beschäftigen verständlich schriftlich fixiert werden, damit sie eine gewisse Verbindlichkeit haben. Damit die Mitarbeiter wissen, ...

Inhaltsverzeichnis

  1. Inhaltsverzeichnis
  2. Vorwort
  3. Datenschutzgrundlagen
  4. Technische und organisatorische Maßnahmen
  5. Verpflichtung und Unterrichtung
  6. Verfahrensübersichten
  7. Überprüfung
  8. Vorabkontrolle / Risiko Folgeabschätzung
  9. Auftragsdatenverarbeitung
  10. Rechte der Betroffenen
  11. Informationspflichten
  12. Internetauftritt und Werbung
  13. Die Aufsichtsbehörde kommt, was tun?
  14. Abkürzungen
  15. Begriffserklärungen
  16. Quellen
  17. Die Autoren
  18. Impressum