Datenschutz und IT-Sicherheit

Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist am 28.05.2021 in Kraft getreten. Es enthält neue Anforderungen an Unternehmen (Kritis) und räumt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Befugnisse ein, mit dem Ziel, die IT-Sicherheit in Deutschland zu stärken. Die Mehrzahl der Anforderungen des IT-Sicherheitsgesetzes 2.0 basiert dabei auf dem geänderten BSI-Gesetz (BSIG).

Jedes Unternehmen hat sensible Daten, die der Arbeitgeber vor Datenmissbrauch und anderen Angriffen schützen muss. Mitarbeiter können ein Sicherheitsrisiko für den Schutz dieser Daten sein, wenn sie nicht ausreichend über Datenschutz und Informationssicherheit aufgeklärt sind. Die „Security Awareness“ eines Unternehmens zeigt, wie weit die Beschäftigten in diesen Bereichen sensibilisiert sind. Hierauf müssen Arbeitgeber bei Security Awareness achten.

Seit Einführung der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 müssen Unternehmen ein sog. „Verzeichnis von Verarbeitungstätigkeiten“ (Verarbeitungsverzeichnis) führen. Für den Datenschutz ist entscheidend, dass die darin aufgeführten Daten aktuell sind. Doch wie aktualisieren Unternehmen ihr Verzeichnis gemäß den gesetzlichen Vorgaben?

Unternehmen müssen seit Juli 2020 besondere Vorsicht bei der Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA, walten lassen. Denn der Europäische Gerichtshof (EuGH) hat im sog. Schrems II-Urteil das Privacy Shield für unwirksam erklärt und neue Anforderungen an den Datentransfer definiert. Damit gewinnen Standardvertragsklauseln sowie vertragliche Vereinbarungen zwischen Datenexporteuren und Datenimporteuren deutlich an Bedeutung. Ein Kraftakt für Unternehmen, aber auch für die Aufsichtsbehörden.

Das Auskunftsrecht nach Art. 15 DSGVO wird noch nicht von allen Unternehmen und Organisationen datenschutzkonform umgesetzt. Erst kürzlich wurde ein Telekommunikationsanbieter mit einem Bußgeld in Millionenhöhe abgestraft, weil die Anforderungen unzureichend umgesetzt waren. Hier die wichtigsten Rechte und Pflichten des Art. 15 DSGVO sowie Tipps zur Identitätsprüfung.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet öffentliche Stellen in jedem Fall, einen (externen) behördlichen Datenschutzbeauftragten (DSB) zu benennen. Die mit dem Datenschutz beauftragte Person trägt in erster Linie dazu bei, Datenschutzverstößen innerhalb der öffentlichen Stelle vorzubeugen. Die Behörde als datenschutzverantwortliche Stelle ist für die Benennung und die (optionale) Aufgabenverteilung des Datenschutzbeauftragten zuständig.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, personenbezogene Daten zu löschen – nach bestimmten Löschfristen oder spätestens dann, wenn Betroffene von ihrem Recht auf Vergessenwerden Gebrauch machen. Doch in vielen Unternehmen fehlt der Überblick darüber, was wann zu löschen ist oder wo sich die Daten befinden. Deshalb und um hohe Bußgelder zu vermeiden, muss jedes Unternehmen ein Löschkonzept erarbeiten. Eine strukturierte Vorgehensweise erleichtert hier die erfolgreiche Umsetzung der Löschpflichten.

Das Standard-Datenschutzmodell (SDM) unterstützt Datenschutzverantwortliche dabei, die Anforderungen der DSGVO –insbesondere die technischen und organisatorischen Maßnahmen (TOM) – rechtlich sicher umzusetzen. Im November 2019 hat die DSK das SDM grundlegend überarbeitet und in der Version 2.0 veröffentlicht. Neben einer neuen Gliederung wurde u. a. der Maßnahmenkatalog erweitert. Im April 2020 wurden nochmals redaktionelle (keine inhaltlichen) Anpassungen vorgenommen, sodass das SDM aktuell in der Version 2.0b vorliegt.

Im Hinblick auf die erhöhten Anforderungen an den Datenschutz durch die DSGVO sollte grundsätzlich jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen. Mithilfe des Audits werden die Prozesse im Unternehmen auf den Prüfstand gestellt, Schwachstellen identifiziert und Optimierungsmaßnahmen festgelegt. Ein Datenschutzaudit fokussiert sich dabei auf folgende Aspekte.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 14.10.2019 ein Bußgeldkonzept veröffentlicht. Damit gibt es jetzt in Deutschland ein einheitliches Vorgehen zur Bemessung von Bußgeldern, die Aufsichtsbehörden aufgrund von DSGVO-Verstößen verhängen. Das Bußgeldkonzept der DSK beruht dabei auf einem fünfstufigen Verfahren.