Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Die Novellen des Bundesdatenschutzgesetzes aus dem Jahre 2009 haben für viele Unternehmen Änderungen mitgebracht. Eine der wichtigsten war die Neuordung des § 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Kaum ein Unternehmen ist von diesen neuen Regelungen nicht betroffen.

Neben den anderen Punkten wird in diesem neuen § 11 BDSG erstmals geregelt, dass der Auftraggeber den Auftragnehmer sorgfältig auszuwählen hat. § 11 Abs. 2 S.4 regelt die Pflicht des Auftraggebers, sich vor Beginn in einer Erstkontrolle und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Die Missachtung dieser Pflicht ist im Übrigen bußgeldbewehrt (§ 43 Abs. 1 Nr. 2 b BDSG). Das Ergebnis ist zu dokumentieren. (Vergleiche hierzu BDSG Kommentar Gola/Schomerus, 10. Auflage, Verlag CH. Beck, München)

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Doch wie soll ein Unternehmen nun diesen Kontrollpflichten effektiv nachkommen? Meist gibt es niemanden im Unternehmen, der die Kontrolle durchführen kann. Auch unerfahrene interne Datenschutzbeauftragte haben damit erfahrungsgemäß ihre Mühe. Im Falle einer Auftragsdatenverarbeitung im Konzern ist die Überprüfung durch einen externen Dienstleitser wie yourIT meist angenehmer zu gestalten.

Hier hilft meist nur die Beauftragung eines erfahrenen Dienstleisters wie unseren Beratern für Datenschutz & IT-Sicherheit von yourIT.

Die Vorprüfung: Anlegen einer Liste der Auftragsdatenverarbeiter

Zuallererst prüfen wir, welche Lieferanten überhaupt als Auftragsdatenverarbeiter im Sinne von § 11 BDSG für Ihr Unternehmen tätig sind. Typische Beispiele für Auftragsdatenverarbeitung sind:

• Ihr Callcenter soll die Kunden des Auftraggebers anrufen;
• Ihr Lettershop soll Briefe an die Kunden des Auftraggebers adressieren;
• Ihr IT- / TK-Systemhaus wartet die IT-Systeme des Auftraggebers per Fernwartung;
• Sie stellen das Rechenzentrum für Ihren Auftraggeber;
• Sie entsorgen Papier und/oder Datenträger für Ihren Auftraggeber.

Keine Auftragsdatenverarbeitung liegt z.B. vor bei reinem Postversand oder Bankgeschäften.

Durchführung der Kontrolle:

Die Berater von yourIT erfassen, analysieren und bewerten die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOM) für Datenschutz & IT-Sicherheit.

1. Aufnahme des Ist-Zustandes der TOM beim Auftragnehmer vor Ort (Erstbegehung) und Feststellung von Datenschutz-Schwachstellen.
2. Aufnahme der Schwachstellen im IT-Netzwerk (unter Einsatz von QualysGuard).
3. Aufnahme weiterer datenschutz- und sicherheitsrelevanter Informationen anhand strukturierter Checklisten.
4. Bewertung der gefundenen Schwachstellen nach Gefährdungen und Risiken.
5. Erstellung eines ausführlichen Prüfberichts über den Stand des Datenschutzes und der auf die Auftragsdatenverarbeitung bezogenen IT-Sicherheit. Zur Behebung festgestellter Schwachstellen werden Maßnahmenempfehlungen gegeben.

Diese Kontrollen können durch unsere Berater sowohl vor der Aufnahme der Auftragsdatenverarbeitung (Erstkontrolle) als bei laufenden Verarbeitungen regelmäßig vorgenommen werden.

Wir würden uns freuen, wenn auch Sie uns künftig mit der Kontrolle Ihrer Auftragsdatenverarbeiter beauftragen würden.

Gerne beantworte ich Ihre Fragen und erstelle Ihnen ein individuelles, auf Ihre Bedürfnisse zugeschnittenes Angebot. Fordern Sie uns!

Unsere Datenschutz-Beratung - sponsored by ESF

Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

So werden Sie betrieblicher Datenschutzbeauftragter nach § 4f BDSG und so bleiben Sie es auch

In meiner täglichen Arbeit als Berater für Datenschutz & IT-Sicherheit stelle ich fest, dass der Tätigkeit des betrieblichen Datenschutzbeauftragten immer mehr Bedeutung zugemessen wird. Die meisten Unternehmen haben mittleile erkannt, dass der sensible Umghang mit personenbezogenen Daten wichtig ist - das gilt für Mitarbeiterdaten, Bewerberdaten und die Daten von Kunden und Lieferanten in gleichem Maße.

Der betriebliche Datenschutzbeauftragte soll z.B. auf Datensparsamkeit und Transparenz in der Datenverarbeitung hinwirken. Gleichzeitig übernimmt er die Kontrolle und die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen.

Als betrieblicher Datenschutzbeauftragter oder Datenschutzkoordinator sollten Sie sich in verschiedenen Fachgebieten auskennen. Sie sollten firm sein mit juristischen, technischen und organisatorischen Fragestellungen. Und täglich kommen neue Aufgaben dazu. Welcher Datenschutzbeauftragte musste sich z.B. im Jahr 2010 bereits mit Themen wie Bring Your Own Device (BYOD) oder Social Media beschäftigen? Heute kommen Sie kaum noch daran vorbei. Oft hinkt daher die verfügbare Datenschutz-Literatur den tatsächlichen Anforderungen hinterher.

Daher ist es für Sie als betrieblicher Datenschutzbeauftragter unbedingt notwendig, dass Sie aktuell geschult sind und von externen Datenschutz-Beratern betreut werden, um somit Antworten auf die aktuellen Fragestellungen liefern zu können. Erfahrungsgemäß fehlt den internen Datenschutzbeauftragten die Zeit, alle Änderungen und Neuerungen auf dem Gebiet Datenschutz selbst zu verfolgen.

Da uns diese Problematik bekannt ist, bieten wir Ihnen mit unserem Schulungs- und Betreuungsangebot die Möglichkeit, sich an einem zweitägigen Einsteigerseminar einen ersten Überblick darüber zu verschaffen, was auf Sie zukommen wird. Danach bieten wir Ihnen eine Schulung "Die ersten 100 Tage als Datenschutzbeauftragter" sowie jährliche Fortbildungen an. Alle unsere Schulungen sind hauptsächlich Praxisseminare, in denen gearbeitet wird. Trotzdem liefern wir Ihnen die notwendige Theorie in machbaren Bissen mit.

Gleichzeitig können Sie ständig auf unsere Unterstützung als Berater für Datenschutz & IT-Sicherheit zählen. Entsprechende Beraterverträge bieten wir Ihnen gerne an.

Für weitere Informationen zu unseren Datenschutz-Schulungen kontaktieren Sie mich bitte.

Ich freue mich darauf, Sie bei unseren Seminaren begrüßen zu dürfen.

Ihr Thomas Ströbele

Fehlende Angaben im Impressum können zur Abmahnung führen

Eine unserer Sofortmaßnahmen als Berater für Datenschutz sehen wir seit Jahren in der Überprüfung der Korrektur des Impressums eines Unternehmens. Wieso? Das Impressum ist öffentlich sichtbar. Dort schauen sich Ihre (potentiellen) Kunden, Lieferanten und Bewerber zuallererst um.

Die Erfahrung zeigt uns: Wer seinen Internetauftritt nicht in Ordnung hat, der hat sich in der Regel auch noch nicht ausreichend um den Datenschutz gekümmert.

Doch immer wieder stellen uns Kunden die Frage, ob der Aufwand lohnt und man wirklich wettbewerbsrechtlich abgemahnt werden kann, nur weil einige der vorgeschriebenen Angaben im Impressum fehlen. Die Vorgaben für das Impressum liefert im Wesentlichen § 5 (TMG) Telemediengesetz.

Es gab zwar in der Vergangenheit hierzu einige widersprüchliche Urteile, doch in einer aktuellen Entscheidung (5 U 144/10) hat das KG Berlin bestätigt, dass tatsächlich alle in § 5 TMG verlangten Informationen als wesentlich anzusehen sind. Damit rechtfertigen Sie bei einem Verstoß eine Abmahnung.

Auch die Angaben zur Handelsregistereintragung und Umsatzsteuer-ID wurden von den Berliner Richtern als wesentliche Informationen im Sinne § 5a Abs. 2 UWG (Gesetz gegen den unlauteren Wettbewerb) bestätigt.

Wir empfehlen daher allen Kunden und Interessenten: Lassen Sie Ihr Impressum jetzt professionell überprüfen und gegebenenfalls anpassen. Gerne erledigen wir das für Sie. Rufen Sie mich an.

Und: Vergessen Sie nicht, ein Impressum auch in Ihren Social Media Auftritten wie z.B. XING oder facebook anzulegen.

Datenschutz & Schwachstellenmanagement

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister (siehe §11 Abs. 2 BDSG Auftragsdatenverarbeitung)

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.

Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.

Chefsache Facebook

Aktuell boomt Social Media in Form von Facebook-Firmen-Accounts, XING-Unternehmens-Profilen und Blogs  auch bei kleinen und mittleren Unternehmen (KMU). In Ergänzung zur Firmen-Homepage bedeutet dies Aushängeschild, digitale Visitenkarte und vor allem einen neuen Fall für permanente Pflege.

Hier ein paar Tipps,damit Sie sich Überraschungen und Ärger sparen können:

• Ziel festlegen: Was soll mit dem Unternehmens-Account / Blog erreicht werden?

• Mitarbeiter schulen: Sagen Sie Ihren Mitarbeitern im Voraus, wo die Gefahren lauern, was Sie kommuniziert haben wollen und was nicht.

• Einwilligungen einholen: Bevor Sie Daten des Mitarbeiters und ein Bild im Internet veröffentlichen, holen Sie dafür dessen schriftliche Einwilligung.

• Früher an später denken: Klären Sie bereits jetzt, wem die Kontakte / Freunde nach einem Ausscheiden des Mitarbeiters gehören sollen.

• Klare Aussage treffen: Stellen Sie eine Social Madia Policy für Ihr Unternehmen auf. Wie sollen Ihre Mitarbeiter im Social Web kommunizieren, mit wem und über was? Selbst wenn Sie nichts mit dem Social Web zu tun haben möchten: Kommunizieren Sie dies gegenüber Ihren Mitarbeitern. Diese sind auch ohne Ihr Zutun in Sozialen Netzwerken unterwegs. Woher sollen diese wissen, was sie dort schreiben dürfen und was nicht?
• Neu (19.08.2013): Klären Sie Ihre Mitarbeiter über den korrekten Umgang mit der Impressums-Pflicht im Social Media auf. Hier ein Post zum Thema Impressum im XING-Profil.

Wie Sie sehen: Soziale Netzwerke wie Facebook & Co. sind und bleiben Chefsache!

Wenn Sie weitere Fragen zu diesem oder ähnlichen Themen haben: Kontaktieren Sie mich.

Ihr Thomas Ströbele

News: Datenschutz-Schulungsangebote jetzt online

Hechingen, 23. Juli 2014. Auch in 2014 sollten sich Datenschutzbeauftragte und Datenschutzkoordinatoren wieder fortbilden. Unsere aktuellen Schulungsangebote finden Sie unter http://mydatenschutz.blogspot.com/p/schulungsangebote.html

Zu unseren Schulungsangeboten

Folgende Schulungen / Seminare bieten wir aktuell an:

1. Grundausbildung Datenschutzbeauftragter nach § 4f BDSG
Für Neu- und Wiedereinsteiger in das Thema Datenschutz.

2. Fortbildung Die ersten 100 Tage als Datenschutzbeauftragter
Sie haben bereits eine Grundlagenausbildung genossen, kommen aber mit der Tätigkeit nicht wie gewünscht voran. Nach dieser Zusatzausbildung klappt das ganz bestimmt!

3. Fortbildung Der betriebliche Datenschutzbeauftragte 2012
Sie möchten gerne erfahren, was sich seit Ihrer letzten Ausbildung verändert hat?

4. Mitarbeiterschulung Was bedeutet eigentlich Datenschutz?
Wir erklären, welche Bedeutung der Datenschutz für den einzelnen Mitarbeiter hat.

Ich würde mich freuen, Sie bei einer dieser Gelegenheiten kennenzulernen oder wiederzusehen.

Ihr Thomas Ströbele

Datenschutz-Schulungsangebote jetzt online

Seit heute sind unsere Datenschutz-Schulungsangebote online. Wir haben diese in dieses BLOG eingebaut unter der Rubrik Schulungsangebote.

Folgende Schulungen / Seminare bieten wir an:

1. Grundausbildung Datenschutzbeauftragter nach § 4f BDSG
   Für Neu- und Wiedereinsteiger in das Thema Datenschutz.
   Unser Angebot mit Terminen und Anmeldefax finden Sie hier.
2. Fortbildung Die ersten 100 Tage als Datenschutzbeauftragter
   Sie haben bereits eine Grundlagenausbildung genossen, kommen aber mit der Tätigkeit nicht wie gewünscht voran. Nach dieser Zusatzausbildung klappt das ganz bestimmt!
   Unser Angebot mit Terminen und Anmeldefax finden Sie hier.
   
3. Fortbildung Der betriebliche Datenschutzbeauftragte 2012
   Sie möchten gerne erfahren, was sich seit Ihrer letzten Ausbildung verändert hat?
   Unser Angebot mit Terminen und Anmeldefax finden Sie hier.
   
4. Mitarbeiterschulung Was bedeutet eigentlich Datenschutz?
   Wir erklären, welche Bedeutung der Datenschutz für den einzelnen Mitarbeiter hat.

Ich würde mich freuen, Sie bei einer dieser Gelegeneheiten kenenzulernen oder  wiederzusehen.

EuGH-Urteil bestätigt: IP-Adressen sind personenbezogene Daten

Der Europäische Gerichtshof hat am 24. November 2011 bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten handelt.

Bei diesem Urteil ging es in der Hauptsache zwar nicht direkt um diese Entscheidung, jedoch bemerkt das Gericht in Randnotiz 51 des Urteils zu den IP-Adressen: "... wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen."

Eine Unterscheidung von statischen und dynamischen IP-Adressen wurde bei diesem Urteil nicht vorgenommen. Auch wurden sonstige strittige Themen nicht behandelt.

Da es sich bei diesem Urteil aber um die erste höherinstanzliche gerichtliche Entscheidung handelt, kann man wohl davon ausgehen, dass die Richtung für künftige Urteile nun vorgegeben ist.

Zum Urteil des EuGH gelangen Sie hier: http://curia.europa.eu/juris/liste.jsf?language=de&num=C-70/10