Datenschutz und Datensicherheit müssen in Unternehmen sensibel behandelt werden – doch was sind die Unterschiede und worauf kommt es an? Rechtsanwalt Kilian Springer und Rechtsanwältin Janina Albrecht, aus der Bürogemeinschaft „KTR.legal“, klären auf.
Was ist der konkrete Unterschied zwischen Datenschutz und Datensicherheit im Unternehmen?
Bei Datensicherheit geht es darum, Dritten den unbefugten Zugriff auf eigene Daten zu verwehren. Es geht dabei vor allem um technische Vorrichtungen sowie allgemeinen Sicherheitseinstellungen von Software und letztlich auch um Passwortschutz. Bei Datenschutz geht es um den Umgang mit Daten. Konkret geht es darum, welche Daten darf man verarbeiten und wie dürfen diese verarbeitet werden. Dazu gehört insbesondere auch, ob diese möglicherweise freiwillig – aus Gründen der weiteren Verarbeitung oder zum Verkauf – an Dritte weitergeben werden. Diese Weitergabe darf natürlich nicht rechtswidrig geschehen, aber dazu später mehr.
Im Grundsatz kann man sagen, dass es bei Datensicherheit darum geht, Dritten den Zugang zu Daten zu verwehren und bei Datenschutz darum, wie und welche Daten man verarbeitet.
Datenschutz im Unternehmen
Welche Maßnahmen können innerhalb eines Unternehmens getroffen werden, um den Datenschutz gewährleisten zu können?
Da gibt es natürlich unzählige Maßnahmen, was auch immer vom Unternehmen selbst anhängt. Wichtige Faktoren sind dabei, über welche Daten das Unternehmen verfügt und was dieses mit Daten machen möchte. Wichtig sind dabei die Prinzipien „privacy by design“ und „privacy by default“. Danach sollte jede Software grundsätzlich so entwickelt werden, dass diese bereits die folgenden Prinzipien des Datenschutzes so gut wie möglich umsetzt (privacy by design) und alle möglichen Voreinstellungen sollten auf die maximale datenschützende Einstellung gesetzt werden (privacy by default).
Der Datenschutz unterliegt folgenden Prinzipien:
Rechtmäßigkeit– Die Verarbeitung von Daten muss den Prinzipien „Treu und Glauben“ entsprechen und so transparent wie möglich erfolgen. Der Verarbeiter benötigt eine Rechtsgrundlage, welche ihm die Verarbeitung der Daten erlaubt, denn grundsätzlich ist die Verarbeitung von Daten nicht erlaubt.
Datenminimierung – Es dürfen nur so wenig Daten wie möglich gesammelt und verarbeitet werden.
Zweckbindung – Eine Verarbeitung von Daten kann nur für vorher festgelegte, eindeutig und legitime Zwecke verwendet werden.
Richtigkeit – Daten müssen richtig, also den Tatsachen entsprechend, hinterlegt sein. Betroffen haben das Recht auf Korrektur und Löschung.
Speicherbegrenzung – Daten dürfen nur solange hinterlegt sein, wie es unbedingt notwendig ist.
Wer kontrolliert Unternehmen bei der Einhaltung der DSGVO?
Die Einhaltung der DSGVO kontrollieren die jeweiligen Landesdatenschutzbehörden, welche unter folgendem Link zu finden sind: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
Sie haben Lücken bei der Datensicherheit in Ihrem Unternehmen?
Vereinbaren Sie noch heute ein Gespräch mit unseren Experten.
Die Verarbeitung von Daten
Was ist eine „automatisierte Datenverarbeitung“?
Mit automatisierter Datenverarbeitung ist eigentlich nur der Einsatz von Maschinen und Technik beim Umgang mit Daten gemeint, kurz gesagt der Einsatz von Computern.
Wie funktioniert die Verarbeitung von Daten nach DSGVO?
Datenverarbeitung ist grundsätzlich jeder Umgang mit Daten. Das kann vom Speichern, über das Weiterleiten bis hin zur Analyse der Daten alles bedeuten. Selbst das Löschen von Daten ist eine Verarbeitung!
Braucht ein Unternehmen einen Datenschutzbeauftragten? Wenn ja, ab wann?
Ein Unternehmen kann grundsätzlich immer eine Person zum/zur Datenschutzbeauftragten bestellen. Gemäß Art. 37 DSGVO besteht für ein Unternehmen die Pflicht in folgenden Situationen:
Es werden mindestens neun Mitarbeiter beschäftigt, die personenbezogene Daten automatisiert verarbeiten.
Es ist Teil des Geschäfts des Unternehmens, personenbezogene Daten zu erheben oder zu verarbeiten. (z.B. Auskunftsdetekteien)
Es werden im Unternehmen besonders sensible Daten verarbeitet. (z.B. Gesundheitsdaten)
Datenschutzbeauftragte ist ein Begriff – doch gibt es auch Experten im Bereich Datensicherheit?
Kurz gesagt: ja. Es gibt einige Unternehmen, welche sich auf Cyber Security bzw. Datensicherheit spezialisiert haben. Diese haben eher einen technischen Hintergrund, während Datenschutzbeauftragte eher einen juristischen Hintergrund haben. Beide müssen natürlich auch Ahnung im jeweils anderen Bereich haben, um ihren Job auszuführen.
Datenschutz und -sicherheit bei digitalen Geräten und Anwendungen
Was passiert, wenn ein Arbeits-Smartphone verloren geht und sich Unternehmensdaten darauf befinden?
Im Vorfeld ist es wichtig, dass die Smartphones für solch einen Verlust vorbereitet sind. Hier geht es natürlich vor allem um Datensicherheit. Es gibt verschiedene Methoden, um die Sicherheit von Smartphone zu erhöhen, das beginnt bei einem guten Passwortschutz und endet bei Container-Apps oder Mobile-Device-Management. Sollte auch nur die geringste Gefahr bestehen, dass Dritte auf Daten zugreifen können, dann handelt es sich um einen meldepflichtigen Datenschutzvorfall, welcher an die jeweilige Landesdatenschutzbehörde weitergemeldet werden muss. Zudem müssen alle Betroffenen, also deren Daten nun durch Dritte einsehbar waren, darüber informiert werden.
Wie sicher sind Smart Home Devices wie Alexa, Siri und Google?
Das ist natürlich eher eine Frage für Experten in dem Bereich. Wir können uns so gesehen nur auf Aussagen von Dritten beziehen. Grundsätzlich kann aber gesagt werden, so lange nicht eineindeutig feststeht, dass diese absolut sicher sind, sollten diese nicht im Unternehmen oder auch nicht im Home-Office eingesetzt werden. Betrachtet man gerade das neuste Urteil des EUGH, welches die Privacy Shield-Vereinbarung zwischen den USA und der EU gekippt hat, ist der Schutz von Daten aktuell nicht gewährleistet. Wie es um die Datensicherheit steht dabei nochmal auf einem anderen Papier.
Wie sieht es mit der Datensicherheit bei Email und Fax aus?
Solange E-Mails nicht verschlüsselt sind, sind diese eigentlich vollkommen unsicher. Die entsprechende Verschlüsselungstechnik gibt es bereits sehr lange und ist weitestgehend nicht zu knacken. Dennoch nutzen es viele nicht, weil es wohl den Meisten zu umständlich ist. Ein Fax ist grundsätzlich so sicher, wie eine Telefonleitung. Sofern diese angezapft wurde, kann man auch ein Fax abfangen. Aber das ist wohl nicht ganz so einfach.
Gibt es Überschneidungspunkte der beiden Bereiche?
Ja, man kann kaum das eine gewähren, wenn man das andere vernachlässigt. Die beiden Gebiete bedingen sich gegenseitig und eine schlechte Datensicherheit führt oft zu Verstößen im Datenschutz, beispielsweise wenn personenbezogene Daten ungeschützt von Dritten im Netz abrufbar sind. Solche Meldungen hört man ja öfter. Die Datensicherheit hätte es verlangt, diese Daten besser zu schützen und das führte dann zu einem Datenschutzverstoß, indem Dritte sich unbefugt Zugang zu den Daten verschaffen konnten.
Die Kanzlei KTR.legal
In der gemeinsamen Kanzlei „KTR.legal„, bilden Kilian Springer und Janina Albrecht die Schnittstelle zwischen Rechtsberatung, disruptiver Technologie und Innovation.
Sie beraten Startups, Unternehmen und Freelancer in den Bereichen Gründung, Markenrecht, Internet- und Marketingrecht, Software- und IT-Recht und im Bereich Datenschutz. Ihre Mandanten sind vor allem digitale und innovative Unternehmen. Neben ihren Standorten in Leipzig, Berlin und Hamburg sind die beiden Rechtsanwälte deutschlandweit tätig.