FAQ (Fragen und Antworten) zum Datenschutz und der DSGVO

Frage: Was ist die DSGVO?

Antwort: Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ist eine Verordnungen, die am 25. Mai 2018 ihre Gültigkeit entfaltet hat. Jeder Mitgliedstaat der EU ist dazu verpflichtet, diese unmittelbar umzusetzen. Sie regelt, wie Unternehmen die personenbezogenen Daten von natürlichen Personen verarbeiten und wie die Einhaltung des Datenschutzes kontrolliert wird.

Frage: Warum gibt es in Deutschland zusätzlich das Bundesdatenschutzgesetz (BDSG)?

Antwort: Die DSGVO erlaubt es den einzelnen Mitgliedsstatten der EU, eigene Datenschutzgesetze zu erlassen. Allerdings dürfen diese nicht der DSGVO widersprechen. Im BDSG hat Deutschland unter anderem den Beschäftigtendatenschutz spezifiziert.

Frage: Nach welchem Gesetz muss ich mich richten? DSGVO oder BDSG?

Antwort: Die DSGVO hat Vorrang vor dem BDSG. Nur, wenn die DSGVO eine sogenannte Öffnungsklausel eingeräumt hat und die Mitgliedstaaten der EU eigene Datenschutzgesetze erlassen dürfen, ist in diesem speziellen Fall das BDSG anzuwenden.

Frage: Warum gibt es die DSGVO überhaupt?

Antwort: Die DSGVO schützt natürliche Personen vor der Macht der Unternehmen. Sie sorgt dafür, dass ihrem Grundrecht auf informationelle Selbstbestimmung und ihrem Persönlichkeitsrecht genügend Rechnung getragen wird. Die Unternehmen werden dazu verpflichtet, den Betroffenen, bspw. den Kunden oder Nutzern, die Macht über ihre Daten zurückzugeben, indem sie unter anderem Interventionrechte einräumen und Transparenzpflichten nachkommen.

Frage: Gilt die DSGVO für mich?

Antwort: Wenn Sie ein Unternehmer, eine Behörde oder auch ein Verein mit Hauptsitz in der EU sind, müssen Sie sich an die DSGVO halten. Doch auch für außereuropäische Unternehmen gilt die DSGVO, wenn sie Bürgern der EU Waren oder Dienstleistungen anbieten (Marktortprinzip).

Frage: Wer ist verantwortlich für die Umsetzung der DSGVO?

Antwort:  Als Verantwortlicher im Sinne der DSGVO gelten in der Regel die Geschäftsführung oder der Vorstand. Sie halten den Kopf hin, falls der Datenschutz nicht DSGVO-konform umgesetzt wird. Mitarbeiter sind im Sinne der DSGVO nicht haftbar. Allerdings können ihre Fehler im Datenschutz bspw. arbeitsrechtliche Konsequenzen nach sich ziehen.

Frage: Wer kontrolliert den Datenschutz?

Antwort: In Deutschland gibt es in jedem Bundesland eine Aufsichtbehörde, welche die Umsetzung der DSGVO kontrolliert. Der erste Schritt bei der Kontrolle ist meist ein Fragebogen, der den Unternehmen zugeschickt wird. Dieser fragt die elementaren Punkte der DSGVO ab und muss für gewöhnlich in einer Frist von 2-4 Wochen beantwortet werden. Außerdem sind die Aufsichtsbehörden Ansprechpartner sowohl für Unternehmen als auch für Bürger bei Fragen rund um das Thema Datenschutz und Beschwerden von Betroffenen werden bei ihnen eingereicht.  

Frage: Welche Daten darf ich verarbeiten?

Antwort: Die DSGVO regelt ausschließlich den Umgang mit personenbezogenen Daten. Was Sie mit Geschäftsgeheimnissen o.ä. machen, ist dem Datenschutz „egal“.

Frage: Was sind personenbezogene Daten?

Antwort: Personenbezogene Daten sind Informationen über eine Person, welche diese identifizieren (wie bspw. Name, Geburtsdatum, Adresse) oder identifizierbar machen (wie z.B. Kfz-Kennzeichen, IP-Adresse). Bereits der Name Ihres Mitarbeiters auf einer Rechnung Ihrer Firma reicht aus, dass dieses Dokument von der DSGVO geschützt wird. Kein personenbezogenes Datum ist beispielsweise die Arbeitslosenquote in Deutschland.

Frage: Was sind besondere personenbezogene Daten?

Antwort: Besondere Arten personenbezogener Daten im Sinne der DSGVO sind Angaben einer natürlichen Person über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten dürfen von Unternehmen verarbeitet werden, unterliegen aber höheren Sicherheitsanforderungen. Denn die unberechtigte Offenlegung oder der Missbrauch solcher Daten kann zu erheblichen Risiken für die Grundrechte und Grundfreiheiten der Betroffenen führen, bspw. zu einem gesellschaftlichen Ansehensverlust).

Frage: Findet die DSGVO bei mir Anwendung, obwohl ich keinen Coputer habe?

Antwort: Die DSGVO kann auch zur Anwendung kommen, wenn kein Coputer für die Datenverarbeitung genutzt wird. Denn als Datenverarbeitung zählt sowohl jeder automatisierte als auch nicht-automatisierte Vorgang in Zusammenhang mit personenbezogenen Daten, die in einem Dateisystem gespeichert sind. Demnach kann ebenfalls die analoge Ablage von Personalakten in einem Aktenschrank eine Datenverarbeitung im Sinne der DSGVO darstellen. Beispiele für Datenverarbeitungen sind das Erheben, Speichern, Übermitteln und Löschen von Daten.

Frage: Wie werden Verstöße gegen die DSGVO geahndet?

Antwort:  Die nationalen Aufsichtsbehörden können oder müssen gemäß der DSGVO Bußgelder für bestimmte Datenschutzverstöße verhängen. Die Bußgelder sind in jedem Einzelfall so zu wählen, dass sie wirksam, verhältnismäßig und abschreckend sind. Bei der Entscheidung, ob und in welcher Höhe Sanktionen verhängt werden, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung. In bestimmten Fällen kann eine Geldbuße von bis zu 20 Mio. EUR oder 4 % des gesamten von einem Unternehmen weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Frage: Wer benötigt einen Datenschutzbeauftragten?

Antwort: 

  • Wenn Ihr Unternehmen mindestens 20 Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten, beschäftigt, müssen Sie einen Datenschutzbeauftragten benennen. Ob es sich dabei um festangestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt, ist irrelevant. Sofern für die Datenverarbeitung ein Computer genutzt wird, ist von einer automatisierten Verarbeitung der Daten auszugehen.
  • Wenn Ihr Unternehmen personenbezogene Daten geschäftsmäßig übermittelt, erhebt oder verarbeitet, müssen Sie einen Datenschutzbeauftragten benennen. Beispiele für solche Unternehmen sind Auskunfteien, Adressverlage oder Marktforschungsunternehmen. Die Anzahl der Beschäftigen spielt hier keine Rolle.
  • Ihr Unternehmen verarbeitet besonders sensible Daten, wie beispielsweise Bonitäts- oder Gesundheitsdaten. In solchen Fällen besteht unabhängig von der Anzahl der Beschäftigten eine grundsätzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten.

Frage: Wer kann Datenschutzbeauftragter (DSB) werden?

Antwort: Gem. der DSGVO gelten folgende Kriterien: Der DSB hat eine gewisse berufliche Qualifikation vorzuweisen. Er muss Fachwissen im Bereich Datenschutz und Erfahrungen in der Datenschutzpraxis haben sowie über die Fähigkeiten zur Erfüllung seiner gesetzlichen Aufgaben verfügen.

Frage: Müssen öffentliche Einrichtungen einen Datenschutzbeauftragten benennen?

Antwort: Laut der DSGVO sind Behörden und öffentliche Stellen unabhängig von ihrer Größe und Mitarbeiterzahl in jedem Fall dazu verpflichtet, einen behördlichen Datenschutzbeauftragten zu benennen.

Frage: Bestehen Haftungsrisiken für den Datenschutzbeauftragten?

Antwort: Grundsätzlich haftet der Datenschutzbeauftragte nicht für die DSGVO-Verstöße des Verantwortlichen. Dem betrieblichen Datenschutzbeauftragten kommen dabei die Regelungen zum innerbetrieblichen Schadensausgleich zugute, falls er beim Verantwortlichen als Arbeitnehmer beschäftigt ist. Um sich abzusichern, sollte der Datenschutzbeauftragte jedoch immer seine Empfehlungen an den Verantwortlichen dokumentieren, damit ihm keine Pflichtverletzung nachgesagt werden kann.

Frage: Wie kann mir die BREDEX GmbH helfen?

Antwort: Wir sind Ihr Ansprechpartner für alle Fragen, die den Datenschutz betreffen. Unsere Berater bilden sich kontinuierlich weiter, um immer auf dem neusten Stand zu sein.

 

FAQ (Fragen und Antworten) zur Informationssicherheit

Frage: Was ist Informationssicherheit?

Antwort: Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. So sollen Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation geschützt werden. Desweiteren werden im  Unternehmensumfeld wirtschaftliche Schäden verhindert.


Frage: Was ist ein Informationssicherheits-Managementsystem (ISMS)?
Antwort: Ein Informationssicherheits-Managementsystem (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung. (Quelle: Security-Insider)

Frage: Was sind Gründe für die Einführung eines ISMS?
Antwort: Für die Einführung eines ISMS kommen mehrere Gründe in Frage. An erster Stelle steht hierbei die Sicherheit Ihrer Informationen. Mit einem ISMS sind Sie in der Lage, das Risiko der unbefugten Einsichtnahme von bspw. Kundendaten oder der Offenlegung von kritischen Informationen in Datenbanken sowie Personaldaten zu reduzieren. Weiterhin spielt das Thema Compliance eine immer größer werdende Rolle. Ein ISMS unterstützt Sie bei der Einhaltung der Anforderungen, welche von Kunden oder Ämtern gefordert werden. Darüber hinaus stellt die Einführung und ggf. Zertifizierung einen Wettbewerbsvorteil dar. Einem Unternehmen, dass seine Daten und Informationen schützt, wird in der Regel eher vertraut, als einem, welches dies nicht tut. Heutzutage ist die IT und deren Sicherheit nicht nur eine geschäftsunterstützende Abteilung, sondern auch ein strategischer Hebel, mit dem die Geschäftsführung die Entwicklung des Unternehmens steuern kann. https://blog.to.com/4-gruende-isms/

Frage: Wer sollte sich mit dem Thema Informationssicherheit beschäftigen?
Antwort: Alle Unternehmen, die in irgendeiner Form Daten und Informationen erheben, speichern, verarbeiten oder IT- Systeme für ihre Arbeit nutzen – unabhängig von Unternehmensgröße oder Branche –sollten sich mit dem Thema Informationssicherheit beschäftigen.

Frage: Welche unterschiedlichen Standards gibt es für ein ISMS?

Antwort: Im Bereich der Informationssicherheit bestehen mehrere Standards. Hierzu zählen bspw. die ISO-27001, der BSI IT-Grundschutz und der Standard für Informationssicherheit in der Automobilindustrie (TISAX).

Frage: Besteht ein Unterschied zwischen Informationssicherheit und IT-Sicherheit?

Antwort: Ja, es besteht ein Unterschied zwischen Informationssicherheit und IT-Sicherheit. Grundsätzlich gilt, dass die Informationssicherheit weiter reicht als die IT-Sicherheit. Die IT-Sicherheit hat hauptsächlich den Schutz von IT-Systemen zum Ziel. Die Informationssicherheit hingegen schützt auch nicht-technische Systeme. Dies bedeutet, dass zusätzlich zu IT-Systemen Informationen geschützt werden, welche bspw. in analogen Ordnern oder in Papierarchiven gespeichert werden. 

Frage: Was ist Social Engineering? 

Antwort: Social Engineering beschreibt ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Hierbei werden verschiedene Methoden angewandt, um das Vertrauen der Zielperson zu gewinnen, damit diese sensible Daten wie bspw. Passwörter oder andere Unternehmensinformationen preisgibt. 

Frage: Was ist ein Penetrationstest?

Antwort: Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, welche die Empfindlichkeit gegenüber Angriffen feststellen soll. Dabei werden Methoden und Techniken genutzt, die einen Angriff von Hackern oder anderen potenziellen Eindringlingen, simulieren.

Frage: Wie kann ich mich weiterbilden?

Antwort: Die bei uns am häufigsten durchgeführte Weiterbildung im Bereich der Informationssicherheit ist die allgemeine Mitarbeitersensibilisierung. Darüber hinaus bieten wir aber auch Zertifikatslehrgänge, wie den IT-Grundschutz-Praktiker oder die Schulung zum Informationssicherheitsbeauftragten, an.