Rechtliche Rahmenbedingungen

Neben der europaweit gültigen Datenschutz-Grundverordnung (DS-GVO) und speziellen EU-Richtlinien (ePrivacy -Richtlinie von 2009 z.B. zu Cookies) gibt es eine ganze Reihe nationaler Gesetze, die sich in Teilen auch mit Themen des Datenschutzes beschäftigen und spezielle Regelungen beinhalten. Dazu gehört insbesondere das ‚Telekommunikation- Telemedien Datenschutz Gesetz‘ (TTDSG). Das TTDSG ist am 1. Dezember 2021 in Kraft getreten und hat das bis dahin gültige Telekommunikationsgesetz (TKG) mit Stand von 2011 sowie das Telemediengesetz (TMG) mit Stand 2019 in Teilen abgelöst. Wir haben in unserem Newsletter bereits kurz darüber berichtet.

Das TKG diente zur Regelung der Märkte von – technik-basierten – Telekommunikationsanbietern wie z.B. Telefon- oder Internetprovidern. Das TMG richtet sich an die Anbieter von – inhaltsbasierten – Informations- und Servicediensten, bei denen elektronische Verfahren zum Einsatz kommen. Hieruntern fallen Online-Shops genauso wie Internet-Nachrichtendienste und Unternehmen, die im Internet eine Unternehmenspräsentation veröffentlichen.

Beide Gesetze stammten mit ihren wesentlichen Regelungen aus der Zeit vor dem Gültigwerden der DS-GVO. Sie beinhalteten aber schon Regelungen zum Schutz von personenbezogenen Daten ihrer Nutzer wie z.B. Einwilligungen, Informationspflichten u.s.w.. Grundsätzlich bestanden die hier enthaltenen Regelungen und die in der DS-GVO enthaltenen Regelungen aber nebeneinanderher und waren nicht immer deckungsgleich, so dass es zu Unsicherheiten bei der rechtlichen Beurteilung von Einzelthemen kam.

Durch die technische Weiterentwicklung des Internets wurden außerdem in viel größerem Umfang als früher und als in TKG / TMG berücksichtigt, personenbezogene Daten erhoben, gespeichert und von Diensteanbietern für eigene Zwecke genutzt. Dazu gehört die Datensammlung über ‚Cookies‘ genauso wie die Profilbildung bei Internetdiensten wie Facebook oder Google. Auch die Nutzung von webbasierten E-Mail-Diensten oder Messenger-Diensten wie WhatsApp waren bislang durch TKG / TMG nicht rechtlich belastbar geregelt.

EU-Kommission

Die zuständige EU-Kommission genauso wie die nationale Gesetzgebung haben deshalb schon vor Jahren begonnen, neue Verordnungen oder Gesetze zu entwickeln. Hierzu gehört insbesondere die europäische ePrivacy-Verordnung. Diese europaweit verbindliche Regelung kommt aber nicht voran und befindet sich weiterhin im Entwicklungsstadium (Stand 9.2023).

Um die rechtlichen Unsicherheiten im Interesse der Betroffenen und der beteiligten Unternehmen zu lösen, haben die zuständigen Fachgremien der Bundesregierung daher ein nationales Gesetz entwickelt und beraten. Der Bundestag hat im Mai 2021 das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verabschiedet. Das neue Gesetz ist am 01.12.2021 in Kraft getreten. Gleichzeitig wurden angepaßte Fassungen des TKG und des TMG gültig.

Für die Telekommunikations- / Telemedienanbieter enthält das neue TTDSG eine ganze Reihe konkreter Regelungen z.B. hinsichtlich Vertragsgestaltung, technische und organisatorische Maßnahmen und Vertraulichkeit. Diese Regelungen sind zum überwiegenden Teil nicht neu und werden aufgrund der bisherigen TMG und TKG sowie der aktuellen Rechtsprechung zum überwiegenden Teil schon weitgehend umgesetzt.

In datenschutzrechtlicher Hinsicht werden ebenfalls die Vorgaben und Rahmenbedingungen der DS-GVO in den ehemaligen Themenfeldern der TMG / TKG berücksichtigt und konkretisiert.
Hierbei steht der Schutz der Privatsphäre auf den Endgeräten der Betroffenen im Vordergrund. Eine konkrete Schwachstelle sind hier die vielen Cookies, mit denen die unterschiedlichen Diensteanbieter und Internetseiten-Betreiber personenbezogene Daten oder Nutzerprofile erheben und durch Speicherung auf dem Endgerät des Nutzers für sich oder für Dritte zugänglich machen.

Dieser Blog richtet sich deshalb im Wesentlichen an die Seitenbetreiber, die auf ihren Internetseiten Cookies eingebunden haben. Unternehmen, die über eigene Internetseiten z.B. Kundenbestellungen aufnehmen, Werbung machen, oder Social Media-Dienste anbieten, müssen als verantwortliche Stelle bei der rechtskonformen Gestaltung und Verwendung von Cookies einige wesentliche Punkte beachten.

Anforderungen für den gesetzeskonformen Betrieb von Internetseiten

Cookies

Die heute angebotenen Internetseiten sind in den seltensten Fällen nur einfache Text- oder Bilddarstellungen. In den weitaus meisten Fällen werden im Zusammenhang mit dem Seitenbesuch Daten des Seitenbesuchers – auch personenbezogene Daten – oder Daten aus dem Sitzungsverlauf genutzt. Dazu bindet der Seitenanbieter verschiedene eigene Programm-Komponenten (z.B. zur Einrichtung eines Kundenkontos) oder Programme externer Dienste (z.B. Google Analytics) auf seiner Internetseite ein. Die Speicherung der Daten erfolgt in sogenannten ‚Cookies‘, die vom Seitenbetreiber oder dem jeweiligen Dienst auf dem Endgerät des Seitenbesuchers abgelegt werden.

Bei den Cookies handelt es sich um kleine Textdateien, in denen alle Daten enthalten sind, die für den jeweiligen Zweck des Seitenbetreibers bzw. des Dienstanbieters für dessen jeweiligen Zwecke benötigt werden. Je nach Speicherfrist und Zugangsmöglichkeit können die Cookies dann bei zukünftigen Seitenbesuchen oder von Dritten ausgelesen werden.

Rechtsgrundlagen

Personenbezogene Daten dürfen nur gespeichert und genutzt werden, wenn dafür eine belastbare Rechtsgrundlage gemäß Art. 6 DS-GVO vorliegt. Im Zusammenhang mit z.B. Warenbestellungen oder der Registrierung in einem Kundenkonto können das vertragliche Verpflichtungen des Seitenanbieters gegenüber dem Betroffenen sein (Art 6, Abs.1, Ziff.b DS-GVO).
In den meisten anderen Fällen, insbesondere für Werbeangebote muss die betroffene Person in die Verarbeitung der personenbezogenen Daten ausdrücklich einwilligen (Art 6, Abs.1, Ziff.a DS-GVO) (siehe unten).

Eine besondere Rolle nehmen die sogenannten ‚essentiellen Daten‘ (TTDSG § 25) ein. Hierbei handelt es sich um in der Regel anonymisierte / pseudonymisierte Nutzungsdaten des Seitenbesuches, die für den reibungslosen technischen Betrieb der Internetseite notwendig sind. Hierbei kann es sich z.B. um Anzahlen und Zeitpunkte des Seitenaufrufes (Bereitstellung ausreichender Leitungskapazitäten) oder um die Landesherkunft des Seitenbesuchers (Spracheinstellung der Internetseite) handeln.

In diesen Fällen überwiegt das berechtigte Interesse des Seitenbetreibers gegenüber den Schutzbedürfnissen des Seitenbesuchers (Art 6, Abs.1, Ziff.f DS-GVO). Eine ausdrückliche Einwilligung für die Speicherung eines Cookies ist nicht erforderlich.

Einwilligungen / Cookie-Banner

Insbesondere bei z.B. Erfolgsmessungen, Werbeangeboten und externen Diensten wie Google Analytics müssen ausdrückliche Einwilligungen des Seitenbesuchers gemäß Art. 7 DS-GVO eingeholt werden. Die erhaltene Einwilligung führt dazu, dass vom Seitenbetreiber oder von dem externen Dienst ein Cookie auf dem Endgerät gesetzt wird.

In der Regel verwenden die Seitenanbieter hierfür sogenannte ‚Cookie-Banner‘ oder ‚Consent Tools‘. Der Cookie-Banner erscheint bereits beim Start der Internetseite und stellt die verschiedenen Optionen der Einwilligung bzw. Ablehnung in einem Dialog dar. Der Seitenbesucher stimmt durch seine Auswahl der Verarbeitung seiner Daten zu oder lehnt die Verarbeitung ab.

Hinsichtlich des Aufbaus der Cookie-Banner haben sich im Laufe der Zeit unterschiedliche Arten entwickelt. Die Seitenbetreiber haben dabei versucht, den unterschiedlichen Mengen an Cookies der jeweiligen Internetseite gerecht zu werden und den Aufwand für den Seitenbesucher möglichst gering zu halten. So gibt es Cookie-Banner, bei denen der Seitenbesucher einzeln durch alle Cookies geführt wird. Bei anderen Cookie-Bannern sind die einzelnen Cookies in verschiedene Gruppen (z.B. Werbe-Cookies, Analyse-Cookies) eingeordnet. Der Seitenbesucher hat hier in der Regel die Möglichkeit mit einem einzigen Klick, eine komplette Gruppe zu akzeptieren bzw. abzulehnen.

Durch ‚geschickte‘ Gestaltung des Dialogablaufs im Cookie-Banner (‚dark pattern‘ / ‚nudging‘) haben (einzelne) Seitenanbieter versucht, den eigentlichen Entscheidungswillen des Seitenbesuchers zu beeinflussen und in eine vom Seitenanbieter gewünschte Richtung zu lenken, um so z.B. Einwilligungen zu Werbung zu erhalten. Rechtsprechung und Aufsichtsbehörden haben das Thema inzwischen aufgegriffen und drängen die Seitenanbieter zu einer neutralen Darstellung der Optionen.

Folgende Empfehlungen bei der Gestaltung des Cookie-Banners und beim Dialogablauf sollten beachtet werden:

  • Die Option für die Ablehnung muss genauso prominent platziert sein, wie die Zustimmung. Also nicht versteckt in nachfolgenden Dialogbereichen, die erst durch langes Scrollen oder durch mehrmaliges Klicken zu erreichen sind.
  • Zustimmungsoption und Ablehnungsoption müssen gleich gestaltet sein, z.B. farbliche Hervorhebung / Schriftgestaltung / Position auf der Dialogseite
  • Eine ‚unterschwellige‘ Bevorzugung der Zustimmungsoption durch z.B. besonders leuchtende Farben, blinkenden Texte (‚Nudging‘) ist nicht erlaubt.
  • Ebenso darf die Ablehnungsoption nicht benachteiligt werden, z.B. schwarze Schriftfarbe auf schwarzem Hintergrund (‚dark pattern‘).

Internetseiten-interne Verwaltung der Einwilligungen

Die über den Cookie-Banner vom Seitenbesucher eingeholten Einwilligungen für die auf der Internetseite angebotenen Dienste werden in der Regel ebenfalls in Cookies auf dem Endgerät des Seitenbesuchers gespeichert, bis die Internetsitzung vollständig beendet oder die entsprechende Internetseite im Browser geschlossen wird. Ohne weitere Handlung des Seitenbesuchers gelten die abgegebenen Einwilligungen also bis zum Ende des jeweiligen Seitenbesuches.

Die DS-GVO räumt dem Betroffenen aber ein jederzeit ausübbares Widerrufsrecht der Einwilligungen ein (Art.7 Abs.3 DS-GVO). Alle mit der Einwilligung verbundenen Datenverarbeitungen des Dienstes sind dann sobald / soweit möglich zu beenden, schon gespeicherte Daten sind zu löschen und Datenübermittlungen zu stoppen.

Damit der Seitenbesucher seine Einwilligungen überprüfen und ggf. den Widerspruch ausüben kann, ist es zweckmäßig, die aktuell vorliegenden Einwilligungsentscheidungen in einem separaten Dialog anzuzeigen und dem Betroffenen hier Möglichkeit zu bieten, Einwilligungen nachträglich zu vergeben bzw. zurückzuziehen.

Diese Dialogseite sollte z.B. aus den Datenschutz-Hinweisen oder direkt aus dem Link-Bereich der Internetseite aufgerufen werden können. In der Regel werden diese Dialogseiten von den Anbietern der Cookie-Banner bzw. Consent-Tools zur Verfügung gestellt.

Personal Information Management Systeme

Die Besucher / Nutzer von Internetseiten sind damit konfrontiert, dass sie bei jeder Internetseite und ggf. bei jedem neuen Sitzungsaufruf den Dialogablauf für die Einwilligungen neu durchlaufen müssen.

Um die Vielzahl dieser notwendigen Einwilligungserklärungen für den Betroffenen zu vereinfachen, sind mit dem TTDSG künftig ‚Dienste zur Einwilligungsverwaltung‚ (§ 26 TTDSG) möglich. Über diese sogenannten ‚Personal Information Management‘ (PIM) können Internetnutzer festlegen, ob und in welchem Umfang Internetseiten standardmäßig ihre personenbezogenen Daten nutzen dürfen. Der verwendete Browser ermittelt dann im Hintergrund in dem PIM die Nutzungsrechte bei dem fraglichen Dienst und meldet die Freigaben bzw. Beschränkungen an die Internetseite zurück. Internetseiten mit individuellem Cookie-Banner werden dadurch überflüssig.

Um das notwendige Maß an Datensicherheit und Zuverlässigkeit bei den Diensten zur Einwilligungsverwaltung sicherzustellen, sieht das Gesetz vor, dass sich die betreffenden Dienste einer Anerkennung durch staatlich definierte Stellen (§26 TTDSG) unterziehen müssen. Nur entsprechend zertifizierte Dienste dürfen also ein PIM betreiben.

Die rechtlichen Rahmenbedingungen für die betreffenden Dienste wurden in einem Entwurf für eine Verordnung seitens der Bundesregierung vorgelegt. Die Verordnung sieht z.B. vor, dass die Zertifizierung der PIM-Dienste durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) erfolgt. Weiterhin sind technische und organisatorische Maßnahmen als Voraussetzung für die Genehmigung des Dienstes aufgeführt.

Aus heutiger Sicht ist noch nicht absehbar, bis wann das Gesetzgebungsverfahren abgeschlossen ist. Danach schließen sich in jedem Fall noch die technische Umsetzung und Zertifizierung der Dienste an. Und auch die entsprechenden Seitenbetreiber müssen den Dienst in ihrem Einwilligungsverfahren implementieren.

Das wird alles noch einige Zeit dauern, es wird also nicht sinnvoll sein, eigene Maßnahmen zur gesetzkonformen Gestaltung der Internetseite zurückzustellen.

Datenschutz-Hinweise

Nach den Informationspflichten aus der DS-GVO (Art. 13 DS-GVO) müssen die Seitenbesucher vom Seitenbetreiber über die Verarbeitung personenbezogener Daten informiert werden. Hierfür wird zweckmäßiger Weise eine Seite mit ‚Datenschutz-Hinweisen‘ innerhalb der Internetseite bereitgestellt. Die ‚Datenschutz-Hinweise‘ müssen – neben vielen anderen Informationen – alle auf der Internetseite verwendeten Cookies vollständig und mit Angabe von Ersteller/ Herkunft, Zweck, Datenkategorien, Löschregeln, usw. enthalten.

Den Seitenbesuchern wird damit die Möglichkeit gegeben, ihre Einwilligungen zu den einzelnen Diensten zu überdenken und ggf. zu verweigern bzw. zurückzuziehen.

Sanktionen der Aufsichtsbehörden

Die rechtskonforme Gestaltung und Verwendung von Cookies wird von den Aufsichtsbehörden nach eigenem Ermessen oder aufgrund von Beschwerden einzelner Betroffener geprüft und verfolgt. Bei Verstößen gegen die Regelungen des TTDSG können erhebliche Bußgelder (max 300T€) verhängt werden.

Bei Verletzung der Datenschutzregelungen bei personenbezogenen Daten können dazu auch noch die Bußgelder der DS-GVO kommen.

Die Berater der ANMATHO AG helfen gerne, dabei Ihre Internetseite und vorhandene Einwilligungsverfahren einmal hinsichtlich der Datenschutz-Konformität zu überprüfen.

Nachdem der Schwerpunkt der ersten Blogartikel eher auf technischen Fragstellungen gelegen hat, wurden in den letzten Beiträgen organisatorische und eher „softe“ Themen betrachtet, wie z.B. die Einbindung der Mitarbeiter in den innerbetrieblichen Informationsfluss oder die Notwendigkeit, bestehende Regelungen auf ihre Anwendbarkeit im Home Office zu prüfen und gegebenenfalls anzupassen. Zusätzlich sollten jedoch noch einige weitere Punkte betrachtet werden.

Schutzziel: Verfügbarkeit im Home Office

Die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität bilden die Basis vieler Überlegungen zur Informationssicherheit. Das Schutzziel Verfügbarkeit kann durch das Arbeiten im Home Office beeinträchtigt werden – wenn Informationswerte, insbesondere wenn es physische Informationswerte sind, in das Home Office mitgenommen werden. Nicht nur, dass diese Informationswerte den Mitarbeitern am Firmenstandort nicht mehr zur Verfügung stehen, es muss auch sichergestellt sein, dass diese Informationswerte wieder zurückgeführt werden. Es bietet sich daher an, z.B. im Klassifizierungsschema für physische Informationswerte entsprechende Handhabungsvorgaben zu machen, und natürlich muss der Verbleib des Informationswertes in der Inventarliste dokumentiert werden.

Diese Überlegung betrifft zumeist physische Informationswerte wie z.B. Modelle, Prototypen, Bauteile und auch ganze Systeme, weil diese Dinge sich oft nur schlecht vervielfältigen lassen. Elektronische Informationswerte sind dagegen oftmals vergleichsweise einfach zu duplizieren – es sei denn, die Vervielfältigung ist verboten oder wird technisch unterbunden.

Schutzziel: Vertraulichkeit

Auch für das Schutzziel der Vertraulichkeit finden sich solche nicht offensichtlichen Fragestellungen, wie z.B. die Überlegung, ob der Transport von Informationswerten zwischen dem Firmenstandort und dem häuslichen Arbeitsplatz ausreichend abgesichert ist. Es kann durchaus geschehen, dass ein Laptop gestohlen wird, dass eine Tasche in der S-Bahn vergessen wird oder man durch einen Unfall die mitgeführten Informationswerte nicht mehr wie vorgesehen beaufsichtigen kann. Der Verlust eines Laptops wird in diesen Fällen vielleicht vergleichsweise unproblematisch sein, da er hoffentlich verschlüsselt ist. Aber wie sieht es mit anderen mitgeführten Informationswerten aus, vor allem mit den weiter oben beschriebenen physischen Informationswerten?

Und noch ein Gedanke sollte bei den Vorgaben für das Arbeiten im Home Office betrachtet werden. Bei unternehmenseigenen Informationswerten müssen bei den Regelungen nur die eigenen Anforderungen und Einschätzungen berücksichtigt werden. Bei unternehmensfremden Informationswerten müssen vor allem die Vorgaben des Eigentümers der Informationswerte berücksichtigt werden. Es ist also möglich, dass das Mitführen oder Nutzen unternehmensfremder Informationswerte aus vertraglicher Sicht nicht zulässig ist.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Das Hinweisgeberschutzgesetz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.

Kleine und große Unternehmen ab 50 Mitarbeitenden, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnerinnen und Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für Unternehmen ab 250 Mitarbeitenden gilt diese Pflicht eigentlich bereits seit Dezember 2021, für Unternehmen zwischen 50 und 249 Mitarbeitenden gilt eine Übergangsfrist von zwei Jahren.
Die Grundlagen hierfür liegen in der am 16. Dezember 2019 in Kraft getreten EU-Direktive 2019/1937 des EU-Parlaments zum Schutz von Whistleblowern. Diese Direktive musste aber noch in nationales Recht überführt werden.
Am 12. Mai 2023 wurde nun das deutsche Hinweisgeberschutzgesetz (HinSchG) vom Bundesrat verabschiedet. Das neue Gesetz tritt Mitte Juni 2023 in Kraft.
Das Gesetz musste mehrere Anläufe nehmen. Ein bereits im Dezember 2022 vom Bundestag verabschiedeter Entwurf erhielt Februar 2023 im Bundesrat keine mehrheitliche Zustimmung. Daraufhin musste der Vermittlungsausschuss zusammenkommen. Dieser konnte sich Anfang Mai einigen, kurz darauf passierte das Gesetz Bundestag und Bundesrat. Nach der Verkündung im Bundesgesetzblatt tritt das Gesetz vier Wochen später in Kraft.

Welche Punkte sollten Unternehmen nun zum Hinweisgeberschutzgesetz beachten:

Meldewege:

Hinweisgeber sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.

Datenschutz:

Alle personenbezogenen Daten dürfen nur DSGVO-konform verarbeitet werden.
Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.

Zuständigkeit im Unternehmen:

Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein:
Compliance Officer, Personalleiter, Unternehmensjurist, Chief Financial Officer (CFO)/Finanzdirektor, Mitglied des Vorstands oder der Geschäftsführung
Unternehmen können die Bearbeitung von Hinweisen auch auslagern, z. Bsp. an eine Ombudsperson.

Bearbeitungsfristen:

Innerhalb von sieben Tagen muss das Unternehmen der hinweisgebenden Person bestätigen, dass die Meldung eingegangen ist. Innerhalb von drei Monaten müssen Hinweisgebende über ergriffene Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis informiert werden.

Informationspflicht:

Unternehmen müssen ihren Mitarbeitenden Informationen über den unternehmensinternen Meldeprozess und über alternative Meldewege an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, nicht nur für Mitarbeitende, sondern auch für Zulieferer, Dienstleister und Geschäftspartner.

Sanktionen:

In der EU-Richtlinie sind auch Sanktionen vorgesehen. So müssen Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, ist Sache der nationalen Gesetzgeber.

Stand Mai 2023

Was Sie noch interessieren könnte…

UNSER MÄRZ NEWSLETTER 2023 (PDF)

Die Themen dieser Ausgabe sind:
HinweisgeberSchutzGesetz (HinSchG)
MDM – Das Universalwerkzeug für Mobilgeräte
NIS 2 Richtline steht in den Startlöchern
Informationssicherheits-Awareness neu denken
DS-GVO und Office365, eine never ending Story

Das Gesetzgebungsverfahren – Beitrag des BMJ

In den ersten drei Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere um den Kontext im DSMS.

Erweiterung der Normkapitel der ISO 27001:2013 – Kontext im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 4 der ISO 27001:2013 “Kontext der Organisation”

Zunächst wird gefordert, dass die Organisation als Teil des Kontextes sich ihrer Rolle als verantwortliche Stelle, als gemeinsame verantwortliche Stelle oder als Auftragsverarbeiter bewusst wird. Eine Organisation kann mehrere dieser Rollen gleichzeitig einnehmen.

Weitere interne und externe Themen, die datenschutzrelevant sind, sind z.B. geltende Datenschutzgesetze, geltende Vorschriften, geltende Gerichtsentscheidungen, eigene Richtlinien und Verfahren oder vertragliche Anforderungen.

Anforderungen zu Kapitel 4 “Erfordernisse und Erwartungen interessierter Parteien”

Zusätzlich zu den im Bereich Informationssicherheit identifizierten interessierten Parteien (Stakeholder) müssen die Parteien identifiziert werden, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten haben. Das betrifft insbesondere die betroffenen Personen im datenschutzrechtlichen Sinne (vgl. Art. 4 Abs. 1 DSGVO).
Zu den Anforderungen dieser interssierten Parteine können bestimmte technische und organisatorische Maßnahmen (TOMs) gehören oder auch die Forderung des nachweisbaren Betriebs eines DSMS.

Anforderungen zu Kapitel 4 “Festlegung des Anwendungsbereichs”

Bei der Festlegung des Anwendungsbereichs des DSMS muss die gesamte Verarbeitung personenbezogener Daten einbezogen sein. Das bedeutet, außerhalb des DSMS dürfen keine personenbezogenen Daten verarbeitet werden. Der Anwendungsbereich kann daher den des zugrundeliegenden ISMS übersteigen oder sich teilweise oder vollständig mit diesem Decken. Im Extremfall kann es auch zu vollständig überschneidungsfreien Anwendungsbereichen kommen, wenn das ISMS einen sehr speziellen und engen Scope hat. Aus praktischen Gründen sollten im Endausbau des ISMS und des DSMS beide Anwendungsbereiche deckungsgleich sein und die gesamte Organisation umfassen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Nachdem in den ersten Blogartikeln mit vorrangig technischen Aspekten begonnen wurden, soll hier an die eher organisatorischen Fragestellungen aus dem letzten Artikel angeknüpft werden. Aus einer rein technischen Sicht heraus ist das Arbeiten im Home Office mit einer passenden Ausstattung und bei geschäftlichen Abläufen, die eine Präsenz im Unternehmen nicht erfordern, vergleichsweise einfach umzusetzen. Mit Hilfe der im vorherigen Artikel beschriebenen Vorgaben gibt das Unternehmen den Rahmen vor, wie im außerhalb des Büros gearbeitet werden soll.

Dieser Rahmen erlaubt es, einen erheblichen Teil der internen Kommunikation auch im Home Office nachzubilden. Allerdings setzt es voraus, dass die technischen Möglichkeiten auch regelmäßig und intensiv genutzt werden, um die Mitarbeiter im Home Office in den internen Informationsfluss des Unternehmens auf eine Art und Weise einzubinden, die mit der bei vollständiger Büropräsenz vergleichbar ist. Oder anders gesagt: Man bekommt oft im Home Office vieles nicht mit, was im Unternehmen geschieht. Insbesondere der informelle Informationsfluss leidet oft, man vermisst den Smalltalk mit dem Gegenüber im Büro, bei der Raucherpause oder dem Weg in die Kantine.

Einen Teil zu diesem verringerten Informationsfluss kann auch die schlechtere Erreichbarkeit außerhalb des Büros beitragen. Nicht immer ist ein ablenkungsfreies und ungestörtes Arbeiten möglich, und gelegentlich werden die Freiheiten bei der Gestaltung der Arbeitszeiten auch genutzt – schließlich ist es ja entscheidend, dass die Ergebnisse stimmen, ODER? Insbesondere wenn es darum geht, schnell gemeinsame Entscheidungen außerhalb der gewohnten Abläufe zu treffen, kann sich eine eingeschränkte Erreichbarkeit durchaus negativ auswirken.

Führungsstil und Vertrauen

Somit wird klar, dass sich auch die Tätigkeiten und Herausforderungen im Bereich Mitarbeiterführung erweitern. Ein eng angelegter Führungsstil, der in hohem Maße auf direkter Kontrolle und unmittelbarer Ansprache beruht, funktioniert im Home Office vermutlich eher schlecht. Vielmehr dürfte ein ergebnisorientiertes, vertrauensvolles Anleiten durch den Vorgesetzten eher zu guten Ergebnissen führen. Dazu gehört natürlich auch, dass es Vorgaben und Richtlinien für das Arbeiten im Home Office geben muss, die den geänderten äußeren Bedingungen Rechnung tragen. Home Office bietet dem Arbeitnehmer zwar Gestaltungsmöglichkeiten und Vorteile, darf aber nicht mit absoluter Freiheit und „Wild West“ verwechselt werden. Und dazu kann es auch gehören, dass Arbeitsweisen oder Abläufe anders geregelt, manchmal sogar neu erschaffen oder zumindest entsprechend abgesprochen werden.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Beim Einkaufen mit einer Payback-Karte, Bestellen von Waren im Internet oder bei einer einfachen telefonischen Anfrage bei einem Dienstleister – personenbezogene Daten werden beinahe ständig übermittelt. Damit die Betroffenen die Möglichkeit haben, Auskunft über ihre Daten zu haben, oder diese sogar wieder löschen zu lassen, ist in der DS-GVO ein eigenes Kapitel für die Rechte der betroffenen Personen vorhanden.

In unserer Folge „Betroffenenrechte – Rechte, Pflichten, Stolperfallen“ gehen wir auf folgende Aspekte ein:

  • Kapitel 3 DS-GVO „Rechte der betroffenen Person“
  • Fallstrick 1: Authentifizierung des Anfragenden
  • Fallstrick 2: entgegenstehende gesetzliche Fristen
  • Prozesse, Zeitrahmen und Dokumentation von Auskünften und Löschungen

Hier ein Paar Links zum Thema Betroffenenrechte:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In der heutigen digitalen Welt, in der Technologie allgegenwärtig ist, können Unternehmen auf zahlreiche Tools und Plattformen zurückgreifen, um ihre Arbeit effektiver und effizienter zu gestalten. Eines dieser Tools ist ChatGPT, ein großes Sprachmodell, das von OpenAI entwickelt wurde und in den letzten Monaten viel Aufmerksamkeit bekommen hat. Das ist ein leistungsfähiges Instrument, das sich auch in der Arbeitswelt rasant verbreitet hat. Es ist jedoch wichtig, dass Mitarbeiter sich bewusst sind, dass sie keine Firmeninternas oder -geheimnisse bei ChatGPT posten dürfen.

Warum?

Der Grund dafür ist einfach: ChatGPT ist ein Tool von Drittanbietern, das nicht direkt lokal kontrolliert wird. Obwohl ChatGPT eine künstliche Intelligenz ist, die lernen kann, indem sie mit Benutzern interagiert, hat sie kein Konzept von Geheimhaltung oder Vertraulichkeit. Wenn Sie also vertrauliche Informationen oder Firmengeheimnisse bei ChatGPT posten, besteht die Möglichkeit, dass diese Informationen von unbefugten Personen abgerufen werden können.
Die Sicherheit und Vertraulichkeit von Informationen ist von entscheidender Bedeutung für Unternehmen. Eine Veröffentlichung von Informationen, die geschützt sein sollten, kann schwerwiegende Folgen haben, einschließlich der Verletzung von Verträgen, die rechtliche Schritte oder sogar den Verlust des Vertrauens der Kunden nach sich ziehen kann. Aus diesem Grund ist es ratsam, keine vertraulichen Informationen oder Firmengeheimnisse bei ChatGPT zu posten. Je größer der gepostete Inhalt ist, desto wahrscheinlicher ist es, dass er interne Daten beinhaltet. Eine vorherige, grundlegende Säuberung ist deshalb essenziell.

Was sollten Firmen bei der Nutzung von ChatGPT beachten?

Generell sollten Unternehmen eine Strategie entwickeln, ob und wie sie mit diesen neuen Werkzeugen umgehen. Oft ist dem einzelnen Mitarbeiter gar nicht bewusst, dass es sich um externe Tools handelt und es zu unterschiedlichen Verstößen, inkl. solcher gegen die DS-GVO führen kann. Mitarbeiter sollten primär interne Tools oder Plattformen nutzen, die von ihrem Unternehmen kontrolliert werden, um ihre vertraulichen Informationen sicher zu teilen. Diese internen Plattformen können speziell auf die Bedürfnisse und Anforderungen des Unternehmens zugeschnitten werden und sind somit sicherer als Tools von Drittanbietern wie ChatGPT.

Zur Information: Italien sperrt ChatGPT

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch beim Datenschutz am Arbeitsplatz gilt: personenbezogene Daten der Mitarbeiter dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine rechtliche Grundlage vorliegt bzw. wenn der Betroffene dem Vorgang eindeutig zugestimmt hat. Aber was bedeutet das jetzt für den Arbeitgeber? Und hat der Mitarbeiter auch Pflichten, die zu beachten sind?

In unserer Folge „Mitarbeiterdatenschutz“ gehen wir auf folgende Aspekte ein:

  • Welche personenbezogenen Daten dürfen / müssen Arbeitgeber erheben?
  • Welche Daten bedürfen der Zustimmung und wie sollte diese Zustimmung eingeholt werden?
  • Was muss bei der Verarbeitung / Nutzung dieser Daten beachtet werden?
  • Themenschwerpunkte: Mitarbeiterfotos, Bewerber, Löschkonzept

Hier ein Paar Links zum Thema Mitarbeiterdatenschutz:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

Im letzten Teil dieser Artikel-Serie haben wir uns mit den Pflichten des Verantwortlichen beschäftigt. In diesem Artikel soll es um die Pflichten als Auftragsverarbeiter gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen, gelten also für jede Organisation, die personenbezogene Daten verarbeitet. In diesem Artikel wollen wir uns nun dem Anhang B widmen, der Controls für Auftragsverarbeiter spezifiziert.

Pflichten als Auftragsverarbeiter

Auftragsverarbeiter haben datenschutzrechtliche Pflichten zu beachten. Diese ergeben sich u.a. aus dem Vertrag zur Auftragsverarbeitung, sind also mit dem Auftraggeber vereinbart. Der Anhang B der ISO 27701:2021 deckt diesen Bereich ab. Er gliedert sich in vier Abschnitte: B8.2 bis B8.5. Behandelt werden die Bedingungen für die Erhebung und Verarbeitung, Verpflichtungen gegenüber betroffenen Personen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie die Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Die Struktur ist also analog zu der im Anhang A.

Viele Unternehmen sind Auftragsverarbeiter im datenschutzrechtlichen Sinne, auch wenn sie sich nicht klassisch als solche fühlen. Häufig kommt man als Dienstleister mit personenbezogenen Daten seiner Kunden “in Berührung”, was datenschutzrechtlich häufig als Auftragsverarbeitung zu werten wäre. Zu prüfen wäre auf alle Fälle auch, ob es sich statt um eine klassische Auftragsverarbeitung um eine gemeinsame Verantwortung im Sinne des Art. 26 der DSGVO handelt (siehe auch A.7.2.7 der ISO 27701:2021). Aber das soll heute nicht das Thema sein. Wir gehen im Folgenden vom Fall der klassischen Auftragsverarbeitung aus.

Bedingungen für die Erhebung und Verarbeitung

B.8.2 beschreibt 6 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier geht es um das Vertragsverhältnis zum Auftraggeber. Es muss u.a. sichergestellt werden, dass die personenbezogenen Daten nur zu den vereinbarten Zwecken verwendet werden. Besondere Aufmerksamkeit wird der Verwendung zu Marketingzwecken geschenkt. Auch die Frage der zur Verfügungstellung von Informationen für den Auftraggeber wird adressiert.

Verpflichtungen gegenüber betroffenen Personen

B.8.3 widmet sich gesondert der Pflicht, dem Auftraggeber zur Erfüllung seiner datenschutzrechtlichen Verpflichtungen die notwendigen Mittel bereitzustellen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

B.8.4 beschreibt 3 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, beschäftigt sich also mit den Themen Privacy by Default und Privacy by Design. Adressiert werden unter diesem Gesichtspunkt die Themenbereiche temporäre Dateien, die Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten sowie Maßnahmen zur Übertragung personenbezogener Daten.

Pflichten des Auftragsverarbeiters zu Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

B.8.5 beschreibt 8 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dieser Bereich ist für Auftraggeber besonders wichtig, da es sich bei den personenbezogenen Daten eben nicht um Daten handelt, für die er selbst Verantwortlicher ist, sondern der Auftraggeber. Daher müssen die Bedingungen, unter denen z.B. Behörden diese Daten offengelegt werden (müssen), gut geregelt sein.

Weiterhin wird der Bereich der Übermittlung in Drittstaaten adressiert.

Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“

In unserem Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ betrachten wir den Aufbau der ISO 27701. Wir zeigen, wie der Datenschutz in ein bestehendes ISMS nach ISO 27001 integriert werden kann bzw. wie der Datenschutz beim Aufbau eines ISMS als integraler Bestandteil gleich berücksichtigt wird.