BSI: Leitfaden zu Informationssicherheits-Webchecks veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Praxis-Leitfaden zum Thema „Informationssicherheits-Webchecks“ veröffentlicht. Der Leitfaden richtet sich vornehmlich an IT-Sicherheitsbeauftragte und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen und beschreibt eine strukturierte, praxisorientierte Vorgehensweise bei IT-Penetrationstests auf Webanwendungen. Der Leitfaden unterstützt Penetrationstester dabei, Webchecks möglichst effizient und effektiv durchzuführen. Darüber hinaus können IT-Verantwortliche in Unternehmen und Behörden den Leitfaden als Hilfestellung nutzen, um konkrete Anforderungen an einen externen Dienstleister zu formulieren und so einen für ihre Zwecke geeigneten Penetrationstester zu finden.

Angriffe auf IT-Systeme finden täglich statt und treffen auch vermeintlich weniger attraktive Ziele. Webchecks sind ein geeignetes Mittel, um die aktuelle Sicherheit einer Webanwendung festzustellen. Informationssicherheits-Webchecks dienen dazu, die Erfolgsaussichten eines vorsätzlichen Cyber-Angriffs auf die eigenen Systeme einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten.

Der Praxis-Leitfaden für Informationssicherheits-

BSI: Handbuch zum Wirtschaftsgrundschutz veröffentlicht

Der ASW Bundesverband, das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben erste Teile des Wirtschaftsgrundschutz-Handbuches veröffentlicht.

Der Wirtschaftsgrundschutz bietet Sicherheitsverantwortlichen in Firmen Handlungsempfehlungen und Orientierung für eine effektive Unternehmenssicherheit. Mit seiner modularen Struktur greift das neue Handbuch das Format des bewährten IT-Grundschutz auf und ergänzt die dortigen Maßnahmen der Informationssicherheit um Aspekte des Wirtschaftsschutzes. Die Kombination von IT-Grundschutz und Wirtschaftsgrundschutz bietet dabei umfangreiche Hilfestellung bei der Entwicklung eines funktionierenden Sicherheitskonzeptes.

In einem ersten Schritt werden Sicherheitsstandards für den Aufbau und Betrieb eines Sicherheitsmanagementsystems sowie eines Notfall- und Krisenmanagements vorgestellt. Darüber hinaus werden Bausteine mit konkreten Maßnahmen zu den Bereichen Reisesicherheit und Sicherheitsschulungen präsentiert. Dabei werden Empfehlungen für Basismaßnahmen, Standardmaßnahmen und erweiterte Maßnahmen gegeben, je nach Relevanz für das Unternehmen.

„Wir schaffen damit ein Werk, an dem sich Unternehmen – insbesondere Mittelständler – orientieren können, welche Maßnahmen sie ergreifen sollten, um sich angemessen zu schützen“, so der Vorsitzende des ASW Bundesverbandes Volker Wagner.

In den nächsten Monaten werden weitere Bausteine veröffentlicht,- beispielsweise zur Lauschabwehr, zum Management von Wirtschaftskriminalität, zu Produkt- und Knowhow-Schutz sowie zur Steuerung von Sicherheitsdienstleistungen.

BfV-Präsident Dr. Hans Georg Maaßen erklärt hierzu:

„Eine digitalisierte Welt birgt zahlreiche Risiken durch Spionage, Sabotage, Terrorismus und Extremismus. Zu den Aufgaben des BfV gehört es, auf die Risiken hinzuweisen und Schutzmöglichkeiten aufzuzeigen. Erstmalig haben wir praxisgerechte Handlungsempfehlungen gebündelt. Wir laden die Unternehmen dazu ein, dieses Instrument zu nutzen und ihre Sicherheitsmaßnahmen zu überprüfen und zu optimieren.“

„Wir haben unsere Erfahrungen mit der Informationssicherheit und insbesondere mit dem IT-Grundschutz des BSI in den Maßnahmenkatalog eingebracht. Die bewährte Vorgehensweise des IT-Grundschutz mit ihrem breiten fachlichen Fundament konnte so um Aspekte des Wirtschaftsschutzes ergänzt werden“, erklärt BSI-Präsident Arne Schönbohm.

Das Handbuch ist auch eine Antwort auf die komplexe Bedrohungslage und Ergebnis von Analysen, die zeigen, dass durch Basismaßnahmen bereits ein Großteil der Angriffe abgewehrt werden kann. Herausgegeben wird der Wirtschaftsgrundschutz vom ASW Bundesverband, BfV und BSI. Es ist das Ergebnis eines Forschungsprojekts, an dem der ASW Bundesverband und die HiSolutions AG über zwei Jahre gearbeitet haben. Mitgewirkt haben Experten aus zahlreichen Unternehmen und Forschungseinrichtungen sowie Vertreter der Sicherheitsbehörden. Gefördert wurde das Projekt durch das Land Berlin und aus Mitteln des Europäischen Fonds für Regionale Entwicklung (EFRE).

Das Handbuch zum Wirtschaftsgrundschutz wird auf www.wirtschaftsschutz.info, der Webseite der „Initiative Wirtschaftsschutz“, dem Verbund von Staat und Wirtschaft für mehr Sicherheit in den Unternehmen, veröffentlicht.

BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland 2016

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Bericht zur Lage der IT-Sicherheit in Deutschland 2016 veröffentlicht. Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Arne Schönbohm stellten den Bericht in Berlin der Öffentlichkeit vor. Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden. Daraus abgeleitet zeigt der Lagebericht Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland auf.

Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. So werden täglich rund 380.000 neue Schadprogrammvarianten entdeckt, die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang ist explosionsartig um 1.270 Prozent angestiegen. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger. Die Ransomware-Angriffe im Frühjahr 2016 haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.

Mobile Einsatzteams zur Abwehr von Cyber-Angriffen

Aus diesem Grund wird das BSI seine Unterstützungsangebote für Staat, Wirtschaft und Gesellschaft weiter ausbauen. Zur Verbesserung der Reaktionsfähigkeit des BSI bei besonderen IT-Sicherheitslagen werden beispielsweise Mobile Incident Response Teams (MIRT) eingerichtet, die betroffene Stellen vor Ort bei der Abwehr von Cyber-Angriffen unterstützen können. Zudem bringt sich das BSI verstärkt in den großen Digitalisierungsprojekten in Deutschland ein. Das BSI leistet seinen Beitrag zum Gelingen der Energiewende durch die Erarbeitung von Sicherheitskriterien für die Infrastruktur der intelligenten Stromzähler. Das BSI unterstützt bei der Erarbeitung der Sicherheitsaspekte einer Verkehrsinfrastruktur, die Grundlage für autonome oder hochautomatisierte Fahrzeuge ist. Darüber hinaus hat das BSI die wesentlichen Sicherheitsanker der elektronischen Gesundheitskarte und der dazu notwendigen Systeme mitgestaltet und zertiziert.

Cyber-Sicherheit ist Voraussetzung für erfolgreiche Digitalisierung

Hierzu erklärt Arne Schönbohm, Präsident des BSI: „“Die durch die Digitalisierung angestoßenen Entwicklungen sind durchgreifend und werden Deutschland verändern. Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Wir arbeiten mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen.““

So hat sich die 2012 vom BSI gegründete Allianz für Cyber-Sicherheit mit mehr als 2.000 Teilnehmern und über 100 Partnern zur größten nationalen Kooperationsplattform entwickelt, die IT-Anwendern in der Wirtschaft umfangreiche Informationen und Empfehlungen zur Prävention, Detektion und Reaktion auf Cyber-Angriffe zur Verfügung stellt und so in einem kooperativen Ansatz zur Verbesserung der Cyber-Sicherheit in Deutschland beiträgt.
Mehr Informationen sind im „Bericht zur Lage der IT-Sicherheit in Deutschland 2016“ verfügbar, der auf der Webseite des BSI zum Download zur Verfügung steht.

BayLDA prüft grenzüberschreitende Datenübermittlungen

In  einer  koordinierten  schriftlichen  Prüfungsaktion  nehmen  zehn deutsche  Datenschutzaufsichtsbehörden Übermittlungen  personenbezogener  Daten  in  das  Nicht-EU-Ausland genauer unter  die  Lupe.  Die  Prüfung soll dabei auch der  Sensibilisierung von Unternehmen  für gerade  die Verarbeitungsprozesse dienen, bei  denen personenbezogene Daten in Nicht-EU-Länder  übermittelt  werden – wie  es  bspw.  bei Cloud Computing häufig der Fall ist.

In  den  letzten  Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter  massiv zugenommen.  Zu  den  Ursachen  dieser Entwicklung  zählen  die wirtschaftliche Globalisierung  wie  auch die  stetige  Ausbreitung von  Dienstleistungen  und  Produkten  des sog.  Cloud  Computing. Selbst viele  kleinere  und  mittlere Unternehmen in  Deutschland verarbeiten  inzwischen zahlreiche personenbezogene  Daten (z.B. von  Kunden,  Mitarbeitern  oder  Bewerbern) häufig auf  Servern  externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall.  Ein  klassisches  Beispiel  hierfür  sind Office-Anwendungen „aus dem Internet“,  die  standortunabhängig  und flexibel genutzt werden können. Viele dieser Dienste stammen jedoch von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus. Die bisherige  Erfahrung der  Datenschutzaufsichtsbehörden zeigt,  dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind,  dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein  Unternehmen  personenbezogene  Daten in  Länder außerhalb  der  Europäischen  Union übermitteln, so muss es zuerst prüfen, ob überhaupt sicher gestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im  Unternehmen frühzeitig eine  Sensibilisierung  dafür  zu  erzeugen, ob  und ggf. im  Rahmen  welcher  Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt. Finden solche Übermittlungen statt, so muss sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

Vor  diesem  Hintergrund  werden zehn  deutsche  Datenschutzaufsichtsbehörden  (Bayern,  Berlin,  Bremen,  Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine  koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach  dem  Einsatz von  Produkten  und  Leistungen  externer  Anbieter  gefragt, die – nach bisherigen Erfahrungen  der  Aufsichtsbehörden – mit einer  Übermittlung personenbezogener Daten  in  Nicht-EU-Staaten verbunden sind. Gefragt  wird  zum  Beispiel  nach der Inanspruchnahme  externer  Leistungen  und  Produkte  in Bereichen wie Fernwartung,  Support,  Ticketing – Bearbeitung,  aber  auch  Customer  Relationship  Management oder  Bewerbermanagement.  Die  Unternehmen  werden dann aufgefordert,  die  entsprechenden von  ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern  personenbezogene  Daten  in  Nicht-EU-Staaten  übermittelt werden, sind die kontrollierten Unternehmen darüber  hinaus aufgefordert  anzugeben,  auf  welcher datenschutzrechtlichen  Grundlage  die  Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln  als  Grundlage  verwendet  werden,  ob die  Übermittlungen  auf  Einwilligungen  der  Betroffenen gestützt werden o.a.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing.  Unternehmen  müssen  sich  aber dessen bewusst  sein,  dass  hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen,  wollen  wir auch die  Sensibilität  der  Unternehmen  in  diesem  Bereich  erhöhen.“ betont  Thomas  Kranig, der  Präsident  des  Bayerischen  Landesamtes  für  Datenschutzaufsicht. „Ausgehend  von  der  Beantwortung  des Fragebogens  kann  und  wird  das  Bayerische  Landesamt  für  Datenschutzaufsicht dort,  wo  sich  dies  als  notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Thomas Kranig
Präsident

Link PR-Mitteilung

Irische Datenschützer klagen gegen Privacy Shield

Von Anfang an stand Privacy Shield, das Datenschutzabkommen zwischen der EU und den USA, in der Kritik. Nun hat Digital Rights Ireland beim Gericht der Europäischen Union eine Klage eingereicht.

Nachdem der Europäische Gerichtshof vor einem Jahr das Safe Harbor-Abkommen gekippt hatte, das den Schutz personenbezogener Daten bei der Übermittlung von der EU in die USA regelte, wurde mit Privacy Shield schnell ein Nachfolger aufgesetzt. Zu schnell, hatten Kritiker bemängelt – im Prinzip sei es nur ein neuer Name, am unzureichenden Datenschutz habe sich nichts geändert. Diese Auffassung vertritt auch Digital Rights Ireland, das Reuters zufolge eine Nichtigkeitsklage beim Gericht der Europäischen Union (EuG) eingereicht hat, um das Abkommen zu kippen. Die irischen Datenschützer zweifeln an, dass mit Privacy Shield tatsächlich adäquate Mechanismen implementiert wurden, die eine Speicherung und Verarbeitung der Daten von EU-Bürgern in den USA nach europäischen Normen sicherstellen.

Reuters zufolge kann es ein Jahr oder länger dauern, bis das Gericht über die Klage entschieden hat. Zudem sei noch gar nicht sicher, ob sie überhaupt zulässig ist. Insidern zufolge muss zunächst geklärt werden, ob Digital Rights Ireland überhaupt von Privacy Shield betroffen ist und gegen das Abkommen vorgehen kann. Allerdings mussten die Datenschützer rasch handeln, da mit der Veröffentlichung im Amtsblatte am 1. August dieses Jahres die zweimonatige Frist für solche Nichtigkeitsklagen zu laufen begann.

Mehr als 500 Unternehmen haben sich bereits für Privacy Shield registriert, darunter praktisch alle wichtigen Cloud-Anbieter und Internet-Konzerne wie Amazon, Facebook, Google, Microsoft und Salesforce.

Dell: Firmen schlecht vorbereitet auf EU-Datenschutzgrundverordnung

Die meisten Unternehmen sind nicht mit den Details der EU-Datenschutzgrundverordnung vertraut und haben auch keinen Plan, wie sie neuen Anforderungen gerecht werden sollen. Zudem unterschätzen sie die möglichen Strafen.

Die im Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung dürfte eines der dominierenden Themen des kommenden Jahres werden. Einerseits weil die Anforderungen an Datensicherheit und Datenschutz für Unternehmen noch einmal stark erhöht werden, andererseits weil viele Unternehmen noch gar nicht wissen, was überhaupt auf sie zukommt. So gaben etwa in einer Umfrage von Dimensional Research im Auftrag von Dell mehr als 80 Prozent von über 800 Managern an, nur wenige oder keine Details der Verordnung zu kennen. Nur 30 Prozent waren der Meinung, ihr Unternehmen sei gut auf die neuen Anforderungen vorbereitet. Immerhin: In Deutschland liegt dieser Anteil bei 44 Prozent.

Allerdings haben die meisten Firmen, die sich bislang nicht gut für die Datenschutzgrundverordnung aufgestellt sehen, meist keinen Plan, wie sie das ändern (97 Prozent). Dabei spielt womöglich auch eine Rolle, dass die Konsequenzen, die Verstöße mit sich bringen, unterschätzt werden. So sind 21 Prozent der Befragten sicher, sie hätten mit einer Strafe zu rechnen, wenn die Verordnung bereits gelten würde. Allerdings geht gut ein Drittel von diesen davon aus, einfache Nachbesserungen im Unternehmen würden reichen. Knapp 50 Prozent glauben, mit einer moderaten Geldstrafe und überschaubaren Anpassungen davonzukommen.

»Die Umfrage zeigt deutlich den globalen Mangel an Verständnis für die GDPR und was getan werden muss, um die strengen Strafen zu vermeiden«, sagt John Milburn, Vice President und General Manager für die Dell One Identity Solution. Viele Unternehmen glaubten zwar, den Anforderungen gerecht zu werden, »doch es wird ein böses Erwachen geben, wenn sie einen Verstoß begehen, überprüft werden und die Folgen tragen müssen«. Denn in der EU-Datenschutzgrundverordnung sind Strafen von bis zu 4 Prozent des Jahresumsatzes vorgesehen.

EU-Kommission veröffentlicht Leitfaden zum Privacy Shield

Die  Europäische  Kommission  hat  einen  Leitfaden  zum  Privacy-Shield veröffentlicht. Diesen können Interessierte auch in der deutschen Übersetzung abrufen.

Der Leitfaden gibt nicht nur Antworten auf die Frage „Was ist der EU-US-Datenschutzschild und warum brauchen wir ihn?“, sondern gibt auch eine Erklärung zu der Frage, wie genau denn der Schutzschild überhaupt funktioniert.

Für  Betroffene  besonders  interessant  dürften  die  Ausführungen  sein,  welche  Verpflichtungen,  die  dem  Datenschutzschild  angeschlossenen  Unternehmen  haben  und  welche  Rechte  im  Zusammenhang  mit  der  Verwendung  personenbezogenen  Daten  der  Betroffenen bestehen.

Quelle: Europäische Kommission

BayLDA: Auftragsverarbeitung nach der DS-GVO

Auch in der DS-GVO findet sich eine Regelung zur Auftragsdatenverarbeitung – jetzt Auftragsverarbeitung genannt – wieder. Allerdings legt die DS-GVO den Auftragsverarbeitern künftig mehr Verantwortung und Pflichten auf als bislang. Welche Rahmenbedingungen besonders im Fokus stehen hat das BayLDA in einem kurzem Papier zusammengefasst, das nachfolgend heruntergeladen werden kann.

https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

BayLDA: Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen – Bußgeld

Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einem solchen Fall eine Geldbuße gegen ein Unternehmen ausgesprochen.

Unternehmen und andere Stellen müssen einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung  personenbezogener Daten befasst sind. Zahlreiche Unternehmen erfüllen diese  Voraussetzungen. Das Gesetz stellt es Unternehmen und anderen Stellen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten  bestellt, so darf er jedoch daneben  nicht  noch  für solche Aufgaben  zuständig sein,  die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können.

Eine solche Interessenkollision lag nach Auffassung des BayLDA im Falle eines Datenschutzbeauftragten eines bayerischen Unternehmens vor, der die Position des „IT-Managers“ des Unternehmens bekleidete. Eine  derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten. Dies liefe letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Diese Aufgabe kann der Datenschutzbeauftragte nicht erfüllen, wenn er gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.

Das BayLDA hatte das Unternehmen auf diesen Umstand hingewiesen und zur Bestellung eines Datenschutzbeauftragten aufgefordert, der keiner derartigen Interessenkollision unterliegt. Das Unternehmen kündigte zwar wiederholt an, im Zuge von Umstrukturierungen auch die Funktion des Datenschutzbeauftragten neu zu bekleiden. Es versäumte es jedoch über Monate, dem BayLDA den Nachweis für die Bestellung eines geeigneten Datenschutzbeauftragten vorzulegen. Vor  diesem  Hintergrund hat  das  BayLDA  gegen  das  Unternehmen  eine Geldbuße festgesetzt, die inzwischen bestandskräftig ist.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und  ein  sehr  wichtiges  Element der  Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer  unabhängigen,  effektiven  internen  Aufsicht  über  den  Datenschutz  stehen. Unternehmen,  die  gesetzlich  zur Bestellung  eines  Datenschutzbeauftragten  verpflichtet  sind, können daher  nur  eine  solche Person  zum  Datenschutzbeauftragten  bestellen,  die  in der  Lage  ist,  diese  Aufgabe  frei  von  sachfremden  Zwängen  auszuüben.  Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Quelle: https://www.lda.bayern.de/media/pm2016_08.pdf

BvD stellt aktualisiertes Berufsbild für Datenschutzbeauftragte vor

Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die dadurch erforderliche Anpassung des nationalen Datenschutzrechts stellen Unternehmen und Behörden vor große Herausforderungen. Um die Sicherheit von Kunden-, Mitarbeiter- und Geschäftsdaten zu gewährleisten, müssen bestehende Managementsysteme an die neuen Anforderungen angepasst und regelmäßig überprüft werden. Hilfe durch den Dschungel der neuen Regelungen bietet der betriebliche Datenschutzbeauftragte. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. stellt jetzt hierzu ein aktualisiertes Berufsbild vor.

Darin beschreibt der BvD die Anforderungen und Aufgaben für Datenschutzbeauftragte durch die neue DS-GVO, die ab 25. Mai 2018 von Firmen und Behörden angewendet werden muss. Die Selbstverpflichtung der Datenschutzbeauftragten auf das aktualisierte Leitbild sichert Unternehmen und Behörden ein Datenschutz-Knowhow auf höchstem Niveau und sorgt für Reputation, Glaubwürdigkeit und Kundenbindung.

Im Kern obliegt dem Datenschutzbeauftragten die Aufgabe, ein funktionierendes Datenschutzmanagement zu entwickeln und Unternehmen zu unterstützen, bestehende Systeme an die neuen Anforderungen anzupassen. Er berät die Unternehmensleitung und unterstützt bei der rechtlich einwandfreien Datenverarbeitung sowie der Dokumentation von Datenschutzmaßnahmen und Datenverarbeitungsprozessen. Zudem schult er Mitarbeiter und Betriebsräte, um sie für den sicheren Umgang mit Daten zu sensibilisieren.

Interessierte können das neue Berufsbild auf den Internetseiten des BvD unter https://www.bvdnet.de/berufsbild.html downloaden.