Viele Unternehmen beauftragen für bestimmte Prozesse und Teilaufgaben, die nicht zu ihrem Kerngeschäft gehören, Subunternehmen oder Dienstleister. Zu diesen Tätigkeiten gehören z.B. die Buchhaltung, Callcenter, Personaldienstleistungen, Druckdienstleistungen oder IT-Dienstleistungen. Dabei wird oft vergessen, dass personenbezogene Daten (Personal- und Kundendaten) die verantwortliche Stelle (das Unternehmen) verlassen und an die beauftragte Firma weitergeleitet werden bzw. die Dienstleister in Kenntnis der Daten kommen. Ohne die Einwilligung der betroffenen Personen bzw. ohne entsprechende vertragliche Vereinbarungen sowie einer sorgfältigen Auswahl des Auftragnehmers, verstößt das beauftragende Unternehmen gegen das Bundesdatenschutzgesetz (BDSG). Es können empfindliche Bußgelder bis zu einer Höhe von 300.000€ drohen.
Daher ist es unbedingt erforderlich die zu beauftragenden Dienstleister sorgfältig, nach Datenschutzgesichtspunkten, auszuwählen und vertraglich zu binden. Das BDSG sieht hierfür die Auftragsdatenverarbeitung (ADV) §11 in Verbindung mit den technischen und organisatorischen Maßnahmen §9 vor.
Das heißt, dass bereits vor und regelmäßig während (alle 2-3 Jahre) der Beauftragung vom Auftraggeber geprüft werden muss, ob der Dienstleister den datenschutzrechtlichen Anforderungen genügt. Dies kann durch eine vom Auftraggeber durchgeführte Prüfung vor Ort oder durch aktuelle Zertifizierungen des Auftragnehmers von unabhängigen Prüfgesellschaften erfolgen. Eine durchgeführte Prüfung sollte unbedingt protokolliert und dokumentiert werden.
Bei der ADV im Sinne des BDSG bleibt der Auftraggeber weiterhin voll für die personenbezogenen Daten verantwortlich und haftet bei Missbrauch. Der Auftragnehmer darf hingegen nur die zuvor vertraglich beschriebenen und vereinbarten Daten verarbeiten. Jegliche abweichende Verarbeitungen sind verboten.
Die ab dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (EU-DSGVO) enthält in den Art. 28 ff ebenfalls die Auftragsdatenverarbeitung nach dem Vorbild des BDSG. Allerdings wird hier bei Datenverstößen ebenfalls der Auftragnehmer in die Pflicht genommen. Weicht er von den zuvor vereinbarten Weisungen ab, wird er selbst zum Verantwortlichen. Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Die Geldbußen haben sich gegenüber dem BDSG empfindlich verschärft. Nach Art. 83 EU-DSGVO drohen Geldbußen in Höhe von bis zu 10.000.000€ oder 2,00% des gesamten weltweit erzielten Jahresumsatzes.
Das Bundesdatenschutzgesetz (BDSG) schreibt in der Anlage zu §9 Satz1 unter Punkt 4 vor, dass bei der elektronischen Übertragung von Daten oder während ihres Transportes keine personenbezogene Daten unbefugt gelesen, kopiert, verändert oder entfernt werden dürfen. Die Versendung einer E-Mail oder der Datentransport muss daher immer verschlüsselt erfolgen, wenn es um den geschäftsmäßigen Transport von personenbezogenen Daten geht. Da der Transportweg via Internet nicht sicher ist und die unverschlüsselten Datenpakete von Dritten mitgelesen werden können, lässt sich die Übertragung per E-Mail mit dem Versand einer Postkarte vergleichen, deren Inhalte auch mitgelesen werden können. Es können auch betriebsinterne Informationen in unberechtigte Hände geraten, was einen immensen Schaden für das Unternehmen bedeuten kann.
Je nach Häufigkeit, Datenmenge oder Empfängerausstattung gibt es verschiedene Möglichkeiten und Techniken die Daten sicher über das Internet zu versenden.
VPN (virtuelles privates Netzwerk)
VPNs werden eingesetzt, um sich z.B. von unterwegs über das Internet mit dem Firmennetzwerk zu verbinden. Dabei wird eine verschlüsselte Verbindung wie ein Tunnel über das Internet zwischen Client und Firmennetzwerk hergestellt. Der Client kann dann ganz normal auf alle Dateien, Verzeichnisse und Programme wie am Arbeitsplatz zugreifen. S/MIME, PGP
Eine verschlüsselte E-Mail Übertragung mit S/MIME (Secure/Multipurpose Internet Mail Extensions) oder PGP funktioniert nur, wenn zuvor die E-Mail-Programme des Senders und des Empfängers konfiguriert und entsprechende Schlüssel (private key und public key) sowie digitale Zertifikate ausgetauscht wurden. Daher bietet sich diese Verschlüsselung an, wenn häufig Daten zwischen Sender und Empfänger übertragen werden. Verschlüsselter E-Mail-Anhang (ZIP, pdf)
Bei einmaligem oder seltenem Datenaustausch könnte sich die Verschlüsselung des E-Mail Anhangs lohnen. Die Open Source Software 7zip bietet z.B. eine AES 256 Bit Verschlüsselung an. Voraussetzung ist, dass beim Sender und Empfänger das Tool zuvor installiert und das Passwort auf einem anderen Weg (z.B. Telefon) ausgetauscht wurde. Damit der Empfänger weiß, dass die E-Mail auch vom richtigen Absender kommt, sollten Sie sich ein digitales Zertifikat besorgen, das ihre Identität bestätigt. SFTP
Wer größere Datenmengen austauschen muss, kann mittels SFTP-Server die Dateien verschlüsselt zum Up- oder Download bereitstellen. Die Daten werden dann über das Internet via FTP transportiert. Hierfür muss der Sender ein FTP Programm (z.B. filezilla) installiert und konfiguriert haben. https
Über https verschlüsselte Websites können sie ebenfalls Datentransporte zum up- oder download bereitstellen.
Seit kurzem veranstalte ich Datenschutztrainings an Berliner Grund- und Oberschulen für einen sicheren Umgang mit dem Smartphone. Dabei werden in zwei Schulstunden folgende Themen von mir angesprochen und mit den Schülern diskutiert:
• Smartphone Hard- und Software
• Finanzierungsarten von Software/ Apps
• Welche persönliche Daten gibt es?
• Datenschutz im In- und Ausland
• Sicherer Umgang mit Passwörtern
• Gefahren im Umgang mit Sozialen Medien und im Internet
• Datenschutzeinstellungen in Betriebssystemen und Apps
Falls auch Sie Interesse an Veranstaltungen für Schüler, Lehrer oder Eltern in Berliner Schulen haben sollten, dann fragen Sie mich gern über das Kontaktformular an.
Der Berliner Beauftragte für den Datenschutz und Informationsfreiheit und jugendnetz-berlin.de haben eine Broschüre zum Datenschutz in sozialen Netzwerken für Jugendliche herausgegeben:
Mit dem Start der Website im November 2016 möchte ich Sie über aktuelle Themen zum Datenschutz, IT- und Informationssicherheit sowie über Gesetzesänderungen informieren. Schauen Sie doch öfter mal rein.
