​Bibliothek

​Sonstige Erhebungen​
und Prüfungen

Einführung

Während das Kapitel „Technische und organisatorische Maßnahmen“ losgelöst von den einzelnen Verfahren, Geräten und Technologien die allgemeinen Maßnahmen zum Datenschutz zum Gegenstand hat, behandelt dieses Kapitel einzelne Verfahren, Geräte und Technologien und stellt für die Dokumentation dieser Einrichtungen besondere Formulare und Checklisten zur Verfügung. Damit können diese Einrichtungen über den allgemeinen Rahmen hinaus besonders erfasst, dokumentiert und beurteilt werden. Die Checklisten dieses Kapitels können nach Bedarf auch zur Ergänzung und Präzisierung der Checklisten zu den technischen und organisatorischen Maßnahmen herangezogen werden und bilden insoweit auch eine Ergänzung bzw. einen Teil des Verfahrensverzeichnisses.

Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer

Bei der Beauftragung von Dienstleistern muss vor Auftragserteilung überprüft werden, ob diese im Rahmen ihrer Tätigkeiten mit personenbezogenen Daten des Auftraggebers, seien es Kunden- oder Mitarbeiterdaten, in Berührung kommen.

Steht eine Beauftragung eines Dienstleisters im Rahmen einer Auftragsverarbeitung an, darf der Auftraggeber nur mit Auftragnehmern zusammenarbeiten, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten (Art. 28 Abs. 1 DSGVO).

Wie hoch das Niveau anzusiedeln ist, wird immer ein Stück weit vom konkreten Auftrag, insbesondere aber von der Sensibilität der zu verarbeitenden Daten und vom Risiko für die Rechte und Freiheiten der Betroffenen abhängen.

Die Checkliste „Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer“ sollte vor Beauftragung durch den Dienstleister ausgefüllt werden und soll helfen, ein Bild über die datenschutzrechtlichen und technisch-organisatorischen Prozesse zu erhalten.

Bei Unternehmen, die sich selbst freiwillig zertifizieren haben lassen und schriftliche Audit-Unterlagen bzw. Zertifikate nach ISO 27001, ISO 27002 oder ISO 18028 vorlegen, kann die Beantwortung des Abschnitts „2. Technische und organisatorische Maßnahmen“ insoweit entfallen. Das Zertifikat ist in dem Fall der Checkliste anzufügen.

Die Fragen zum Punkt „1. Allgemeine Maßnahmen“ helfen, eine Aussage darüber zu treffen, wie der Datenschutz im Unternehmen angesiedelt ist.

Über die Anzahl der Beschäftigten, die bei ihrer Tätigkeit mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst sind, erfolgt die Entscheidung, ob ein Datenschutzbeauftragter bestellt sein muss. Dies ist bei mindestens zwanzig Beschäftigten der Fall.

Ist ein interner Datenschutzbeauftragter (DSB) bestellt, bedarf es der Überprüfung, ob er noch weitere Positionen im Unternehmen bekleidet. Geschäftsführungsmitglieder, IT-Hauptverantwortliche oder Personalleiter sollten nicht als DSB bestellt werden, da sie in der Ausübung ihrer Positionen potenziell in einem Interessenkonflikt mit datenschutzrechtlichen Aspekten stehen.

Die Mitarbeiter selbst sollten regelmäßige Unterweisungen erhalten und müssen gem. Art. 28 Abs. 3 lit. b DSGVO auf die Wahrung der Vertraulichkeit verpflichtet sein. Die Durchführung dieser Schulungen einschließlich regelmäßiger Nachschulungen und die Vertraulichkeitsverpflichtung sind zu dokumentieren. In welchen zeitlichen Abständen und in welcher Art und Form Schulungen und Nachschulungen zu fordern sind, hängt von der Art und Sensibilität der verarbeiteten Daten ab. Nachweise über die Durchführung der Schulungen und über die Vertraulichkeitsverpflichtung sollten verlangt werden.

Fallen die Antworten zu diesen Fragen spärlich aus, ist nicht auszuschließen, dass eher ein laxer Umgang mit personenbezogenen Daten herrscht, da es den Mitarbeitern an der entsprechenden Sensibilisierung für den Datenschutz fehlt.

Unternehmen, die ein ausführliches Datenschutzkonzept bzw. Datenschutzhandbuch pflegen, werden sicherlich besser aufgestellt sein, was die Erfüllung datenschutzrechtlicher Anforderungen angeht. Diese Dokumentationen sollten angefordert und in zeitlichen Abständen von zwei Jahren gegengeprüft werden. Zu alte, nicht regelmäßig gepflegte Dokumentationen können ein Indiz dafür sein, dass sich das Unternehmen in der Vergangenheit der Themen Datenschutz und Datensicherheit besser angenommen hat, als dies aktuell der Fall ist.

Werden Unterauftragnehmer eingesetzt, so sind diese im Vertrag zur Auftragsverarbeitung anzugeben. Dem Unterauftragnehmer sind gem. Art. 28 Abs. 4 DSGVO die gleichen Datenschutzverpflichtungen aufzuerlegen, denen der Auftragnehmer selbst unterliegt.

                      

Telefonanlage​
und Mobiltelefone

Ein großer Teil der betrieblichen Kommunikation wird über die Telefonanlage und über Mobiltelefone abgewickelt. Moderne Telefonanlagen verfügen für die Verkehrsdaten über umfangreiche Speichermöglichkeiten. Anhand dieser Daten kann das Kommunikationsverhalten der Beschäftigten analysiert werden. Auf diese Weise besteht die Möglichkeit der Leistungs- und Verhaltenskontrolle im Sinne von § 87 Abs. 1 Nr. 6 BetrVG. Aus diesem Grund ist bei Einrichtung und Betrieb dieser Anlagen die Mitbestimmungspflicht des Betriebsrats zu beachten. Häufig ist auch die Nutzung der Telefonanlage für private Zwecke erlaubt. Für diese privaten Nutzungsvorgänge ist das Telekommunikationsgeheimnis zu beachten.

Teilweise wird die Telefonanlage von einem Provider betrieben. In diesen Fällen sind besondere vertragliche Anforderungen zu beachten. In Konzernen kann die Telefonanlage auch zentral für mehrere Gesellschaften eingerichtet sein, u. U. auch im Ausland oder sogar in einem Drittstaat. Auch daraus ergeben sich besondere rechtliche und technisch-organisatorische Anforderungen. Die Checkliste unterstützt den Datenschutzbeauftragten bei der Erhebung der für die datenschutzrechtliche Prüfung der Telefonanlage erforderlichen Informationen und ermöglicht eine schnelle Beurteilung der mit dem Betrieb zusammenhängenden Datenschutzfragen.

Einrichtung der Anlage

Zunächst wird erhoben, wer der rechtliche Betreiber der Telefonanlage ist, wo diese eingerichtet ist und von welcher Stelle die Telefonanlage administriert wird. Insbesondere ist zu hinterfragen, welche Stellen Zugriffsrechte auf die Telefonanlage und ggf. auf die Daten besitzen und ob die Zugriffsrechte auf den erforderlichen Umfang begrenzt sind. Ist die Telefonanlage für mehrere Unternehmen eingerichtet, sind die Mandantenfähigkeit der Anlage und die erforderliche Datentrennung zu prüfen. Von diesen Angaben hängt ab, welche Verträge existieren bzw. abgeschlossen werden müssen, z. B. ein Vertrag über eine Auftragsverarbeitung, ggf. müssen die besonderen Vorschriften der Art. 6, 44, 45-47 und 49 DSGVO beachtet werden.

Verkehrsdaten

Viele Telefonanlagen ermöglichen eine Kennzeichnung der Verkehrsdaten durch einen Vorwahlcode. Auf diese Weise besteht z. B. die Möglichkeit, bestimmte Telefongespräche, z. B. Privatgespräche, zu kennzeichnen. Insbesondere wenn die Nutzung für private Zwecke erlaubt ist, wird im Hinblick auf das Telekommunikationsgeheimnis bei den gespeicherten Telefonnummern eine Kürzung um die letzten drei Stellen verlangt. Auch für die Stellen im Unternehmen, die einer besonderen Vertraulichkeit unterliegen (z. B. Betriebsrat, Schwerbehindertenvertreter, Betriebsarzt, Suchtbeauftragter, Datenschutzbeauftragter), sind die Telefonnummern soweit zu anonymisieren, dass die Anrufer nicht identifiziert werden können. Dies ist einerseits zur Wahrung der Unabhängigkeit dieser Stellen, andererseits zum Schutz der Beschäftigten, die sich an diese Stellen wenden, erforderlich. Soweit die Verkehrsdaten nicht für Abrechnungszwecke erforderlich sind, sind sie gem. § 96 TKG nach Beendigung der Verbindung unverzüglich zu löschen bzw. dürfen nur im Rahmen von § 100 TKG gespeichert und verwendet werden. Für sonstige Auswertungen, z. B. Kostenanalysen etc. und Speicherung über einen längeren Zeitraum, sind die Verkehrsdaten zuverlässig zu anonymisieren. Insbesondere für Mobiltelefone wird häufig ein Einzelverbindungsnachweis erstellt. In diesen Fällen ist § 100 Abs. 1 Satz 4 TKG zu beachten, der darüber eine Information der Mitarbeiter und eine Beteiligung des Betriebsrats verlangt. Auch im Einzelverbindungsnachweis sollte die Telefonnummer um die letzten drei Stellen gekürzt werden.

Besonders kritisch ist eine eventuelle Aufzeichnung von Standortdaten. Regelmäßig ist die Aufzeichnung der Standortdaten nicht erforderlich. Es ist deshalb genau zu hinterfragen, ob und für welchen Zweck ggf. Standortdaten aufgezeichnet werden, ob hierfür ein berechtigtes Interesse vonseiten des Unternehmens besteht und die erforderlichen Maßnahmen zum Schutz des Persönlichkeitsrechts der Betroffenen eingerichtet sind.

Nutzung der Telefonanlage für private Zwecke

Durch die Erlaubnis oder stillschweigende Duldung der privaten Nutzung der betrieblichen Telefonanlage wird der Arbeitgeber zum Diensteanbieter im Sinne des Telekommunikationsgesetzes. Dies hat zur Folge, dass der Arbeitgeber wegen des Inhalts der Kommunikation und der Verkehrsdaten das Fernmeldegeheimnis zu beachten hat.

Eine klare Entscheidung über Verbot oder Zulässigkeit der privaten Nutzung ist dringend erforderlich, um eine rechtssichere Lösung für den Einsatz der Telefonanlage schaffen zu können.

In Abhängigkeit von dieser Entscheidung ergibt sich eine unterschiedliche rechtliche Ausgestaltung. Wird die private Nutzung verboten, muss die Einhaltung des Verbots auch angemessen überprüft werden. Werden über lange Zeit keine Kontrollen durchgeführt und auch das Verbot nicht erneuert, entsteht ein Zustand der stillschweigenden Duldung. Das kann rechtlich einer Erlaubnis gleichkommen.

Bei einem privaten Kommunikationsvorgang fallen die Inhalte der Kommunikation, beim Telefon das gesprochene Wort, unter den Schutz des Telekommunikationsgeheimnisses. Ist der Übertragungsvorgang abgeschlossen, endet der Schutz durch das Telekommunikationsgeheimnis und es greifen die Vorschriften der DSGVO. Die Verkehrsdaten, sprich die anfallenden Protokolldaten über den Kommunikationsvorgang und auch die Daten über erfolglose Kommunikationsversuche, fallen ebenfalls unter den Schutz des Telekommunikationsgeheimnisses.

Eine Verpflichtung der Administratoren auf das Telekommunikationsgeheimnis ist zwar nicht gesetzlich vorgeschrieben, aufgrund der hohen Vertraulichkeit der Daten empfiehlt sich aber eine Verpflichtung, um die besondere Sensibilität der Daten in das Bewusstsein zu rücken. Zusätzlich besitzt eine Verpflichtung eine besondere Warnfunktion, denn die Administratoren werden dabei auch auf die strafrechtlichen Konsequenzen einer Verletzung des Telekommunikationsgeheimnisses hingewiesen.

Der Betrieb der Telefonanlage unterliegt regelmäßig gem. § 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmungspflicht durch den Betriebsrat und zwar unabhängig davon, ob die Nutzung der Einrichtungen für private Zwecke erlaubt ist oder nicht. Soweit ein Betriebsrat eingerichtet ist, muss deshalb die Mitbestimmungspflicht beachtet werden. Ist kein Betriebsrat vorhanden, sollte eine Richtlinie über den Einsatz und die Nutzung der Telefonanlage erlassen werden, deren Regelungen analog zu einer Betriebsvereinbarung zu gestalten sind. Unabhängig davon, ob die Nutzung der Telefonanlage mit Betriebsvereinbarung oder Richtlinie geregelt ist, sollte von jedem einzelnen Mitarbeiter eine Erklärung darüber eingeholt werden, ob er unter Anerkennung dieser Regelungen die Telefonanlage auch für private Zwecke nutzen will oder nicht. Will er die vereinbarten Kontrollmaßnahmen für die private Nutzung nicht anerkennen, ist ihm die private Nutzung untersagt. Diese Erklärung ist erforderlich, weil aufgrund des Grundrechtsbezugs des Telekommunikationsgeheimnisses eine Einwilligung in eine Einschränkung des Telekommunikationsgeheimnisses nicht allein durch eine kollektivrechtliche Vereinbarung möglich ist.

Bei der Benutzung von schnurlosen Telefonen ist darauf zu achten, dass die Signalübertragung zur Basisstation sicher verschlüsselt ist und die Verschlüsselung auch tatsächlich aktiviert ist. Bei der Nutzung von Servicerufnummern oder Mehrwertdiensten und bei Faxabrufen ist die Informationspflicht gem. § 66a TKG zu beachten. Danach sind die Preise für die Nutzung des Dienstes anzugeben.

Fernwartung

Die Vielzahl der IT-Anwendungen, die heute in Betrieben zum Einsatz kommen, werden in den seltensten Fällen ausschließlich durch die hausinterne IT-Abteilung der verantwortlichen Stelle gewartet werden können, weshalb regelmäßig Spezialisten, gestellt durch Dienstleister, Arbeiten per Fernwartung durchführen werden müssen.

Dies macht es allerdings erforderlich, die zu wartenden Systeme von außen zugänglich zu machen, was mit dem Risiko der potenziellen Kompromittierbarkeit der Systeme einhergeht.

Von außen zugängliche Systeme dürfen deshalb nur über sichere Verbindungen für einen definierten Personenkreis zugänglich sein. Es bedarf Regelungen, wann, wie und in welcher Form diese Zugriffe erfolgen sollen.

Die Zugänge sollten dabei möglichst granular auf die einzelnen zu wartenden Systeme begrenzt werden und keine unnötigen Zugriffe auf komplette Netzbereiche ermöglichen, sofern dies nicht durch die Aufgabenstellung für den Dienstleister erforderlich ist.

Die Formen der Fernwartung können sehr unterschiedlich ausfallen. Benötigen manche Helpdesk-Angebote den unmittelbaren Zugriff auf eine Anwendung unter den Anmeldeinformationen des Anwenders (z. B. mit einem Tool wie TeamViewer), benötigen Wartungstechniker für Server oder aktive Netzkomponenten wie z. B. Firewalls unter Umständen sehr umfangreiche, und damit potenziell gefährliche, Berechtigungen im jeweiligen System.

Maßgeblich ist hier unter anderem die Ausgestaltung der Protokollierung der Tätigkeiten auf technischer Ebene mittels entsprechendem Logging der durchgeführten Tätigkeiten. Dort wo dies nicht möglich ist, bedarf es u. U. einer Vieraugenkontrolle, bei der Anwender der verantwortlichen Stelle die durchzuführenden Servicetätigkeiten begleitend überwachen. Gerade bei der Vieraugenkontrolle sind allerdings klar definierte Regelungen zu treffen. Da Dienstleister und Kontrolleur sich nicht gegenübersitzen, besteht die Gefahr von Kontrolllücken, die bei Toilettengängen oder Zigarettenpausen auftreten können.

Wo immer möglich, sollten die Arbeiten durch eigens für diese Tätigkeiten für die damit befassten externen Techniker eingerichtete Konten durchgeführt werden, um eine Zuordenbarkeit im Fall von Fehlern oder Datenschutzverletzungen herstellen zu können. Speziell für Dienstleister eingerichtete Konten sind von der Rechtevergabe möglichst restriktiv auszustatten. Eben so wenig wie möglich und so viel wie nötig.

Da in der Regel bei Arbeiten per Fernwartung immer damit gerechnet werden muss, dass Dienstleister im Rahmen ihrer Tätigkeiten mit personenbezogenen Daten in Berührung kommen können und dadurch Datenschutzziele des Art. 5 Abs. 1 DSGVO, insbesondere Vertraulichkeit und Integrität, betroffen sein können, sind die Auftragnehmer zu verpflichten.

​​​Einsatz von betrieblichen mobilen Kommunikationsgeräten

Nur noch selten werden heutzutage Handys, also Mobiltelefone, anzutreffen sein, deren Funktionalitäten auf das Führen von Telefonaten und Senden und Empfangen von SMS beschränkt sind. Man kann wohl mit Recht behaupten, dass die Etablierung von Smartphones als mobile Kommunikationsgeräte flächendeckend stattgefunden hat. Nun zeichnet sich diese Geräteklasse dadurch aus, dass sie kleine mobile Computer sind, mit denen Kommunikation in vielfältiger Weise, aber auch praktisch eine unüberschaubare Anzahl von Anwendungen, sogenannte Apps, betrieben werden kann.

Obwohl die Telefoniefunktionen in der Regel in den meisten Fällen mit Smartphones durchgeführt werden, soll nicht unerwähnt bleiben, dass auch Tablets mancher Hersteller diese Funktionalität bereitstellen. Und selbst bei den Tablets, bei denen dies nicht der Fall ist, sind alle anderen Kommunikationsformen, wie E-Mail und Instant Messaging, durchgängig möglich. Deshalb sollten alle Aspekte, die für Smartphones infrage kommen, auch bei Tablets beachtet werden.

Sofern personenbezogene Daten oder auch unternehmenssensitive Daten auf diesen Geräten verarbeitet werden, wovon in der Regel auszugehen ist, bedarf es einer genauen Überprüfung der Maßnahmen, die zum Schutz von personenbezogenen Daten etabliert sind.

Viele Sicherheitsaspekte sind schon durch den Hersteller bzw. das auf den jeweiligen Smartphones eines einzelnen Herstellers zum Einsatz kommende Betriebssystem festgelegt.

So ist das Risiko, über eine installierte App mit Schadsoftware kompromittiert zu werden, bei Geräten mit den Betriebssystemen iOS (Apple, Distributionsplattform App Store) oder Windows Phone (Microsoft, Distributionsplattform Windows Store) als niedriger einzustufen, da jede App, die für das jeweilige Betriebssystem programmiert wurde, einem strengen Überprüfungsprozess durch Apple bzw. Microsoft unterliegt.

Anders verhält es sich mit Googles Android-Betriebssystem. Zwar verifiziert auch Google neue Apps, bevor sie in die Distributionsplattform Google Play kommen. Allerdings können Benutzer von Android-Smartphones mittels einer Systemeinstellung die Installation von nicht verifizierten Quellen erlauben, was unter iOS und Windows Phone nicht möglich ist. Die Gefahr, dass Schadsoftware auf Android-Systeme gelangt, muss deshalb als höher eingestuft werden, solange die Funktion, von nicht verifizierten Quellen Apps zu installieren, nicht unterbunden wird.

Ein weiteres Manko an Android-Smartphones ist der Umstand, dass Android von vielen Smartphone-Herstellern lizenziert ist. Werden von Google sicherheitsrelevante Updates bereitgestellt, so obliegt es den einzelnen Herstellern, zu welchem Zeitpunkt und ob überhaupt die Updates auch auf die Geräte ihres Unternehmen gelangen. Untersuchungen haben ergeben, dass es bei manchen Herstellern oft viele Monate dauert, bis veröffentlichte Sicherheitsupdates an die Geräte ausgeliefert werden.

Aufgrund der mannigfaltigen Konfigurationsmöglichkeiten bieten die Geräte mittlerweile Speicher- und Prozessorkapazitäten, wie sie noch vor ein paar Jahren auf Computern gängig waren. So lässt sich mittels Apps eine unüberschaubare und damit unkontrollierbare Anzahl an Funktionalitäten installieren. Um wirksam gegen unkontrollierten Abfluss von personenbezogenen Daten, aber auch sensiblen Unternehmensinformationen vorgehen zu können, sollten zentrale Administrationstools zum Einsatz kommen, die einerseits die Zugriffe von Daten auf Anwendungen definieren, andererseits das unbefugte Installieren von Apps verhindern.

In kleineren Unternehmen, wo dies aus Kostengründen nicht möglich ist, muss ein verbindliches Regelwerk definiert werden, welche Apps zu welchen Zwecken und mit welchen Datenfreigaben betrieben werden dürfen. Eine regelmäßige Überprüfung der Einhaltung solcher Regelwerke wird unumgänglich sein, wenn sensible Daten bei der Nutzung der Geräte tangiert sind.

Hinsichtlich der technischen und organisatorischen Maßnahmen gelten für diese Geräteklasse im Prinzip dieselben Regelungen, wie sie auch bei Notebooks zu beachten sind. So sollten die Geräte idealerweise zentral administriert, auf einen Passwortschutz mit strengen Passwortrichtlinien und automatischen Bildschirmsperren konfiguriert werden können.

Aufgrund der geringen Größe der Geräte ist die Wahrscheinlichkeit eines Verlusts oder Diebstahls als hoch einzuschätzen. Mitarbeiter sollten wissen, wie schnell und an welche Stelle im Unternehmen der Verlust eines Geräts zu melden ist, um eine Fernlöschung initiieren zu können, bevor sensible Daten in falsche Hände gelangen können.

Hinsichtlich der Schnittstellen sind Smartphones und Tablets üppig ausgerüstet. WLAN-, Bluetooth- und USB-Schnittstellen sind auf praktisch jedem Gerät vorhanden. Auch hier sollten Regelungen existieren, die Mitarbeiter anweisen, wann der Einsatz der einzelnen Schnittstellen erlaubt ist. Bluetooth sollte nur wenn nötig aktiviert werden (z. B. bei der Ankoppelung an die Freisprechanlage im Kfz). WLAN-Hotspots sollten nur dann genutzt werden, wenn die Authentizität des Anbieters sicher verifiziert werden kann. Aber auch für kabelgebundene Schnittstellen wie USB sollten Regelungen festgelegt werden, die z. B. den Anschluss nur an unternehmenseigene, vor Schadsoftware abgesicherte Computer zulassen.

Im Sinne der Verfügbarkeitskontrolle sollten auch Smartphones und Tablets in ein Back-up-Konzept eingebunden werden. In KuM-Unternehmen, ohne zentralisierte Steuerung dieser Geräte, wird die Datensicherung manuell per USB am Arbeitsplatzcomputer erfolgen. Oder es werden Cloudspeicher zum Back-up genutzt (wie von immer mehr Herstellern angeboten). Sind sensible Personen- und Unternehmensinformationen betroffen, so ist verschlüsselt abzuspeichern. Eigene, vom Unternehmen betriebene Cloudspeicher sind öffentlichen vorzuziehen.

Sofern Geolokalisierungs-Funktionen aktiviert werden, sollten nur die Anwendungen auf diese Standortdaten zugreifen können, die für konkrete und berechtigte Zwecke nötig sind. Werden die Standortdaten der Mitarbeiter überwacht, sollte der hierfür angegebene Zweck auf seine datenschutzrechtliche Zulässigkeit hin überprüft werden.

In Unternehmen mit einer Arbeitnehmervertretung muss der Betriebsrat vor Inbetriebnahme der Lokalisierungsfunktion informiert und ggf. eine Betriebsvereinbarung abgeschlossen werden.

Wenn eine private Nutzung der betrieblichen Smartphones und Tablets erlaubt ist, sollte eine Nutzungsvereinbarung genau definieren, in welchem Umfang einzelne Funktionalitäten der Geräte privat genutzt werden dürfen. Eine restriktive Vorgabe an Nutzungserlaubnissen verhindert Probleme beim Ausscheiden von Mitarbeitern (z. B. Herausgabe privater Mails, privater Kontakte).

​​Einsatz von​
Multifunktionsgeräten

Unter Multifunktionsgeräten versteht man im Allgemeinen Drucker, die mit Scannereinheiten, in vielen Fällen auch mit Telefaxeinheiten kombiniert sind. Von der Ausstattung her können sich Multifunktionsgeräte in vielerlei Merkmalen unterscheiden. So kann die Ausstattung vom Einzelplatzgerät mit Direktanschluss am PC bis hin zum vernetzten Abteilungsgerät mit integriertem Druck- und Mailserver variieren.

Sollen sensible Daten mit diesen Geräten verarbeitet werden, sind auch ausstattungsunabhängige Faktoren zu beachten. Steht ein Abteilungsmultifunktionsdrucker sehr weit entfernt, ist damit zu rechnen, dass vertrauliche Informationen u. U. für längere Zeit im Ausgabefach liegen und dadurch der Zugriff durch Unbefugte möglich ist.

So bieten manche Geräte die Möglichkeit, vom Drucker aus eine Nummerierung mit aufzudrucken, um Verluste von Einzelseiten schnell erkennen zu können.

Unternehmensweite Zähler helfen, das unerwünschte mehrfache Ausdrucken von Dokumenten zu kontrollieren. Und stehen die Geräte, wie bereits erwähnt, teilweise weit weg von den einzelnen Arbeitsplätzen, sollten Funktionen wie das Ausdrucken durch PIN-Eingabe direkt am Drucker verhindern, dass Dokumente von Unbefugten eingesehen oder entwendet werden können.

Bezüglich der Ausstattung kommt den Speicherfunktionen besondere Bedeutung zu. Verfügen manche Geräte nur über einen flüchtigen Speicher, der sich selbst überschreibt bzw. nach dem Ausschalten verloren geht, so verfügen größere Geräte über nichtflüchtige Speicher, wie Festplatten bzw. SSD-Medien.

Das Speichern auf geräteeigenen Medien birgt wiederum die Gefahr, dass Zugriff für Unbefugte besteht, sofern die Zugriffsmechanismen nicht durch restriktive administrative Vorgaben geregelt sind. Werden Geräte wegen Ausmusterung oder Reparatur getauscht, müssen Regelungen existieren, dass auf geräteinternen Speichermedien abgelegte Dokumente und Konfigurationsinformationen gelöscht werden.

Werden hingegen externe Druckserver eingesetzt, kann auf die Speicherung auf druckerinterne Massenspeicher verzichtet werden, was beim Drucken von Dokumenten mit sensiblen Inhalten vorzuziehen ist. Verfügen die Geräte hingegen über eigene Druckserver, so kommen i. d. R. wiederum interne Massenspeicher des Druckers zum Einsatz.

Neben den reinen Druckdaten werden häufig aber auch andere Daten auf diesen Geräten gespeichert. Adressbücher können angelegt werden, um z. B. Scanvorgänge an E-Mail-Adressen zu versenden. Netzwerkanmeldeinformationen (Account & Passwort) können hinterlegt werden, um Scans auf unternehmenseigenen Dateiservern oder auf internen, aber auch externen FTP-Servern abzulegen. Können diese Informationen nicht verschlüsselt abgelegt werden, besteht die Möglichkeit der Kompromittierung der hinterlegten Konten, wenn Zugriff auf die administrative Oberfläche der Geräte besteht. Vorteilhaft ist hier, wenn die Authentifizierung mittels Single-Sign-On möglich ist, da dann keine Kontoinformationen auf den Geräten selbst hinterlegt werden müssen.

Hinsichtlich des administrativen Zugangs – die Geräte verfügen heutzutage i. d. R. über einen eigenen Webserver, der die Administration per Browser erlaubt – ist zu beachten, dass herstellerseitig vergebene Standard-Zugangsdaten vor Inbetriebnahme der Geräte gelöscht und neu vergeben werden.

Wenn geräteeigene Webserver zur Verwaltung angeboten werden, sollten auch hier regelmäßig die von den Herstellern angebotenen Softwareaktualisierungen eingespielt werden, da diese häufig auch sicherheitsrelevante Fehler beheben.

Aber auch clientseitig, also an Arbeitsplatz-Computern oder Servern, sollten die den Geräten zugehörigen Softwarepakete und Treiber einer regelmäßigen Aktualisierung unterliegen, da auch hier Sicherheitslücken geschlossen werden können.

Bestehen Protokollierungsfunktionen, so sollte es ein Berechtigungsregelwerk geben, in dem festgelegt ist, wer in welchen Fällen auf diese Daten zugreifen darf.

Regelmäßige anonymisierte Auswertungen der Aktivitätsprotokolle (über Druck-, aber auch Scan- oder Faxaufträge) können helfen, den unkontrollierten Abfluss von Informationen aufzudecken.

Multifunktionsgeräte verfügen selten über nur eine Schnittstelle zur Ansteuerung. So verfügen die meisten Geräte dieser Klasse neben einem USB-Anschluss und einem Netzwerkinterface auch über ein WLAN-Interface. Stehen Fax-Funktionen zur Verfügung, kommt noch eine analoge oder digitale (ISDN-)Schnittstelle hinzu.

Nicht genutzte Schnittstellen sollten deaktivierbar sein. So besteht z. B. bei digitalen ISDN-Schnittstellen unter Umständen die Möglichkeit, Verbindungen zu Internetdiensten aufzubauen, was das Regelwerk einer unternehmensweiten Firewall unterlaufen würde.

Ist die Ansteuerung per WLAN erforderlich, so muss mit einem sicheren Authentifizierungsverfahren wie WPA/WPA2 gearbeitet werden. WEP-Verschlüsselung ist mit einfachsten Tools zu knacken und sollte aus diesem Grund grundsätzlich nie eingesetzt werden.

Wird der Supportzugriff über Dienstleister erlaubt, so sollte es Festlegungen geben, die definieren, auf welche Daten aus der Ferne zugegriffen werden darf. Zugriffe dieser Art sollten in jedem Fall protokollierbar sein.

Bei größeren Geräten werden häufig Dienstleisterverträge abgeschlossen, die das rechtzeitige Nachfüllen von Toner und den Austausch von Verbrauchsmaterial einschließen. Hier kommunizieren die Geräte in der Regel automatisch mit dem Dienstleister, um Tonerstände oder andere Verbrauchsinformationen zu übermitteln. Hier sollte überprüft werden, ob wirklich nur die Daten, die im Rahmen solcher Dienstleistungen nötig sind, übermittelt werden (Gerätenummer zur Identifizierung des Kunden, seines Standorts und Verbrauchsdaten, nicht jedoch komplette Konfigurationsdaten!).

​​​Einsatz von​
privaten Endgeräten (BYOD)

Der Einsatz von privaten Geräten für betriebliche Zwecke (BYOD) ist je nach Art und Ausgestaltung der Nutzung mit einer Reihe von rechtlichen Risiken und Sicherheitsrisiken verbunden. Anders als bei einer privaten Nutzung von betrieblichen Geräten steht die betriebliche Nutzung von privaten Geräten grundsätzlich unter dem Regime des Eigentumsrechts des Beschäftigten am Gerät und an der Software und der Freiheit der Art und Weise der Nutzung. Das Gerät steht im Privateigentum des Beschäftigten und dieser besitzt die Verfügungsgewalt über das Gerät und die installierte Software.

Unter diesem Regime sind Regelungen erforderlich, die einerseits die betrieblichen Daten bei ihrer Nutzung mit dem Gerät oder deren Speicherung und Verarbeitung auf dem Gerät im erforderlichen Umfang schützen. Andererseits müssen auch die privaten Daten des Beschäftigten bei ihrer Speicherung, Verarbeitung und Nutzung vor einem Zugriff des Arbeitgebers bzw. der IT-Administratoren geschützt werden. Daraus können sich für den Beschäftigten bezüglich seines Geräts Nutzungseinschränkungen ergeben, die in das Privatrecht des Beschäftigten eingreifen und geregelt werden müssen. Zur Regelung dieser komplexen Sachverhalte lassen sich drei Regelungsebenen unterscheiden, und zwar:

1.Regelungen, die allein unter das Direktionsrecht des Arbeitgebers fallen, z. B. Festlegung der Stellen, die befugt sein sollen, private Geräte für betriebliche Zwecke einzusetzen, sowie die Art der Datenverarbeitungsverfahren und der Daten, die genutzt bzw. verarbeitet werden dürfen, und ggf. der Umfang der zulässigen lokalen Speicherung und Verarbeitung.

2.Regelungen, die kollektivrechtlich in einer Betriebsvereinbarung geregelt werden können, z. B. Zulassungsverfahren der Geräte, verschiedene technische und organisatorische Maßnahmen zum Datenschutz, Löschungsvorschriften zu den betrieblichen Daten u. a. Diese Regelungen können in einer Betriebsvereinbarung getroffen werden.

3.Individualvereinbarungen über Maßnahmen und Kontrollen, die in die Privatsphäre des Beschäftigten eingreifen und seine privaten Nutzungsrechte und Verfügungsmöglichkeiten über das Gerät einschränken. Dazu gehören u. a. Einschränkungen der privaten Nutzung, auch durch Familienangehörige, der Zwangslöschung von Daten, wenn auch private Daten betroffen sein können, u. a. Diese Regelungen müssen einzelvertraglich mit jedem Beschäftigten vereinbart werden.

Diese Checkliste unterstützt den Datenschutzbeauftragten bei der Erhebung und Dokumentation der erforderlichen Informationen und schafft die Grundlage für die Beurteilung des Einsatzes von privaten Geräten für betriebliche Zwecke.

Um einen sicheren Einsatz der Geräte und einen angemessenen Schutz der betrieblichen Daten zu gewährleisten und den rechtlichen und technisch-organisatorischen Regelungsbedarf herauszuarbeiten, sollte dem Einsatz von privaten Endgeräten eine umfassende Strategie über die Art und Weise des Einsatzes der Geräte und der rechtlichen Rahmenbedingungen und ein technisch-organisatorisches Konzept zugrunde gelegt werden, um Sicherheitslücken und Haftungsfallen zu vermeiden. Dabei ist darauf zu achten, dass der Bereich der privaten Nutzung der Geräte möglichst unangetastet bleibt und das Grundrecht der Betroffenen auf die Wahrung der Vertraulichkeit und Integrität informationstechnischer Systeme im Sinne des Urteils des BVerfG vom 27.02.2008 nicht verletzt wird.

Festzulegen sind die betrieblichen Zwecke, für die die Geräte genutzt werden dürfen, welche Datenverarbeitungsverfahren genutzt werden sollen und ob, ggf. welche, personenbezogene oder sonstige vertrauliche Daten auf den Geräten lokal gespeichert werden dürfen. In einem Sicherheitskonzept sind die erforderlichen Regelungen und Einsatzbedingungen für die Geräte festzulegen. Dabei sollte zuverlässigen technischen Regelungen der Vorzug vor lediglich organisatorischen Regelungen gegeben werden. Kann unter dem gegebenen technischen Umfeld der Geräte eine ausreichende Sicherheit der betrieblichen Daten nicht sichergestellt werden, darf die Nutzung des jeweiligen Geräts für betriebliche Zwecke nicht erlaubt werden.

Unter Beachtung der Sensibilität und des Schutzbedarfs der Daten und der möglichen Sicherheitsvorkehrungen kann das Unternehmen den Umfang der erlaubten Datenverarbeitungsverfahren und Nutzungen, die Art der Daten einschließlich der Zulässigkeit der mobilen Speicherung sowie die Beschäftigten festlegen, die mobile Geräte für betriebliche Zwecke nutzen dürfen.

Der Einsatz unterliegt der Mitbestimmungspflicht gem. § 87 Abs. 1 Nr. 6 BetrVG. Mit einer Betriebsvereinbarung bzw. einer BYOD-Richtlinie lassen sich alle Fragen regeln, die die private Nutzung und die private Verfügbarkeit des Geräts unberührt lassen.

Dazu gehören insbesondere Regelungen zu folgenden Fragen:

  • Prüfung und Freigabe erlaubter Geräte, Gerätetypen, Betriebssysteme und Software sowie Verfahren zum Ausschluss der Nutzung nicht zugelassener Geräte
  • Rechte des Arbeitgebers (Eigentums-, Zugriffs-, Verarbeitungs- und Nutzungsrechte) an den gespeicherten betrieblichen Daten
  • Verfahren zur Speicherung, Verarbeitung und Nutzung der Daten und zur Verwaltung und Administration durch die IT-Administration und den Helpdesk
  • Verbot der privaten Nutzung des betrieblichen und der betrieblichen Nutzung des privaten Bereichs
  • Zugang zum Firmennetzwerk, zur Zugangs- und Zugriffskontrolle zu den betrieblichen Daten, zur Weitergabekontrolle, Protokollierung der betrieblichen Nutzungsvorgänge, standardisierte Sicherheitseinstellungen und deren regelmäßiger Abgleich mit zentralen Regelwerken sowie zur Sicherstellung der ordnungsgemäßen Datenverarbeitung auf den Geräten etc.
  • Verfahren zur Durchführung von Reparatur- und Wartungsarbeiten sowie von Softwareupdates, eventuell nur durch zugelassene Servicestellen, ggf. in Form einer Auftragsverarbeitung i. S. v. Art. 28 DSGVO
  • Regelmäßige Sicherung der mobilen Daten bzw. der Synchronisation mit den zentralen
  • Datenbeständen (aus Sicherheitsgründen und zur rechtssicheren Archivierung sollten die mobilen Daten laufend unter Beachtung der Archivierungsvorschriften in die zentralen Systeme gesichert bzw. archiviert werden)
  • Nutzung des E-Mail-Systems einschließlich der Speicherung und Sicherung von E-Mails und eventueller Anhänge sowie des Internets
  • Zulässigkeit der Speicherung von Apps und sonstiger Software in der betrieblichen Umgebung, soweit diese nicht auf private Daten oder Verzeichnisse durchgreifen können. Eventuell können die erlaubten Apps auch vom Arbeitgeber zur Verfügung gestellt werden.
  • Löschung der Daten nach Beendigung der betrieblichen Nutzungserlaubnis oder bei Ausscheiden des Beschäftigten aus dem Unternehmen, auch bei streitigem Ausscheiden, Geräteabschaltung und eventueller Fernlöschung bei Verlust des Geräts. Soweit von der Löschung auch private Daten betroffen sein können, sind ergänzende Individualvereinbarungen erforderlich.
  • Geräteüberwachung und Kontrollen, auch mit MDM-Lösungen (unterliegen ggf. auch einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO)
  • Grundsätze zur Aufzeichnung von Überwachungsdaten wie Verkehrsdaten, Geräteortung bei Verlust eines Geräts. Allerdings müssen dadurch verursachte Einschränkungen der privaten Nutzung zusätzlich individuell vereinbart werden.
  • Meldepflichten und Kontaktstellen bei Verlust eines Geräts, auch bezüglich der Informationspflicht gem. Art. 33 DSGVO
  • Verhaltensregeln für die sichere Nutzung der Geräte

Ergänzend zu einer Betriebsvereinbarung bzw. einer BYOD-Richtlinie sind Individualvereinbarungen zu allen Fragen erforderlich, die abhängig von Art und Umfang der gemeinsamen Funktionen auch die private Nutzung der Geräte berühren bzw. einschränken oder die privaten Daten betreffen können. Je weniger die betrieblichen Nutzungen und Daten vom privaten Bereich getrennt werden können, desto mehr ergibt sich die Notwendigkeit von Individualvereinbarungen, weil von betrieblich bedingten Funktionen, Eingriffen und Maßnahmen auch die private Nutzung beeinträchtigt werden kann. Diese Individualregeln müssen wegen ihrer Einwilligungspflicht mit den Betroffenen einzelvertraglich schriftlich vereinbart werden. Ein Regelungsbedarf kann sich insbesondere zu folgenden Fragen ergeben:

  • Installation und Nutzung von Virenschutz- und Sicherheitssoftware einschließlich einer eventuellen Deaktivierung oder sonstigen Beeinflussung von bestimmten Gerätefunktionen wie z. B. automatische Datensicherung in Cloud-Dienste
  • Einschränkungen von privaten Installationen von Software oder Apps und/oder Verbot von bestimmten Apps, z. B. wenn eine Gefährdung der betrieblichen Daten nicht ausgeschlossen werden kann
  • Verfahren bei Wiedererlangung verlorener oder gestohlener Geräte, z. B. Überprüfung des Geräts auf Eingriffe und Manipulationen oder Vorsichtsmaßnahmen wie Rücksetzung des Geräts auf den Werkszustand
  • Fernsteuerung der mobilen Plattformen, z. B. für Supportzwecke
  • Regelung der Nutzung der Geräte durch Dritte im privaten Bereich
  • GPS-Ortung von verlorenen Geräten
  • Fernlöschung/Zwangslöschung von Daten bei Verlust oder Diebstahl, Ausscheiden des Mitarbeiters oder nach Sicherheitsvorfällen, wenn auch private Daten betroffen sein können
  • Einhaltung bestimmter Zugangsregeln wie Passwortregeln zum Gerät, Codesperren, Funktionen zum automatischen Ausschalten und sonstige Sicherheitsvorkehrungen, Recht zur Installation der zur Speicherung, Verarbeitung und Nutzung der betrieblichen Daten eventuell erforderlichen betrieblichen Software
  • Befugnis zur automatisierten Kontrolle zur Prüfung der Eignung der Geräte und hinsichtlich der Erfüllung und Einhaltung von vorgeschriebenen Sicherheitseinstellungen einschließlich der Speicherung der insoweit relevanten Gerätedaten
  • Zulässigkeit und Umfang von Datenschutz- und Sicherheitsüberprüfungen durch den Datenschutzbeauftragten bzw. die IT-Administration, denn auf den privaten Geräten bestehen grundsätzlich keine bzw. nur eingeschränkte Kontrollbefugnisse
  • Beendigung der betrieblichen Nutzung von privaten Geräten, Beendigungsgründe (z. B. Rücknahme von Einwilligungen, private Außerbetriebnahme des Geräts etc.) und eventuelle Fristen und ggf. auch Kostenregelungen

Da die einzelnen Gerätetypen nicht alle Sicherheitsanforderungen in gleichem Maß erfüllen, müssen die Geräte vor ihrem Einsatz auf die Erfüllung der Mindestanforderungen getestet und für den Einsatz freigegeben werden. Die Nutzung von nicht freigegebenen Geräten sollte tunlichst automatisiert, z. B. durch ein Verzeichnis der zugelassenen Geräte, verhindert werden. Bekannt werdende Sicherheitslücken oder Schwachstellen müssen umgehend geschlossen oder die Geräte von einem weiteren Einsatz ausgeschlossen werden. Das Unternehmen sollte zu diesen Sicherheitslücken einen geeigneten Informationsdienst nutzen.

Damit bei Erscheinen von Nachfolgemodellen regelmäßig zeitnah der Support für die Vorgängermodelle eingestellt und bekannt werdende Sicherheitslücken in den Systemen nicht mehr geschlossen werden, müssen diese auch hinsichtlich der Verfügbarkeit von Sicherheitsupdates überwacht und rechtzeitig für eine betriebliche Nutzung gesperrt werden.

​​​Löschung von Daten und Vernichtung/Entsorgung von Datenträgern

Die Löschung von personenbezogenen Daten und die Vernichtung/Entsorgung von Datenträgern durch ein Dienstleistungsunternehmen ist eine Auftragsverarbeitung, für die die Voraussetzungen des Art. 28 DSGVO erfüllt werden müssen. Es genügt aber nicht, lediglich das Verfahren der physischen Löschung bzw. Vernichtung und Entsorgung zu regeln. Genauso wichtig sind die Regelungen der Aufbewahrung sowie der Befugnisse zur Vernichtung und der vorgelagerte Prozess der Sammlung und Lagerung der Datenträger bis zur Vernichtung.

Um Sicherheitslücken zu vermeiden, ist deshalb ein durchgängiger Prozess von der Anordnung zur Vernichtung oder Löschung von Daten und Datenträgern über die Sammlung und Lagerung bis zu ihrer physikalischen Vernichtung zu regeln. Diese Checkliste unterstützt die Prüfung der Vernichtung und Entsorgung von Datenträgern und der Dokumentation dieser Prüfung.

Allgemeine Fragen

Nicht alle in einem Unternehmen existierenden Daten müssen einer geregelten Aufbewahrung und Vernichtung/Löschung unterliegen. Temporär anfallende Daten oder Datenträger von einem kurzfristigen Interesse und ohne rechtliche Bedeutung und Entwürfe etc. können laufend gelöscht werden. Aber auch diese Daten und Datenträger können datenschutzrechtlich relevant sein bzw. vertrauliche Unternehmensdaten enthalten und müssen datenschutzgerecht und unter Wahrung der Vertraulichkeit behandelt und gelöscht bzw. vernichtet werden. Für Daten, die rechtlichen Anforderungen unterliegen, z. B. zur Belegung von Geschäftsfällen nach Handels- oder Steuerrecht oder sonstigen Nachweispflichten, gelten i. d. R. Aufbewahrungsfristen. Diese Daten und Dokumente sollten identifiziert sein und es sollten die Aufbewahrungsfristen geregelt sein. Gelegentlich sind Datenbestände auch redundant vorhanden, z. B. in elektronischen Archivsystemen und parallel dazu als Papierdokument oder als Kopie für bestimmte Verarbeitungszwecke. In diesen Fällen sollte festgelegt sein, welcher Datenbestand der aufbewahrungspflichtige Bestand ist. Für die einzelnen Datenbestände sollten die Aufbewahrungsfristen festgelegt und geregelt sein. Auch soweit keine gesetzliche oder sonstige Aufbewahrungsfrist z. B. satzungsrechtlicher oder vertraglicher Art gilt, sollte die Aufbewahrung geregelt sein.

Bei den gesetzlichen oder sonstigen vorgeschriebenen Aufbewahrungsfristen handelt es sich um Mindestaufbewahrungsfristen. Dies bedeutet aber nicht, dass diese Daten nach Ablauf der Frist noch beliebig aufbewahrt bzw. gespeichert werden dürfen. Für personenbezogene Daten ergeben sich die Grundsätze hierzu aus Art. 17 DSGVO.

Um eine ordnungsgemäße Speicherung und Löschung der Daten zu gewährleisten, sollten nicht nur die Aufbewahrungsfristen geregelt, sondern auch die Stellen im Unternehmen bestimmt sein, die die Löschung bzw. Vernichtung anordnen dürfen bzw. befugt sind, die Löschung und Vernichtung durchzuführen. Soweit erforderlich, ist auch zu regeln, ob und ggf. für welche Daten und Datenträger die Löschung bzw. Vernichtung zu protokollieren ist.

Soweit Daten besonderen Geheimnissen unterliegen, z. B. dem Arzt- oder Sozialgeheimnis, oder sonst besonders vertraulich sind, sollten auch diese Daten identifiziert sein, weil sich für diese Daten u. U. hinsichtlich der Sicherheitsstufe besondere Anforderungen ergeben können.

Löschung, Vernichtung und Entsorgung

Die DIN 66399 stellt für die Vernichtung von Datenträgern verschiedene Schutzklassen und Sicherheitsstufen zu Verfügung. Für vertrauliche Daten, das sind die üblicherweise in Unternehmen vorkommenden Daten, sieht die Norm die Schutzklasse 2 und innerhalb dieser Schutzklasse die Sicherheitsstufen 3 bis 5 vor. Je nach individueller Sensibilität und dem Schutzbedarf der Daten sollte sowohl für eine externe Vernichtung durch ein Dienstleistungsunternehmen als auch für eine interne Vernichtung mittels Aktenvernichter die Sicherheitsstufe geregelt sein. Für die üblichen vertraulichen Daten im Unternehmen ohne besondere Vertraulichkeitsanforderungen ist i. d. R. die Sicherheitsstufe 3 ausreichend.

Nicht nur die aufzubewahrenden Daten sollten identifiziert sein, sondern auch die Datenträger, auf denen sie gespeichert sind bzw. gespeichert sein können, z. B. in Multifunktionsgeräten, mobilen Datenträgern oder sonstigen Geräten wie Smartphones, Kameras etc. Für den Fall von Reparaturen außer Haus oder Außerbetriebnahmen sollte ein geregeltes Verfahren zur Löschung/Vernichtung der Datenträger eingerichtet sein. Bei Löschungen ist darauf zu achten, dass sichere Löschverfahren eingesetzt werden, die auch beschädigte Datenträger oder nicht mehr ansprechbare Sektoren der Datenträger zuverlässig löschen.

Vernichtung durch ein externes Dienstleistungsunternehmen

Für die Vernichtung von Datenträgern, auch von Papier, mit personenbezogenen Daten müssen die Vorschriften Art. 28 DSGVO beachtet werden. Für die Durchführung der Vernichtung sieht die DIN SPEC 66399-3 definierte Prozessabläufe vor, die eine sichere und vertrauliche Vernichtung/Entsorgung sicherstellen. Es empfiehlt sich, das Vernichtungs- und Entsorgungsverfahren nach den Vorgaben dieser Prozessabläufe zu organisieren.

Sammlung und Aufbewahrung des Vernichtungsguts

Um eine durchgängige Vertraulichkeit des gesamten Vernichtungs- und Entsorgungsverfahrens sicherzustellen, sollten auch die der Vernichtung vorgelagerte Phase der Sammlung des Vernichtungsguts und die sichere Lagerung bis zur Vernichtung geregelt sein. Für die laufende Sammlung des Vernichtungsguts empfehlen sich verschlossene Sammelbehälter, die nur von besonders befugten Personen zur Durchführung der Vernichtung geöffnet werden können bzw. eine geschlossene und zugriffsgeschützte Übergabe an das Entsorgungsunternehmen gewährleisten. Dies gilt für jede Art von Datenträgern, also auch für optische Datenträger, Magnetplatten, USB-Sticks usw. Eine Holzkiste im Serverraum für Magnetdatenträger genügt diesen Anforderungen nicht. Die Sammelbehälter selbst sollten in gesicherten Bereichen und diebstahlgeschützt untergebracht sein.

Vernichtung von Kleinmengen

Für die Vernichtung von Kleinmengen wie Fehldrucke, Überexemplare an Kopierern und Druckern oder Konzepte bieten sich Aktenvernichter an. Papierkörbe in Drucker- oder Kopiererräumen sind beliebte Informationsquellen für Neugierige und sollten durch Aktenvernichter oder verschlossene Sammelboxen ersetzt werden. Auch diese Aktenvernichter müssen den Anforderungen an eine vertrauliche Vernichtung i. S. d. DIN 66399-2 entsprechen. Schließlich ist auch darauf zu achten, dass das Vernichtungsgut bis zum Verbringen zum Sammelbehälter oder bis zur Vernichtung mittels Aktenvernichter an den Arbeitsplätzen sicher und zugriffsgeschützt gelagert wird. Offene Schränke oder gar eine Schachtel auf der Fensterbank sind hierzu ungeeignet.

Download

Loeschung-und-Entsorgung-von-Daten.docx


Datenschutzrechtliche Prüfung​
von Entsorgungsunternehmen

Die Vernichtung und Entsorgung von Datenträgern mit personenbezogenen Daten ist eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Demzufolge hat sich der Auftraggeber vor Beginn der Datenverarbeitung, hier vor der Übergabe des Vernichtungsguts zur Vernichtung, und sodann regelmäßig von der Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis dieser Prüfung zu dokumentieren. Diese Prüfung kann vor Abschluss des Vertrags im Rahmen eines Auswahlverfahrens oder spätestens nach Abschluss eines Vertrags, aber vor der Übergabe zur Vernichtung bzw. Durchführung der Vernichtung durchgeführt werden.

Diese Checkliste unterstützt das Unternehmen bei der Durchführung des gem. Art. 28 DSGVO vorgeschriebenen Auswahlverfahrens. Danach hat der Auftraggeber den Auftragnehmer unter besonderer Berücksichtigung der von diesem eingerichteten technischen und organisatorischen Maßnahmen auszuwählen. Des Weiteren unterstützt diese Checkliste den Datenschutzbeauftragten bei der Durchführung und Dokumentation der Prüfung gem. Art. 28 DSGVO.

Allgemeine Maßnahmen

Zunächst wird überprüft, ob ein datenschutzgerechter Vertrag abgeschlossen ist bzw. bei einer Auftragserteilung abgeschlossen wird und die datenschutzgerechte Vernichtung im Einzelfall bestätigt wird. Daran schließt sich die Prüfung der formellen Anforderungen der DSGVO wie Bestellung eines Datenschutzbeauftragten, Verpflichtung der Beschäftigten auf das Datengeheimnis und deren Unterweisung im Datenschutz an. Hier sollten entsprechende Nachweise, wie Textmuster der Verpflichtung, verlangt werden.

Regelmäßig können die Entsorgungsunternehmen Zertifikate oder Gütesiegel über die Vernichtung und Entsorgung vorlegen, z. B. nach DIN ISO 9001 als Entsorgungsfachbetrieb, oder sonstige Gütesiegel über eine fach- bzw. datenschutzgerechte Vernichtung. Dabei ist der Umfang des Zertifikats, d. h. die in die Zertifizierung eingeschlossenen Dienstleistungen, Vernichtungsprozesse und Sicherheitsstufen, zu prüfen. Insbesondere ist auch zu prüfen, ob diese Zertifikate auch die Anforderungen einer datenschutzgerechten Vernichtung mit einschließen. Bei mehreren Niederlassungen oder Betriebsstätten ist auch darauf zu achten, ob die Betriebsstätte, in der die Vernichtung konkret stattfinden soll, in die Zertifizierung eingeschlossen ist.

Häufig werden auch Unterauftragnehmer für die Verrichtung von Teilaufgaben, z. B. für Transport und Lagerung, u. U. auch für die Vernichtung selbst, eingesetzt. Hier ist sorgfältig zu prüfen, ob und ggf. für welche Teilaufgaben Unterauftragnehmer eingesetzt werden, ob diese ebenfalls die erforderlichen technischen und organisatorischen Maßnahmen eingerichtet haben bzw. deren Existenz durch entsprechende Zertifikate belegen können. Ferner ist zu prüfen, ob über den gesamten Dienstleistungsprozess hinweg eine sichere Behandlung des Vernichtungsguts, insbesondere von eventuellen Übergabevorgängen, geregelt ist.

Teilweise wird die Vernichtung auch außerhalb Deutschlands durchgeführt. Es ist deshalb zu prüfen, wo die Vernichtung tastsächlich stattfindet, welche Transportmittel eingesetzt und welche Transportwege genutzt werden. Je länger die Transportwege sind und je mehr Zeit sie beanspruchen, desto höher sind die Sicherheitsrisiken einzuschätzen.

Teilweise wird das Vernichtungsgut bereits am Ort des Auftraggebers vernichtet. Wichtig ist hier ein geschlossener und zugriffsgeschützter Übergabe- und Schüttvorgang. Ferner sollte das Ergebnis der Vernichtung durch den Auftraggeber kontrollierbar sein, um die Einhaltung der vereinbarten Sicherheitsstufe überprüfen zu können. Bei Einhaltung der vorgegebenen Sicherheitsstufe und Bestätigung der auftragsgemäßen Vernichtung ist je nach Sicherheitsstufe die weitere Behandlung des Vernichtungsguts (Transport, Lagerung, Entsorgung etc.) nicht mehr datenschutzrelevant.

Abholung, Transport

Bei der Übernahme des Vernichtungsguts und auch auf dem Transport muss das Vernichtungsgut, wenn es nicht bereits vor Ort beim Auftraggeber vernichtet wurde, gegen jeden Zugriff durch Unbefugte und auch durch das Transportpersonal geschützt sein, z. B. durch verschlossene Container, die nur durch befugtes Personal geöffnet werden können. Zu betrachten sind auch die Transportwege, die regelmäßig zurückgelegt werden, sowie Maßnahmen der Transportüberwachung und eventuelle Zwischenlagerungen bis zur endgültigen Vernichtung einschließlich Maßnahmen zur Kontrolle der Zwischenlagerungen, z. B. Bewachung oder Videoüberwachung etc. Idealerweise sollten die Transportwege kurz sein und die Vernichtung taggleich ohne Zwischenlagerung stattfinden. Da auch hier Betriebsstörungen nicht ausgeschlossen werden können, ist auch zu prüfen, welche geregelten Vorkehrungen getroffen sind, um bei Störungen die Vertraulichkeit des Vernichtungsguts und eine sichere Vernichtung zu gewährleisten. Beim Vernichtungsvorgang selbst ist es wichtig, dass die Anlieferung, Entladung und Schüttung in die Vernichtungsanlage in einem geschützten und verschlossenen Bereich und in einem zugriffsgeschützten Prozess stattfinden, der jeden Zugriff und jede Beeinflussung durch Unbefugte oder sonstige Umstände ausschließt. Der gesamte Vorgang sollte nachvollziehbar überwacht werden.

Die DIN SPEC 66299-3 beschreibt für die verschiedenen Varianten der Vernichtung Kriterien für die Datenträgervernichtung, die vom Entsorgungsunternehmen bei einer normengerechten Vernichtung zu erfüllen sind. Der Auftragnehmer sollte nachvollziehbar, z. B. durch ein Zertifikat einer unabhängigen Stelle, nachweisen, ob und ggf. für welche Betriebsstätten und Vernichtungsprozesse diese Anforderungen erfüllt sind. Schließlich ist noch zu prüfen, auf welche Weise die angestrebte Sicherheitsstufe der Vernichtung erreicht wird. Die Sicherheitsstufen sind zunächst über das Maß der Zerkleinerung nach DIN 66399-2 definiert. Unter bestimmten Umständen kann nach DIN 66399-1 die Sicherheitsstufe durch Verwirbelung und Verpressung der vernichteten Datenträger um eine Stufe bis max. Sicherheitsstufe vier erhöht werden. Wird dieses Verfahren zur Erhöhung der Sicherheitsstufe eingesetzt, ist zu prüfen, wo die Verwirbelung und Verpressung stattfinden. Bei einer Vernichtung vor Ort ist dies u. U. noch nicht der Fall, sodass die vereinbarte Sicherheitsstufe erst in der Betriebsstätte des Auftragnehmers erfüllt werden kann. In diesen Fällen unterliegen Transporte und eventuelle Zwischenlagerungen noch den Datenschutzauflagen. Der Auftragnehmer muss dazu, insbesondere wenn aus Vertraulichkeitsgründen eine hohe Sicherheitsstufe verlangt wird, offenlegen, wie diese erreicht wird. Schließlich müssen unabhängig von einem Vertrag nach Art. 28 DSGVO für jede einzelne Vernichtung die Übernahme des Vernichtungsguts sowie der sichere Transport und die auftragsgemäße Vernichtung unter Einhaltung der vorgegebenen Sicherheitsstufe schriftlich bestätigt werden. Die Bestätigungen sind wie Geschäftsunterlagen aufzubewahren.

Download

Datenschutzrechtliche-Pruefung-von-Entsorgungsunternehmen.docx


Mobile Datenträger

Zur Gewährleitung der Schutzziele der DSGVO gehört auch ein sorgsamer Umgang mit mobilen Datenträgern (Weitergabekontrolle). „Es muss verhindert werden, dass personenbezogene Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im DV-System vorgesehen ist.“

Wenn die Mitarbeiter im Unternehmen mit personenbezogenen Daten in Berührung kommen, ist es also zwingend notwendig, Verfahren einzusetzen, die den Umgang mit mobilen Datenträgern regeln.

Aufgrund dieser Gefahren ist es im Unternehmen unerlässlich, dass der Umgang mit mobilen Datenträgern und Geräten sicher geregelt ist. In der Checkliste „Mobile Datenträger“ finden sich hierzu einige Anhaltspunkte.

Bis vor einigen Jahren waren die Varianten mobiler Datenträger noch überschaubar. Die klassischen Speichermedien waren die Diskette oder die beschreibbare CD/DVD. Mittlerweile trägt die Mehrheit der Anwender bereits mobile Datenträger mit sich herum, seien es Laptops, Smartphones, Tablets, Armbanduhren, Digitalkameras, MP3-Player u. v. a. m.

Mittlerweile ist die technische Entwicklung so weit fortgeschritten, dass es möglich geworden ist, sprichwörtlich ganze Aktenschränke in der Hosentasche mitzuführen.

Das beliebteste und zugleich am meisten verbreitete Medium ist heute der USB-Stick. Er ist ungemein nützlich und handlich und aus der täglichen Berufspraxis nicht mehr wegzudenken.

Doch die Benutzung von USB-Sticks birgt auch Gefahren. Wie leicht ist so ein kleines Gerät verlegt, verloren oder gestohlen! Eine weitere Gefahr ist die Verbreitung von Schadsoftware. Windows-Systeme verfügen über eine Autoren-Funktion für mobile Datenträger, die, sofern nicht deaktiviert, sofort nach Einstecken des USB-Sticks eine Datei auf dem Medium ausführt. Im schlimmsten Fall genügt es also, wenn an einen ungesicherten PC ein USB-Stick mit kompromittierender Software angeschlossen wird (fahrlässig oder vorsätzlich).

Die Sensibilisierung der Mitarbeiter für diese Gefahren sollte oberste Priorität haben.

Wenn diese Medien sensible Daten enthalten, sollten diese auf jeden Fall vor unbefugtem Zugriff geschützt sein (Aufbewahrung/Verschlüsselung).

Sollte es nicht zwingend nötig sein, Daten von Mitarbeitern an ihren Office-PCs kopieren zu lassen, sollte man die Schnittstellen (Laufwerke, USB-Ports) deaktivieren und nur an PCs mit expliziter Berechtigung aktivieren. In sensiblen Umgebungen sollten Verfahren etabliert werden, die eine Nutzung von mobilen Datenträgern überwachen und protokollieren.

Die Benutzung privater Datenträger ist bedenklich, da es hier zu einer Vermischung von Unternehmensdaten und privaten Daten kommen kann. Zudem ist die Gefahr der Infizierung der Medien mit Schadsoftware erheblich größer.

Technisch ist es auch möglich, Datenträger zu autorisieren. Das heißt, nur bestimmte Datenträger, die eine bestimmte Kennung haben, werden vom Betriebssystem erkannt und können gelesen/beschrieben werden.

Der Königsweg, um Datendiebstahl von verloren gegangenen mobilen Datenträgern zu vermeiden, ist die Verschlüsselung. So wird vermieden, dass verloren gegangene oder gestohlene Datenträger unbefugt gelesen werden.

Selbst einfache Brennprogramme bieten Verschlüsselungsoptionen beim Brennen von CDs/DVDs. Smartphone-Speicher lassen sich komplett verschlüsseln.

Am Laptop sollte ebenfalls der gesamte Datenträger verschlüsselt werden, da es mit geringem Aufwand möglich ist, an Festplatteninhalte zu gelangen, auch wenn das Gerät passwortgeschützt ist.

Das Argument Budget darf hier nicht zählen, da es selbst im Open-Source-Bereich (z. B. TrueCrypt oder dessen Nachfolger VeraCrypt) brauchbare Lösungen gibt.

Empfohlen wird mindestens eine 256bit-AES-Verschlüsselung.

Es gibt im Handel bereits USB-Sticks mit eingebauter Verschlüsselung, hier ist die Verschlüsselungssoftware bereits auf dem Stick integriert. Für unter 20 Euro sind bereits USB-Sticks mit eingebautem Finger-Print-Sensor zu haben.

Sind mobile Datenträger aus fremden Quellen regelmäßig im Einsatz, muss natürlich sichergestellt sein, dass entsprechende Virenscanner auf dem PC so eingerichtet sind, dass sie beim Erkennen des Geräts sofort einer Überprüfung unterzogen werden.

Letzten Endes sollte ebenfalls klar geregelt sein, wie mit ausgesonderten Datenträgern verfahren wird. Es reicht in der Regel nicht, Daten auf einem Datenträger nur zu löschen oder beim Smart-phone die Systemwiederherstellung auszuführen, da die Daten auf den Datenträgern dann noch wiederherstellbar sind. Vielmehr sollte entweder sichere Löschsoftware (Datenshredder, die den gesamten Datenträger mit „Müll“ überschreiben) zum Einsatz kommen oder der Datenträger sollte physikalisch vernichtet und somit unbrauchbar gemacht werden.

Download

Mobile-Datentraeger.docx


Internetauftritt

Da der Unternehmensauftritt im Internet mit einer eigenen Präsenz mittlerweile obligatorisch ist, muss dieser ebenso einer umfassenden Prüfung unterzogen werden. Neben den Regelungen der DSGVO spielen weitere Rechtsvorschriften wie etwa die des Telemediengesetzes eine wesentliche Rolle.

Da für jeden öffentlich einsehbar, sprechen aber auch wettbewerbsrechtliche Aspekte dafür, den Internetauftritt rechtssicher zu gestalten, um der Gefahr von Abmahnungen durch Konkurrenten zu begegnen. Aber auch die Aufsichtsbehörden für Datenschutz und Datensicherheit der Länder untersuchen mittlerweile, teilweise automatisiert, ob Unternehmenswebseiten bestimmten rechtlichen Anforderungen genügen, und rügen Verstöße, die so zutage gefördert werden.

So ist die Impressumspflicht durch das TMG geregelt, welches je nach Unternehmensform bzw. Berufsstand des Anbieters eines Internetauftritts eine Reihe von Pflichtangaben erfordert, die im Einzelnen abzuprüfen sind. Das Impressum selbst sollte von jeder Stelle des Internetauftritts, auf der sich die Besucher bewegen, schnell und einfach auffindbar sein (Kopf- oder Fußzeilenmenü).

Neben dem Impressum, welches als separate Seite innerhalb des Internetauftritts angeboten werden sollte, bedarf es auch einer Datenschutzerklärung, die je nach Ausgestaltung des Auftritts entsprechende Informationen anbieten muss (siehe auch Checkliste „Datenschutzerklärung“). Diese sollte, ähnlich dem Impressum, von jedem Punkt des Angebots aus einfach zu finden und erreichbar sein (Navigationstiefe maximal zwei Klicks).

Wird z. B. ein Kontaktformular angeboten, in dem personenbezogene Daten erhoben werden, sollte über Art, Zweck und Umfang unterrichtet werden. Im Sinne des Transparenzgebots macht es durchaus Sinn, diese Informationen auch unmittelbar bei dem Kontaktformular anzugeben bzw. einen Link zur Datenschutzerklärung anzubieten.

Kommen Homepage-Analysesysteme wie z. B. Google Analytics oder Piwik zum Einsatz, so sind diese in der Datenschutzerklärung zu benennen und die Möglichkeit zum Opt-out ist bei der Besuchererfassung anzubieten (Details hierzu siehe Checkliste „Homepage-Analysesystem“).

Da die EU-Cookie-Richtlinie nach Ansicht der Aufsichtsbehörden in Deutschland umzusetzen ist, muss der Besucher einer Webseite, optimalerweise beim ersten Aufruf, über den Einsatz von Cookies informiert werden. Aktuell herrscht noch Uneinigkeit darüber, wie die erste Information konkret umzusetzen ist. Eine gängige Methode ist es, eine Zeile im Kopf- oder Fußteil der Seite einzublenden, die auf den Einsatz von Cookies hinweist und per Link auf eine detaillierte Beschreibung des Cookie-Einsatzes verweist. Diese Beschreibung ist üblicherweise Bestandteil der Datenschutzerklärung, in der die Arten von Cookies erläutert werden.

Idealerweise sollte jedes Cookie, seine Funktion, die Daten, die darin gespeichert werden, und auch die Lebensdauer aufgeführt werden.

Alternativ lassen sich Cookies durch Kategorien beschreiben, denen sie zugeordnet werden können:

  • Session Cookies, die zur reinen Funktionssteuerung der Webseite, wie z. B. einer Warenkorbfunktion, dienen
  • Pseudonymisierte Cookies zur Profilbildung, mittels derer Endgeräte der Besucher wiedererkannt werden, um z. B. angepasste Angebote darzustellen
  • Werberelevante Cookies von Drittanbietern

Neben der Information über konkrete Cookies oder Cookie-Kategorien muss eine Information der Benutzer stattfinden, die erläutert, wie das Setzen von Cookies deaktiviert (Opt-out) werden kann.

Sollten pseudonymisierte oder werberelevante Cookies zum Einsatz kommen, sollte eine maximale Speicherdauer von zwei Jahren nicht überschritten werden.

Der Einsatz von Flash-Cookies sollte grundsätzlich vermieden werden, da Flash-Cookies u. U. sehr viele Daten speichern können (je nach Konfiguration in der Systemsteuerung) und die Aufsichtsbehörden auf dem nachvollziehbaren Standpunkt stehen, dass die Kenntnisse zur Deaktivierung von Flash-Cookies bei „Normalanwendern“ i. d. R. als nicht gegeben anzunehmen sind.

Der Cookie-Einsatz ist mittlerweile nicht mehr die einzige Technik, um Profilbildung zu betreiben. So ist es z. B. mittels Canvas-Fingerprinting möglich, eine ähnliche Endgerätewiedererkennung zu betreiben, wie es mit Cookies der Fall ist. Bei diesem Verfahren wird aus einer Reihe von Daten, wie dem im Einsatz befindlichen Browser, seiner Version, der Spracheinstellung, der Bildschirmauflösung, installierter Add-ons und vielen anderen Parametern mehr, eine Art Fingerabdruck generiert. Dem Verfahren ist immanent, dass es nicht von Besucherseite, anders als bei Cookies, detektiert werden kann. Aus diesem Grund sollte immer auch der Produzent der Webseite in den Erfassungsprozess mit einbezogen werden, da manche Techniken auch nicht mit Tools durch den Datenschutzbeauftragten erfasst werden können (siehe auch Checkliste „Internetauftritt – Fragen an den Ersteller“).

Wie eingangs bereits erwähnt, untersuchen die Aufsichtsbehörden Webseiten automatisiert auf den Einsatz bestimmter Tracking-Techniken. Neben dem Einsatz von Homepage-Analysesystemen gehört auch die Verwendung von Social-Media-Plug-ins zu den Techniken, die hier erfasst werden. Auch hier sollte in der Datenschutzerklärung jedes einzelne Plug-in aufgeführt und über den Umfang der Datenerhebung informiert werden.

Werden neben der eigenen Unternehmens-Webseite auch Präsenzen auf Social-Media-Plattformen (z. B. Facebook) angeboten, so muss auch dort ein komplettes Impressum angeboten werden und leicht auffindbar sein (Navigationstiefe maximal zwei Klicks).

Sofern die Webseite es zulässt, Benutzerkonten anzulegen, sollte eine Prüffunktion dem Benutzer signalisieren, wenn er ein zu schwaches Passwort wählt. Unterbleibt diese Information, kann der Betreiber des Internetauftritts für Schäden zur Verantwortung gezogen werden, die bei missbräuchlicher Nutzung der Konten entstehen.

Wird innerhalb des Internetauftritts die Anmeldung zu einem Newsletter angeboten, so ist der Anmeldeprozess so zu gestalten, dass eine missbräuchliche Angabe von Mail-Adressen durch das Double-Opt-In-Verfahren ausgeschlossen wird. Die Einwilligung in das Double-Opt-In sollte zum Zweck des Nachweises protokolliert werden. Auch der Versandfrequenz von Newslettern sollte Beachtung geschenkt werden, da bei sporadisch, in zeitlich sehr großen Abständen verschickten Newslettern die Einwilligung von Gerichten als erloschen betrachtet wird (mind. halbjährlich).

Download

Internetauftritt.docx


Internetauftritt – Fragen an den​
Ersteller des Internetauftritts

Die Betreiber eines Internetauftritts unterliegen je nach der Art der angebotenen Dienste und der im Internetauftritt enthaltenen Funktionen unterschiedlichen Informationspflichten nach dem Telemediengesetz (TMG). Dazu gehören insbesondere die allgemeinen Informationspflichten gem. § 5 TMG (Impressumspflicht) und über die Erhebung und Nutzung von personenbezogenen Daten gem. § 15 TMG. Auch die sogenannte Cookie-Richtlinie (ePrivacy-Richtlinie in der Fassung der Richtlinie 2009/136/EG), die bis spätestens Mai 2011 in deutsches Recht umzusetzen war, verlangt eine klare und umfassende Unterrichtung der Nutzer bzw. Besucher eines Internetauftritts über alle Daten, die bei einem Besuch einer Webseite erhoben werden.

Gemäß § 13 TMG muss der Diensteanbieter die Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten und eine eventuelle Verarbeitung außerhalb Deutschlands unterrichten.

Um diese Informationen anbieten zu können, müssen zuerst alle bei einem Besuch einer Internetseite stattfindenden Speicherungs- und Verarbeitungsvorgänge von Nutzerdaten identifiziert und erhoben werden. Diese Checkliste unterstützt die Erhebung dieser datenschutzrelevanten Funktionen der Webseite. Soweit die Webseite von einem Serviceunternehmen erstellt und betreut wird, bietet es sich an, die Checkliste von diesem Serviceunternehmen ausfüllen zu lassen. Das Ergebnis liefert einen umfassenden Überblick über alle Erhebungs- und Speicherfunktionen und eine Grundlage für deren datenschutzrechtliche Beurteilung der Webseite sowie zur Formulierung der Datenschutzinformation. Auf der Grundlage dieser Angaben kann auch beurteilt werden, ob und für welche Funktionen eine Einwilligung der Besucher der Internetseite erforderlich ist, um diese entsprechend zu gestalten.

Diese Checkliste unterstützt damit die Überprüfung des Internetauftritts hinsichtlich der Einhaltung der Vorschriften des TMG sowie die Erstellung der Information der Betroffenen nach den Vorschriften des TMG und den Vorgaben der ePrivacy-Richtlinie sowie die Dokumentation dieser Prüfung.

Download

Internetauftritt - Fragen an den Ersteller des Internetauftritts.docx


Homepage-Analysesystem

Die Checkliste zum Homepage-Analysesystem richtet sich in erster Linie an die Ersteller der Internetpräsenz. In der Praxis zeigt sich nicht selten, dass Ersteller von Internetpräsenzen unbeauftragt Analysesysteme in Kundenpräsenzen einbauen, ohne dass die Kunden hiervon Kenntnis erhalten. Allein schon aus diesem Grund sollte der Ersteller in den Erfassungsprozess mit einbezogen werden, auch wenn sich der Verantwortliche in der Sicherheit wiegt, dass kein User-Tracking vorgenommen wird.

War es für den in HTML und JavaScript erfahrenen Datenschutzbeauftragten in der Vergangenheit u. U. vielleicht noch einfach, selbst anhand eines kurzen Blicks auf den Quellcode einer Seite zu überprüfen, ob Tracking stattfindet oder nicht, wird dies immer schwieriger, da Webseitenersteller immer häufiger dazu übergehen, größere Skriptblöcke in externe Dateien auszulagern. Erschwerend kommt hinzu, dass solche ausgelagerten Dateien häufig unformatiert und komprimiert (keine Absatzschaltungen, keine Formatierung) vorgehalten werden, um die Ladezeiten einer Seite zu optimieren.

Kommt ein Analysesystem zum Einsatz, muss wiederum überprüft werden, an welcher Stelle die gesammelten Trackingdaten gespeichert werden. Findet die Speicherung beim Anbieter des Tracking-Tools statt, wie es z. B. bei Google Analytics der Fall ist, so ist gem. Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Anbieter des Tracking-Tools abzuschließen. Findet die Speicherung hingegen auf einem Server statt, der dem Verantwortlichen zuzuordnen ist (z. B. Piwik), so entfällt dieser Schritt.

Unabhängig davon müssen Tracking-Tools so konfiguriert werden, dass der Personenbezug bei IP-Adressen aufgehoben wird. Dies wird durch Kürzung der IP-Adresse (in der Regel Löschung des dritten und/oder vierten Oktetts) erreicht.

Achtung: Sollte sich bei der Kontrolle des Tracking-Tools herausstellen, dass bislang keine Anonymisierung der IP-Adressen stattgefunden hat, so müssen die Altdaten laut Auffassung der Datenschutzaufsichtsbehörden gelöscht werden.

Die Besucher von Internetpräsenzen müssen informiert werden, wenn Tracking stattfindet. In der Regel geschieht dies durch einen entsprechenden Passus in der Datenschutzerklärung. Diese sollte von jeder Stelle des Angebots aus durch einen eigenen Link „Datenschutz“ o. Ä. erreichbar sein. In der Datenschutzerklärung muss das Tracking-Tool auch eine Möglichkeit zum Opt-Out von der Besuchserfassung anbieten.

Sofern die Internetpräsenzen beim Aufruf durch mobile Endgeräte (Smartphones, Tablets) modifizierte Inhalte ausliefern, muss dies auch in der Datenschutzerklärung berücksichtigt werden und auf Tracking-Tools hingewiesen werden, die u. U. nur bei dieser Geräteklasse zum Einsatz kommen. Ein Link auf die Datenschutzerklärung der Standard-Präsenz genügt in diesen Fällen nicht.

Eine einmal geprüfte Internetpräsenz sollte in regelmäßigen Intervallen (ein bis zwei Jahre) auf Änderungen hin begutachtet werden. Nicht selten erfolgen Relaunches der Internetpräsenzen, über die der Datenschutzbeauftragte nicht informiert wird.

Hinweise

Einen Mustertext für die Datenschutzinformation und weitere Informationen zum Einsatz von Google Analytics stellen die Aufsichtsbehörden für den Datenschutz auf ihren Internetseiten zur Verfügung, z. B. das Bayerische Landesamt für Datenschutzaufsicht unter:

https://www.lda.bayern.de/media/info_google_analytics.pdf

oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit unter:

https://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_2017.pdf

Vertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG mit Google Deutschland:

http://www.google.com/analytics/terms/de.pdf

Vertragsbedingungen:

http://www.google.com/intl/de/analytics/tos.html

Deaktivierungslink für Google Analytics (in Datenschutzerklärung dem Google-Analytics-Passus hinzuzufügen): https://tools.google.com/dlpage/gaoptout?hl=de

Informationen zur IP-Anonymisierung:

https://developers.google.com/analytics/devguides/collection/gajs/methods/gaJSApi_gat?hl=de-DE

Informationen zur Widerspruchslösung bei mobiler Nutzung:

https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable

Videoüberwachung

Für den Einsatz von Videoüberwachung hat der Gesetzgeber enge Grenzen gesetzt, weshalb es im Regelfall immer der Vorabkontrolle durch den Datenschutzbeauftragten und der Aufnahme in das Verfahrensverzeichnis bedarf.

Die Zulässigkeit der Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen ergibt sich gem. § 4 BDSG-neu bei der Wahrung des Hausrechts bzw. bei der Wahrung berechtigter Interessen für konkret festgelegte Zwecke, sofern keine Anhaltspunkte bestehen, dass das schutzwürdige Interesse der Betroffenen überwiegt.

Darüber hinaus sieht § 4 Abs. 1 BDSG-neu die Videoüberwachung von öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätze sowie Fahrzeuge und öffentlich zugängliche großflächige Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs zu Zwecken zum Schutz von Leben, Gesundheit oder Freiheit von sich dort aufhaltenden Personen, als ein besonders wichtiges Interesse.

Vorab gilt es zu unterscheiden, ob die Videoüberwachung in einem öffentlich oder nichtöffentlich zugänglichen Bereich im Unternehmen stattfindet.

Grundsätzlich sollten die beabsichtigten Zwecke der Videoüberwachung schriftlich dokumentiert werden.

Die Überwachungskameras müssen sichtbar angebracht werden und es müssen Schilder angebracht werden, die vor Betreten des zu überwachenden Bereichs auf den Umstand der Videoüberwachung hinweisen. Die Beschilderung muss dabei sowohl ein entsprechendes Piktogramm als auch Angaben zur verantwortlichen Stelle (Name der verantwortlichen Stelle, Kontaktmöglichkeit) enthalten.

In die Verfahrensdokumentation muss neben den Zwecken der Überwachung auch ein Lageplan, der die Position der Kamera/s sowie den durch die Überwachung abgedeckten Bereich darstellt, mit aufgenommen werden.

Reicht der aufgezeichnete Bereich über die Grundstücksgrenzen der verantwortlichen Stelle hinaus in den öffentlichen Raum (Straße, Gehweg), so muss dieser Bereich ausgeblendet werden können. Dies kann durch Anbringung von Sichtblenden direkt vor der Kameralinse oder auch, bei entsprechender Ausstattung des Aufzeichnungsequipments, per Software geschehen.

Hinsichtlich der Auswertung des Bildmaterials muss eine Reihe von Regelungen getroffen und auf deren Einhaltung geachtet werden. So darf die Auswertung/Sichtung des Videomaterials nur durch einen definierten, kleinen Personenkreis möglich sein. Das Abspielequipment muss vor dem Zugriff anderer Personen geschützt aufgestellt werden.

Handelt es sich bei der Videoüberwachung nicht um Live-Aufnahmen, findet eine Speicherung auf Band- oder digitalen Medien statt. Hier sollten Festlegungen getroffen werden, bei welchen Anlässen eine Auswertung erfolgen darf (z. B. festgestellte Schäden infolge von Vandalismus). Findet sich auf den Aufzeichnungen „Beifang“ (z. B. unberechtigte Rauchpausen von Angestellten), der nicht unter die festgelegte Zweckverfolgung fällt, so darf dieses Material nicht gegen die aufgezeichneten Personen verwendet werden.

Erfolgt bei der Videoüberwachung die Aufzeichnung des Bildmaterials, so muss der Aufzeichnungszeitraum möglichst klein gehalten werden. Allgemein formuliert, sind die Daten dann unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind bzw. schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Eine mehrwöchige Aufzeichnungsdauer zur Ermittlung von Vandalismus an Wochenenden ist sicher als ungerechtfertigt anzunehmen, da der verfolgte Zweck sicher auch mit einer Aufzeichnungsdauer von 2,5 Tagen (Freitagnachmittag bis Montagmorgen) erreicht werden kann.

Die Auswertungen sollten gemäß dem Vieraugenprinzip erfolgen und schriftlich protokolliert werden.

Findet die Videoüberwachung in nichtöffentlichen Bereichen des Unternehmens statt, sind zusätzlich die Vorgaben des § 26 BDSG-neu zu beachten.

D. h., dass bereits in der Planungsphase der Videoüberwachung grundsätzlich der Betriebs- oder Personalrat mit einzubinden ist, um die Verhältnismäßigkeit der Zwecksetzung, Auswertungstatbestände, Einsichtnahme und Aufzeichnungsdauer festzulegen.

Achtung! Eine unzulässige Zwecksetzung einer Videoüberwachung kann nicht durch den Betriebs- oder Personalrat legitimiert werden. Die Mitarbeiter sollten über den Einsatz der Videoüberwachung und über die beabsichtigten Zwecke informiert werden, z. B. durch eine gesonderte Betriebsvereinbarung.

Der Einsatz einer verdeckten Videoüberwachung kann nur als letztes Mittel betrachtet werden und ist nur dann zulässig, wenn es konkrete Verdachtsmomente einer strafbaren Handlung gibt und es an weicheren Maßnahmen zur Erlangung von Beweismitteln fehlt.

Webcam-Einsatz

Waren die ersten Webcams mehr dafür konzipiert, in zeitlich definierten Abständen Einzelbilder aufzunehmen, ist es mit moderneren Modellen möglich, Live-Streams aufzunehmen und wiederzugeben. Ist Letzteres der Fall, sollten sie den gleichen Überprüfungen, wie sie beim „normalen“ Videokameraeinsatz notwendig sind, unterzogen werden.

Ist die Webcam so angebracht, dass die aufgezeichnete Szenerie wegen des großen Abstands eine Identifizierung von Personen nicht zulässt, bedarf es keiner weiteren datenschutzrechtlichen Überprüfung.

Ein zu dem normalen Einsatz von Videokameras unterschiedliches Merkmal ist bei Webcams die Veröffentlichung der Aufzeichnungen in IP-basierten Netzwerken. Das kann die Veröffentlichung auf einer Webseite im Intranet, aber auch im Internet sein.

Stehen die Streaming-Aufnahmen also einer größeren (Intranet) oder unüberschaubaren (Internet) Anzahl von Zuschauern zur Verfügung, dürfte ein rechtskonformer Einsatz im Sinne der DSGVO schwer zu begründen sein.

Werden nur in zeitlich definierten Abständen Einzelbilder angefertigt, so wird es davon abhängig sein, wie zeitlich nah aufeinanderfolgend diese Bilder angefertigt werden. Bei zeitlich sehr kurzen Intervallen wird die Möglichkeit einer Verhaltensüberwachung gegeben sein. So macht es z. B. unter Umständen Sinn, ein Bauprojekt anhand von Webcam-Einzelaufnahmen in seinem Fortschritt zu dokumentieren. Aber hierfür reichen i. d. R. ein bis zwei Aufnahmen pro Tag sicher aus. Wird hingegen alle 15 Minuten eine Aufnahme erstellt, besteht die Möglichkeit der Leistungsüberwachung der auf der Baustelle tätigen Personen.

Unabhängig vom konkreten Zweck und der Betriebsart der Webcam (Stream oder Einzelbilder) empfiehlt es sich, im Sinne des Transparenzgebots über den Betrieb einer solcher Einrichtung mit Hinweisschildern (Piktogramm und Angabe der verantwortlichen Stelle) an den Hauptzugangswegen zu informieren.

Download

Videoueberwachung.docx


E-Mail-Archivsystem

E-Mails können Geschäfts- oder Handelsbriefe darstellen, aber auch steuerrechtlich von Bedeutung sein. Gemäß §§ 238 Abs. 2 und 257 Abs. 1 Nr. 3 HGB ist der Kaufmann verpflichtet, eine mit der Urschrift übereinstimmende Wiedergabe der abgesandten Handelsbriefe (Kopie, Abdruck, Abschrift oder sonstige Wiedergabe des Wortlauts auf einem Schrift-, Bild- oder anderen Datenträger) zurückzubehalten und geordnet aufzubewahren. Das Gleiche gilt gem. § 257 Abs. 1 Nr. 2 HGB auch für die empfangenen Handelsbriefe.

Handelsbriefe sind gem. § 257 Abs. 2 HGB alle Schriftstücke, die ein Handelsgeschäft betreffen. Gemäß § 257 Abs. 3 HGB können mit Ausnahme der Eröffnungsbilanzen und Abschlüsse diese Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden und während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.

Soweit die E-Mails steuerrechtlich von Bedeutung sind, gelten für die Speicherung die Vorschriften der Abgabenordnung. In diesem Zusammenhang ist insbesondere auf die Aufzeichnungs- und Ordnungsvorschriften des zweiten Abschnitts (§§ 145 ff. AO) hinzuweisen. Ergänzende Hinweise finden sich in den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) vom 14.11.2014 – IV A 4 – S 0316/13/10003, die auch für steuerrechtlich relevante E-Mails gelten. Diese Ordnungsvorschriften lassen sich allein schon aufgrund des inzwischen erreichten Volumens an E-Mails nicht mehr mit einer Ablage in einer einfachen Ordnerstruktur erfüllen. Vielmehr verlangen diese Vorschriften auch für E-Mails eine sichere Archivierungslösung, die eine sichere und unveränderbare Speicherung sowie eine jederzeitige Verfügbarkeit gewährleistet (siehe auch BITKOM-Leitfaden E-Mail-Archivierung).

Unabhängig davon, ob E-Mails in von der allgemeinen Archivierung getrennten Archivsystemen archiviert werden oder nicht, gelten für die E-Mail-Archivierung die gleichen rechtlichen Anforderungen wie für ein allgemeines Dokumentenmanagementsystem. Für die Prüfung der rechtlichen und der technisch-organisatorischen Fragen kann deshalb auch für die E-Mail-Archivierung die Checkliste zum Dokumentenmanagementsystem verwendet werden. Bei der Archivierung von E-Mails kommen lediglich einige besondere Fragen hinzu, die in der nachstehenden Checkliste behandelt werden.

Welches Archivierungssystem wird eingesetzt?

Soweit steuerrechtlich relevante E-Mails archiviert werden, ist es nicht ausreichend, diese lediglich in einer festgelegten Ordnerstruktur abzulegen. Verlangt ist vielmehr ein elektronisches Archivsystem, das die Anforderungen an eine sichere und ordnungsgemäße Archivierung im Sinne der Ordnungsvorschriften der Abgabenordnung und der Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) erfüllt. Wird ein elektronisches Archiv in diesem Sinne eingesetzt, werden durch die Maßnahmen zur ordnungsgemäßen Archivierung schon viele datenschutzrechtliche Anforderungen miterfüllt.

Werden auch E-Mails mit personenbezogenen Daten archiviert, ggf. zu welchen Personengruppen, z. B. Kunden, Geschäftspartner, Beschäftigte, Bewerber etc.?

Es ist denkbar, dass E-Mails nur zu bestimmten Geschäftsprozessen archiviert werden. Der Datenschutzbeauftragte stellt deshalb zunächst fest, ob von der E-Mail-Archivierung auch solche mit personenbezogenen Daten erfasst werden. Ist dies nicht der Fall, ist das E-Mail-Archivierungssystem nicht Gegenstand datenschutzrechtlicher Prüfungen.

Sind die E-Mails ihrer Rechtsnatur nach definiert, insbesondere solche mit handels- oder steuerrechtlicher Relevanz, und ist gewährleistet, dass handels- und steuerrechtlich relevante E-Mails identifiziert und entsprechend behandelt werden?

Die Prüfung von steuerrechtlichen Fragen gehört zwar nicht zu den Kernaufgaben des Datenschutzbeauftragten, von der Rechtsnatur der E-Mails, von der Frage also, ob die E-Mails Handelsbriefe bzw. steuerrechtlich relevante Belege sein können, hängt aber z. B. deren Aufbewahrungsfrist ab. Diese Aufbewahrungsfristen sind wiederum bei der datenschutzrechtlichen Beurteilung der Löschfristen zu berücksichtigen. Darüber hinaus sind für den Datenschutzbeauftragten die Kenntnis der Rechtsnatur der E-Mails und die Geltung der o. g. Ordnungsvorschriften auch für die eigene datenschutzrechtliche Beurteilung der Archivierung von Bedeutung.

Werden die rechtlichen und regulatorischen Anforderungen (AO, HGB, GoBD, Basel II, SOX etc.) erfüllt?

Bei dieser Frage kann sich der Datenschutzbeauftragte auf Ergebnisse aus Prüfungen von Steuer- oder Wirtschaftsprüfern, SOX-Audits etc. stützen. Wurden derartige Prüfungen durchgeführt, finden sich in den Ergebnissen meist auch Aussagen mit datenschutzrechtlicher Relevanz, insbesondere zu technischen und organisatorischen Maßnahmen, die der Datenschutzbeauftragte in seine eigene Beurteilung einfließen lassen kann.

Wird vollständig archiviert (Über-alles-Ansatz) oder werden die zu archivierenden Dokumente selektiert?

Der Zeitpunkt der Archivierung ist nicht nur eine technische, sondern auch eine rechtlich relevante Frage, denn je später im Bearbeitungsprozess archiviert wird, desto höher ist das Risiko von Fehlern im Umgang mit den E-Mails oder von Manipulations- oder Löschmöglichkeiten einzuschätzen. Dies beeinflusst nicht nur den Grad der Rechts- und Revisionssicherheit des Systems, sondern ist auch unter den datenschutzrechtlichen Gesichtspunkten des Art. 32 Abs. 1 DSGVO kritisch zu sehen. Auch aus datenschutzrechtlichen Gesichtspunkten sollte deshalb verlangt werden, die E-Mails zum frühestmöglichen Zeitpunkt zu archivieren. Fragen der Spam-Filterung oder der Behandlung von privaten E-Mails sind dabei zu berücksichtigen.

Nach welchen Kriterien wird ggf. selektiert?

Eine spätere Selektion der E-Mails nach archivierungspflichtigen und nicht archivierungspflichtigen E-Mails, u. U. auch nach unterschiedlich langen Aufbewahrungsfristen, hat zwar den Vorteil, dass der Umfang des Archivsystems eher in Grenzen gehalten werden kann, ist aber mit Fehlerrisiken verbunden. Es sind deshalb klare Regelungen erforderlich, welche E-Mails zu archivieren sind und nach welchen Kriterien zu selektieren ist.

Sind die Fragen bezüglich einer privaten Nutzung von E-Mails im Zusammenhang mit einer E-Mail-Archivierung geregelt, ggf. wie und in welcher Form?

Neben den allgemeinen Fragen zur Zulässigkeit einer Nutzung des E-Mail-Systems für private Zwecke ist bei einem Einsatz eines E-Mail-Archivierungssystems der Umgang mit privaten E-Mails zu regeln. Wird der komplette E-Mail-Verkehr archiviert, werden auch die privaten E-Mails mitarchiviert. Da die privaten E-Mails unter den Schutz des Telekommunikationsgeheimnisses fallen, ist hier festzustellen, ob der Schutz des Telekommunikationsgeheimnisses noch besteht. Auch bei einer späteren Archivierung nach einer vorausgegangenen Selektion der E-Mails ist zu regeln, wie mit den privaten E-Mails zu verfahren ist, um eine unzulässige Archivierung von privaten E-Mails zu verhindern.

Ist die Aufbewahrung und Löschung der E-Mails geregelt und wird eine regelmäßige Löschung praktiziert?

E-Mails sind ebenso wie andere personenbezogene Daten gem. Art. 17, 18 DSGVO zu löschen, wenn ihre Kenntnis für die Erfüllung des Speicherzwecks nicht mehr erforderlich ist. Aufbewahrungsfristen aufgrund anderer rechtlicher Vorschriften sind dabei zu beachten. Das E-Mail-Archivsystem muss die Möglichkeiten bieten, diese Löschungsvorschriften zu erfüllen, und es muss ein sicherer Löschprozess eingerichtet sein. Hierzu müssen die Löschfristen und Löschverfahren festgelegt und dokumentiert werden, damit nachvollziehbar ist, wann und auf welche Weise die E-Mails gelöscht werden bzw. gelöscht werden dürfen.

Ist der Umgang mit E-Mails des Betriebsrats, von Beauftragten im Unternehmen wie Suchtbeauftragten oder des Datenschutzbeauftragten geregelt?

Bei der Archivierung von E-Mails ist der besondere Schutz der elektronischen Kommunikation des Betriebsrats und sonstiger Beauftragter im Unternehmen wie des Schwerbehindertenbeauftragten, des Datenschutzbeauftragten, Suchtbeauftragten etc. zu beachten, d. h., die E-Mails dieser Stellen dürfen nicht einfach mitarchiviert werden. Um die Vertraulichkeit der E-Mails der Beschäftigten an diese Stellen zu gewährleisten, ist der Umgang mit diesen E-Mails besonders zu regeln. Eine Möglichkeit besteht z. B. darin, für diese Stellen besondere E-Mail-Adressen einzurichten, die von der Archivierung ausgenommen werden können.

Besteht zum E-Mail-Archivsystem eine Betriebsvereinbarung oder eine Regelung?

Neben den allgemeinen Fragen zur E-Mail-Nutzung, insbesondere der Zulässigkeit der Nutzung für private Zwecke, sind die besonderen Fragen der E-Mail-Archivierung in einer Betriebsvereinbarung regelungsbedürftig. Dazu gehören insbesondere folgende Fragen:

  • Zeitpunkt der Archivierung der ein- und ausgehenden E-Mails und Behandlung ggf. privater E-Mails
  • Verfahren zur Kommunikation der Beschäftigten mit besonders vertraulichen Stellen im Unternehmen wie Betriebsrat, Betriebsarzt, Schwerbehinderten-, Datenschutz-, Suchtbeauftragten, zwischen Beschäftigten und Personalabteilung u. a.
  • Zugriffsbefugnisse auf die E-Mails und Einsichtsbefugnisse
  • Speicherung und Auswertung von personenbezogenen Metadaten und Protokolldaten im Zusammenhang mit der Nutzung des Archivsystems

Download

E-Mail-Archivsystem.docx


Dokumentenmanagementsystem

Je nach Einsatzart und Ausgestaltung stellen sich die Anforderungen an ein Dokumentenmanagementsystem sehr komplex dar. So bestehen konkrete steuerrechtliche Anforderungen, wenn steuer- und rechnungslegungsrelevante Daten und Dokumente verwaltet werden sollen. Werden die erfassten Dokumente nach ihrer Erfassung vernichtet, kommen unter dem Gesichtspunkt des „Ersetzenden Scannens“ weitere Anforderungen hinzu. Überlagert wird das Thema von den allgemeinen datenschutzrechtlichen Anforderungen, die sich wiederum an der Sensibilität und am Schutzzweck der Daten ausrichten. Insoweit verlangt Art. 32 DSGVO, die innerbetriebliche Organisation so zu gestalten, dass die Sicherheit der Verarbeitung und die Sicherstellung der durch die DSGVO geforderten Schutzziele gewährleistet sind.

Aufgrund der hohen Komplexität des Themas kann die Checkliste nicht alle Fragen abdecken, sondern muss sich auf die wesentlichen Fragen beschränken. Ein großer Teil der Fragen leitet sich aus den steuerrechtlichen Anforderungen ab. Diese finden sich insbesondere in den §§ 145 ff. Abgabenordnung und ergänzend in den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) vom 14.11.2014 – IV A 4 – S 0316/13/10003. Von Bedeutung ist hier die Vorschrift des § 147 Abs. 6 Abgabenordnung, der vorschreibt, dass die Finanzbehörde das Recht hat, die mithilfe eines DV-Systems erstellten und nach § 147 Abs. 1 AO aufbewahrungspflichtigen Unterlagen auch durch Datenzugriff zu prüfen. Das steuerpflichtige Unternehmen ist damit verpflichtet, diese Unterlagen in elektronischer Form bereitzustellen.

Weitere Hinweise finden sich in einer Orientierungshilfe „Datenschutz bei Dokumentenmanagementsystemen“ der Aufsichtsbehörden für den Datenschutz und, für den Fall des sogenannten Ersetzenden Scannens, in der Technischen Richtlinie TR 03138 Ersetzendes Scannen (RESISCAN) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vom 20.03.2013. Die TR RESISCAN hat lt. BSI zum Ziel, Anwendern in Justiz, Verwaltung, Wirtschaft und Gesundheitswesen als Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanprodukts auch zu vernichten. Dies betrifft insbesondere solche Anwendungen, in denen gesetzliche oder anders begründete Aufbewahrungs- und Dokumentationspflichten bestehen, die eine besondere Handhabung digitalisierter Dokumente nach sich ziehen, wenn das Original vernichtet werden soll.

Werden die Originaldokumente nach ihrer elektronischen Archivierung vernichtet, stellt sich die Frage nach der gerichtlichen Verwertbarkeit der elektronischen Dokumente bei Beweisaufnahmen vor Gericht. Da darüber bisher kaum Erfahrungen vorliegen, hat die DATEV eG Nürnberg zusammen mit der Projektgruppe Verfassungsverträgliche Technikgestaltung (provet) an der Universität Kassel im Herbst 2013 in einer Simultanstudie „Ersetzendes Scannen“ anhand von 14 simulierten Gerichtsverfahren den tatsächlichen Beweiswert von Scanprodukten beurteilt. Die Ergebnisse der Simulationsstudie dienen dazu, den Beweiswert gescannter Dokumente vor Gericht realitätsnah einzuschätzen, Anwendern Empfehlungen für eine Infrastruktur zu geben, die das rechtssichere ersetzende Scannen von Papierdokumenten so sicher wie möglich werden lassen, aber auch Hilfestellung zu geben, das Risiko einer Vernichtung des Originals besser abzuschätzen. In dieser Studie finden sich zahlreiche Hinweise zur rechtssicheren Gestaltung von Archivierungssystemen.

Welche Dokumente (Bereiche/Arten) werden im DMS gespeichert?

An ein Dokumentenmanagementsystem bestehen unterschiedliche rechtliche Anforderungen, z. B. unter steuerrechtlichen und datenschutzrechtlichen Gesichtspunkten. Werden die Ursprungsdokumente nach ihrer elektronischen Archivierung vernichtet, treten die elektronischen Dokumente an die Stelle der Originaldokumente. Daraus ergeben sich besondere Anforderungen an die Beweiskraft der elektronischen Dokumente und an das Verfahren bei der Archivierung sowie an das elektronische Archiv selbst. Aufgabe des Datenschutzbeauftragten ist es zunächst, zu prüfen, ob im DMS personenbezogene Daten gespeichert werden, und sich einen Überblick über die rechtlichen Anforderungen an die Daten zu verschaffen. Neben den allgemeinen Anforderungen an die Ordnungsmäßigkeit des Archivs treten besondere Datenschutzanforderungen, z. B. bei einer Archivierung von Personalakten oder von steuer- und rechnungslegungsrelevanten Daten und Dokumenten.

Werden auch besondere Datenarten (Art. 9 DSGVO) gespeichert?

Wenn besondere Datenarten gespeichert werden, z. B. im Zusammenhang mit einer elektronischen Archivierung von Personalakten, ist zu prüfen, ob für diese Daten der erforderliche Schutz vor Zugriffen durch unbefugte Stellen eingerichtet ist. Zugriffsbefugnisse müssen dann so differenziert gestaltet sein, dass z. B. bei einem elektronischen Personalaktenarchiv alle beteiligten Stellen, z. B. Beschäftigte der Personalverwaltung, Vorgesetzte etc., nur auf diejenigen Daten zugreifen können, deren Kenntnis für die Erfüllung ihrer Aufgaben erforderlich ist, und Zugriffe auf die besonderen Datenarten auf den erforderlichen Umfang eingeschränkt sind.

Ist eine Organisationsanweisung zur Gewährleistung der Vollständigkeit und Ordnungsmäßigkeit der Archivierung vorhanden?

Zur Gewährleistung einer vollständigen und ordnungsgemäßen Archivierung sollte die Archivierung in einer Organisationsanweisung geregelt werden. Diese Organisationsanweisung sollte insbesondere regeln,

  • wer scannen darf,
  • zu welchem Zeitpunkt gescannt wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung),
  • welches Schriftgut gescannt wird,
  • ob eine bildliche oder inhaltliche Übereinstimmung mit dem Original erforderlich ist,
  • wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit und
  • wie die Protokollierung von Fehlern zu erfolgen hat.

Diese Regelungen schreiben die GoBD für die steuerrelevanten Dokumente vor. Im Hinblick auf die in der DSGVO geforderten technischen und organisatorischen Maßnahmen sollten diese Anforderungen aber für die Archivierung aller personenbezogenen Daten angewendet werden.

Ist gewährleistet, dass fehlerhafte Scanvorgänge, fehlende, unvollständige oder beschädigte Seiten erkannt und korrigiert werden, ggf. wie?

Durch geeignete Kontrollen des Scanvorgangs oder Qualitätskontrollen muss gewährleistet sein, dass fehlerhafte Scanvorgänge oder unvollständige oder beschädigte Seiten erkannt und die Erfassung entsprechend korrigiert bzw. wiederholt wird. Korrekturen oder Wiederholungen müssen protokolliert und nachvollziehbar dokumentiert werden. Diese Ordnungsvorschrift ergibt sich auch aus den Schutzzielen wie in Art. 32 DSGVO aufgeführt.

Ist, soweit erforderlich, eine originalgetreue Erfassung der Dokumente hinsichtlich Größe, Farbe etc. und ihre Übereinstimmung mit dem Originaldokument (bildliche Übereinstimmung gem. § 147 Abs. 2 AO) gewährleistet?

Soweit eine bildliche Übereinstimmung des elektronischen Dokuments mit dem Originaldokument erforderlich ist, z. B. wenn Informationen an eine bestimmte Farbe geknüpft sind, muss dies in einer Organisationsanweisung festgelegt werden. Wird diese Anforderung nicht beachtet, gehen Informationen verloren und es sind auch die Schutzziele nach Sicherstellung der Integrität nicht erfüllt.

Werden Fehler und Störfälle sowie Korrekturen und Wiederholungen beim Scannen/Erfassen der Dokumente nachvollziehbar dokumentiert?

Zur Nachvollziehbarkeit des Erfassungsvorgangs gehören auch eine vollständige Dokumentation von Störfällen beim Erfassungsvorgang und eine Dokumentation von Korrekturen und Wiederholungen. Die Vorgehensweise bei Störfällen muss in einer Organisationsanweisung beschrieben sein. Fehlen derartige Anweisungen, sind eine ordnungsgemäße und revisionsfähige Behandlung von Störfällen und eine korrekte Erfassung der Dokumente nicht gewährleistet. Die Anforderungen an eine datenschutzgerechte Organisation der Erfassung sind dann nicht erfüllt.

Ist die Unveränderbarkeit der archivierten Dokumente gewährleistet, ggf. auf welche Weise?

Die Unveränderbarkeit von archivierten Daten und Dokumenten gehört zu den Kernanforderungen an ein elektronisches Archivsystem. Durch geeignete Dateiformate und Maßnahmen zur Zugriffskontrolle, Beschränkung von Rechten etc. müssen die archivierten Daten und Dokumente geschützt werden. Für zwingend erforderliche Änderungen muss eine Verfahrensbeschreibung existieren und die Änderungen dürfen nur in einer nachvollziehbaren Form durchgeführt werden. Die Befugnis zur Löschung von Dokumenten muss auf den zwingend erforderlichen Kreis von Berechtigten beschränkt sein und Löschungen müssen sowohl bezüglich ihrer Anordnung als auch ihrer Durchführung nachvollziehbar dokumentiert und protokolliert werden.

Zu welchem Zeitpunkt werden die Dokumente archiviert (mit ihrer Entstehung oder zu einem späteren Zeitpunkt)?

Der Zeitpunkt, zu dem die Dokumente zu archivieren sind, muss eindeutig festgelegt sein, z. B. mit dem Eingang des Dokuments bei der verantwortlichen Stelle oder zu einem anderen, klar definierten Zeitpunkt. Grundsätzlich sollte aus Sicherheitsgründen eine frühestmögliche Archivierung angestrebt werden.

Ist ein sicheres technisches Verfahren zur ordnungsgemäßen Erfassung und Archivierung eingerichtet und nachvollziehbar und revisionssicher dokumentiert (Scan- und Archivierungszeitpunkt, Bescheinigung von Prüfungen, ggf. elektronische Signatur etc.)?

Es muss ein sicheres und standardisiertes technisches Verfahren zur Vorbereitung der Dokumente sowie einer ordnungsgemäßen Erfassung und Archivierung eingerichtet und nachvollziehbar und revisionssicher dokumentiert sein. Festzulegen sind auch die zur Gewährleistung einer ordnungsgemäßen und vollständigen Erfassung eingerichteten automatisierten und manuellen Kontrollen wie Protokollierungen der Erfassung, Zeitstempel, manuelle Vollständigkeits- und Lesbarkeitskontrollen etc.

Können die archivierten Dokumente jederzeit und innerhalb einer angemessenen Zeit zur Verfügung gestellt und reproduziert werden?

Zur Sicherstellung der Verfügbarkeit gem. Art. 32 Abs. 1 lit. c DSGVO gehört auch, dass die archivierten Dokumente innerhalb einer angemessenen Zeit verfügbar sind. Der Datenschutzbeauftragte sollte deshalb auch kontrollieren, ob und auf welche Weise Daten und Dokumente zur Bearbeitung bzw. Auskunftserteilung zur Verfügung gestellt werden.

Sind die Aufbewahrungsfristen der Daten festgelegt?

Es ist ein allgemeiner Grundsatz im Datenschutz, dass für alle personenbezogenen Daten und Dokumente Aufbewahrungsfristen festgelegt werden. Dies gilt auch für die in Archivsystemen erfassten Daten und Dokumente.

Ist ein sicherer Prozess zur Löschung, Vernichtung und Entsorgung von Daten und Datenträgern gewährleistet?

Ein sicherer Prozess im o. g. Sinne verlangt grundsätzlich, dass für die archivierten Dokumente überhaupt eine Aufbewahrungsfrist festgelegt ist. Für die Vorgehensweise bei Erreichen des Endes der Aufbewahrungsfrist muss ein geregeltes Verfahren eingerichtet sein, das, soweit erforderlich, sowohl die Befugnis zur Anordnung der Löschung als auch die Durchführung der Löschung sowie deren Protokollierung regelt. Für automatisierte Löschprozesse müssen die Dokumentenarten, Löschfristen und Löschverfahren festgelegt und dokumentiert werden, damit nachvollziehbar ist, wann und auf welche Weise bestimmte Dokumententypen gelöscht werden bzw. gelöscht werden dürfen.

Ist eine fristgerechte Löschung nicht mehr erforderlicher Dokumente gewährleistet?

Aufbewahrungsfristen sind zwar ihrer Art nach Mindestspeicherfristen, schon aus Art. 17 DSGVO ergibt sich jedoch, dass personenbezogene Daten gelöscht werden müssen, wenn ihre Kenntnis für die Erfüllung des Speicherzwecks nicht mehr erforderlich ist. Für ein elektronisches Archiv ist deshalb ein Löschkonzept erforderlich, in dem eine regelmäßige Löschung von nicht mehr aufbewahrungspflichtigen Dokumenten festgelegt ist. Eine Möglichkeit besteht z. B. darin, jeweils zum Beginn eines neuen Geschäftsjahres oder Kalenderjahres nach einem festgelegten Löschplan diejenigen Dokumente oder Dokumentenarten zu löschen, deren Aufbewahrungspflicht abgelaufen ist.

Besteht ein rollenbasiertes revisionsfähiges Rechtekonzept, auch – soweit erforderlich – für externe Stellen wie Wirtschaftsprüfer, Steuerprüfer etc.?

In Archivierungssystemen können Dokumente zu unterschiedlichen Geschäftsprozessen mit unterschiedlichsten zugriffsberechtigten Stellen archiviert sein. Zusätzlich können u. U. auch externe Stellen zugriffsberechtigt sein, z. B. Steuerprüfer, denen die Prüfunterlagen in elektronischer Form zur Verfügung gestellt werden müssen. Erforderlich ist hier ein konsequentes und revisionsfähiges, d. h. auch dokumentiertes und nachprüfbares Rechtekonzept, nach dem die Zugriffsrechte auf die Dokumente nach dem Minimalprinzip vergeben werden. Dabei ist besonders darauf zu achten, dass auch keine versteckten Zugriffsmöglichkeiten bestehen, z. B. wirksame Zugriffsbeschränkungen nach dem Rechteprofil, aber Zugriffsmöglichkeit über eine Volltextrecherche. Bei Rechten externer Stellen ist darauf zu achten, dass diese Rechte zuverlässig auf den notwendigen Rechteumfang beschränkt sind.

Sind die ggf. erforderlichen Zugriffsstrukturen und Berechtigungen auch im Hinblick auf die GoBD eingerichtet?

Nach den Vorschriften der GoBD sind dem Steuerprüfer die elektronisch gespeicherten Unterlagen auch in elektronischer Form zur Verfügung zu stellen. Dies gilt nur für Prüfungen im Rahmen der Außenprüfung und nur für aufzeichnungspflichtige und aufbewahrungspflichtige Unterlagen. Vorlagepflichtig sind auf Verlangen auch die Teile der Verfahrensdokumentation, die es dem Steuerprüfer erlauben, sich einen vollständigen Systemüberblick zu verschaffen, und die für das Verständnis des DV-Systems erforderlich sind. Aus Datenschutzsicht ist zu prüfen, ob die Rechte der externen Stellen auch tatsächlich auf den erforderlichen Umfang begrenzt sind.

Ist durch entsprechende Protokollierungen die Nachweisbarkeit von Änderungen und Löschungen gewährleistet?

Die Möglichkeit, Änderungen und Löschungen nachvollziehen zu können, ist eine Grundanforderung der Revisionsfähigkeit von Datenverarbeitungssystemen. Es ist deshalb erforderlich, alle Änderungen im Archivierungssystem zu protokollieren und über den erforderlichen Zeitraum auch zur Prüfung zur Verfügung zu halten. Betreffen die Änderungen steuerrelevante Vorgänge, sind die Protokolldaten so lange aufzubewahren wie die von den Änderungen betroffenen Unterlagen. Zu den protokollierungspflichtigen Daten gehören auch die sogenannten Metadaten wie Daten über die Grund- und Systemeinstellungen. Die Protokolldaten sind ebenfalls sicher und zugriffsgeschützt zu speichern.

Werden die Originaldokumente zusätzlich aufbewahrt oder nach der Archivierung vernichtet?

Wenn Originaldokumente vernichtet werden, ist zu regeln, welche Dokumente aus steuerlichen oder außersteuerlichen Rechtsvorschriften nicht vernichtet werden dürfen. Für die weiter aufzubewahrenden Dokumente sind Regelungen zu treffen, die Veränderungen der Dokumente nach ihrer Archivierung verhindern. Regelmäßig müssen die aufzubewahrenden Papierdokumente den Bearbeitungsprozessen entzogen werden, um Abweichungen zwischen dem elektronischen Dokument und dem Originaldokument, z. B. durch nachträgliche Änderungen oder Ergänzungen, zu verhindern.

Ist die Migrationsfähigkeit der elektronischen Dokumente auf andere Archivsysteme (z. B. Nachfolgesystem) gewährleistet?

Es kann nicht ausgeschlossen werden, dass elektronische Dokumente zu einem späteren Zeitpunkt auf ein Nachfolgesystem oder auf andere Datenträger portiert werden müssen. Schon bei der Planung und Beschaffung des elektronischen Archivsystems sollte deshalb darauf geachtet werden, dass die elektronischen Dokumente erforderlichenfalls in ein anderes System portiert werden können. Diese Frage ist auch bei Cloud-Anwendungen für den Fall einer Beendigung des Cloud-Dienstes zu beachten und vertraglich entsprechend abzusichern. Handelt es sich bei den elektronischen Dokumenten um steuerrechtlich relevante Vorgänge, müssen für den Fall von Formatänderungen im Zusammenhang mit einem Systemwechsel die besonderen Vorschriften der GoBD beachtet werden. Diese Regelungen schreiben z. B. vor, dass elektronische Handels- oder Geschäftsbriefe und Buchungsbelege in dem Format gespeichert werden, in dem sie erzeugt worden oder eingegangen sind. Formatänderungen sind nur zulässig, wenn die maschinelle Auswertbarkeit nicht eingeschränkt wird und die Dokumente nicht verändert werden. Auch Metadaten und Verknüpfungen müssen quantitativ und qualitativ gleichwertig übernommen werden.

Sind die Datenschutzrechte der Betroffenen (Recht auf Auskunft, Berichtigung, Sperrung und Löschung von Daten) gewährleistet?

Die Rechte der Betroffenen müssen auch im Archivsystem uneingeschränkt gewahrt bleiben. So muss die Möglichkeit bestehen, einzelne Dokumente gezielt zu löschen, für weitere Nutzungen zu sperren oder Gegendarstellungen des Betroffenen mit einem Dokument fest zu verbinden. Die Art und Weise, wie die Erfüllung dieser Rechte im Archivsystem technisch umgesetzt ist, und das entsprechende Verfahren müssen dokumentiert und geregelt sein.

Download

Dokumentenmanagementsystem.docx


Telearbeitsplätze

Mit der zunehmenden Mobilität und Flexibilisierung der Arbeitswelt sowie der Nutzung von privaten Kommunikationsgeräten gewinnt die Telearbeit seit Jahren an Bedeutung. Die Telearbeit ist unter diesen Umständen zunehmend von einer Vermischung von beruflicher und privater Sphäre gekennzeichnet und findet regelmäßig in Privaträumen eines Mitarbeiters statt. Häufig nimmt der Mitarbeiter geschäftliche Unterlagen mit nach Hause und geht dort mit vertraulichen betrieblichen Unterlagen um. Von zu Hause aus besitzt er häufig über mobile Geräte Zugang zu Datenverarbeitungssystemen und vertraulichen bzw. personenbezogenen Daten.

Die Telearbeit kann in unterschiedlichen Erscheinungsformen ausgeübt werden. Regelmäßig wird sie als mobile Telearbeit, z. B. von unterwegs aus, als Teleheimarbeit oder als alternierende Telearbeit ausgeübt. Gemeinsam ist allen Formen der Telearbeit, dass sich der Schwerpunkt der Prüfung durch den Datenschutzbeauftragten auf die technischen und organisatorischen Maßnahmen zum Datenschutz gem. Art. 32 Abs. 1 DSGVO konzentriert. Aufgrund der häuslichen Umgebung stehen hier bestimmte Maßnahmen im Vordergrund und sind eingehend zu hinterfragen und zu prüfen. Die Checkliste unterstützt den Datenschutzbeauftragten bei der Prüfung der Telearbeitsplätze und bei der Dokumentation dieser Prüfung.

Nutzung der Telearbeitsplätze

Soweit personenbezogene Daten verarbeitet oder genutzt werden, ist zu klären, welche Datenverarbeitungsverfahren genutzt werden und welche Kategorien von personenbezogenen Daten zugänglich sind. Zu prüfen ist auch, welche Rechte eingerichtet sind, ob auf die Daten nur lesend zugegriffen werden kann oder ob die Daten auch verarbeitet und übertragen, ggf. auf mobilen Datenträgern gespeichert und auch dort weiterbearbeitet werden können. Abhängig von der Art und der Sensibilität dieser Daten, den eingerichteten Rechten und den Möglichkeiten der Speicherung, Verarbeitung und Übermittlung der Daten am Telearbeitsplatz gestalten sich auch die Anforderungen an die technischen und organisatorischen Maßnahmen und an den Arbeitsplatz selbst. Bei einer Speicherung von personenbezogenen Daten ist aufgrund der besonderen Risiken des Telearbeitsplatzes eine sichere Verschlüsselung der Daten auf allen Geräten und Datenträgern unumgänglich.

Ausstattung der Telearbeitsplätze

Zunächst sind die technische Ausstattung der Telearbeitsplätze, die Sicherheit der Anschlüsse für Telefon und Datenübertragungen und die Schnittstellen an PCs für den Anschluss von mobilen Datenträgern und Geräten zu ermitteln und zu prüfen. Da gerade im häuslichen Bereich auch die Nutzung der Geräte für private Zwecke naheliegt, auch für Familienangehörige, ist die Zulässigkeit der Nutzung für private Zwecke klar zu regeln.

Werden auch private Geräte für betriebliche Zwecke eingesetzt, sind auch die Umstände der Nutzung dieser Geräte für betriebliche Zwecke zu prüfen und zu regeln. Gerade im häuslichen Bereich wirft die Nutzung von privaten Geräten für betriebliche Zwecke, auch durch Familienangehörige, eine Vielzahl von rechtlichen und technisch-organisatorischen Problemen auf, die klar und zuverlässig zu regeln sind. Für diese Prüfung steht ergänzend die Checkliste „Einsatz von privaten Endgeräten“ zur Verfügung. Unter Sicherheitsgesichtspunkten sollten nur betriebliche Geräte eingesetzt und die private Nutzung so weit wie möglich eingeschränkt werden.

Technische und organisatorische Maßnahmen

Die Anforderungen an die technischen und organisatorischen Maßnahmen sind von der Art der Tätigkeit und des Umgangs mit personenbezogenen Daten sowie der Sensibilität und des Schutzbedarfs der Daten abhängig. So macht es z. B. einen Unterschied, ob die PCs über das private WLAN oder über eine sichere Leitung angeschlossen sind, und ob Schnittstellen für mobile Geräte vorhanden sind und betriebliche Daten unkontrolliert auf mobilen Datenträgern gespeichert werden können oder ob diese Anschlüsse deaktiviert sind oder lediglich E-Mails abgerufen und bearbeitet werden oder auch vertrauliche Unterlagen wie z. B. Akten zu Hause bearbeitet und verwahrt werden. Davon abhängig sind insbesondere die räumliche Gestaltung des Telearbeitsplatzes (gesonderter absperrbarer Raum oder sonstige Verhinderung bzw. Kontrolle des Zutritts durch andere Personen, auch durch Familienangehörige) und die Möglichkeiten einer sicheren und vertraulichen Aufbewahrung von betrieblichen Unterlagen in verschlossenen Schränken oder Behältnissen zu beurteilen. Die Sicherheit des Raums zusammen mit der Sicherheit von absperrbaren Möbeln und Behältnissen muss ein der Sensibilität und dem Schutzbedarf der Daten entsprechendes Sicherheitsniveau ergeben.

Soweit vertrauliche Unterlagen zwischen dem betrieblichen und dem häuslichen Arbeitsplatz transportiert werden, müssen je nach Art der Daten sichere und ggf. absperrbare Behältnisse, z. B. Metallkoffer, gefordert werden. Für den Transport der Unterlagen sollte der direkte und kürzeste Weg gewählt werden. Jeder Abweg, Umweg und jede Unterbrechung des Transports für andere Zwecke erhöhen das Risiko des Transports und sollten vermieden werden.

Am Telearbeitsplatz sollte auch eine Möglichkeit einer vertraulichen Vernichtung von Unterlagen vorhanden sein. Regelmäßig fallen hier wohl nur geringe Mengen an Vernichtungsgut an, sodass kleine Aktenvernichter ausreichen werden. Die erforderliche Sicherheitsstufe, i. d. R. Sicherheitsstufe drei nach DIN 66399-2, muss aber erfüllt sein.

Für die Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit gem. Art. 32 Abs. 1 DSGVO sollten die im Unternehmen vorhandenen Sicherheitsrichtlinien und Maßnahmen ebenso Anwendung finden. Keinesfalls darf durch die Nutzung von Telearbeitsplätzen oder mobilen Arbeitsplätzen das erforderliche Sicherheitsniveau unterschritten werden. Soweit erforderlich, müssen Besonderheiten der technischen und organisatorischen Maßnahmen besonders geregelt werden. Regelmäßig empfiehlt es sich, Telearbeitsplatzrichtlinien zu erlassen und in diesen Richtlinien die näheren Anforderungen an die Gestaltung der Telearbeitsplätze und die Sicherheitsfragen zu regeln.

Die Einführung von Telearbeit berührt auch die Mitbestimmungsrechte des Betriebsrats, einerseits unter dem Gesichtspunkt der Gestaltung des Arbeitsplatzes, von Arbeitsablauf und Arbeitsumgebung und andererseits auch im Hinblick auf technische und organisatorische Kontrollen im Sinne von § 87 BetrVG. Über die Einrichtung und die Umstände von Telearbeitsplätzen sollte deshalb eine Betriebsvereinbarung existieren bzw. abgeschlossen werden.

Häusliche Telearbeitsplätze fallen unter den besonderen Schutz der Privatwohnung gem. Art. 13 des Grundgesetzes (Unverletzlichkeit der Wohnung). Soweit für die technische Ausstattung, die Wartung von Geräten oder zu Kontrollzwecken, auch zur Datenschutzkontrolle, ein Betreten des Telearbeitsplatzes durch Beschäftigte oder Beauftragte des Unternehmens erforderlich werden kann, müssen diese Betretungsrechte mit den Betroffenen und ggf. auch mit Familienangehörigen einzelvertraglich vereinbart werden.

Download

Homeoffice.docx


Erhebung zum​
Cloud Computing

Soll in einem Unternehmen Cloud Computing genutzt werden, wird der Datenschutzbeauftragte mit einer ganzen Reihe von Fragen zur Zulässigkeit derartiger Vorhaben konfrontiert. Zunächst steht er vor der Aufgabe, sich über den Stand der Planungen einen strukturierten Überblick zu verschaffen, denn die datenschutzrechtlichen Fragen gestalten sich sehr vielschichtig und komplex. Andererseits können in diesem Stadium noch viele Fragen offen bzw. überhaupt noch nicht betrachtet worden ein.

Mit der Checkliste „Erhebung zum Cloud Computing“ können Sie als Datenschutzbeauftragter den vorhandenen Informationsstand erfassen. Zusätzlich unterstützt Sie diese Checkliste auch, für eine erste Bewertung der Zulässigkeit die erforderlichen Fragen zu stellen und nach deren Erhebung eine erste Bewertung vorzunehmen. Die Checkliste dient damit einer ersten Erhebung dieses Themas im Unternehmen. Eine zusätzliche Hilfestellung zur Beurteilung einzelner Sachverhalte gibt die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises vom 9. Oktober 2014.

Allgemeine Fragen

Sollen personenbezogene oder sonstige Unternehmensdaten in einer Cloud gespeichert und verarbeitet werden, sollte zuerst Klarheit über die Bedeutung dieser Daten für das Unternehmen und für die Betroffenen geschaffen werden. Je sensibler die personenbezogenen Daten und je businesskritischer die Daten sind, desto höher sind die rechtlichen und die Sicherheitsanforderungen an die Cloud einzuschätzen. Bei besonders kritischen Daten kann z. B. die Abwägung des Schutzbedarfs der Daten gegen die unter den gegebenen Umständen vorhandenen Risiken der Cloud zu dem Ergebnis führen, dass eine Speicherung und Verarbeitung der Daten in einer Cloud nicht zu verantworten ist.

Bevor überhaupt Fragen zur Cloud gestellt werden, sollte aus den o. g. Gründen der Schutzbedarf der Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität geklärt und beschrieben werden. Bezüglich der Vertraulichkeit bietet sich eine Skalierung von öffentlich über intern, vertraulich und streng vertraulich an. Eventuell kann auch eine Datenschutzfolgenabschätzung erforderlich werden. Auch hinsichtlich der Verfügbarkeit und der Integrität der Daten ist eine Skalierung denkbar. In die Beurteilung des Grades des Schutzbedarfs sind auch unternehmensspezifische Gesichtspunkte wie Spionage- und Sabotagerisiken oder Risiken durch einen möglichen Zugriff durch ausländische Behörden einzubeziehen. Erst wenn die Anforderungen an die Informationssicherheit geklärt sind, können die rechtlichen und technisch-organisatorischen Anforderungen an die Cloud näher konkretisiert werden. Abschließend kann dann entschieden werden, ob die konkreten Schutzstandards des Cloud-Anbieters den tatsächlichen Anforderungen genügen und eine Speicherung und Verarbeitung der Daten in der Cloud vertretbar und zulässig ist.

Cloud-Anbieter

Der Anbieter und der tatsächliche, sprich technische, Betreiber der Cloud müssen nicht zwingend identisch sein. Dies und auch der Sitz des Cloud-Betreibers und der tatsächliche Ort der Speicherung und Verarbeitung müssen zuverlässig geklärt werden. In diesem Zusammenhang ist auch zu klären, ob sich der Ort der Verarbeitung, z. B. durch Verlagerungen von Rechnerkapazität, im Lauf des Vertragsverhältnisses ändern kann. Ist dies nicht ausgeschlossen, müssen im Vertrag Regelungen getroffen werden, die sicherstellen, dass der Auftraggeber rechtzeitig über derartige Veränderungen unterrichtet wird und ggf. erforderliche zusätzliche Prüfungen oder Maßnahmen, z. B. Vertragsergänzungen, einleiten kann.

Die Art der Cloud, ob Private Cloud, Community Cloud, Hybrid Cloud oder Public Cloud, gibt über die Infrastruktur und die Art der technischen Gestaltung der Cloud Auskunft. In Abhängigkeit von der Art der Cloud gestalten sich die organisatorischen und technischen Verhältnisse und die Risiken unterschiedlich und sind unterschiedliche vertragliche Regelungen erforderlich. Die Art der Cloud und der Ort der Verarbeitung, z. B. Private Cloud mit einem exklusiven Zugriff des Auftraggebers oder Public Cloud mit einer auf eine öffentliche Nutzung ausgelegten Infrastruktur und eventuell verteilten oder wechselnden Betriebsstätten, ist deshalb zuverlässig festzustellen.

Seit 2011 können Cloud-Anbieter ihre Cloud-Services nach vom Cloud-Verband Eurocloud Deutschland in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik abgestimmten Mindestsicherheitsanforderungen überprüfen lassen und ein Gütesiegel erwerben. Je nach Zertifizierungstiefe können die Cloud-Anbieter damit für die zertifizierten Services ein Zertifikat erwerben und die Erfüllung von grundlegenden Anforderungen an eine rechtssichere Cloud belegen.

Die Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer gestaltet sich teilweise sehr schwierig. Es bietet sich deshalb zunächst an, die Sicherheit und Ordnungsmäßigkeit der Cloud-Services anhand von geeigneten Zertifikaten zu überprüfen. Dabei ist darauf zu achten, dass es sich einerseits um Zertifikate von anerkannten und unabhängigen Zertifizierungsstellen und andererseits auch um Zertifikate handelt, die in Europa anerkannt und geeignet sind, die Sicherheit, Ordnungsmäßigkeit und Datenschutzkonformität der Cloud nachzuweisen. Dabei sollte nicht nur die Existenz solcher Zertifikate belegt, sondern auch die Zertifikate und Prüfberichte bzw. deren Ergebnisse zur Prüfung ihrer Aktualität und des Umfangs der Zertifizierung zur Verfügung gestellt werden. Neben Zertifikaten sollten vom Cloud-Anbieter weitere Nachweise, insbesondere eine ausreichend transparente Datenschutzerklärung, Sicherheitsrichtlinien etc., vorgelegt werden können. Wichtig ist auch ein Migrationsplan mit einer Beschreibung des Verfahrens zur Datenübernahme einschließlich der erforderlichen Testungen und der Freigabe des Verfahrens. Dies ist insbesondere bei steuer- und handelsrechtlich relevanten Daten wegen der dort geltenden Form- und Nachweisvorschriften von Bedeutung. Insgesamt müssen Unterlagen und Nachweise vorliegen, die eine ausreichende und nachvollziehbare Prüfung ermöglichen, ob die rechtlichen Voraussetzungen vorhanden sind und die erforderlichen technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit eingerichtet und auch eingehalten werden.

Die Art der zu verarbeitenden Daten ist festzustellen. Je nach dem Ort der Verarbeitung (BRD/EU oder Drittstaat) können für bestimmte Datenarten wie z. B. besondere Datenarten oder handels- bzw. steuerrechtlich relevante Daten besondere Voraussetzungen zu beachten sein. So müssen steuerrechtlich relevante Belege, soweit keine Ausnahmegenehmigung der zuständigen Finanzbehörde vorliegt, gem. § 146 Abs. 2 Satz 1 Abgabenordnung grundsätzlich im Inland geführt werden. Auch der Ort der Speicherung und Verarbeitung und auch der Speicherort von Back-up-Dateien müssen unter diesen Gesichtspunkten zuverlässig festgestellt werden.

Die Art des beauftragten Servicemodells (SaaS, PaaS, IaaS oder Storage as a Service) bestimmt die Art des Vertrags. Regelmäßig wird ein Mischvertrag vorliegen, wobei je nach Servicemodell mietvertragliche, werkvertragliche, dienst- oder leihvertragliche Elemente überwiegen können. Davon abhängig ergeben sich unterschiedliche Regelungen zu Gewährleistung und Haftung des Cloud-Anbieters.

Die gespeicherten Daten unterliegen unterschiedlichen Aufbewahrungsfristen, insbesondere nach Steuer- und Handelsrecht. Innerhalb dieser Aufbewahrungsfristen müssen die Daten verfügbar und jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können (§ 257 Abs. 3 Nr. 2 HGB, § 147 Abs. 2 Nr. 2 AO). Nach Ablauf dieser Aufbewahrungsfristen müssen die personenbezogenen Daten gem. Art. 17 DSGVO gelöscht werden, soweit eine weitere Kenntnis der Daten nicht mehr erforderlich ist. Diese Löschpflicht gilt grundsätzlich auch für Back-up-Daten und insbesondere für Daten, die in einer Cloud gespeichert sind.

Unterauftragnehmer

Die Beauftragung von Unterauftragnehmern muss vom Cloud-Anbieter vollständig und transparent offengelegt werden, d. h., die übertragenen Teilaufgaben, Namen und Anschrift der Unterauftragnehmer, Ort bzw. Orte der Speicherung und Verarbeitung und Nachweise über die Sicherheit, Ordnungsmäßigkeit und Datenschutzkonformität der Speicherung und Verarbeitung müssen vorgelegt werden. Damit durch die Unterbeauftragung keine Sicherheitslücken entstehen können, muss der Cloud-Anbieter mit dem Unterauftragnehmer einen datenschutzkonformen Vertrag abschließen und die Unterauftragnehmer im gleichen Umfang verpflichten, wie er selbst dem Auftraggeber gegenüber verpflichtet ist. Der Cloud-Anbieter muss die Unterauftragnehmer regelmäßig auf die Einhaltung dieser Sicherheits-, Ordnungsmäßigkeits- und Datenschutzanforderungen überprüfen und diese Prüfungen und Ergebnisse dem Auftraggeber gegenüber nachweisen bzw. durch entsprechende Zertifikate von unabhängigen Stellen belegen. Grundsätzlich muss auch dem Auftraggeber die Möglichkeit eingeräumt werden, die erforderlichen Prüfungen selbst durchzuführen. Entsprechende Regelungen müssen im Vertrag enthalten sein. Ebenso muss durch vertragliche Regelungen sichergestellt sein, dass der Auftraggeber bei einer Beauftragung von Unterauftragnehmern rechtzeitig unterrichtet wird.

Vertrag

Regelmäßig handelt es sich bei Verträgen zum Cloud Computing nicht um frei ausgehandelte, sondern in Form und Inhalt vorgegebene Standardverträge. Der Auftraggeber sollte deshalb eventuelle besondere Anforderungen und seine individuellen Anforderungen hinsichtlich Sicherheit, Ordnungsmäßigkeit und Datenschutz konkretisieren und festlegen. Auf dem Boden dieser konkreten Anforderungen ist dann zu prüfen, ob der angebotene Vertrag die erforderlichen Regelungen enthält. Soweit im Formvertrag die erforderlichen Regelungen nicht ausreichend enthalten sind, müssen entsprechende Ergänzungsvereinbarungen abgeschlossen werden.

Die Vertragssprache, geltendes Vertragsrecht und Gerichtsstand sollten aufeinander abgestimmt sein, um Auslegungsproblemen und bei gerichtlichen Verfahren Verfahrensproblemen sowie erheblichen Zusatzkosten, z. B. durch Übersetzungen und ausländische Fachanwälte, vorzubeugen. Vorteilhaft ist für deutsche Auftraggeber, im Rahmen der gesetzlichen und tatsächlichen Möglichkeiten einheitlich die deutsche Vertragssprache, einen deutschen Gerichtsstand und deutsches Vertragsrecht zu vereinbaren.

Zu beachten ist auch, welches Recht von einem ausländischen Cloud-Anbieter der Datenverarbeitung zugrunde gelegt wird. Sind darüber im Vertrag keine oder unklare Regelungen enthalten, müssen entsprechende Konkretisierungen und Ergänzungen getroffen werden.

Datenschutzrechtlich wird es sich beim Cloud Computing regelmäßig um eine Auftragsverarbeitung handeln. Es ist deshalb zu prüfen, ob die Anforderungen des Art. 28 DSGVO hinsichtlich der zu regelnden Sachverhalte sowie die sonstigen, sich aus der DSGVO ergebenden Verpflichtungen ausreichend berücksichtigt sind. Dazu gehören auch Regelungen zu den Rechten an den Daten, die Verpflichtung des Auftragnehmers und ggf. auch von Unterauftragnehmern auf eine ausschließlich auftragsgebundene Verwendung der Daten und Regelungen zur Haftung und zu Vertragsstrafen. Von besonderer Wichtigkeit sind Regelungen zur Löschung bzw. Herausgabe von Daten nach Beendigung der Vertragsbeziehungen bzw. zur Portierbarkeit der Daten auf andere Systeme. Soweit steuerrechtlich relevante Dokumente enthalten sind, sind die besonderen Voraussetzungen der Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) vom 14.11.2014 zu beachten.

Technische und organisatorische Maßnahmen

Art und Umfang der erforderlichen technischen und organisatorischen Maßnahmen richten sich nach der Sensibilität der Daten und dem Risiko für die Betroffenen. Ebenso wie bei sonstigen Auftragsvergaben muss auch hier der Auftraggeber die vor dem Hintergrund der individuellen Schutzwürdigkeit der zu verarbeitenden Daten konkret zu fordernden technischen und organisatorischen Maßnahmen festlegen und deren Erfüllung bzw. Erfüllbarkeit überprüfen. Dabei ist davon auszugehen, dass die Risiken der Speicherung und Verarbeitung je nach Art der Cloud unterschiedlich einzuschätzen sind. So ergeben sich z. B. in einer Public Cloud zusätzliche und höher einzuschätzende Risiken als z. B. in einer Private Cloud. Diese unterschiedlichen und zusätzlichen Risiken sind bei der Prüfung zu berücksichtigen. Grundsätzlich ist ein organisiertes, dokumentiertes und kontrolliertes Sicherheits- und Datenschutzmanagement auf einer international anerkannten Normengrundlage, z. B. nach ISO 27001, mit regelmäßigen Sicherheitsaudits zu fordern. Da diese Normen nicht alle Datenschutzanforderungen mit abbilden, muss die Erfüllung spezieller Anforderungen nach der DSGVO, z. B. die Erfüllung der Rechte der Betroffenen, zusätzlich geprüft werden. Wichtig und zu prüfen ist auch die Frage, ob ein zuverlässiger und dokumentierter Prozess zum Auftragsmanagement eingerichtet ist. Ausreichend konkrete Sicherheits- und Datenschutzkonzepte (nicht die detaillierten internen Regelungen) müssen dem Auftraggeber ebenso zur Einsichtnahme zur Verfügung gestellt werden wie die Nachweise über durchgeführte Audits zu Sicherheits-, Ordnungsmäßigkeits- und Datenschutzfragen. Ebenso sollte ein für den Auftraggeber auch ansprechbarer IT-Sicherheitsbeauftragter bestellt sein.

Speicherung und Verarbeitung in einem nicht als sicher anerkannten Drittstaat

Bei einer Speicherung und Verarbeitung von personenbezogenen Daten in einer Cloud innerhalb der EU richtet sich die Beauftragung nach Art. 28 DSGVO. Dies gilt aber nur dann, wenn die Daten auch tatsächlich und ohne Ausnahme innerhalb der EU gespeichert und verarbeitet werden. Es ist nicht ausgeschlossen, dass auch europäische Cloud-Anbieter Dienste von Providern außerhalb der EU nutzen. Bei derart verteilten Clouds mit einer teilweisen Verarbeitung oder Speicherung von Daten außerhalb der EU (z. B. zu Back-up-Zwecken) ist Art. 28 DSGVO als Rechtsgrundlage alleine nicht mehr ausreichend. Es ist deshalb auch bei europäischen Anbietern genau zu hinterfragen, ob die Daten auch ausschließlich innerhalb der EU gespeichert und verarbeitet werden, und der Anbieter muss entsprechende Garantien für eine Verarbeitung innerhalb der EU abgeben.

Werden personenbezogene Daten in einer Cloud in einem Drittstaat gespeichert und verarbeitet, müssen die besonderen Voraussetzungen der Art. 44 bis 47 sowie Art. 49 DSGVO erfüllt sein, soweit von der EU-Kommission für den jeweiligen Drittstaat kein den Verhältnissen in der EU/EWR vergleichbares Datenschutzniveau bestätigt ist. Innerhalb eines Konzerns kann dies z. B. durch verbindliche Unternehmensregelungen, sogenannte Binding Corporate Rules (BCR), geschehen. Regelmäßig wird ein Vertrag nach den EU-Standardvertragsklauseln über eine Auftragsverarbeitung abgeschlossen. Dieser Vertrag ist unverändert und ungekürzt anzuwenden. Bei einer Speicherung und Verarbeitung in den USA kann auch eine Verpflichtung des Auftragnehmers auf das EU-US-Privacy-Shield-Abkommen zugrunde gelegt werden.

Sollen besondere Datenarten gespeichert und verarbeitet werden, scheidet Cloud Computing in Drittstaaten regelmäßig aus, weil Art. 6 Abs. 1 DSGVO nicht anwendbar ist und die Voraussetzungen nach Art. 9 DSGVO regelmäßig nicht gegeben sind. Soweit steuerrechtlich relevante Daten oder Dokumente in der Cloud gespeichert werden sollen, sind die besonderen Voraussetzungen des § 146 Abs. 2 AO zu beachten, der grundsätzlich eine Speicherung im Inland vorsieht und eine Speicherung im Ausland von einer Genehmigung der zuständigen Finanzbehörde gem. § 146 Abs. 2a AO abhängig macht.

In den USA können Geheimdienste und Ermittlungsbehörden insbesondere auf der Grundlage des Patriot Act, aber auch nach anderen Rechtsvorschriften, von privaten Stellen die Herausgabe von Daten verlangen. Vergleichbare Auskunftsrechte für Geheimdienste und Sicherheitsbehörden bestehen teilweise auch in anderen Staaten. Unter diesem Gesichtspunkt ist eine Nutzung einer Cloud zwar nicht unzulässig, allerdings ist zu prüfen, ob unter diesen Umständen eine Speicherung und Verarbeitung der Daten, vor allem, wenn es sich um besonders sensible Daten handelt, vertretbar ist. Im Fall einer Nutzung einer Cloud in einem Drittstaat ist zu prüfen, ob der Vertrag Regelungen bzw. Auskünfte über derartige Zugriffsrechte enthält und der Auftraggeber im Fall einer Herausgabe der Daten an diese Stellen vom Auftragnehmer unterrichtet wird.

Sollen die Daten auf der Grundlage von Privacy Shield gespeichert und verarbeitet werden, treffen den Auftraggeber hinsichtlich der Tragfähigkeit der Privacy-Shield-Zertifizierung besondere Prüfpflichten (siehe Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich vom 28/29.04.2010 und überarbeitete Fassung vom 23.08.2010).

Sollen Personaldaten verarbeitet werden, ist ferner zu prüfen, ob sich der Cloud-Anbieter gem. FAQ 9 Frage 4 des EU-US-Privacy-Shield-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat (ist aus dem Privacy-Shield-Eintrag ersichtlich). Bei Datentransfers in die USA ist auch von Bedeutung, ob der Cloud-Anbieter zu Prüfzwecken einen Zugriff auf die Protokolldateien ermöglicht. Damit soll dem Auftraggeber die Möglichkeit gegeben werden, Fremdzugriffe auf seine Daten nachvollziehen zu können. Bezüglich der Protokollierung müssen die Anforderungen der Orientierungshilfe Protokollierung der Aufsichtsbehörden für den Datenschutz erfüllt sein. Die Verpflichtung des Auftragnehmers auf die Prinzipien des EU-US-Privacy-Shields allein ist für eine Datenübermittlung bzw. Datenverarbeitung nicht ausreichend. Es muss vielmehr zusätzlich ein Vertrag nach den Vorgaben von Art. 28 DSGVO abgeschlossen werden.

Download

Erhebung-zum-Cloud-Computing.docx


Datenschutzauskunft​
Cloud Computing gemäß Art. 28 DSGVO

Cloud Computing ist regelmäßig als Auftragsverarbeitung im Sinne des Art. 28 EU-Datenschutzgrundverordnung (DSGVO) anzusehen. Nach dieser Bestimmung muss der Auftraggeber vor Beginn der Datenverarbeitung prüfen, ob beim Auftragnehmer geeignete technische und organisatorische Maßnahmen zum Datenschutz eingerichtet sind und eingehalten werden. Diese Prüfpflicht gilt auch gegenüber Unterauftragnehmern.

Mit der Checkliste „Datenschutzauskunft Cloud Computing“ können Sie vom Cloud-Anbieter eine Selbstauskunft einholen und diese einer ersten Prüfung gem. Art. 28 DSGVO unterziehen. Zusätzlich unterstützt Sie diese Checkliste auch für eine erste Bewertung der Zulässigkeit der Beauftragung. Die Checkliste ergänzt auch die Checkliste über die Erhebung zum Cloud Computing und enthält weiterführende Fragen und Erhebungen, insbesondere zu den technischen und organisatorischen Maßnahmen. Teilweise wiederholt diese Checkliste auch Fragen aus der Checkliste über die Erhebung zum Cloud Computing. Diese Wiederholungen betreffen insbesondere Fragen, über die vom Cloud-Anbieter eine definitive und bestätigte Aussage vorliegen sollte, weil diese Fragen von erheblicher Bedeutung für die Beurteilung von Risiken und der Zulässigkeit der Beauftragung sind. Insoweit wird auf die Erläuterungen zu dieser Checkliste verwiesen.

Eine zusätzliche Hilfestellung zur Beurteilung einzelner Sachverhalte gibt die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises vom 9. Oktober 2014.

Cloud-Anbieter

Der Anbieter und der tatsächliche, sprich technische, Betreiber der Cloud müssen nicht zwingend identisch sein. Dies und auch der Sitz des Cloud-Betreibers und der tatsächliche Ort der Speicherung und Verarbeitung müssen zuverlässig geklärt werden. In diesem Zusammenhang ist auch zu klären, ob sich der Ort der Verarbeitung, z. B. durch Verlagerungen von Rechnerkapazität, im Lauf des Vertragsverhältnisses ändern kann. Ist dies nicht ausgeschlossen, müssen im Vertrag Regelungen getroffen werden, die sicherstellen, dass der Auftraggeber rechtzeitig über derartige Veränderungen unterrichtet wird und ggf. erforderliche zusätzliche Prüfungen oder Maßnahmen, z. B. Vertragsergänzungen, einleiten kann. Dies ist insbesondere dann von Bedeutung, wenn der Ort der Speicherung und Verarbeitung über die Grenzen der EU/EWR hinaus verlagert wird.

Die Art der Cloud, ob Private Cloud, Community Cloud, Hybrid Cloud oder Public Cloud, gibt über die Infrastruktur und die Art der technischen Gestaltung der Cloud Auskunft. In Abhängigkeit von der Art der Cloud gestalten sich die organisatorischen und technischen Verhältnisse und die Risiken unterschiedlich und sind unterschiedliche vertragliche Regelungen erforderlich. Über die Art der Cloud und den Ort der Verarbeitung, z. B. Private Cloud mit einem exklusiven Zugriff des Auftraggebers einerseits oder Public Cloud mit einer auf eine öffentliche Nutzung ausgelegten Infrastruktur andererseits und eventuell verteilten oder wechselnden Betriebsstätten, muss der Cloud-Anbieter eindeutig Auskunft geben.

Die Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer gestaltet sich teilweise sehr schwierig. Es bietet sich deshalb zunächst an, die Sicherheit und Ordnungsmäßigkeit der Cloud-Services anhand von geeigneten Zertifikaten zu überprüfen. Dabei ist darauf zu achten, dass es sich einerseits um Zertifikate von anerkannten und unabhängigen Zertifizierungsstellen und andererseits auch um Zertifikate handelt, die in Europa anerkannt und geeignet sind, die Sicherheit, Ordnungsmäßigkeit und Datenschutzkonformität der Cloud nachzuweisen. Dabei sollte nicht nur die Existenz solcher Zertifikate belegt, sondern die Zertifikate und Prüfberichte bzw. deren Ergebnisse sollten zur Prüfung ihrer Aktualität und des Umfangs der Zertifizierung zur Verfügung gestellt werden. Dabei ist darauf zu achten, ob der konkrete Cloud-Service, der in Anspruch genommen werden soll, von den Zertifikaten auch in vollem Umfang abgedeckt wird. Diese Zertifikate umfassen häufig auch nicht das gesamte Spektrum an Datenschutzanforderungen. Die nicht umfassten Fragen sind dann zusätzlich zu klären. Neben Zertifikaten sollten vom Cloud-Anbieter weitere Nachweise, insbesondere eine ausreichend transparente Datenschutzerklärung, Sicherheitsrichtlinien etc. vorgelegt werden können. Wichtig ist auch ein Migrationsplan mit einer Beschreibung des Verfahrens zur Datenübernahme einschließlich der erforderlichen Testungen und der Freigabe des Verfahrens. Dies ist insbesondere bei steuer- und handelsrechtlich relevanten Daten wegen der dort geltenden Form- und Nachweisvorschriften von Bedeutung. Insgesamt müssen Unterlagen und Nachweise vorliegen, die eine ausreichende und nachvollziehbare Prüfung ermöglichen, ob die rechtlichen Voraussetzungen vorhanden sind und die erforderlichen technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit eingerichtet und auch eingehalten werden.

Soweit steuerrechtlich relevante Daten gespeichert und verarbeitet werden sollen, sind die besonderen Vorschriften des § 146 Abs. 2 Satz 1 Abgabenordnung zu beachten. Danach müssen diese Daten grundsätzlich im Inland geführt werden. Der Ort der Speicherung und Verarbeitung und auch der Speicherort von Back-up-Dateien müssen unter diesen Gesichtspunkten vom Cloud-Anbieter zuverlässig und verbindlich dargelegt werden.

Unterauftragnehmer

Die Beauftragung von Unterauftragnehmern muss vom Cloud-Anbieter vollständig und transparent offengelegt werden, d. h., die übertragenen Teilaufgaben, Namen und Anschrift der Unterauftragnehmer, Ort bzw. Orte der Speicherung und Verarbeitung und Nachweise über die Sicherheit, Ordnungsmäßigkeit und Datenschutzkonformität der Speicherung und Verarbeitung müssen vorgelegt werden. Der rechtliche Sitz eventueller Unterauftragnehmer muss nicht mit dem tatsächlichen Ort der Speicherung und Verarbeitung identisch sein. Beides ist zu erheben, denn der rechtliche Sitz kann z. B. für das anzuwendende Recht, für den Gerichtssitz etc. von Bedeutung sein, während der Ort der tatsächlichen Verarbeitung (BRD/EU oder Drittstaat) für die Beurteilung der Datenübermittlung ausschlaggebend ist. Damit durch die Unterbeauftragung keine Sicherheitslücken entstehen können, muss der Cloud-Anbieter mit dem Unterauftragnehmer einen datenschutzkonformen Vertrag abschließen und die Unterauftragnehmer im gleichen Umfang verpflichten, wie er selbst dem Auftraggeber gegenüber verpflichtet ist. Die Verträge über die Beauftragung von Unterauftragnehmern müssen dem Auftraggeber zur Prüfung zur Verfügung gestellt werden. Der Cloud-Anbieter muss die Unterauftragnehmer regelmäßig auf die Einhaltung dieser Sicherheits-, Ordnungsmäßigkeits- und Datenschutzanforderungen überprüfen und diese Prüfungen und Ergebnisse dem Auftraggeber gegenüber nachweisen bzw. durch entsprechende Zertifikate von unabhängigen Stellen belegen. Grundsätzlich muss auch dem Auftraggeber die Möglichkeit eingeräumt werden, die erforderlichen Prüfungen selbst durchzuführen. Entsprechende Regelungen müssen im Vertrag enthalten sein. Ebenso muss durch vertragliche Regelungen sichergestellt sein, dass der Auftraggeber bei einer Beauftragung von Unterauftragnehmern rechtzeitig vor der Aufnahme der Verarbeitung durch den Unterauftragnehmer unterrichtet wird.

Speicherung und Verarbeitung in einem nicht als sicher anerkannten Drittstaat

Bei einer Speicherung und Verarbeitung von personenbezogenen Daten in einer Cloud innerhalb der EU/EWR richtet sich die Beauftragung nach Art. 28 DSGVO. Dies gilt aber nur dann, wenn die Daten auch tatsächlich und ohne Ausnahme innerhalb der EU/EWR gespeichert und verarbeitet werden. Es ist nicht ausgeschlossen, dass auch europäische Cloud-Anbieter Dienste von Providern außerhalb der EU/EWR nutzen. Bei derart verteilten Clouds mit einer teilweisen Verarbeitung oder Speicherung von Daten außerhalb der EU/EWR (z. B. zu Back-up-Zwecken) ist Art. 28 DSGVO als alleinige Rechtsgrundlage nicht mehr ausreichend. Es ist deshalb auch bei europäischen Anbietern genau zu hinterfragen, ob die Daten auch ausschließlich innerhalb der EU/EWR gespeichert und verarbeitet werden, und der Anbieter muss darüber genaue und verbindliche Auskünfte und entsprechende Garantien für eine Verarbeitung innerhalb der EU/EWR abgeben.

Werden personenbezogene Daten in einer Cloud in einem Drittstaat gespeichert und verarbeitet, müssen die besonderen Voraussetzungen der Art. 44 bis 47 sowie Art. 49 DSGVO erfüllt sein, soweit von der EU-Kommission für den jeweiligen Drittstaat kein den Verhältnissen in der EU/EWR vergleichbares Datenschutzniveau bestätigt ist. Innerhalb eines Konzerns kann dies z. B. durch verbindliche Unternehmensregelungen, sogenannte Binding Corporate Rules (BCR), geschehen. Regelmäßig wird ein Vertrag nach den EU-Standardvertragsklauseln über eine Auftragsverarbeitung abgeschlossen. Dieser Vertrag ist unverändert und ungekürzt anzuwenden. Bei einer Speicherung und Verarbeitung in den USA kann auch eine Verpflichtung des Auftragnehmers auf Privacy Shield zugrunde gelegt werden.

Sollen besondere Datenarten gespeichert und verarbeitet werden, scheidet Cloud Computing in Drittstaaten regelmäßig aus, weil Art. 6 Abs. 1 DSGVO nicht anwendbar ist und die Voraussetzungen nach Art. 9 und 10 DSGVO regelmäßig nicht gegeben sind. Soweit steuerrechtlich relevante Daten oder Dokumente in der Cloud gespeichert werden sollen, sind die besonderen Voraussetzungen des § 146 Abs. 2 AO zu beachten, der grundsätzlich eine Speicherung im Inland vorsieht und eine Speicherung im Ausland von einer Genehmigung der zuständigen Finanzbehörde gem. § 146 Abs. 2a AO abhängig macht.

In den USA können Geheimdienste und Ermittlungsbehörden, insbesondere auf der Grundlage des Patriot Act, aber auch nach anderen Rechtsvorschriften, von privaten Stellen die Herausgabe von Daten verlangen. Vergleichbare Zugriffs- bzw. Auskunftsrechte für Geheimdienste und Sicherheitsbehörden bestehen teilweise auch in anderen Staaten. Unter diesem Gesichtspunkt ist eine Nutzung einer Cloud in diesen Staaten zwar nicht unzulässig, allerdings ist zu prüfen, ob unter diesen Umständen eine Speicherung und Verarbeitung der Daten, vor allem, wenn es sich um besonders sensible Daten handelt, vertretbar ist. Im Fall einer Nutzung einer Cloud in einem Drittstaat ist zu prüfen, ob der Cloud-Anbieter über eventuelle Auskunftsrechte und Zugriffsbefugnisse dieser Stellen Auskunft gibt und der Vertrag Regelungen über derartige Zugriffsrechte enthält und der Auftraggeber im Fall einer Herausgabe der Daten an diese Stellen vom Auftragnehmer unterrichtet wird.

Sollen die Daten auf der Grundlage des EU-US-Privacy-Shield-Abkommens gespeichert und verarbeitet werden, treffen den Auftraggeber hinsichtlich der Tragfähigkeit der Privacy-Shield-Zertifizierung besondere Prüfpflichten (als Leitfaden kann der Beschluss der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich vom 28./29.04.2010 und die überarbeitete Fassung vom 23.08.2010 dienen).

Bei Datentransfers in die USA ist auch von Bedeutung, ob der Cloud-Anbieter zu Prüfzwecken einen Zugriff auf die Protokolldateien ermöglicht. Damit soll dem Auftraggeber die Möglichkeit gegeben werden, Fremdzugriffe auf seine Daten nachvollziehen zu können. Bezüglich der Protokollierung müssen die Anforderungen der Orientierungshilfe Protokollierung der Aufsichtsbehörden für den Datenschutz erfüllt sein. Die Verpflichtung des Auftragnehmers auf die Privacy-Shield-Prinzipien allein ist für eine Datenübermittlung bzw. Datenverarbeitung nicht ausreichend. Es muss vielmehr zusätzlich ein Vertrag nach den Vorgaben von Art. 28 DSGVO abgeschlossen werden. In diesem Vertrag ist insbesondere auch zu regeln, wie die Informationspflichten gegenüber den Betroffenen erfüllt werden.

Allgemeine Organisation

Die Fragen zur allgemeinen Organisation stützen sich auf Art 24. und Art. 32 DSGVO, die eine datenschutzgerechte Organisation vorschreiben. Ein Grundprinzip der Gestaltung einer sicheren Unternehmensorganisation ist das Prinzip der Funktionstrennung und der Trennung von Anordnung und Vollzug. Dies bedeutet, dass z. B. im IT-Bereich operative Aufgaben wie Programmierung, IT-Administration, Rechteverwaltung etc. von Kontroll- und Freigabefunktionen getrennt sein müssen. Programmierer dürfen z. B. nicht ohne Weiteres auf Produktionsprogramme zugreifen und diese ändern können, und Programme müssen nach jeder Änderung vor ihrem Einsatz von einer autorisierten Stelle freigegeben werden. Rechteänderungen dürfen nur auf Anordnung der fachlich zuständigen Stellen im Unternehmen vorgenommen und müssen revisionssicher protokolliert werden. Diese Funktionstrennungen müssen geregelt sein und gehören auch zu den Kernelementen eines internen Kontrollsystems.

Technische und organisatorische Maßnahmen

Art und Umfang der erforderlichen technischen und organisatorischen Maßnahmen richten sich nach der Sensibilität der Daten und dem Risiko für die Betroffenen. Ebenso wie bei sonstigen Auftragsvergaben muss auch hier der Auftraggeber die vor dem Hintergrund der individuellen Schutzwürdigkeit der zu verarbeitenden Daten konkret zu fordernden technischen und organisatorischen Maßnahmen festlegen und deren Erfüllung bzw. Erfüllbarkeit überprüfen. Dabei ist davon auszugehen, dass die Risiken der Speicherung und Verarbeitung je nach Art der Cloud unterschiedlich einzuschätzen sind. So ergeben sich z. B. in einer Public Cloud zusätzliche und höher einzuschätzende Risiken als z. B. in einer Private Cloud. Das Gleiche gilt für den Ort der Speicherung, z. B. innerhalb der EU/EWR oder in einem unsicheren Drittstaat. Diese unterschiedlichen und zusätzlichen Risiken sind bei der Prüfung zu berücksichtigen. Grundsätzlich ist ein organisiertes, dokumentiertes und kontrolliertes Sicherheits- und Datenschutzmanagement auf einer international anerkannten Normengrundlage, z. B. nach ISO 27001, mit regelmäßigen Sicherheitsaudits zu fordern. Da diese Normen nicht alle Datenschutzanforderungen mit abbilden, muss die Erfüllung spezieller Anforderungen nach der DSGVO, z. B. die Erfüllung der Rechte der Betroffenen, zusätzlich geprüft werden. Wichtig und zu prüfen ist auch die Frage, ob ein zuverlässiger und dokumentierter Prozess zum Auftragsmanagement eingerichtet ist. Ausreichend konkrete Sicherheits- und Datenschutzkonzepte (nicht die detaillierten internen Regelungen) müssen dem Auftraggeber ebenso zur Einsichtnahme zur Verfügung gestellt werden wie die Nachweise über durchgeführte Audits zu Sicherheits-, Ordnungsmäßigkeits- und Datenschutzfragen. Ebenso sollte ein für den Auftraggeber auch ansprechbarer IT-Sicherheitsbeauftragter bestellt sein.

Bezüglich der Einzelheiten zu den technischen und organisatorischen Maßnahmen gelten die Ausführungen im Praxiskommentar Datensicherheit. Um Wiederholungen zu vermeiden, wird auf die dortigen Ausführungen verwiesen.

Download

Datenschutzauskunft-Cloud-Computing.docx


Social Media

Unter Web-2.0-Anwendungen sind sogenannte soziale Medien wie Facebook und Twitter, aber auch Karrierenetzwerke wie LinkedIn oder XING sowie Blogs (kostenlos verfügbare digitale Tagebücher) zu verstehen. Waren die Kommunikationswege von Unternehmen in der Vergangenheit klar definiert und abgegrenzt, so kann heute jeder, der Zugang zum Internet hat, publizieren. Und viele Internetbenutzer tun dies auch im fremden Namen, ohne sich der persönlichen und rechtlichen Konsequenzen bewusst zu sein.

Im Unternehmen selbst und unabhängig davon, ob das Unternehmen über Social-Media-Kanäle kommuniziert, sollten Mitarbeitern klare Regeln an die Hand gegeben werden, wie Web-2.0-Technologien, auch privat, genutzt werden sollten.

So sollte zumindest eine Richtlinie bestehen, die Mitarbeiter dahingehend sensibilisiert, keine Unternehmensinformationen bei der privaten Betätigung im Web 2.0 preiszugeben. Nutzt das Unternehmen selbst Web 2.0, so sollte der Richtlinie entnommen werden können, wer im Unternehmen dies tut und ggf. in welcher Weise. Ein Verhaltenskodex sollte klar den Rahmen der gewünschten Kommunikation und ihrer Form beschreiben.

Die Nutzerkonten, über die im Namen des Unternehmens kommuniziert wird, sollten an das Unternehmen gebunden sein. Anderenfalls drohen Konflikte, wenn Mitarbeiter, die im eigenen Namen für das Unternehmen kommuniziert haben, nach Verlassen des Unternehmens alle im Web 2.0 aufgebauten Kontakte (Freunde, Verlinkungen, Empfehlungen) mitnehmen und diese Daten dann dem Unternehmen nicht mehr zur Verfügung stehen.

Es wird sicherlich ein Stück weit branchenabhängig sein, ob die Arbeitnehmerschaft tendenziell als internetaffin zu betrachten ist. In einem Start-up-Unternehmen mit einem Altersdurchschnitt von 25 Jahren wird man davon ausgehen können, dass ein hoher Anteil an Mitarbeitern im Web 2.0 aktiv unterwegs ist, in alteingesessenen Industriebetrieben eher nicht.

Dort wo von einem hohen Anteil von Web-2.0-Nutzern in der Belegschaft auszugehen ist, stellt sich umso mehr die Frage, ob es nicht aus Unternehmenssicht sinnvoll wäre, Medienkompetenzschulungen anzubieten.

Selbst wenn unternehmensintern verbindliche Richtlinien zum Umgang mit Web-2.0-Anwendungen existieren, besteht immer noch die Gefahr, dass von unternehmensfremden Personen oder Gruppierungen Inhalte kommuniziert werden, die einem Unternehmen schaden können. Gerade Unternehmen, die stark im öffentlichen Fokus stehen, müssen ein Interesse daran haben, zu wissen, wie Dritte über das Unternehmen in sozialen Medien kommunizieren. Hierfür bieten sich Social-Media-Monitoring-Tools an, die die wichtigsten Web-2.0-Anwendnungen automatisiert überwachen und Berichte erzeugen, die darüber Auskunft geben, welche Aussagen zum Unternehmen sich in der Internet-Öffentlichkeit verbreiten.

Dies ist bei Unternehmen, deren Geschäftsgegenstand im kritischen Fokus der Öffentlichkeit steht, umso wichtiger, da in Fällen eines „Shitstorms“ (lt. Duden: Sturm der Entrüstung in einem Kommunikationsmedium des Internets, der zum Teil mit beleidigenden Äußerungen einhergeht) mit Beeinträchtigungen der eigenen IT-Infrastruktur durch DoS- und DDoS-Attacken (Denial of Service, Distributed Denial of Service = bewusst herbeigeführte Überlastungen) gerechnet werden muss.

Infolge solcher Angriffe können Teile der eigenen Unternehmensinfrastruktur (Server, Internetleitungen) stark beeinträchtigt und damit die in Art. 32 DSGVO geforderte Verfügbarkeitskontrolle gefährdet sein.

In Verbindung mit dem Einsatz von Social-Media-Monitoring-Tools sollte auch ein Notfallplan zur Krisenkommunikation ausgearbeitet werden, in dem festgelegt ist, welche Fälle als Notfall zu betrachten sind und wer im Unternehmen in solchen Fällen gegenüber der Öffentlichkeit in welcher Form kommuniziert. Je nach Sensibilität der eigenen IT-Infrastruktur sollten hier auch Maßnahmen definiert werden, die die Verfügbarkeit der eigenen Ressourcen im Fall von Angriffen (DoS) regeln.

Neben der Möglichkeit, Web-2.0-Anwendungen zur Präsentation des eigenen Unternehmens zu nutzen, werden diese Anwendungen auch zunehmend zur Akquise von Personal genutzt.

Hierbei ist zu differenzieren, welche dieser Medien zur Akquise genutzt werden. Sind Plattformen wie Facebook, Google+ oder Blogs eher der privaten Nutzung ihrer Teilnehmer zuzuordnen, sind Angebote wie z. B. XING oder LinkedIn eher „Karrierenetzwerke“, in denen sich Teilnehmer bewusst darstellen, um berufliche Kontakte zu knüpfen.

Bei letztgenannten karriereorientierten Plattformen kann somit davon ausgegangen werden, dass seitens eines Bewerbers keine Einwände bestehen, wenn sich ein potenzieller Arbeitgeber über ihn informiert. In privaten Netzwerken kann hiervon in der Regel nicht ausgegangen werden, sodass hier die Einwilligung des Bewerbers vonnöten wäre, was in der Regel wohl problematisch sein wird.

Download

Social-Media.docx

Voice over IP (VoIP)

Durch die Integration der Telefonie in die Datennetze ergeben sich hinsichtlich des Handlings vielfältige Möglichkeiten, wie sie in der herkömmlichen Telefonie bislang nicht möglich waren. Waren die herkömmlichen kabelgebundenen Telefonleitungen in der Vergangenheit noch relativ sicher vor dem Zugriff durch Dritte, tut sich beim Internet als Trägermedium von Gesprächen ein erhebliches Gefährdungspotenzial auf. Insofern gilt sicherlich, bei der Absicherung des Voice-over-IP-Verkehrs den Grad der Vertraulichkeit von Gesprächen gegen den Aufwand an Schutzmaßnahmen abzuwägen.

Um Gesprächsdaten über das Internet auszutauschen, gibt es eine ganze Reihe von technischen Lösungen. Angefangen von sogenannten Peer-to-Peer-Diensten wie Skype, die lediglich einen Computer mit Headset und entsprechender Software benötigen, bis hin zur ausgelagerten VoIP-Anlage bei einem externen Dienstleister ist das Spektrum sehr groß und die damit verbundenen sicherheitstechnischen Probleme vielfältig.

War in der Vergangenheit die klassische Telefonanlage eine in sich abgeschlossene technische Einheit, so kann eine VoIP-Anlage heute als Zusatzsoftware auf bestehende Unternehmensserver installiert werden. Dennoch empfiehlt es sich, Hard- und Software als separate Einheit zu betreiben, allein schon, um in der Firewall ein VoIP-spezifisches Regelwerk auf die IP des VoIP-Rechners anlegen zu können.

Unabhängig davon, ob die Anlage inhouse betrieben und durch einen externen Dienstleister gewartet wird oder ob die Anlagenfunktionalitäten komplett bei einem externen Dienstleister liegen: Der Abschluss einen Vertrags zur Auftragsverarbeitung gem. Art. 28 DSGVO mit dem Dienstleister ist in jedem Fall geboten, da sowohl Gesprächsdaten als auch die zugehörigen Verbindungsdaten (Meta-daten) vertraulicher Natur sind und damit den Regelungen der DSGVO, aber auch des TMG und dem TKG unterliegen. Auch müssen die mit den administrativen Wartungstätigkeiten der Anlagen beauftragten Personen den Nachweis über die Verpflichtung auf den Datenschutz sowie auf das Telekommunikationsgeheimnis nachweisen können.

Ähnlich wie bei der Kommunikation per E-Mail weist VoIP-Kommunikation zwei Datenarten auf: zum einen die Gesprächsinhaltsdaten, aber auch die Signalisierungsdaten. Letztere sind auch unter dem Begriff Metadaten bekannt und geben Auskunft über die Adressen der Kommunikationspartner. Aber auch Zeitpunkt und Länge von Telefonaten lassen sich ermitteln, sofern Zugriff auf die Metadaten eines geführten VoIP-Gesprächs besteht. Es gilt in sensiblen Umgebungen also zu überprüfen, dass sowohl die Metadaten als auch die Gesprächsinhaltsdaten selbst verschlüsselt übertragen werden.

Während VoIP in den meisten Unternehmen in der Praxis wohl über das gleiche Leitungsnetz abgewickelt wird, über das auch alle anderen IT-Anwendungen laufen (Server, Clients, Intra- und Internet), können IT und VoIP-Netz natürlich in sensiblen Umgebungen auch physikalisch voreinander getrennt auf eigenen Leitungsnetzen betrieben werden.

Achtung! In VoIP-Umgebungen, in denen Computer Telephony Integration (CTI) genutzt wird, also Telefon-Funktionalitäten in Softwareanwendungen genutzt werden, um z. B. Rufe aus Anwendungen heraus zu initiieren, ist darauf zu achten, dass die strikte physikalische Trennung beibehalten wird und es nicht zu einem versehentlichen Zusammenführen der beiden voneinander getrennten Netzstrukturen kommt.

Wird VoIP über WLAN betrieben, so ist die Absicherung des Datenverkehrs über WPA bzw. WPA2 mit einem ausreichend sicheren Schlüssel zwingend erforderlich. WEP-Verschlüsselung muss als nicht ausreichend betrachtet werden, da dieses Verfahren leicht kompromittiert werden kann. Bei der WPA-Verschlüsselung ist in sensiblen Umgebungen die CCMP-Verschlüsselung (Counter Mode with Cipher Block Chaining Message Authentification Code Protocol) bzw. AES (Advanced Encryption Standard) mit einer Schlüssellänge von 256-Bit de, TKIP-Protokoll (Temporal Key Integrity Protocol) mit einer Schlüssellänge von 40- bzw. 128-Bit vorzuziehen.

In Unternehmen, in denen VoIP-Lösungen die herkömmliche Telefonieinfrastruktur komplett abgelöst haben, müssen hinsichtlich des Back-ups von Telefonfunktionalitäten ggf. andere Wege gegangen werden. Statistisch ist sicher belegbar, dass Internetstörungen in einem höheren Maße auftreten, als es bei Festnetzanschlüssen der Fall ist.

Fällt in einer reinen VoIP-Umgebung der Internetzugang aus, sind nicht nur Dienste wie WWW und E-Mail, sondern eben auch alle Telefoniefunktionen betroffen. In unternehmerischen Umgebungen, in denen der Kommunikationsfähigkeit höchster Stellenwert zukommt, sollten Notfall-Mobilfunknummern oder auch Web-2.0-Techniken (Firmen-Tweets, Facebook-Präsenzen) festgelegt und veröffentlicht werden. So war z. B. 2010 beim Ausbruch des isländischen Vulkans Eyjafjallajökull für die Fluggesellschaften, die eigene Tweets betrieben, Twitter die einzig effektive Methode, ihre Kunden über Flugplanänderungen zu informieren.

Hinsichtlich der Protokollierung aller Aspekte rund um VoIP wird grundsätzlich zu differenzieren sein, ob eine private Nutzung der Telefone durch die Mitarbeiter erlaubt ist oder nicht.

Darf privat telefoniert werden bzw. wird das private Telefonieren geduldet, so ist das Unternehmen nach gängiger Meinung als Anbieter von Telekommunikationsdiensten zu betrachten. Dies wiederum hat zur Folge, dass das Fernmeldegeheimnis zu beachten ist.

Die Protokollierung ist in diesem Fall sehr viel restriktiver zu gestalten und Verbindungsdaten dürfen z. B. im Regelfall nicht über die Dauer eines Gesprächs hinaus gespeichert werden.

Zulässig, da für die Nachverfolgung von Fehlern unerlässlich, ist die Protokollierung von administrativen Arbeiten. Hier sollte aber auch ein strenges Regelwerk definiert sein, welche Daten im Rahmen von administrativen Arbeiten protokolliert werden. Auch muss der Zugriff auf diese Protokolle restriktiv gehandhabt werden.

Besonderes Augenmerk bei der Speicherung von Gesprächsdaten muss auf Systeme mit Schnittstellen zu Nutzeranwendungen (z. B. CTI-Anbindung bei CRM-Systemen) fallen.

Auch wenn serverseitig die Speicherung von Gesprächsdaten unterbunden ist, können Gesprächsdatenprotokolle in den Nutzeranwendungen selbst anfallen, da sie Bestandteil der Nutzeranwendung selbst werden. So wird z. B. in vielen CRM-Anwendungen festgehalten, ob und wann ein Kundengespräch stattgefunden hat. In solchen Fällen sollte die Protokollierung auf das für den Anwendungszweck notwendige Mindestmaß reduziert werden (z. B. keine Gesprächsdauer protokollieren).

In Unternehmen mit Arbeitnehmervertretung sollten alle Aspekte rund um das Thema Telefonie im Rahmen einer Betriebsvereinbarung festgehalten werden, insbesondere der Umfang der Protokollierung von Daten, die auf VoIP-Systemen anfallen.

Download

Voice-over-IP.docx

Instant Messaging (IM)

Mit der weiten Verbreitung von Smartphones und Tablets gehen auch Dienste, die für diese Geräteklasse vornehmlich entwickelt wurden, einher. Neben der Nutzung des Smartphones als Telefon und als E-Mail-Client dürften an dritter Stelle sogenannte Instant-Messaging-Systeme wie z. B. WhatsApp, Skype u. v. m. die am häufigsten genutzten Dienste sein.

Datenschutzrechtlich, aber auch im Kontext des zu schützenden Unternehmens-Know-hows, sind Instant-Messaging-Systeme sehr kritisch zu betrachten. Ist darüber hinaus, neben dem beruflichen Einsatz, auch eine private Nutzung zugelassen, sind die restriktiven Vorgaben sowohl des Telekommunikationsgesetzes als auch des Telemediengesetzes zu beachten.

Wird Instant Messaging über öffentlich frei verfügbare Systeme (z. B. WhatsApp, Skype) betrieben, muss potenziell mit dem Verlust oder dem Diebstahl sensitiver Personen-/Unternehmensdaten gerechnet werden. So ist mittlerweile belegt, dass manche Anbieter in diesem Segment die Textnachrichten ihrer Dienste automatisiert mitlesen. Für Unternehmen, die auf sicherheitskritischen Märkten tätig sind, ist dies keine vertrauenswürdige Basis, Dienste freier Anbieter zu nutzen, sondern, wenn denn Instant Messaging erwünscht ist, dies über selbst betriebene Plattformen zu betreiben (® Enterprise Instant Messaging (EIM) bzw. Corporate Instant Messaging). EIM-Systeme sind i. d. R. auch besser zu handhaben, was die Einhaltung von Sicherheitskonzepten, Teilnehmerschaften, aber auch die Umsetzung technischer Aspekte wie die wirksame Umsetzung des Schutzes vor Viren und Trojanern angeht.

Kommen keine eigenen IM-Dienste, betrieben auf eigenen Systemen, zum Einsatz, bedarf es eines umso detaillierteren Sicherheitskonzepts hinsichtlich der Konfiguration.

  • Welche Funktionen dürfen überhaupt genutzt werden? Text, Sprache, Video?
  • Welche Freigabeeinstellungen sind zulässig? Wer darf diese erteilen?

Werden Protokollierungen durchgeführt, so ist in Unternehmen mit Arbeitnehmervertretung der Betriebsrat mit einzubeziehen und eine Betriebsvereinbarung abzuschließen.

Selbst wenn restriktive Sicherheitskonzepte bestehen, sollten Mitarbeiter bei der Nutzung von IM-Systemen regelmäßig für den Umgang mit diesen Systemen geschult und bzgl. der mit dem Einsatz verbundenen Risiken sensibilisiert werden.

Download

Instant-Messaging.docx


Online-Kalender

Während innerhalb von Unternehmen Kalenderfunktionen meist über die im Einsatz befindlichen Groupware-Anwendungen (z. B. Microsoft Exchange) abgedeckt werden, ist dies bei unternehmensübergreifender Terminplanung nicht immer möglich, da nicht davon ausgegangen werden kann, dass unternehmensfremde Personen über die gleichen Kalender-Client-Anwendungen verfügen. Dies sind im Regelfall die Gründe, wenn es zum Einsatz von sogenannten Online-Kalendern kommt. Es handelt sich hierbei um Web-Anwendungen, die von Dienstleistern, kostenfrei oder gegen Gebühr angeboten, browserorientiert die Pflege eines oder mehrerer Kalender ermöglichen (z. B. Google-Kalender).

Ganz grundsätzlich ist die Frage zu stellen, ob Kalenderinhalte (dies können sowohl Eintragsinformationen wie z. B. „Produktvorstellung auf Messe xy“ als auch Termine selbst sein), die sensible personenbezogene Daten oder vertrauliche Unternehmensinformationen enthalten, auf solchen Plattformen verwaltet werden sollten.

Wenn nun Online-Kalender zum Einsatz kommen, sollten die Nutzer vor Inbetriebnahme über die Freigabeoptionen des zum Einsatz kommenden Produkts informiert werden und angehalten werden, die Standardeinstellungen (Freigabeoptionen, wer etwas sehen, ändern, beantworten kann) möglichst „scharf“ zu stellen. Da die Online-Kalender gerne dann zum Einsatz kommen, wenn Termine mit unternehmensfremden Dritten kommuniziert werden, sollten auch Festlegungen existieren, welche Informationen in diesen Kalendern ausgetauscht werden dürfen und welche nicht.

Da auch Online-Kalender an Zugangsdaten gebunden sind, ist bei diesen Diensten ebenso die Nutzung von nicht trivialen Kennwörtern erforderlich. Bei Einladungen zu Kalendern sollte die Authentizität des Einladenden kritisch hinterfragt werden, um nicht Opfer eines Phishing-Angriffs zu werden und unbewusst Unbefugten sensible Personen- oder Unternehmensinformationen zu liefern.

Da Online-Kalender oft an Projekte gebunden sind, sollten darüber hinaus Richtlinien erstellt werden, die festlegen, wie der Rechteentzug bei Ausscheidern zu handhaben ist bzw. auf welchen Grundlagen neue Teilnehmer eingeladen werden dürfen. Dies sollte von einer einzelnen Stelle aus geschehen, um Irrtümern vorzubeugen.

Da elektronische Kalender weit mehr Informationen als nur einen Termineintrag verwalten können, ist es z. B. möglich, mittels Anhängen Dateien zu verteilen, aber auch Ortsangaben zu machen. So ist es auch hier erforderlich, vorab zu definieren, was erlaubt ist und was nicht.

Werden diese Zusatzfunktionen genutzt, muss man sich darüber im Klaren sein, dass der Kalenderanbieter ggf. Bewegungsprofile aller Teilnehmer erstellen kann, sofern Termine mit Ortsangaben versehen werden.

Bei Dateianhängen sind alle technischen Maßnahmen zu treffen, um z. B. den Einfall von Schadsoftware zu verhindern.

Download

Onlinekalender.docx


Bewertung des Standes​
des Datenschutzes

Bewertung der Datenschutzprozesse nach DSGVO und der technischen und organisatorischen Maßnahmen

Zur Bewertung des Standes des Datenschutzes und des Standes der technischen und organisatorischen Maßnahmen wird neben der bereits vorhandenen Datenschutzbewertungstabelle auch eine Bewertungstabelle zur Bewertung des Standes der technischen und organisatorischen Maßnahmen zur Verfügung gestellt.

Die Bewertungstabellen vermitteln in je einer Tabelle und einer grafischen Übersicht einen schnellen Überblick über den Stand des Datenschutzes und der technischen und organisatorischen Maßnahmen im Unternehmen.

Die Bewertungstabellen können als Anlage zum Datenschutzbericht des Datenschutzbeauftragten an die Geschäftsleitung verwendet werden. Der Geschäftsleitung wird in einer verbindlichen Form der Stand des Datenschutzes und der technischen und organisatorischen Maßnahmen vermittelt und eventuelle Handlungsbedarfe aufgezeigt.

In einem Vergleich über einen längeren Zeitraum wird auch die Entwicklung des Datenschutzes und der technischen und organisatorischen Maßnahmen erkennbar.

Zweckmäßig ist die Abstimmung des Erfüllungsgrades der einzelnen Kriterien mit den Prozessverantwortlichen bereits bei der Erhebung bzw. den laufenden Kontrollen der Datenschutzprozesse und der technischen und organisatorischen Maßnahmen. Auf diese Weise werden spätere Diskussionen mit den Fachverantwortlichen vermieden und die Ergebnisse der Bewertungen in den Tabellen sind belastbar. Sie können auf diese Weise sofort als Beleg- und Nachweisdokument nicht nur für die Durchführung der Erhebungen und Kontrollen, sondern auch für die Erfüllung der Datenschutzanforderungen dienen.

Dies schließt natürlich nicht aus, dass der Datenschutzbeauftragte auch von der Position der Fachbereichsverantwortlichen abweichende Positionen vertritt und Maßnahmen bzw. Korrekturen der Verarbeitungsprozesse und der technischen und organisatorischen Maßnahmen fordert. Der Vorteil dieser Vorgehensweise liegt darin, dass evtl. bereits abgestimmte Lösungsvorschläge aufgezeigt werden können und Grundsatzdiskussionen über den Erfüllungsgrad vor der Geschäftsleitung weitgehend vermieden werden können. Darüber hinaus fördert dies auch die Zusammenarbeit zwischen dem Datenschutzbeauftragten und den Fachbereichsverantwortlichen.

Die Gliederung der Datenschutz-Bewertungstabelle folgt den eingerichteten Datenschutzprozessen und innerhalb dieser der Gliederung der zugeordneten Checklisten. Die Bewertungstabelle zu den technischen und organisatorischen Maßnahmen ist nach den Themenschwerpunkten der Maßnahmen gegliedert.

Zur Bewertung werden die Erfüllungsgrade aus den jeweiligen Checklisten in die Bewertungstabellen übernommen. Kurze Bemerkungen können in diese übernommen werden und dienen der Erläuterung der Feststellungen. Ausführlichere Anmerkungen werden zu den Checklisten genommen und dort ggf. als Anlage dokumentiert.

So arbeiten Sie ganz einfach mit diesen Tabellen:

In der Spalte „trifft zu“ wird mit „0“ oder „1“ angegeben, ob das jeweilige Kriterium für das Unternehmen relevant ist oder nicht.

0 = nicht relevant

1 = relevant

In der Spalte „Erfüllungsgrad“ wird angegeben, in welchem Maß die Anforderung erfüllt ist. Folgende Skalierung wird verwendet:

0 = Keine Datenschutzregelungen vorhanden

1 = Datenschutzanforderungen in geringem Umfang erfüllt

2 = Wesentliche Datenschutzanforderungen erfüllt

3 = Datenschutzanforderungen überwiegend erfüllt

4 = Datenschutzanforderungen vollständig erfüllt

Die Tabellen erzeugen dann für jeden Prozess bzw. jedes technische und organisatorische Thema als Summe die Ist-Punktzahl und die Soll-Punktzahl. Diese Werte werden im Tabellenblatt „Erfüllungsgrad“ in die Ergebnistabelle übernommen. Diese errechnet dann für jeden Datenschutzprozess bzw. jedes Maßnahmenthema den prozentualen Erfüllungsgrad und erzeugt eine grafische Auswertung im Tabellenblatt „Grafik“.

Download

Bewertungstabelle Datenschutzprozesse nach DSGVO 1.1.XLSX

>