Datenschutz, Teil 2: Wie Informationen in den richtigen Händen bleiben

Datenschutz von oben genügt nicht. Jeder Mitarbeiter im Unternehmen braucht klare Vorgaben – und am besten ein System, das per Gruppenrichtlinien die Zugriffe überwacht. Außerdem sagt dieser Schwerpunktbeitrag, was genau es mit den gesetzlich geforderten Verfahrensverzeichnissen auf sich hat.

Gruppenrichtlinien regeln Zugriffsrechte

Von Sabine Philipp

Eine besonders wichtige Aufgabe des Datenschutzbeauftragten ist die Schulung der Mitarbeiter. Denn hier fehlt oft das Problembewusstsein. Fachmann Dr. Daldrop bringt es auf den Punkt: „Wenn die Angestellten nicht wissen, dass der Verkauf von Adressen ein massiver Gesetzesverstoß ist, kann man auch nicht erwarten, dass sie sich korrekt verhalten.“

Oft aber wird es den Mitarbeitern auch zu einfach gemacht. Dabei kann man mit einer Softwarelösung technisch verhindern, dass Daten kopiert werden.

Problempunkt: die Mitarbeiter

„Mit einer solchen Lösung können Sie nicht nur protokollieren, wer wann auf welche Daten zugegriffen hat. Sie können auch festlegen, dass eine Datei zwar in einem Ordner geöffnet, aber nirgends sonst gespeichert und hineinkopiert werden darf“, erläutert der Fachmann. Schon mit einer einfachen Windows-Lösung lassen sich zentral und im Netzwerk Gruppenrichtlinien festlegen, die jeden Zugriff genau einstellen und protokollieren.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Falls es einen Betriebsrat gibt, muss der aber vorher konsultiert werden. Denn er hat nach § 87 Betriebsverfassungsgesetz (BetrVG) ein Mitspracherecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“.

DrHansDaldrop.jpg

Der Mathematiker Dr. Hans Daldrop hat be­reits wäh­rend sei­nes Stu­diums Pro­grammier­kurse gege­ben und Netz­werke auf­ge­baut. Er ist heute Ge­schäfts­führer der Tintrup Com­puter GmbH in Lü­ding­hausen und kann sich für Proble­me und ihre Lö­sung be­geistern wie am ersten Tag. Für den Prakti­ker in Sachen Netz­werk­technik sind alle Fra­gen zu IT-Sicher­heit und Daten­schutz ein rei­nes Heimspiel.

Was jedes Unternehmen braucht

Öffentliches Verfahrensverzeichnis

Auch wenn Sie keinen Datenschutzbeauftragten bestellen müssen: Jedes Unternehmen hat ein internes und ein öffentliches Verfahrensverzeichnis zu erstellen. Letzteres wird auch „Verzeichnis für jedermann“ genannt, weil es jedem, der es sehen möchte, vorgelegt werden muss – ein Umstand, den ein findiger Anwalt vor einigen Jahren zum eigenen Vorteil auszunutzen wusste. Wohl wissend, dass die wenigsten Unternehmen ein solches Verfahrensverzeichnis vorweisen können, verlangte er die Vorlage binnen 24 Stunden. Andernfalls Abmahngebühr. Die Gerichte setzten diesem Treiben aber schnell ein Ende. Denn schließlich hat der Gesetzgeber nicht festgelegt, wann und in welcher Form es vorliegen muss.

Das öffentliche Verfahrensverzeichnis enthält u.a. die Namen von Inhabern, Vorständen oder sonstigen Personen der Unternehmensführung, des für den Datenschutz zuständigen Leiters sowie die Zweckbestimmungen der Datenerhebung, -erarbeitung oder -nutzung. (Wie ein solches Verfahrensverzeichnis aussieht, kann man online z.B. bei Avis sehen.)

Serie: Datenschutz
Teil 1 erklärt, wann Unter­nehmen einen Be­auf­tragten für den Daten­schutz brau­chen und wa­rum ex­terne Pro­fis oft die bes­sere Wahl sind. Teil 2 setzt aus­einander, wie Be­triebs­rat und Mit­arbeiter am besten mit­spielen und was in den Ver­fahrens­plänen stehen muss. Teil 3 geht das The­ma von der an­deren Sei­te an und fragt, was der Wirt­schafts­prüfer bei der Kon­trolle zu Ge­sicht be­kommen darf. Teil 4 stellt ein Schutz­klassen­system vor und be­trachtet Daten­schutz und EDV-Com­pliance als Wett­bewerbs­vorteil.

Internes Verfahrensverzeichnis

Daneben gibt es das interne Verfahrensverzeichnis. Es enthält eine allgemeine Beschreibung, mit der vorläufig beurteilt werden kann, ob die technischen und organisatorischen Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. Darunter fällt, dass Unbefugte

  • die technischen Anlagen nicht betreten dürfen (Zutrittskontrolle),
  • die Datenverarbeitungssysteme nicht nutzen können (Zugangskontrolle) und
  • dass die Daten vor Verlust oder Zerstörung geschützt werden (Verfügbarkeitskontrolle).
Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Sicherheit ist Wettbewerbsvorteil

Je öfter skandalöse Datenlecks große Schlagzeilen machen, desto mehr fragen sich viele kleine Unternehmer: Warum soll ich mich dann daran halten? „Erschwerend kommt hinzu, dass Handwerkskammern und IHK häufig von dem Einsatz eines Datenschutzbeauftragten abraten“, bedauert Dr. Hans Daldrop. „,Das wird doch eh nicht kontrolliert‘, heißt es von dort lapidar. Und das Geld könne man sich sparen.“ Dennoch gibt es gute Gründe, die für einen Datenschutzbeauftragten sprechen. Je mehr das Thema ins Bewusstsein von Kunden und Geschäftspartnern rückt, desto mehr wird sich der Datenschutz vom „notwendigen Übel“ zur unverzichtbaren Geschäftsbedingung wandeln.

Wie Kunden das BDSG als Hebel nutzen, um Druck auf die Preise auszuüben, wird Teil 4 dieser Serie schildern, nachdem Teil 3 sich angesehen hat, was dem Wirtschaftsprüfer verborgen bleiben soll.

Nützliche Links