Die elektronische Verarbeitung und Übermittlung personenbezogener Daten gehört heute zum unternehmerischen Tagesgeschäft. An den Schutz dieser Daten stellt die DSGVO hohe Anforderungen. Jedes Unternehmen ist dabei – unabhängig von der Betriebsgröße – verantwortlich für Datenschutz und Datensicherheit, auch Unternehmen mit weniger als 10 Mitarbeitern, die laut Gesetz keinen Datenschutzbeauftragten (DSB) brauchen. Daher ist ein externer Datenschutzbeauftragter für kleinere Unternehmen eine wichtige Hilfe. Schließlich muss bei einer Datenpanne nachgewiesen werden, dass die IT-Sicherheit gewährleistet ist und die Anforderungen der DSGVO korrekt umgesetzt wurden. Dazu zählt z. B. auch, ob Passwörter richtig gewählt und aufbewahrt werden. Ansonsten haftet das Unternehmen, sogar bei unwissentlichen Verstößen.
Die in der DSGVO formulierten Datenschutzziele sind durch technisch-organisatorische Maßnahmen (TOM) umzusetzen. Dazu sind die organisatorischen Richtlinien zu erfüllen, aber ebenso sollte die technische Infrastruktur auf dem neuesten Stand sein. Da sich die Technik ständig weiterentwickelt, ist eine regelmäßige Überprüfung notwendig, auch zur Abwehr vor Angriffen von außen. So werden Datenpannen oder der Ausfall der IT verhindert und finanzielle bzw. Haftungsrisiken vermindert.
Damit Sie beim Datenschutz auf der sicheren Seite sind, unterstütze ich Sie im technischen Bereich gerne als externer DSB. Ebenfalls begleite ich Unternehmen, die schon einen internen DSB haben. Ich wirke darauf hin, dass Sie die TOM rechtskonform und individuell nach dem Bedarf Ihres Unternehmens umsetzen können. Dazu berate ich Sie über grundlegende Dinge des Datenschutzes, mache Bestandsaufnahmen und erstelle IT-Sicherheitskonzepte. Ebenso übernehme ich Koordination und Leitung sowie die Schulung und Sensibilisierung von Geschäftsführung und Mitarbeitern. Verarbeitungsverzeichnisse und Datenschutzerklärungen für Kunden stelle ich als Vorlagen bereit; außerdem sichte, prüfe und ergänze ich vorhandene Unterlagen. Bei juristisch relevanten Fragen stelle ich gerne den Kontakt zu einem Anwalt für Datenschutz her. So können Ihnen Kunden ihre Daten mit gutem Gewissen anvertrauen.
* Michael Carlitz ist zertifiziert als betrieblicher und externer Datenschutzbeauftragter (IHK)
Je größer das Risiko ist, das die Datenverarbeitung personenbezogener Daten für die betroffenen Personen mit sich bringt, desto mehr Vorgaben zum Datenschutz müssen erfüllt werden. Zu den personenbezogenen Daten zählen Name, Alter, Geburtsdatum, Anschrift, Telefonnummer, E-Mail, Bankdaten und Familienstand. Unter besonderem Schutz stehen dabei sensible Daten wie ethnische Herkunft, religiöse und weltanschauliche Überzeugungen oder auch Gesundheitsdaten. Dies gilt gleichermaßen für Daten von Kunden wie von Mitarbeitern. In der Beratung klären wir ab, welche Daten in Ihrem Unternehmen wie verarbeitet werden und welche Schutzmaßnahmen es gibt.
Zunächst stelle ich den Ist-Zustand der EDV-Infrastruktur gemäß den Sicherheitsstandards der ISO 27002 und den Empfehlungen des BSI fest, analysiere Geschäftsabläufe, Konzepte und Prozesse. So sehe ich, wie es um die IT-Sicherheit bestellt ist und ob ausreichend sichere Maßnahmen getroffen wurden, um die Datenschutzziele zu erfüllen. Ziele des Datenschutzes sind Pseudonymisierung und Verschlüsselung (wobei diese beiden umgesetzt werden müssen) sowie Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellung, Überprüfung und Dokumentation. Dabei gibt es eine Vielzahl von Fragen zu berücksichtigen, so z. B.: Setzten Sie Cloud-Produkte ein? Wie handhaben Sie die private Internet- und E-Mail-Nutzung, gestatten Sie die private Nutzung von Social Media?
Im einzelnen bedeutet dies im Hinblick auf das Erreichen der Ziele:
Nach der Bestandsaufnahme und Analyse der Geschäftsabläufe gebe ich Ihnen Empfehlungen bzw. arbeite ein Konzept aus, mit welchen technisch-organisatorischen Maßnahmen (TOM) Sie die Ziele zur Sicherung der personenbezogenen Daten umsetzten können. Um Schwachstellen zu beheben, berate ich Sie je nach Anwendungsfall zur Neuanschaffung technischer Lösungen im Bereich der Hard- und Software, wie z. B. Chipkarten-Schließsysteme oder Anti-Viren-Software. Bei der Umsetzung stehen Ihnen die Sicherheitsexperten von regionalen IT-Fachbetrieben zur Seite, die auf Komplettlösungen für Firmen mit weniger als zehn Arbeitsplätzen spezialisiert sind.
Schwerpunkte der TOM sind: