Fokusthemen

ORGANISATIONALE RESILIENZ.INFORMATIONSSICHERHEIT.MEHR

Datenschutz-Fokus Auftragsverarbeitung

Wann Sie einen Auftragsverarbeitungsvertrag auf jeden Fall abschließen müssen und was dabei zu berücksichtigen ist

Wahrscheinlich können auch Sie nicht alle Aufgaben, die eine Verarbeitung personenbezogener Daten beinhalten, innerhalb Ihres Unternehmens durchführen. Zu den typischen Prozessen, die ausgelagert werden, gehören z.B.:
• Ausgliederung Ihrer IT-Infrastruktur zu einem externen Cloud-Anbieter
• fachgerechte und datenschutzkonforme Entsorgung Ihrer Datenspeicher (Festplatten oder Akten)
• gezielte Marketingaktionen durch ein externes Marketingunternehmen
Häufig muss in solchen Fällen ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Doch wann ist er wirklich nötig und wann kann man auf ihn verzichten?

Der Auftragsverarbeitungsvertrag (AVV) regelt die Zusammenarbeit zweier Parteien, wobei eine Partei (Auftragsgeber und Verantwortlicher im Sinne der DSGVO) einer anderen Partei (Auftragsverarbeiter) die Aufgabe überträgt, personenbezogene Daten in ihrem Auftrag und ihrer Weisung entsprechend zu verarbeiten. Dabei kann sich der Auftragsverarbeiter auch im europäischen Ausland (EU oder EWR) oder einem sogenannten Drittland befinden. Letzteres muss besonders genau geprüft werden, weil die DSGVO in diesen Fällen sehr strenge Regularien vorsieht .
Unterschied Auftragsverarbeitung und Funktionsübertragung

Nicht jede Datenverarbeitung durch einen Dritten bedarf einer Auftragsverarbeitungsvereinbarung. Wie immer gibt es Ausnahmen und Graubereiche. Grundsätzlich unterscheiden wir zwischen Auftragsverarbeitung und Funktionsübertragung, wobei der wesentliche Unterschied in den Rechten des Auftragnehmers liegt, die unterschiedliche vertragliche Regelungen notwendig machen:

Auftragsverarbeitung:
• Auftragnehmer verfügt über keinerlei Entscheidungsbefugnis
• Umgang nur mit den Daten, die der Auftraggeber zur Verfügung stellt
• der AVV muss in der Liste der Verarbeitungstätigkeiten aufgeführt werden

Funktionsübertragung
• Überlassung von Nutzungsrechten an den verwendeten Daten, diese können z.B. durch eigene Recherchen angereichert werden
• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister sowie der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

Oft ist eine Unterscheidung zwischen beiden nur schwer möglich. Im Zweifelsfall ist es daher ratsam einen Experten einzubeziehen.

Es gibt keinen allgemeingültigen AVV, sondern es muss jeder Einzelfall geprüft werden.

Nachstehende Auflistung kann als Anhaltspunkt für die Notwendigkeit eines AVV angesehen werden . Zwingend erforderlich ist ein AVV immer, wenn personenbezogene Daten durch externe Parteien bearbeitet werden, wie
• Externe Buchhalter oder Lohnbüros
• Marketingdienstleister
• Webhoster sowie Anbieter von Clouddiensten oder SaaS-Lösungen
• Datacenterbetreiber, die einen Userhelpdesk anbieten oder die Archivierung und Löschung von Daten verwalten
• Entsorgungsunternehmen zur Datenträgerlöschung
• Einsatz von Lösungen zu automatisierten Bewerbungsauswertungen
• Prüfung oder Wartung (z.B. Fernwartung, externer Support), sofern der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
Bei IT-Dienstleistern, die sich nur um den reibungslosen Ablauf der Hardware kümmern und keinerlei Zugriffsberechtigungen auf personenbezogene Daten haben, wird ein AVV beispielsweise nicht benötigt.

Wegen der Besonderheiten des geltenden Berufsgeheimnisses nach § 203 StGB bei der Zusammenarbeit mit u.a. Steuerberater/Steuerberatungsbüro, Anwälte, Ärzte/Betriebsärzte oder unabhängige Gutachten kein AVV nötig. Doch selbstverständlich gelten auch ohne Vertrag für entsprechende Dienstleistungsunternehmen sämtliche Rechte und Pflichten der DSGVO, die sich aus dem Umgang mit personenbezogenen Daten ergeben.

Fazit

Ein Auftragsverarbeitungsvertrag ist ein grundlegender Baustein der DSGVO und daher sollte jeder Einzelfall bei der Verarbeitung von personenbezogenen Daten durch Dritte genauestens auf die Notwendigkeit hin geprüft werden. Diese Prüfung und eine ggf. notwendige Vertragserstellung sind aufwendig, verschaffen Ihnen jedoch Klarheit in der weiteren Geschäftsbeziehung.

Unser Fokus im Oktober 2022

Wie können kommunale Verwaltungen die Informationssicherheit verbessern und Rechtskonformität wahren?

In Einrichtungen auf kommunaler Ebene ist Compliance essenziell – insbesondere was die Informationssicherheit anbetrifft. Ihre Notwendigkeit wird auch in kleineren kommunalen Verwaltungen zunehmend erkannt. Compliance soll die Einhaltung von Regeln gewährleisten sowie Verstößen vorbeugen oder diese verhindern. Wir zeigen auf, welche Bausteine für Compliance wesentlich sind und wie sich entsprechende Maßnahmen umsetzen lassen.

„Als Bestandteil des gesamten moralischen und ethischen Wertekanons dient Compliance dem Schutz einer Institution. Gerade im öffentlichen Sektor gehört sie nicht zur Kür, sondern zur Pflichtübung. Richtlinien, Leitfäden und Regelwerke müssen in ihrem Sinn erfasst und umgesetzt werden. Kommunen, die sich nicht damit beschäftigen oder die Compliance vernachlässigen, riskieren, sich rechtlich auf Glatteis zu begeben“, erklärt Ulrich Heun, Geschäftsführer der CARMAO GmbH.

Rechtskonformität wahren und Compliance-Beauftragte einsetzen

Im Zuge von Compliance gilt es, Mindeststandards aber auch zahlreiche Regelungen zu beachten. Dazu zählen allgemeine gesetzliche Vorschriften, die auf EU-Ebene gelten oder dem Bundes- oder Landesrecht entspringen. Auch branchenspezifische gesetzliche Regularien sind dabei umzusetzen. Das betrifft neben der öffentlichen Verwaltung unter anderem auch Banken, Versicherungen und die Industrie. Darüber hinaus spielen technische Normen und Standards sowie unternehmensinterne Vorgaben für die Compliance eine wichtige Rolle.

Ulrich Heun sagt: „Da die Compliance-Anforderungen immer komplexer werden, empfiehlt es sich für kommunale Einrichtungen, ein entsprechendes Regelwerk zu etablieren und dazu eventuell fachlichen Rat von Dritten hinzuzuziehen. Dies sorgt für mehr Rechtssicherheit. Des Weiteren empfehlen sich Compliance-Beauftragte. Neben der proaktiven Prüfung von Prozessen, Praktiken und Dokumenten gehört die Schulung von Mitarbeitenden zu deren festem Aufgabengebiet. Bei der öffentlichen Auftragsvergabe z. B. stellen Compliance-Beauftragte sicher, dass die Aufträge rechtskonform vergeben werden.“

Compliance-Management-System als wichtigen Pfeiler installieren

Einen wichtigen Baustein innerhalb des Compliance-Managements stellen Security-Awareness-Lösungen dar. Sie sensibilisieren die Mitarbeitenden und ermöglichen z. B. die Einhaltung interner und externer Normen für die Bereitstellung und Verarbeitung von Informationen. „Durch die Digitalisierung steigt das Risiko von Cyber-Angriffen auch im öffentlichen Sektor. IT-Systeme und Verwaltungsvorgänge können jedoch durch technische und organisatorische Maßnahmen abgesichert werden. Schutzstrategien und Sensibilisierung der Mitarbeitenden erhöhen die Verfügbarkeit, Vertraulichkeit und Integrität von IT-Systemen und Daten“, erklärt Ulrich Heun.

Die Kommunen benötigen darüber hinaus ein nachhaltig funktionierendes Compliance-Management-System (CMS). Ein solches setzt Mindeststandards zur Orientierung und zur Handlungssicherheit. Ein CMS umfasst die Gesamtheit der in einer Organisation eingerichteten Maßnahmen, Strukturen und Prozesse – mit der Maßgabe, Regelkonformität sicherzustellen. Es kann auf bestehenden Informationssicherheits-Management-Systemen aufbauen und diese entsprechend ergänzen.

Unterstützung durch externe Compliance-Spezialisten einholen

Für so manche Kommune können die vielfältigen Compliance-Anforderungen eine Überforderung darstellen. Insbesondere dann, wenn das Aufgabenfeld durch immer neue gesetzliche Regelungen sehr unübersichtlich wird.

Kann eine Kommune nicht auf entsprechende interne Fachkräfte zurückgreifen, ist eine externe Beratung empfehlenswert. Wir unterstützen Unternehmen, Organisationen und kommunale Verwaltungen bei der Einführung und Prüfung von Compliance-Management-Systemen sowie der Verbesserung der Informationssicherheit – unter anderem mit Awareness-Lösungen. Organisationale Widerstandsfähigkeit wird so aufgebaut und die Möglichkeiten der Digitalisierung können sicher und flexibel genutzt werden.

Mehr zu dem Thema erfahren Interessierte am 3. November 2022 auf der „dikomm“ in Essen: Ulrich Heun referiert um 10:20 Uhr zu „Digitale Kommune – aber sicher?!“. www.dikomm.de

Unser Fokus im September 2022

Widerstandsfähig in Krisenzeiten - Der Grundgedanke der Organisationalen Resilienz

Manche Menschen meistern Krisen besser als andere. Sie besitzen eine entscheidende Stärke: Resilienz. Diese generelle Fähigkeit, Krisen, besondere Belastungen und schwierige Lebenssituationen gut zu bewältigen, lässt sich trainieren und stärken. Das gilt auch für Unternehmen und Organisationen. Denn ein starkes „Immunsystem“ kann existenzentscheidend sein. Resiliente Unternehmen sind widerstandsfähiger. Wir zeigen Ihnen, welche Stellhebel hierfür zu betätigen sind.

Unternehmen müssen sich heute schneller denn je auf Veränderungen einstellen. Globalisierung, Digitalisierung, immer kürzere Innovationszyklen und viele weitere Einflussfaktoren fordern eine hohe Dynamik und Flexibilität. Gleichzeitig steigen die Anforderungen an Informationssicherheit, Qualität, Compliance etc. Hinzu kommen Einflüsse wie Naturkatastrophen, Wirtschaftskrisen und vieles mehr. Um in dieser herausfordernden Zeit bestehen zu können, ist es so wichtig wie nie zuvor, die Belastbarkeit der unterschiedlichen Säulen in der Organisation zu stärken“, erklärt unser Geschäftsführer Ulrich Heun.

Maßnah­men zur Organisationalen Resilienz unterstützen die innere Widerstandskraft, das „Immunsystem“. Sie fördern die Fähigkeit eines Unternehmens oder einer Organisat­ion, sich syste­matisch auf aktuelle und künftige negative Einflüsse vorzubereiten und so darauf einzustellen, dass Schäden vermieden werden und die Zukunftsfähigkeit aufrecht­erhalten wird.

Beständigkeit und Flexibilität in einem

Resilienz fördert Stärke und Robustheit, bedeutet aber auch Flexibilität: Nachgeben und dennoch beständig sein – wie ein Baum im Wind. Um mit allen Bestandteilen des Unternehmens so fest verwurzelt zu sein, dass Gegenwind nicht zum Umfallen führt, müssen die dafür relevanten Strukturen und Prozesse entsprechend gestaltet werden. Dies lässt sich durch Managementsysteme unterstützen. Sie berücksichtigen die unterschiedlichen Zweige: Informationssicherheit, Compliance, Business Continuity und Risikomanagement ebenso wie Service-, Qualitäts-, Personal- und Innovations-Management. Das sind die zentralen Elemente, deren Umsetzung und Verästelung zur Organisationalen Resilienz führt.

Ulrich Heun erklärt: „Die organisationale Resilienz hat sehr viele Facetten. Es ist daher erfolgsentscheidend, alle Mitarbeitenden und Geschäftspartner auf sämtlichen Ebenen ins Boot zu holen, um durchgängige Resilienz erzielen zu können. Wenn alle Faktoren gesund und resilient sind, entsteht eine starke Widerstandskraft im Gesamten. Wir bieten daher entsprechende Beratung und Dienstleistungen zur nahtlosen Integration der verschiedenen Teildisziplinen. Dies reicht von der Analyse der Verknüpfungen über die Identifikation von Problemen bis hin zur methodischen Umsetzung.“

Zum Thema Organisationale Resilienz können Interessierte am 15. März 2023 am „CARMAO Resilience Summit” teilnehmen. Keynotes, Impuls-Vorträge, Barcamps und Diskussionen zeigen, wie sich Unternehmen oder Organisationen auf Herausforderungen vorbereiten können sowie sicherer und agiler damit umgehen. 

Mehr Informationen und die Möglichkeit, Vortragsvorschläge einzureichen, unter: https://carmao.de/resiliencesummit

Unser Fokus im August 2022

Retter in der Not: Disaster Recovery

Wenn die IT-Infrastruktur eines Unternehmens nach einem Störungs- oder Katastrophenfall in wichtigen Teilen lahmgelegt ist, dann bedarf es schneller Rettung. „Disaster Recovery“ als wichtiger Baustein der Unternehmensresilienz hilft dabei, wieder Zugriff zu erlangen bzw. die Funktionsfähigkeit wiederherzustellen. Als Spezialist für Organisationale Resilienz zeigen wir auf, welche Maßnahmen notwendig sind, um zum Normalzustand zurückzukehren.

Nach einer Naturkatastrophe oder anderen Zwischenfällen wie Cyberangriffen oder Betriebsstörungen ist schnelles Handeln im Sinne einer Disaster Recovery gefragt. Dazu zählen Maßnahmen wie zum Beispiel das Ersetzen nicht mehr verwendbarer Hardware und das „Wiederankurbeln“ von Geschäftsprozessen. Dabei wird zunächst ein Notbetrieb mit den Mindestanforderungen hochgefahren und dann sukzessive die vollständige Wiederherstellung durchgeführt. Die Replikation der Daten bzw. Infrastruktur findet häufig an einem externen Standort statt, der nicht von dem Zwischenfall betroffen ist.

Unser Geschäftsführer Ulrich Heun erklärt: „Den weitreichenden Folgen eines Zwischenfalls kann man vorbeugen. In jedem Betrieb sollte heute ein zuverlässiges Backup Grundvoraussetzung sein. Leider messen immer noch viele Unternehmen dieser essenziellen Maßnahme zur Datensicherung keine hohe Bedeutung bei. Da extreme Wetterereignisse, Pandemien und Cybercrime zunehmen, wird es immer wichtiger, zum einen Daten zu sichern und zum anderen einen Disaster Recovery-Plan aufstellen, um im Ernstfall schnell reagieren zu können.“

Maßnahmen-Plan erstellen und Wirksamkeit testen

Ein Disaster Recovery-Plan legt Maßnahmen, Verfahren und Vorgaben dazu fest, wie in einem Störungs- oder Katastrophenfall zu reagieren ist. Ziel ist es, die Auswirkungen auf das Unternehmen so gut wie möglich zu minimieren. Bestandteil des IT-Notfallplans sind auch Eskalationsstufen, Meldewege und definierte Zuständigkeiten. Ein Disaster Recovery-Test überprüft die Wirksamkeit des Disaster Recovery-Plans. Er zeigt auf, ob bei einem Störfall die verschiedenen Maßnahmen und Verfahren greifen und die Wiederherstellung der IT-Infrastruktur gelingen kann. Regelmäßig durchgeführte Tests halten den Disaster Recovery-Plan aktuell. Darüber hinaus schult er die Mitarbeitenden. Diese sind besser im Bilde, welche Tätigkeiten im Notfall durchzuführen bzw. welche Vorgaben zu erfüllen sind.

Business Impact-Analysen identifizieren kritische Geschäftsprozesse

Für ein Disaster Recovery-Konzept sind Business Impact Analysen (BIA) der wichtigsten Geschäftsprozesse essenziell. Verantwortliche sind so in der Lage, die Reihenfolge für den Wiederanlauf des Betriebs entsprechend der Kritikalität sowie der technischen und organisatorischen Abhängigkeiten im Detail planen. BIA dienen zur Identifikation der kritischen Geschäftsprozesse und Ressourcen. Zudem ermitteln sie Kenngrößen für die Wiederaufnahme nach Unterbrechungen und unterstützen außerdem dabei, wirtschaftliche Prioritäten des Unternehmens leichter zu definieren. Business Impact Analysen werden oft mit Hilfe von Fragebögen und/oder DR-Planungstools vorgenommen. Die Tools bieten unter anderem Funktionen zur leichteren Datenerfassung und -analyse.

„Wir bieten spezielle Konzepte, Beratung und Tools im Sinne einer ganzheitlichen Organisationalen Resilienz. Damit können Organisationen eine starke Prävention zur Notfallvermeidung betreiben. Tritt der Ernstfall dennoch ein, ist ein Disaster Recovery-Konzept ein gutes Rüstzeug, um größere Schäden einzudämmen“, erklärt Ulrich Heun.

Sprechen Sie auch mit unseren Experten für Business Continuity für nähere Informationen.

Unser Fokus im Juli 2022

Warum der Datenschutz beim mobilen Arbeiten mitreisen sollte

Seit Beginn der Corona-Pandemie liegt mobiles Arbeiten stark im Trend. Wie selbstverständlich werden heute von zuhause aus online Team-Meetings abgehalten, unterwegs per Smartphone sensible E-Mails verschickt oder auf dem Laptop im Café neue Anwendungen programmiert. Vielen ist dabei nicht bewusst, dass ihr mobiles Arbeiten nicht datenschutzkonform durchgeführt wird. Die möglichen Folgen: Missbrauch, Manipulation oder der Verlust von Daten.

Wir zeigen auf, wer beim Umgang mit sensiblen Daten in puncto Datenschutz in der Pflicht und wer in der Verantwortung steht.

„Die mobile Arbeit bietet einige Vorteile wie zum Beispiel Flexibilität. Sie erhöht jedoch auch das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Nachlässigkeit kann hier zum Beispiel zum Missbrauch von Berechtigungen, zur Manipulation von Hard- oder Software durch Dritte oder zum Zugriff auf Personal- und Kundendaten durch Unbefugte führen. Sogar der komplette Datenverlust kann eine Folge sein“, erklärt unser Geschäftsführer Ulrich Heun.

Arbeitgeber trägt die Verantwortung für Schäden

Verursacht werden Missbräuche und Schadensfälle oftmals durch die fehlerhafte Nutzung bzw. Administration von Geräten und Systemen oder durch das unbefugte Eindringen in IT-Systeme. Dies kann zu ernsthaften Konsequenzen für das Unternehmen führen. Ulrich Heun sagt: „Obwohl der Arbeitgeber außerhalb des Büros nur beschränkte Kontrollrechte und Einflussmöglichkeiten hat, muss er die Verantwortung übernehmen, wenn es zu Schäden auf Grund mangelnden Datenschutzes kommt.“

Die Datenschutz-Grundverordnung (DSGVO) unterstreicht dies. Gemäß Art. 4 Nr. 7 bleibt der Arbeitgeber immer für die Datenverarbeitung verantwortlich. Ihm gegenüber können damit Schadensersatzansprüche und Bußgelder geltend gemacht werden, wenn der Datenschutz im Home-Office oder mobil nicht ausreichend umgesetzt wurde.

Der Schutz sensibler Daten ist Pflicht des Arbeitnehmers

Auch wenn der Arbeitgeber die Verantwortung trägt, die Mitarbeitenden stehen in der Pflicht, stets alle ihre Tätigkeit betreffenden Richtlinien oder Anweisungen im Umgang mit Daten einzuhalten. Dies gilt besonders für Vorgaben, die die Sicherheit personen-bezogener Daten betreffen.

„Wer mobil arbeitet, muss sensible Daten mit der gleichen Sorgfalt schützen wie im Büro. Daten sollten beispielsweise grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten gespeichert werden, die nicht im Eigentum oder Besitz des Arbeitgebers stehen“, sagt Ulrich Heun.

Der Arbeitgeber ist demnach angehalten, Hard- und Software bereitzustellen oder zu genehmigen. Ausschließlich diese darf dann von den Mitarbeitenden für die Speicherung von Daten genutzt werden. Beschäftigte, die im Home-Office oder von unterwegs arbeiten, müssen zudem sicherstellen, dass andere Personen keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten. Besteht trotz aller Vorsichtsmaßnahmen ein berechtigter Verdacht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann, so müssen Mitarbeitende dies unverzüglich dem Unternehmen melden.

Sprechen Sie für weitere Informationen unser Datenschutz-Team an:

© 2022 by CARMAO GmbH

Impressum                    Datenschutz

Kontakt