Hinsichtlich der IT-Sicherheit und der Corona-Pandemie bekommt der Artikel 32 plötzlich eine ganz andere Bedeutung: Der Verantwortliche trifft Maßnahmen, um (a) die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und (b) die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das mit dem Artikel 32 verbundene Informations-Sicherheits-Managementsystem bekommt plötzlich eine ganz neue Bedeutung. Sämtliche Dokumentationen – sofern schon vorhanden – werden überarbeitet werden müssen. Beispiel: Verfügt Ihr Unternehmen über einen Stromgenerator, der zumindest die unternehmerische „Vitalfunktion“ im Krisenfall aufrechterhalten kann? Nein? Dann wurde möglicherweise nicht konsequent digitalisiert. Auch die Datenschutz-Folgenabschätzung in Hinblick auf den Artikel 35 bekommt eine ganz neue Perspektive. Die Risiken mangelnder Verfügbarkeit von Ressourcen-, Daten- und Personal-Verfügbarkeit werden um neue Risiko-Szenarien erweitert werden müssen.

⇧ zurück

Hinsichtlich des Datenschutzes und der Corona-Pandemie gilt: Wer bei dieser zunehmenden Digitalisierung das Thema „Datenschutz“ nicht von Anfang an einbezieht, der hat später ein Problem. Viele grundsätzliche Entscheidungen lassen sich später nicht „einfach mal“ rückgängig machen. Daher muss JETZT in der Konzeptions-Phase über den Datenschutz nachgedacht werden. Konzeptionelle Mängel im Datenschutz führen bei der Digitalisierung von Geschäftsprozessen (fast) garantiert zu Untersagungen, Bußgeldern, Beschwerden und Schadenersatzforderungen. Diesem Risiko sollte sich niemand aussetzen. An dieser Stelle ist die Benennung eines Datenschutzbeauftragten im Sinne des Artikel 37 von herausragender Bedeutung. Auch die Bedeutung eines Datenschutz-Managementsystems gemäß Artikel 5 und das Einrichten desselben wird zunehmen.

⇧ zurück

Im Zuge der Corona-Pandemie wurden in Deutschland auf einen Schlag hunderttausende Mitarbeiter ins HomeOffice geschickt. Fast alle betroffenen Unternehmen hat es „kalt erwischt“. Die Grenze zwischen betrieblichen und privaten Ressourcen weicht damit zunehmend auf. Die Beschäftigten arbeiten mitunter außerhalb des Büros (Homeoffice) bzw. mit privater Hard- und Software (BYOD).

Nicht jedes „Homeoffice“ ist auch „Telearbeit“ im Sinne des § 2 Abs. 7 Arbeitsstättenverordnung, denn bei Telearbeit muss Mobiliar und Computerhardware durch den Arbeitgeber gestellt werden (siehe Datenschutz-PRAXIS 05/2020 Seite 5-6).

Der betriebliche Gebrauch von privaten Ressourcen unterläuft alle Sicherheitsrichtlinien des Unternehmens; betroffen sind z.B. private Computer, Smartphones, Drucker, USB-Datenträger, E-Mail-Accounts, Datei-Sharing-Portale und WLAN-Hotspots. Streng genommen kann allein schon die Tatsache von unkontrolliertem BYOD eine Datenschutzverletzung darstellen (siehe Artikel 33). Das ist auch im Rahmen des Betriebsrats zu beachten, weil hier manchmal private Computer und E-Mail Accounts genutzt werden. Diese „weiche“ Pflicht gilt als erfüllt, wenn Homeoffice und BYOD zunächst einmal grundsätzlich verboten werden. Darauf aufbauend können im Einzelfall präzise formulierte Ausnahmen genehmigt werden (wer? was? wann? unter welchen Sicherheitsvorkehrungen?).

⇧ zurück

So wichtig der persönliche Kontakt im Geschäftsleben auch ist: Die Bedeutung von Dienstreisen und Messen wird abnehmen. Stattdessen werden Videokonferenzen und Webinare an Bedeutung gewinnen. Vermutlich wird die Videokamera am Arbeitsplatz zukünftig doch häufiger eingeschaltet, um einen kleinen Rest an „Persönlichkeit“ zu retten. Sämtliche Dienste stellen (zumindest teilweise) eine Auftragsverarbeitung gemäß Artikel 28 dar und bedürfen einer sorgfältigen Auswahl und Vertragsgestaltung. Falls diese Konferenzen in Wort und Bild aufgezeichnet werden, so sollte dies datenschutzrechtlich geprüft werden. Die aufgezeichneten Daten sollten im Verarbeitungsverzeichnis dokumentiert werden (siehe Artikel 30]

⇧ zurück

Der Fernzugriff auf die betrieblichen Ressourcen wird ein Dauerthema sein. Hier ist auf sichere Passwörter und auf konsequente Verschlüsselung zu achten (siehe weiter unten). Idealerweise wird eine 2-Faktor-Authentifizierung vorgesehen, damit von ausspionierten Passwörtern (bzw. systematischem Ausprobieren von Passwörtern) keine Gefahr ausgeht.

⇧ zurück

Die gesamte US-Software-Industrie will uns seit vielen Jahren massiv in „die Cloud“ locken. Aus Sicht von Microsoft, Google, Apple etc. sollen unsere Daten möglichst nicht mehr lokal gespeichert werden, sondern auf den Servern der Hersteller. Diese Dienste werden quasi verschenkt. Das ist verlockend! Viele Unternehmen nutzen diese Möglichkeiten und verzichten auf eine vollständige Installation von Office-Software auf den lokalen PCs. Einerseits ist dies sehr produktiv und konsequent digitalisiert. Andererseits werden personenbezogene Daten unverschlüsselt auf US-amerikanischen Servern gespeichert, und wir wissen nicht genau, was mit den Daten dort passiert. Die (vertrags-) rechtlichen Fragen sind längst nicht abschließend geklärt (beispielsweise wird die Nutzung von Google-Analytics seit Dezember 2019 als „gemeinsame Verantwortlichkeit“ angesehen. Bedenken Sie Folgendes: Sie begeben sich (fast) unwiederbringlich in die Hände dieses Anbieters. Darauf spekulieren diese Anbieter! Wenn Sie sich also heute für ein datenschutzrechtlich fragwürdiges Produkt entscheiden, dann könnten Sie dies zukünftig bitter bereuen. Planen Sie daher immer von vornherein auch eine „Exit-Strategie“.

⇧ zurück

Alle Computer sollten voll-verschlüsselt werden, sodass auch bei Diebstahl ein unbefugter Zugriff verhindert wird. Das gilt auch für die „großen“ ArbeitsplatzPCs, weil in Zeiten von „spontanem“ HomeOffice auch diese Rechner das Unternehmen verlassen und dann in den Wohnräumen der Beschäftigten stehen. Dies ist eine der Lehren aus der Corona-Pandemie.

Weil mitunter auch große Datenmengen ins HomeOffice transportiert werden müssen, werden USB-Datenträger eine größere Rolle spielen (die Internetverbindungen sind einfach zu langsam für viele Gigabyte an Information). Hier ist auf eine konsequente Verschlüsselung zu achten.

⇧ zurück

Die Daten werden immer mobiler und sind somit einer erhöhten Gefahr von Verlust und Diebstahl ausgesetzt. In vielen Fällen kann eine konsequente Verschlüsselung helfen.

⇧ zurück

Die Bedeutung von E-Mails wird noch weiter zunehmen. Viele sensible Inhalte, die bisher lokal innerhalb des Unternehmens flossen, werden nun auch über das Internet übertragen. Die wirksame Verschlüsselung wird immer wichtiger. Das gilt insbesondere für Berufsgeheimnisträger (Ärzte, Apotheker, Rechtsanwälte, Steuerberater, etc.), die der beruflichen Schweigepflicht des § 203 StGB unterliegen. Bitte denken Sie über PGP bzw. S/MIME nach! Achten Sie auch unbedingt, dass Ihr E-Mail-Server TLS beherrscht. Sie können dies bequem unter https://www.checktls.com herausfinden.

⇧ zurück

Welche Daten auch immer fließen: Sie müssen verschlüsselt sein. Nutzen Sie sFTP statt FTP. Nutzen Sie https://-Webseiten. Statt http://-Webseiten. Nutzen Sie POPs statt POP und SMTPs statt SMTP bzw. IMPAPs statt IMAP. Nutzen Sie WebDAV mittels SSL-Verschlüsselung. Das gilt für alles, was Sie nutzen. Wenn Sie nicht sicher sind, dass der Datenverkehr verschlüsselt ist, dann lassen Sie die Finger davon!

⇧ zurück

In einer stark digitalisierten Welt mit intensivem HomeOffice stellen sich auch Fragen zu den Unterschrifts-Prozeduren und der Rechtssicherheit von Verträgen. In vielen Unternehmen müssen Verträge ab einem bestimmten Wert von mehreren Personen unterschrieben werden. Doch wie soll dies zügig und sicher vonstattengehen, wenn die Personen im HomeOffice tätig sind? Die qualifizierte elektronische Signatur ist hier die Lösung, denn die relevanten Personen können das jeweilige Vertragsdokument im PDF-Format nacheinander digital unterschreiben. Wird hierbei auch der qualifizierte Zeitstempel genutzt, so steht auch das Datum der Unterschrift nicht zur Diskussion.

⇧ zurück