Rechtlicher Datenschutz 

Der Begriff Datenschutz wird oft missverstanden, denn es geht nicht direkt um den Schutz von Daten vor Verlust oder Diebstahl. Dieses eher technische Themenfeld bezeichnet man als Datensicherheit. Wobei hier der Begriff "Informationssicherheit" angebrachter erscheint.

Datenschutz bezieht sich vielmehr auf den Schutz der Menschen, deren Daten erhoben und verwendet werden. Dabei wird von dem Grundsatz ausgegangen, dass jeder Mensch selbst bestimmen sollte, wem er welche seiner Daten bekannt gibt. Zu den schutzbedürftigen Daten gehören einerseits persönliche Angaben, wie Name, Anschrift oder Familienstand sowie andererseits sachliche Angaben wie Auto-Kennzeichen oder Eigentumsverhältnisse. Die zentrale Aufgabe des Datenschutzes ist es sicherzustellen, dass der Umgang mit solchen Daten niemanden schädigt oder unnötig einschränkt.

Der Datenschutz in Unternehmen sowie der Umgang und die Datenverarbeitung von personenbezogenen Daten ist durch die Datenschutz-Grundverordnung (DSGVO) umfassend geregelt. Ergänzt wird sie durch das BDSG n.F.. Unternehmen oder Betriebe sind verpflichtet, personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern zu schützen.

Datenschutz soll nicht die Daten an sich schützen. Es geht immer um den Menschen, auf den sich die Daten beziehen.

"Das Datenschutzrecht will Menschen davor schützen, dass ihre Daten unbefugt verwendet werden oder ihnen durch den Umgang mit sie betreffenden Daten Schaden entsteht."

IT-Dienstleistungen

Stets müssen Unternehmen und Organisationen für den gesetzeskonformen Umgang mit personenbezogenen Daten sorgen. Die Datenschutzgesetze sehen für den Datenumgang die folgenden vier Pflichten vor:

  • Die Datenverarbeitung muss durch eine Rechtsgrundlage überhaupt erlaubt sein.

  • Die Betroffenen müssen über die Verarbeitung ihrer Daten informiert sein.

  • Die Datenverarbeitung muss durch Maßnahmen sicher gestaltet sein.

  • Die Daten müssen gelöscht werden, sobald sie für den Zweck der Verarbeitung nicht mehr erforderlich sind.

Aufgaben des Datenschutzbeauftragten 

Zu den gesetzlich festgelegten Aufgaben eines Datenschutzbeauftragten gehören insbesondere:

  • Beratung und Information der Unternehmensleitung und der Beschäftigten zum Datenschutz

  • Überwachung der Einhaltung datenschutzrechtlicher Vorgaben

  • Unterstützung und Beratung bei Datenschutz-Folgenabschätzungen

  • Zusammenarbeit mit den Datenschutzaufsichtsbehörden

  • Ansprechpartner für betroffene Personen und Mitarbeitende

Anforderungen an Datenschutzbeauftragte 

Die benannte Person muss fachlich geeignet und zuverlässig sein, um die Aufgaben eines Datenschutzbeauftragten erfüllen zu können. Dazu gehören insbesondere:

  • Fachkenntnisse im Datenschutzrecht sowie in der praktischen Umsetzung des Datenschutzes

  • Verständnis für rechtliche, technische und organisatorische Datenschutzmaßnahmen

  • Zuverlässigkeit und die Fähigkeit zur unabhängigen Aufgabenerfüllung

  • Integrität sowie die Vermeidung von Interessenkonflikten

  • Je nach Unternehmen zusätzliche branchenspezifische Kenntnisse

Ein gesetzlich geregeltes Berufsbild für Datenschutzbeauftragte existiert nicht. Daher empfiehlt es sich, entsprechende Qualifikationen und praktische Erfahrungen sorgfältig zu prüfen.

Interner oder externer Datenschutzbeauftragter? 

Unternehmen können entscheiden, ob sie einen internen oder externen Datenschutzbeauftragten bestellen möchten.

Ein interner Datenschutzbeauftragter ist direkt im Unternehmen beschäftigt. Dadurch kennt er die internen Abläufe, Organisationsstrukturen und Entscheidungsprozesse besonders gut. Gleichzeitig darf diese Person jedoch nicht Teil der Geschäftsleitung sein und muss über die erforderliche fachliche Qualifikation verfügen. Unternehmen sind verpflichtet, ausreichend Zeit, Ressourcen und Weiterbildungsmöglichkeiten bereitzustellen. Zudem genießen interne Datenschutzbeauftragte einen besonderen Kündigungsschutz.

Ein externer Datenschutzbeauftragter wird als Dienstleister beauftragt. Durch die externe Perspektive kann häufig eine objektivere Bewertung datenschutzrechtlicher Themen erfolgen. Zudem verfügen externe Datenschutzbeauftragte oftmals über umfangreiche Erfahrungen aus verschiedenen Unternehmen und Branchen. Ein unabhängiger Blick von außen kann dabei helfen, betriebliche Routinen kritisch zu hinterfragen und Verbesserungspotenziale zu erkennen. Vor der Beauftragung eines externen Datenschutzbeauftragten empfiehlt sich ein persönliches Gespräch, um die fachliche Eignung sowie die Zusammenarbeit im Unternehmensalltag zu prüfen.

Aufgaben der Datenschutzaufsichtsbehörden 

Die Einhaltung der Datenschutzvorschriften wird durch staatliche Datenschutzaufsichtsbehörden überwacht. Diese bearbeiten Beschwerden betroffener Personen und kontrollieren Unternehmen hinsichtlich der Einhaltung datenschutzrechtlicher Vorgaben.

Für die meisten Unternehmen in Deutschland sind die Landesdatenschutzbehörden zuständig. In Bayern übernimmt diese Aufgabe das Landesamt für Datenschutzaufsicht. Der oder die Bundesbeauftragte für den Datenschutz ist insbesondere für Bundesbehörden sowie Unternehmen aus der Telekommunikations- und Postbranche verantwortlich.

Datenschutzbehörden können Unternehmen sowohl aufgrund konkreter Beschwerden als auch im Rahmen anlassloser Prüfungen kontrollieren. Werden Verstöße gegen Datenschutzvorschriften oder unzureichende Schutzmaßnahmen festgestellt, können die Behörden Maßnahmen zur Nachbesserung anordnen, Datenverarbeitungen untersagen oder Bußgelder verhängen. Diese können bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen.

Gewährleistungs-Ziele 

"Die Gewährleistungsziele thematisieren insgesamt wesentliche datenschutzrechtliche Risiken bzw. Anforderungen. Hinter jedem Gewährleistungsziel steht vor allem ein Katalog mit Maßnahmen zur Erreichung der Gewährleistungsziele in der Praxis."

Quelle: Standard-Datenschutzmodell

Gewährleistungsziele

Ziele mit einem Bezug auf den Datenschutz 

Die nachfolgenden Ziele leiten sich aus den Grundprinzipien der Datenschutz-Grundverordnung (DSGVO) ab. Sie dienen der systematischen Identifikation datenschutzrechtlicher Risiken sowie der Ableitung geeigneter technischer und organisatorischer Maßnahmen. Werden im Rahmen von Geschäftsprozessen personenbezogene Daten verarbeitet, sind diese Prozesse auch aus datenschutzrechtlicher Perspektive gegen Angriffe und unbefugte Zugriffe zu schützen.

  • Datenminimierung

    Datenminimierung konkretisiert und operationalisiert im Grundsatz der Erforderlichkeit, der von diesem Prozess insgesamt wie auch von jedem seiner Schritte verlangt, nicht mehr personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen, als für das Erreichen des Verarbeitungszwecks erforderlich ist.

  • Nichtverkettung

    Das Gewährleistungsziel Nichtverkettung bezeichnet die Anforderung, dass Daten nur für den Zweck verarbeitet und ausgewertet werden können, für den sie erhoben werden.

  • Transparenz

    Das Gewährleistungsziel Transparenz bezeichnet die Anforderung, dass z. Bsp. der Betroffene erkennen kann, welche Daten für welchen Zweck erhoben und verarbeitet werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung der Datenverarbeitung besitzt.

  • Intervenierbarkeit

    Das Gewährleistungsziel Intervenierbarkeit bezeichnet die Anforderung, dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung jederzeit wirksam gewährt wird.

Ziele mit einem Bezug auf die Informationssicherheit 

Die folgenden Gewährleistungsziele wurden ursprünglich im Kontext der Informationssicherheit formuliert und beschreiben Anforderungen an den sicheren Betrieb von Verfahren und Geschäftsprozessen. Organisationen müssen ihre Geschäftsprozesse und die dabei eingesetzten informationsverarbeitenden Systeme vor Angriffen und sonstigen Sicherheitsbedrohungen schützen.

  • Verfügbarkeit

    Das Gewährleistungsziel Verfügbarkeit bezeichnet die Anforderung, dass personenbezogene Daten zur Verfügung stehen müssen und ordnungsgemäß im vorgesehenen Prozess verwendet werden können.

  • Integrität

    Das Gewährleistungsziel Integrität bezeichnet u.a. die Eigenschaft, dass die zu verarbeitenden Daten unversehrt, vollständig und aktuell bleiben.

  • Vertraulichkeit

    Das Gewährleistungsziel Vertraulichkeit bezeichnet die Anforderung, dass keine Person personenbezogene Daten unbefugt zur Kenntnis nehmen kann.

Information 

"Information wird im Sprachgebrauch auch als allgemeine Bezeichnung für Daten benutzt, beide Ausdrucke werden oft als gleichbedeutend angenommen. [...] Informationen können nicht nur auf IT-Systemen gespeichert sein, sondern auch in Papierform vorliegen oder von Mensch zu Mensch mündlich weiter gegeben werden."

Quelle: Wikipedia

Information
  • Informationssicherheit

    Informationssicherheit

    Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.

  • Informationstechnik (IT)

    Informationstechnik (IT)

    Informationstechnik (IT) umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.

  • IT-Sicherheit

    IT-Sicherheit

    Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Während sich die IT-Sicherheit vor allem auf technische Systeme konzentriert, umfasst die Informationssicherheit zusätzlich organisatorische, personelle und physische Schutzmaßnahmen.

Information Security Management System 

"Ein Information Security Management System (ISMS) dient dazu, Informationssicherheit systematisch zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Es schafft also den organisatorischen Rahmen, um Sicherheitsziele dauerhaft einzuhalten."

Informationssicherheit

Sicherheitsbereiche

  • Netzwerk

    Netzwerk

    o Gateway-Technologien

    o Sandboxing / EDR / XDR

    o Wireless

  • Endpoint

    Endpoint

    o Virenschutz

    o Neue Bedrohungen

    o Mobile

  • Daten

    Daten

    o Sichere Datenübertragung

    o Festplatten-Verschlüsselung

    o Datensicherung und Wiederherstellung

... 

...

(C) 2007-2025 by Uwe Drath

Diese Website benutzt technisch notwendige Cookies und externe Skripte „Drittanbietern Add-Ons“, um den Besuch komfortabler und sicherer zu ermöglichen und somit Ihr Benutzererlebnis zu verbessern. Für alle Cookies, die nicht technisch notwendig sind, benötigen wir Ihre Einwilligung.

Mit dem Klick auf „Alle Erlauben“ erklären Sie sich mit der Verwendung von "Drittanbietern Add-Ons" einverstanden.

Welche Cookies und Skripte benutzt werden und wie diese die Webseitenbenutzung beeinflussen, finden Sie in der „Privatsphäre-Einstellung“. Hier können Sie auch jederzeit Ihre Einstellungen ändern.