Häufige Fragen zum Datenschutz und zur IT-Sicherheit​​

Hier finden Sie die häufigsten Fragen & Antworten zum Datenschutz und zur IT-Sicherheit

FAQ

Datenschutz

Informationssicherheit

HinweisgeberSchutzGesetz

Datenschutz

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Sie ist seit dem 25.05.2018 gültig und wird in Deutschland durch das Bundedatenschutzgesetz (BDSG) ergänzt. Sie ist geltendes Recht.

Die DSGVO gilt für europäische Unternehmen, Vereine und öffentliche-Stellen, z.B. Behörden. Zusätzlich gilt die DSGVO auch für nicht-europäische Unternehmen, welche Ihre Produkte auf dem europäischen Markt anbieten (Marktortprinzip).

Oft wird die DSGVO mit der gesetzlichen Bestellpflicht für Datenschutzbeauftragte verwechselt, im Gegenteil zur Bestellpflicht gilt die DSGVO für alle Unternehmen, unabhängig von der Größe und Mitarbeiterzahl.

Einige der wichtigsten Neuerungen durch die Datenschutz-Grundverordnung sind die sogenannten Betroffenenrechte, welche den durch die Datenverarbeitung betroffenen Personen eine Vielzahl an Rechten zusprechen. Die wichtigsten dieser neuen Rechte sind z.B. das Recht auf Information, Auskunft und das Recht auf Vergessenwerden (Löschung).

Erstmals sind mit der DSGVO auch die Möglichkeiten, Datenschutzverstöße zu sanktionieren, drastisch verschärft worden. So können Unternehmen und Vereine nun für Datenschutzverstöße durch die zuständigen Aufsichtsbehörden mit Bußgeldern sanktioniert werden. Diese Bußgelder können bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen (im Vergleich dazu sah das deutsche BDSG bisher ein maximales Bußgeld von 300.000 Euro vor).

Das unterstreicht die Relevanz der Datenschutz-Grundverordnung deutlich, da Datenschutzverstöße nun empfindliche finanzielle Auswirkungen für Unternehmen darstellen können.

Die gesetzliche Pflicht einen Datenschutzbeauftragten zu bestellen besteht, wenn einer der folgenden Punkte zutrifft:

  • Es sind regelmäßig mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG – Update auf 2. DSAnpUG-EU).
  • Wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, Religionszugehörigkeiten, politische Meinungen, sexuelle Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c DSGVO).
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO).
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO).
  • Es finden Verarbeitungen statt, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (§ 38 Abs. 1 Satz 2 BDSG).  Zum Beispiel eine Videoüberwachung des Firmengeländes oder von Parkplätzen. Eine Liste mit DSFA-pflichtigen Verarbeitungsvorgängen finden Sie hier
  • Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DSGVO).

Die DSGVO gilt auch für Firmen und Vereine, welche nicht unter die gesetzliche Pflicht fallen, einen Datenschutzbeauftragten zu bestellen. Oft wird die DSGVO mit der gesetzlichen Bestellpflicht für Datenschutzbeauftragte verwechselt, im Gegenteil zur Bestellpflicht gilt die DSGVO für alle Unternehmen, unabhängig von der Größe und Mitarbeiterzahl.

Auch ohne DSB müssen Sie die gesetzlichen Anforderungen beachten und diverse Maßnahmen ergreifen und Dokumentationspflichten erfüllen. Das betrifft z.B. bei der Firmenwebseite, auf der Besucherstatistiken erfasst werden, die gesetzlichen Pflichtdokumente, wie z.B. Verarbeitungsverzeichnisse, oder die fristgerechte Erfüllung der Betroffenenrechte auf Auskunft oder Löschung. 

Gerne unterstützen wir Sie dabei – Sprechen Sie uns einfach an!

Die Aufgaben und Tätigkeiten unterscheiden sich nicht, es gibt jedoch einige organisatorische und betriebswirtschaftliche Unterschiede

Interner Datenschutzbeauftragter Externer Datenschutzbeauftragter
Betrieblicher Kündigungsschutz, Abberufung sehr schwierig Kündigungsschutz vertraglich geregelt
Erwerb der Fachkunde aufwendig und kostspielig Bringt die erforderliche Fachkunde bereits mit
Regelmäßige Weiterbildungskosten Weiterbildungskosten entfallen
Gefahr der „Betriebsblindheit“ Objektive und neutrale Sicht auf Unternehmen und Prozesse. Bringt branchenübergreifende Erfahrung mit
Kennt Prozesse, Unternehmen und Branche bereits sehr gut Benötigt eine gewisse Einarbeitungszeit in Prozesse und Unternehmen
Haftung bleibt im Unternehmen Haftung vertraglich geregelt
Oft langsame Reaktionszeiten, da meist noch andere Tätigkeiten im Unternehmen zu erfüllen sind Kurze Reaktionszeiten, spezialisierte Tätigkeiten

Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin. Grundlage und Maßstab der Aufgabenerfüllung des Datenschutzbeauftragten sind die geltenden Rechtsvorschriften zum Datenschutz.

Zu den Aufgaben des Datenschutzbeauftragten gehören unter anderem:

  • Stellung einer fachkundigen Person als zu benennender betrieblicher Datenschutzbeauftragter.
  • Unterrichtung und Beratung des Auftraggebers und dessen Beschäftigten nach der DSGVO und sonstigen Datenschutzvorschriften.
  • Schulung der Mitarbeiter im Datenschutz.
  • Überwachung und Koordination der Maßnahmen des Datenschutzes und der Datensicherheit sowie der Einhaltung der DSGVO und der Strategien des Auftraggebers für den Schutz personenbezogener Daten.
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.
  • Zusammenarbeit mit der Aufsichtsbehörde.
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen und ggf. Beratung zu sonstigen Fragen.
  • Dokumentation und Pflege der technisch-organisatorischen Maßnahmen (TOM) zum Datenschutz.
  • Hilfestellung bei der Erstellung und Führung des Verfahrensverzeichnisses der Verarbeitungstätigkeiten.

Diese Aufgaben erfüllt der Datenschutzbeauftragte mit der Hilfe verschiedener Methoden und Werkzeuge wie Beratungsgesprächen, Audits, der Einführung eines Datenschutz-Managementsystems, Dokumenten zur Mitarbeitersensibilisierung, Online- und Präsenzschulungen sowie regelmäßigen und detaillierten Berichten an die Geschäftsführung.

Zudem ist der Datenschutzbeauftragte ein ständiger fachkundiger Ansprechpartner für Mitarbeiter, Betroffene und Aufsichtsbehörden in allen Fragen und Themen rund um den Datenschutz.

Ein Cookie Banner wird immer benötigt, wenn Cookies auf der Webseite eingesetzt werden, um den Informationspflichten nach DSGVO nachzukommen. Es gibt jedoch Unterschiede wie ein Cookie-Banner gestaltet sein muss, abhängig von der Art der verwendeten Cookies.

Gerne analysieren wir Ihre Webseite und beraten Sie bei der Umsetzung!

Die Gestaltung des Cookie-Banners ist abhängig von der Art der eingesetzten Cookies. Werden z.B. nur technische Cookies eingesetzt, welche zur Darstellung der Seite zwingend notwendig sind, ist ein Cookie-Banner mit reiner Information („Okay-Banner“) ausreichend.

Werden allerdings Tracking-Cookies oder Werbe-/Marketing-Cookies, z.B. von Drittanbietern, verwendet, ist häufig eine aktive Einwilligung (Opt-In) der Besucher erforderlich und das Banner muss mit einer „Akzeptieren“ und einer „Ablehnen“-Funktion ausgestattet sein. Zudem sollte das Banner die direkte Erreichbarkeit des Impressums nicht einschränken, einen Verweis zur Datenschutzerklärung beinhalten und verständlich über Zweck und Art der Datenverarbeitung informieren.

Eine genaue Auflistung der für Sie notwendigen Angaben können wir Ihnen gerne auf Anfrage erstellen – Sprechen Sie uns einfach an!

Ohne Einwilligung dürfen technische Cookies, welche zur Funktion der Webseite zwingend notwendig sind, z.B. Warenkorb-Cookies bei Webshops, wenn dadurch keine Analyse des Nutzerverhaltens möglich ist und keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet. In diesen Fällen reicht ein rein informatives Cookie-Banner („Okay-Banner“ statt „Akzeptieren/Ablehnen“-Banner). Aufgrund der Vielzahl an Cookies und individuellen Techniken auf Webseiten raten wir dazu, die Webseite genau zu analysieren, erst dann lässt sich eine verbindliche Aussage dazu treffen. 

Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung. Dies sind z.B. Werbe-/ Marketing-Cookies, Tracking-Cookies (Google-Analytics) oder Cookies von Social-Media Plattformen.

Aufgrund der Vielzahl an Cookies und individuellen Techniken auf Webseiten raten wir dazu, die Webseite vorab genau analysieren zu lassen, erst dann lässt sich eine verbindliche Aussage dazu treffen. Wir beraten Sie gerne!

Durch die langjährige Kooperation mit unseren Partnern der B-CF Werbeagentur können wir Ihnen sowohl die Analyse Ihrer Webseite als auch die schnelle und kostengünstige Umsetzung eines DSGVO-konformen Cookie-Banners auf Ihrer Webseite anbieten, sprechen Sie uns einfach an.

Informationssicherheit

Informationssicherheit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff, Veränderung, Offenlegung, Zerstörung oder Diebstahl. Dies umfasst sowohl digitale als auch physische Informationen in verschiedenen Formen wie Daten, Dokumente, Systeme und Netzwerke.

Informationssicherheit ist wichtig, um vertrauliche Informationen zu schützen, die Integrität von Daten sicherzustellen, Betriebsunterbrechungen zu verhindern, den Ruf eines Unternehmens zu wahren und gesetzliche Anforderungen zu erfüllen. Durch den Schutz von Informationen können Unternehmen auch das Vertrauen ihrer Kunden und Partner stärken.

Ein hohes Maß an Informationssicherheit senkt zudem das Risiko für Betriebsstörungen und Geschäftsausfälle.

Zu den häufigsten Bedrohungen für die Informationssicherheit gehören Cyberangriffe wie Malware, Phishing, Ransomware, Denial-of-Service-Angriffe, Datenlecks, Insider-Bedrohungen, ungesicherte Netzwerke, unsichere Passwörter und physischer Diebstahl von Geräten oder Dokumenten.

Ein Informationssicherheits-Managementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung der Informationssicherheit in einer Organisation. Es umfasst Richtlinien, Verfahren, Prozesse und Technologien, um Risiken zu identifizieren, zu bewerten, zu behandeln und zu überwachen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Ein ISMS kann nach den Normen ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, oder dem BSI IT-Grundschutz aufgebaut werden. Zudem gibt es je nach Branche noch branchenspezifische Normen wie z.B. TISAX®.

  • Entwicklung und Umsetzung von Sicherheitsrichtlinien und -verfahren
  • Risikomanagement: Der ISB identifiziert potenzielle Sicherheitsrisiken für die Organisation, bewertet ihre Auswirkungen und Wahrscheinlichkeiten und entwickelt Strategien zur Risikominderung oder -akzeptanz.
  • Sicherheitsüberwachung und Incident Response: Der ISB überwacht kontinuierlich die Informationssicherheitslage der Organisation, um potenzielle Bedrohungen oder Sicherheitsvorfälle frühzeitig zu erkennen.
  • Sicherheitsschulungen und Awareness: Der ISB entwickelt Schulungsprogramme und Sensibilisierungsinitiativen für Mitarbeiter, um das Bewusstsein für Informationssicherheit zu stärken und sicherheitsrelevante Verhaltensweisen zu fördern.
  • Compliance und Audit: Der ISB stellt sicher, dass die Organisation die relevanten rechtlichen Anforderungen, Branchenstandards und internen Richtlinien im Bereich der Informationssicherheit einhält.
Interner ISB Externer ISB
Betriebliche Kündigungsfristen Laufzeit über Dienstleistungsvertrag geregelt
Erwerb der Fachkunde aufwendig und kostspielig Bringt die erforderliche Fachkunde bereits mit
Regelmäßige Weiterbildungskosten Weiterbildungskosten entfallen
Gefahr der „Betriebsblindheit“ Objektive und neutrale Sicht auf Unternehmen und Prozesse. Bringt branchenübergreifende Erfahrung mit
Kennt Prozesse, Unternehmen und Branche bereits sehr gut Benötigt eine gewisse Einarbeitungszeit in Prozesse und Unternehmen
Oft langsame Reaktionszeiten, da meist noch andere Tätigkeiten im Unternehmen zu erfüllen sind Kurze Reaktionszeiten, spezialisierte Tätigkeiten

Zu den Best Practices für die Informationssicherheit gehören die Implementierung von Zugriffskontrollen, Verschlüsselung, regelmäßige Sicherheitsüberprüfungen, Schulungen für Mitarbeiter, Aktualisierung von Software und Betriebssystemen, regelmäßige Sicherung von Daten, Überwachung von Netzwerken und die Einrichtung eines Notfallwiederherstellungsplans.

Verschlüsselung ist ein Verfahren zum Umwandeln von lesbaren Informationen in einen unlesbaren Code, der nur autorisierten Parteien bekannt ist. Dies schützt Daten vor unbefugtem Zugriff während der Übertragung oder Speicherung und trägt zur Wahrung der Vertraulichkeit bei.

Zur Verteidigung gegen Phishing-Angriffe sollten Mitarbeiter geschult werden, verdächtige E-Mails zu erkennen, keine persönlichen Informationen in unerwarteten E-Mails preiszugeben, Links und Anhänge nicht ohne Überprüfung zu öffnen und bei Zweifeln den IT-Support zu kontaktieren.

Die Multi-Faktor-Authentifizierung erfordert zusätzlich zur Eingabe eines Passworts die Bestätigung der Identität durch mindestens zwei verschiedene Faktoren wie SMS-Codes, biometrische Daten oder Hardware-Token. Dies erhöht die Sicherheit, da selbst wenn ein Passwort kompromittiert wird, ein Angreifer dennoch nicht auf das Konto zugreifen kann.

Zur Sicherheit von mobilen Geräten sollten Unternehmen Richtlinien für sichere Passwörter, Geräteverschlüsselung, regelmäßige Aktualisierungen, Installation von Antiviren- und Sicherheitsanwendungen, Fernlöschungsfunktionen im Falle eines Diebstahls und die Nutzung von sicheren Netzwerken implementieren.

Ein Notfallwiederherstellungsplan ist ein vordefinierter Prozess, der festlegt, wie eine Organisation auf Krisensituationen reagieren wird, um die Informationssicherheit und die Geschäftskontinuität aufrechtzuerhalten. Dies umfasst Maßnahmen wie Datensicherung, Wiederherstellung von Systemen, Kommunikation mit Stakeholdern und die Wiederherstellung von Diensten nach einem Sicherheitsvorfall oder einer Naturkatastrophe.

HinweisgeberSchutzGesetz​

Das HinweisgeberSchutzGesetz (HinSchG) ist die nationale Umsetzung der EU-Whistleblower-Richtlinie und gültig seit 2023. Unternehmen ab 50 MA sind seit dem 17.12.2023 und Unternehmen ab 250 MA bereits seit Juli 2023 dazu verpflichtet, eine interne Meldestelle nach HinSchG einzuführen.

Das HinweisgeberSchutzGesetz gilt für Unternehmen und öffentliche Einrichtungen ab 50 Mitarbeitern sowie Kommunen ab 10.0000 Einwohnern. Für bestimmte Branchen, z.B. Finanz- und Versicherungsbranche, gilt die Pflicht zur Einrichtung einer Meldestelle unabhängig von der Mitarbeiterzahl.

Das HinSchG schützt Personen, welche im Rahmen ihrer Berufstätigkeit Kenntnisse über Verstöße gegen das Gesetz oder andere verbindliche Regeln erlangt haben, und diese melden möchten. Oftmals haben diese Personen angst vor möglichen Konsequenzen oder Repressalien durch den Arbeitgeber und vermeiden es daher Verstöße zu melden.

Ziel ist es, Hinweisgebenden eine Möglichkeit zu bieten, Verstöße und Missstände zu melden ohne Repressalien befürchten zu müssen.

Das HinweisgeberSchutzGesetz verpflichtet Unternehmen und Kommunen eine interne Meldestelle einzurichten, über welche mögliche Missstände oder Verstöße sicher gemeldet werden können.

Die Meldestelle muss Hinweise mündlich, schriftlich und persönlich entgegennehmen können. Die Art des Mediums kann frei gewählt werden, erfahrungsgemäß sind technisch sichere Webportale am besten geeignet.

Außerdem muss die Meldestelle von fachkundigen und unabhängigen Personen betreut werden.

Ja! Externe Dienstleister, welche über die notwendige Fachkunde und technische Einrichtung (z.B. Webportal) verfügen, können die Meldestelle als Dienstleistung für die betroffenen Unternehmen stellen. Wir bieten Ihnen gerne unser geschultes Personal und unser sicheres Webportal als Dienstleistung an. Sie müssen sich dann um nichts mehr kümmern.

Nein! Da es sich um Informationen zu potenziellen Straftaten durch Personen handelt, müssen datenschutzrechtlich die Sicherheit der Verarbeitung und die Vertraulichkeit sichergestellt sein. Die meisten E-Mail-Postfächer weisen, wenn überhaupt, nur eine unzureichende Verschlüsselung auf und sind daher nicht geeignet. Zudem erfüllt das E-Mail-Postfach nicht die Pflicht zur mündlichen Meldung.

  • Unser Webportal ist technisch sicher (gehostet in einem ISO-27001-zertifizierten Rechenzentrum).
  • Das Portal bietet alle geforderten Meldewege und optional auch die Möglichkeit zu anonymen Meldungen.
  • Unser Portal bietet Mehrsprachigkeit und ist auch für international agierende Firmen geeignet.
  • Die Frist zur Eingangsbestätigung wird vom Portal automatisch erfüllt.
  • Unsere qualifizierten Case-Manager sind unabhängig und das Portal ist 24/7 verfügbar, es entfallen damit Schulungskosten und die Vertretungsregelung für eigenes Personal.
  • Wie liefern die Datenschutzerklärung die die gesetzlich vorgeschriebene Datenschutz-Folgenabschätzung (DSFA) gleich mit.
  • Das Portal kann auch für das Lieferkettenschutzgesetz verwendet werden.
  • Kostengünstiger als eine eigene Entwicklung. Zudem werden Schulungskosten für eigenes Personal eingespart.