E-Book, Deutsch, 407 Seiten
Reihe: Rheinwerk Computing
Heidrich / Wegener / Werner Datenschutz und IT-Compliance
1. Auflage 2023
ISBN: 978-3-8362-8676-3
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Das Handbuch für Admins und IT-Leiter
E-Book, Deutsch, 407 Seiten
Reihe: Rheinwerk Computing
ISBN: 978-3-8362-8676-3
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
IT-Administratoren bewegen Sich bei ihrer täglichen Arbeit regelmäßig in einem juristischen Minenfeld. Welche Daten müssen im Rahmen eines Auskunftsbegehrens herausgegeben werden? Welche Daten gehören in Backups und Logfiles und wann müssen diese gelösscht werden? Was ist beim Betrieb von Websites zu beachten und bei der Datenverarbeitung in der Cloud? Wann drohen Bußgelder? Wer hat warum welche Berechtigungen wofür? Nur wenige Systemadministratoren oder Compliance-Beauftragte können belastbare Antworten darauf geben. Mit unserem Leitfaden erhalten Sie Grundlagenwissen, Entscheidungshilfen und Praxishinweise an die Hand.
Aus dem Inhalt:
- Was sind personenbezogene Daten?
- Grundsätze der Datenverarbeitung und des technischen Datenschutz
- Systemprotokolle, Weblogs, Backups, Archivierung
- Löschpflichten und Löschkonzepte
- Datenverarbeitung in der Cloud
- Anforderungen Arbeit im Home Office
- Technische Gestaltung von Websites, Umgang mit Cookies
- Verarbeitungsverzeichnisse erstellen, und auf Auftragsverarbeitung
- Auskunftspflichten nachkommen
- Umgang mit Daten der Mitarbeiter*innen
- Compliance-Vorschriften beachten und Umgang mit Regelverstößen
- Strafrechtliche Risiken für Admins
Autoren/Hrsg.
Weitere Infos & Material
Vorwort ... 15
1. Grundlagen: Was Sie über den Datenschutz wissen müssen ... 17
1.1 ... Eine kleine Geschichte des Datenschutzes ... 17
1.2 ... Die Datenschutzgesetze im Überblick ... 19
1.3 ... Ein erster Blick: Aufbau und wichtige Begriffe in der DSGVO ... 20
1.4 ... Was ist überhaupt geschützt: personenbezogene Daten ... 22
1.5 ... Umgang mit personenbezogenen Daten: Verarbeitung & Co. ... 24
1.6 ... Grundsätze und Prinzipien des Datenschutzes ... 25
1.7 ... Abwägungssache: Der risikobasierte Ansatz in der DSGVO ... 29
1.8 ... Immer notwendig: Rechtsgrundlagen in der DSGVO ... 31
1.9 ... Die Haushaltsausnahme: Datenverarbeitung im privaten Bereich ... 44
2. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ... 47
2.1 ... Hintergrund: Was regelt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)? ... 47
2.2 ... Anwendungsfall »Telemedien« ... 49
2.3 ... Anwendungsfall Telekommunikation ... 56
3. Technischer Datenschutz: Anforderungen der DSGVO an den ITBetrieb ... 61
3.1 ... Die Grundlagen: Was ist technischer Datenschutz? ... 61
3.2 ... Sicher ausgewählt: Technische und organisatorische Maßnahmen (TOM) ... 65
3.3 ... Systemprotokolle und Weblogs: Was ist notwendig, und was ist erlaubt? ... 76
3.4 ... Verfügbar, wenn es notwendig ist: Backups und Archivierung ... 84
3.5 ... Nichts ist für die Ewigkeit: Löschpflichten und Löschkonzepte ... 88
3.6 ... Wolkige Aussichten: Anforderungen an die Datenverarbeitung in der Cloud ... 95
3.7 ... Arbeitsplatz »Home-Office«: Was ist zu beachten? ... 101
3.8 ... Videoüberwachung: Voraussetzungen für den legalen Betrieb ... 114
4. Datenschutz beim Betrieb von Websites ... 123
4.1 ... Grundlagen der technischen Gestaltung von Websites ... 123
4.2 ... Pflichtübung: Die aussagekräftige und rechtskonforme Datenschutzerklärung ... 124
4.3 ... Newsletter ... 138
4.4 ... Schlankheitskur: Datenschutzkonformer Umgang mit Cookies & Co. ... 146
4.5 ... Rechtmäßige Analyse: Richtiger Umgang mit Google Analytics & Co. ... 156
4.6 ... Datenschutzaspekte im Zusammenhang mit HTML5 sowie bei Googles FLoC und Co. ... 159
5. Datenschutzverpflichtungen als Unternehmen umsetzen ... 163
5.1 ... Bestandsaufnahme der Daten im Unternehmen: So erstellen Sie ein Verarbeitungsverzeichnis (VVT) ... 164
5.2 ... Technische und organisatorische Maßnahmen (TOM) festlegen und dokumentieren ... 178
5.3 ... Richtig informieren: Datenschutzhinweise für Betroffene ... 182
5.4 ... Wie Ihr Unternehmen seiner Auskunftspflicht richtig nachkommt ... 192
5.5 ... Die Auftragsverarbeitung: Was müssen Sie beachten? ... 197
5.6 ... Die Datenschutz-Folgenabschätzung: Notwendigkeit und Durchführung ... 202
5.7 ... Der Datenschutzbeauftragte: Notwendigkeit und Anforderungen ... 208
6. Umgang mit Datenschutzvorfällen ... 219
6.1 ... Wenn der IT-Vorfall zur Datenschutzkatastrophe wird ... 219
6.2 ... In der Krise: Wichtige Schritte planen! ... 222
6.3 ... Grundlagen der Meldepflicht von Datenschutzverstößen an die Aufsichtsbehörde ... 223
6.4 ... Die Benachrichtigung an die Betroffenen nach Art. 34 ... 230
6.5 ... Meldepflichten für Auftragsverarbeiter ... 233
6.6 ... Bußgelder im Kontext mit Meldepflichten ... 233
6.7 ... Schadensersatzansprüche bei Data Breaches ... 235
6.8 ... Damit es nicht nochmal passiert: Lessons Learned ... 236
6.9 ... Zwischenfazit und Checkliste ... 238
7. Export von Daten in alle Welt: Was ist erlaubt? ... 239
7.1 ... Der Datenschutz und die nationalen Grenzen ... 239
7.2 ... Die Welt in drei Zonen geteilt ... 240
7.3 ... Datenexport in Drittstaaten am Beispiel der USA ... 246
7.4 ... Datenexport in andere Drittstaaten ... 256
7.5 ... Europäische Töchter von US-Unternehmen und der CLOUD Act ... 256
7.6 ... Privacy Shield 2.0: Alles neu durch das TADPF? ... 259
7.7 ... Fallbeispiel Datentransfer: Massenabmahnungen für Google Fonts ... 261
7.8 ... Zwischenfazit ... 263
8. Umgang mit den Daten von Mitarbeitern ... 265
8.1 ... Grundlage des Beschäftigtendatenschutzes: § 26 BDSG ... 266
8.2 ... Nutzung von E-Mail, Chat und Internet im Unternehmen ... 272
8.3 ... Chef liest mit! Möglichkeiten und Grenzen der Überwachung von Mitarbeitern ... 279
8.4 ... Rechtsrisiken für Administratoren: Haftungsrisiken und Fallbeispiele ... 285
8.5 ... Bring Your Own Device (BYOD) und die Vermischung von Privatem und Geschäftlichem ... 290
8.6 ... Ärger mit dem Chef: Wie können sich Admins gegen zweifelhafte Anweisungen wehren? ... 292
8.7 ... Mitbestimmungsrecht der Arbeitnehmervertretungen ... 300
9. Einführung Compliance ... 305
9.1 ... Die Grundlagen: Was ist überhaupt Compliance? ... 305
9.2 ... Verletzung von Compliance-Vorgaben: Risiken für Unternehmen ... 309
9.3 ... Verletzung von Compliance-Vorgaben: Pflichten und Haftung von Führungskräften ... 310
9.4 ... Schutzmechanismen: Die Rolle von Compliance Management Systemen ... 315
9.5 ... Was ist IT-Compliance? ... 323
9.6 ... Aus dem Dunkeln holen: Der Umgang mit Schatten-IT ... 325
9.7 ... Umgang mit Whistleblowern: Hinweisgeber angemessen schützen ... 326
9.8 ... Wie sage ich es meinem Chef: Umgang mit fragwürdigen Arbeitsanweisungen ... 328
10. Folgen bei Datenschutzproblemen: Sanktionen, Abmahnungen und Schadenersatz ... 333
10.1 ... Datenschutzverstöße werden bestraft: Sanktionsmöglichkeiten der DSGVO ... 333
10.2 ... Das Schwert der Aufsichtsbehörden: Bußgelder nach Art. 83 DSGVO ... 338
10.3 ... Das kann teuer werden: Schadenersatzansprüche der Betroffenen ... 345
10.4 ... Böse Überraschung: Wann drohen Abmahnungen? ... 350
11. Strafrechtliche Risiken für Admins ... 355
11.1 ... Das Computerstrafrecht: Konsequenzen für Admins und Pentester ... 355
11.2 ... Geheimniskrämerei: der richtige Umgang mit Geheimnissen ... 367
11.3 ... Missbrauch personenbezogener Daten: Strafbarkeiten und Ordnungswidrigkeiten ... 373
11.4 ... Richtiger Umgang mit Durchsuchungen, Durchsichten und Beschlagnahmen ... 376
11.5 ... Fazit ... 383
12. Generative KI: Was bei der Nutzung von ChatGPT & Co. zu beachten ist ... 385
12.1 ... Grundlagen: Wie funktioniert ChatGPT eigentlich? ... 385
12.2 ... KI-Generatoren und das Urheberrecht ... 387
12.3 ... KI-Generatoren und der Datenschutz ... 394
12.4 ... Geschäftsgeheimnisschutz und KI ... 396
12.5 ... Richtlinien für die Nutzung von KI-Generatoren ... 397
Index ... 399
1.6 Grundsätze und Prinzipien des Datenschutzes
Wie schon das alte BDSG enthält auch die DSGVO eine Reihe von Grundsätzen des Datenschutzes, die für jeden Umgang mit personenbezogenen Daten gelten. Diese Regeln sind in Art. 5 DSGVO festgelegt: Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Alle dieser Prinzipien sind gleichermaßen zu beachten; eine Ausnahme gibt es nicht. Daher ist es zum Verständnis des Datenschutzes unumgänglich, diese Grundsätze zu verstehen und auf jede Verarbeitung anzuwenden.
1.6.1 Rechtmäßigkeit der Verarbeitung
Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Dies ist dann der Fall, wenn für jeden Verarbeitungsvorgang eine valide Rechtsgrundlage vorliegt. Dies wird als sogenanntes Verbot mit Erlaubnisvorbehalt bezeichnet, wonach erst einmal jede Nutzung von Daten untersagt ist, sofern für diesen Vorgang nicht ausnahmsweise eine gesetzliche Erlaubnis vorliegt.
Diese Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO und ErwG 40 konkretisiert. Danach ist jeder Umgang mit personenbezogenen Daten nur dann rechtmäßig, wenn eine der genannten sechs Rechtsgrundlagen für die Datenverarbeitung vorliegt. Hierzu zählen z. B. die Einwilligung oder das berechtigte Interesse.
1.6.2 Verarbeitung nach Treu und Glauben
Dieser Grundsatz sieht vor, dass unredliche bzw. missbräuchliche Verarbeitungsvorgänge zu unterlassen sind. In der Praxis geht es dabei um die Frage, ob ein bestimmtes Verhalten als redlich bzw. anständig bewertet werden kann.
1.6.3 Transparenz
Der Transparenzgrundsatz setzt voraus, dass die Verarbeitung der personenbezogenen Daten für die betroffenen Personen nachvollziehbar sein muss. Daraus resultiert z. B., dass alle Informationen bezüglich der Verarbeitung dieser Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind.
Auch sollen die Betroffenen die Auswirkungen des Umgangs mit ihren Daten einschätzen können. Sie müssen in die Lage versetzt werden, von ihren Betroffenenrechten der Art. 12 ff. DSGVO Gebrauch machen zu können. Dort wird dem Grundsatz der Transparenz insbesondere durch weitgehende Informationspflichten bei der Erhebung personenbezogener Daten Rechnung getragen. Wichtig ist auch das Auskunftsrecht der Betroffenen nach Art. 15 DSGVO. Der Transparenz dienen darüber hinaus auch Datenschutzsiegel oder Zertifizierungsverfahren nach Art. 42 DSGVO, die den Betroffenen in die Lage versetzen sollen, sich auf einfache Art und Weise über das Datenschutzniveau der zertifizierten Produkte und Dienstleistungen zu informieren.
In ErwG 39 heißt es hierzu:
Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden.
Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden.
Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. (…)
1.6.4 Zweckbindung
Ein besonders wichtiger Grundsatz des Datenschutzes stellt die Zweckbindung dar. Personenbezogene Daten dürfen danach nur für festgelegte, eindeutige und legitime Zwecke genutzt werden. Diese jeweiligen Zwecke der Datenverarbeitung müssen bereits bei der Erhebung der Daten festgelegt werden. Sie müssen eindeutig bestimmt werden, und die festgelegten Zwecke müssen legitim sein.
Eine Weiterverarbeitung ist unzulässig, soweit diese mit diesen ursprünglich festgelegten Erhebungszwecken nicht zu vereinbaren ist. Sie ist allerdings zu anderen Zwecken ausnahmsweise möglich, sofern für die damit verbundene Zweckänderung eine andere Rechtsgrundlage einschlägig ist. Eine solche »Umwidmung« ist jedoch nicht einfach.
Hinweis: Die Zweckbindung als Big Data Killer
Die Frage, ob der Grundsatz der Zweckbindung Aufnahme in die DSGVO finden soll, war einer der Hauptstreitpunkte im Rahmen des Gesetzgebungsprozesses. Dabei ging es vor allem um die Auswirkungen dieses Grundsatzes auf die Nutzung personenbezogener Daten für Big-Data-Prozesse. Denn die dafür notwendigen Daten werden in aller Regel im Rahmen von gänzlich anderen Prozessen gewonnen. Möchte man diese Informationen für die neuen Zwecke im Rahmen der Verarbeitung von Big Data nutzen, erfordert dies eine valide neue Rechtsgrundlage. In der Praxis wird dieser Problematik beispielsweise durch eine Anonymisierung oder Pseudonymisierung dieser Daten vor der neuen Verarbeitung begegnet.
In der Praxis ist die Zweckbindung von großer Bedeutung. So muss für jeden Verarbeitungsprozess vorab der Zweck festgelegt werden. Dies bedeutet beispielsweise, dass personenbezogene Daten, die im Rahmen der Erfassung von Logfiles zur Gewährleistung der Informationssicherheit gespeichert werden, auch nur zu diesem Zweck genutzt werden dürfen. Eine Nutzung dieser Daten zu Marketingzwecken ist damit ausgeschlossen.
1.6.5 Datenminimierung
Der Grundsatz der Datenminimierung besagt, dass nur solche Daten erhoben werden dürfen, die für die jeweilige Aufgabe auch tatsächlich notwendig sind. Sie müssen also dem Zweck angemessen und auf das für die jeweiligen Zwecke einer Verarbeitung notwendige Maß beschränkt sein. Durch diesen Grundsatz wird also das Erheben unnötiger Daten verboten. Sie umfasst auch private Vorratsdatenspeicherungen, also Informationen, die ein Unternehmen nicht zwingend benötigt, aber gerne vorhalten würde, z. B. für Marketingzwecke. Dies wird in aller Regel nicht mit dem Grundsatz der Datensparsamkeit und -minimierung vereinbar sein.
Am Beispiel der Anmeldung für einen E-Mail-Newsletter bedeutet dies, dass dafür als Pflichtfelder nur die Daten erhoben werden dürfen, die für die Versendung des Newsletters erforderlich sind. Dies ist streng genommen eigentlich nur die E-Mail-Adresse, vielleicht noch der Namen des Empfängers für eine Ansprache. Alle anderen Felder dürfen unter dem Grundsatz der Datenminimierung nicht als Pflichtfelder gestaltet sein. Zulässig ist es allerdings, den Nutzern hier die Beantwortung weiterer Fragen freiwillig zu überlassen, also z. B. die Frage nach Positionen oder Unternehmen.
1.6.6 Richtigkeit der Datenverarbeitung
Nach dieser Vorgabe müssen personenbezogene Daten sachlich richtig und, soweit möglich, stets auf dem aktuellen Stand sein. Der Verantwortliche muss angemessenen Maßnahmen ergreifen, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Dies ergibt sich aus den Art. 16 und 17 der DSGVO.
1.6.7 Speicherbegrenzung
Von höchster praktischer Bedeutung ist der Grundsatz der Speicherbegrenzung. Dieser wird von Unternehmen häufig nicht angemessen beachtet. Hinter dieser Vorgabe verbirgt sich, vereinfacht gesagt, die Pflicht, personenbezogene Daten nur so lange vorzuhalten, wie es für deren Speicherung eine Rechtsgrundlage gibt und dies für die zuvor festgelegten Zwecke erforderlich ist.
Um diesen Anforderungen zu genügen, muss jedes Unternehmen zwingend über ein Löschkonzept verfügen. Zwar sieht die DSGVO eine solche Pflicht nicht explizit vor, dennoch wird man die strengen Anforderungen bezüglich der Löschung von Daten ohne einem solches Konzept nicht nachkommen können.
Dafür ist es zunächst erforderlich, Speicherfristen für personenbezogene Daten auf das unbedingt erforderliche und gesetzlich erlaubte Mindestmaß zu beschränken. Die entsprechenden Fristen bis zur Löschung sind vorab im Rahmen der Zweckbestimmung festzulegen und im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
Laufen die Fristen aus, müssen die personenbezogenen Daten gemäß Art. 17 DSGVO gelöscht werden. Dies gilt auch für den Fall, dass die Rechtsgrundlage dadurch entfällt, dass der Betroffene seine Einwilligung widerruft, z. B. also einen E-Mail-Newsletter deabonniert. Eine Alternative zur Löschung der Daten ist die Anonymisierung der Daten. Ausnahmen, die...
