Als Datenschutzbeauftragter frage ich mich bei Datenschutzschulungen immer wieder, ob die Teilnehmenden wirklich gelernt haben, was ich ihnen beibringen wollte. Die Beratung bei einer ISO-27001-Zertifizierung gab mir in einem Fall einen äußerst überraschenden Einblick.

Datenschutz und Informationssicherheit verfolgen ähnliche Ziele, werden aber oft getrennt behandelt. Das gilt es zu ändern. Denn gerade die ISO 27001 bietet DSB wertvolle Unterstützung – von der Risikoanalyse bis zur DSFA. Sie erleichtert die Arbeit, schafft Transparenz und stärkt die Datenschutz-Compliance.

Datenschutzbeauftragte sollten auch immer wieder prüfen, ob sich beschäftigte Personen an verbindliche Regelungen halten. Dabei lässt sich so manche Überraschung erleben.

Cyberangriffe auf Unternehmen nehmen zu. Dabei lassen sich Cyberkriminelle unterstützt von künstlicher Intelligenz immer ausgeklügeltere Varianten einfallen. Das Wettrüsten ist in vollem Gange. Abwesenheits­notizen rücken in den Fokus.

Ein Kunde legt großen Wert auf Datensicherheit. „Nur bei uns sind die Daten sicher“, so die Devise vom Boss. „Unser Hausmeister sorgt dafür, dass die Daten bei uns sicherer sind als in irgendeiner Cloud.“ Auch wenn ich ihm verdeutliche, dass die betrieblichen Smartphones längst Daten in die Cloud schicken – die Überzeugung des Chefs ist nicht zu erschüttern.

Weihnachten ist die Zeit der guten Wünsche, die von Herzen kommen und zu Herzen gehen. Wir wünschen uns gegenseitig alles Gute und Liebe – auch im beruflichen Umfeld. Doch Achtung, wer da was verschickt!

Jemand arbeitet am Flughafen am Laptop. Ein Reisender schaut ihm unbemerkt über die Schulter und liest sensible Informationen mit. In einem anderen Fall bleiben vertrauliche Unterlagen im Besprechungsraum zurück. Das sind Klassiker, bei denen die betreffenden Personen die Grundsätze der Vertraulichkeit und Integrität nicht beachtet haben.

Vertraulichkeit und Integrität sind kein Zufall! Ob unbemerkte Blicke über die Schulter am Flughafen oder zurückgelassene Dokumente im Besprechungsraum – solche Klassiker können sensible Informationen gefährden. Unsere Checkliste zeigt Ihnen, wie Sie mit einfachen technischen und organisatorischen Maßnahmen solchen Situationen vorbeugen können.

Begehung im Bürogebäude. Der Weg führt in das Büro des Geschäftsführers. Eckbüro mit massiver Tür und einem schmalen Glasstreifen daneben.

Glas ist aus der modernen Architektur kaum wegzudenken. Es steht für Transparenz, Offenheit und Helligkeit und prägt die Arbeitswelt in Büros, Produktionsstätten sowie mobilen Arbeitsumgebungen. Doch Vorsicht ist geboten.

Fahrzeuge sind zu Datenkraken geworden. Viele Daten, die meisten davon auf Personen beziehbar, werden im technischen Fuhrpark und im Fuhrparkmanagement verarbeitet. Auf etliche Daten haben Verantwortliche keinen oder nur eingeschränkten Zugriff. Das hat Auswirkungen auf den Datenschutz im Unternehmen.

Telearbeit, gelegentliches Arbeiten im Homeoffice und mobiles Arbeiten kommen seit der Pandemie verstärkt vor und ermöglichen es, die Büroflächen zu verkleinern. Dabei gibt es jedoch zahlreiche Datenschutzfallen.

Als ich neulich wieder einmal aus einem Datenschutzalbtraum erwachte, schrieb ich sofort folgende Geschichte auf: die digitale Protokollierung der Toilettenreinigung.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dient als zentrales Nachweiswerkzeug und ermöglicht eine Übersicht über alle ­Datenverarbeitungsprozesse. Angesichts fortschreitender Digitalisierung, der Nutzung von KI und neuer gesetzlicher Anforderungen müssen Unternehmen ihr VVT regelmäßig aktualisieren.

Entgegen einem häufigen Missverständnis geht es bei diesem Grundsatz nicht um das Löschen um jeden Preis, sondern darum, die Anforderungen korrekt zu erfassen und die Konsequenzen in die Praxis umzusetzen.

Eine zentrale Vorschrift der Datenschutz-Grundverordnung (DSGVO) ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b. Doch wie lässt sie sich Zweckbindung in der Praxis umsetzen?

Zertifizierungen nach der internationalen Norm ISO/IEC 27001 werden immer wichtiger. Dabei gilt es allerdings, sich diese genau anzusehen. Denn was viele nicht beachten: Nicht die Zertifizierung an sich, sondern der Gegenstand der Zertifizierung ist dabei von entscheidender Bedeutung.

Trainings mit simulierten Angriffen helfen, IT-gestützte Betrugsversuche (Phishing) zu erkennen. Doch eine Phishing-Simulation erfordert sorgfältige logistische Planung und interne Kommunikation. Einige Punkte sind zu berücksichtigen, um solche Simulationen erfolgreich durchzuführen.

Phishing-Simulationen sind eine wertvolle Methode, um Mitarbeitende für IT-basierte Betrugsversuche zu sensibilisieren und deren Reaktionsfähigkeit zu verbessern. Damit diese Trainings jedoch zielführend sind, ist eine sorgfältige Planung sowie eine durchdachte Auswahl von Dienstleister und Software entscheidend.

Entgegen einem häufigen Missverständnis geht es bei diesem Grundsatz nicht um das Löschen um jeden Preis, sondern darum, die Anforderungen korrekt zu erfassen und die Konsequenzen in die Praxis umzusetzen.

Telearbeit, Homeoffice und mobiles Arbeiten führen dazu, dass Organisationen ihre Büroflächen
verkleinern. Die Checkliste zeigt, was dabei aus Datenschutzsicht zu beachten ist.

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“ So heißt es in Art. 5 Abs. 2 DSGVO lapidar. Damit ist alles gesagt, oder? Wir werden für die Praxis dann doch etwas konkreter.

Mit dieser Checkliste prüfen Datenschutzbeauftragte die wichtigsten Prozessschritte im Zusammenhang
mit Poolfahrzeugen auf ihre Datenschutzkonformität.

Fast alle personenbezogenen Daten, sofern sie nicht in analoger Form vorliegen, laufen über Netzwerke. Es gehört also zu den Aufgaben von DSB, regelmäßig zu kontrollieren, ob die Netzwerktechnologie den Anforderungen der DSGVO und anderen nationalen Rechtsvorschriften entspricht. Was ist dabei alles zu tun?

101 Prüffragen zu Netzwerken für Datenschutzbeauftragte – diese Fragen sind wichtig, um dem Überwachungsauftrag von DSB nachzukommen.

Als Perimetrie wird das Gelände zwischen der Außengrenze und den Gebäuden des Unternehmens bezeichnet. Um diesen Bereich zu schützen, ist Videoüberwachung Standard. Doch Datenschutzbeauftragte (DSB) können hier einige mildere Mittel empfehlen.

In der DSGVO finden sich etliche Anforderungen, die sich auf den aktuellen Status personenbezogener Daten beziehen. Eine Anforderung, die den gesamten Lebenszyklus betrifft, ist hingegen die Richtigkeit personenbezogener Daten. Klingt einfach, ist es aber nicht.

Operationslisten, Bewerbungsmappen, Passwörter, … – das und vieles mehr können Sie bei einer Vor-Ort-Kontrolle in Besprechungsräumen finden. Worauf müssen Sie achten?

Im besten Fall sind Datenschutzbeauftragte (DSB) im Vorfeld beteiligt, wenn ein Verantwortlicher einen Messenger auswählt und einführt. Doch auch wenn Sie bereits einen Dienst vorfinden, gilt es, die folgenden Aspekte aus Datenschutzsicht zu prüfen.

Kennen Sie dieses besondere Gefühl, wenn Sie eine Begehung machen oder am Telefon eine Anfrage erhalten, dass sich da das eine oder andere anders verhält als zunächst gedacht? Nennen wir es ruhig den 7. Sinn von Datenschutzbeauftragten. Fasst man Erkenntnisse dieser Art zusammen, entsteht ein überaus spannendes Datenschutzhandbuch, aus dem Sie heute erste Kapitel lesen.

Geht es darum, personenbezogene Daten mit hoher Sensibilität zu versenden, ist es immer gut, einen professionellen Kurierdienst zu beauftragen. Dieser Dienst sollte erfahren und zuverlässig sein. Das ist leider nicht immer gewährleistet …

Bei den Grundsätzen der Verarbeitung personenbezogener Daten tauchen gleich zu Beginn Fragen auf. Art. 5 Abs. 1 Buchst. a DSGVO spricht von „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Für die Rechtmäßigkeit gibt es Art. 6 DSGVO, für Transparenz Art. 13 & 14 DSGVO. Aber was meint „Treu und Glauben“?

Das Datenschutzhandbuch fasst die wichtigsten Unterlagen und Dokumente zu den zentralen Datenschutzaktivitäten der Organisation zusammen. Wer führt es, wie ist es aufgebaut, was gehört hinein?

Es ist einer der Klassiker bei Datenschutz-Prüfungen: der nicht gesperrte Bildschirm am verlassenen Arbeitsplatz. Manche Mitarbeitende interpretieren diesen Klassiker ganz neu für sich.

Ziel dieser Datenschutz-Richtlinie ist es, Personen, die Multifunktionsgeräte administrieren, auf diese Aufgabe vorzubereiten.

Informieren Sie mit diesem Muster für eine Datenschutz-Richtlinie über die grundlegenden Voraussetzungen für die Nutzung von Multifunktionsgeräten.

Ortsbegehungen sind v.a. spannend, wenn es um Bereiche mit besonderen Kategorien von Daten geht. Ganz
genau sollten Datenschutzbeauftragte hier bei den Türen hinschauen. Haben sie einen festen Türknauf, der
sich von außen nur mit Schlüssel oder Transponder öffnen lässt? Oder gibt es lediglich Türklinken, sodass die
Beschäftigten die Türen eigens verschließen müssen, wenn sie den Raum verlassen?

Bei Ortsbegehungen zum Datenschutz gilt es, wenig beachtete Prozesse zu finden, bei denen jeder gedankenlos mitarbeitet, die aber personenbezogene Daten in großen Mengen verarbeiten. Ideales Zielobjekt dafür sind Multifunktionsgeräte.

Die Checkliste hilft Ihnen als Datenschutzbeautragte dabei, Verantwortliche zum Datenschutz bei Multifunktionsgeräten im Vorfeld zu beraten, aber auch die Geräte einer Datenschutzkontrolle zu unterziehen.

Eine sorgfältige Datensicherung ist unverzichtbar und ohne Alternative. Aber Datensicherung muss auch
funktionieren. Dazu gehört u.a. die Erkenntnis, dass alles, was gut funktionieren soll, Geld kostet. Hier am falschen Ende zu sparen, kann sehr teuer werden und großen Aufwand verursachen.

Datenminimierung ist ein wichtiger Beitrag zum Datenschutz in Unternehmen und Behörden – und dazu, Prozesse zu optimieren. Wer korrekt ausmistet oder von Anfang an auf nicht erforderliche Daten verzichtet, spart sich Kosten, Arbeitszeit und CO2.

Unmittelbar nach Anwendbarkeit der DSGVO überprüfte die französische Aufsichtsbehörde CNIL den Online-Verkäufer Spartoo, der Schuhe in 13 EU-Länder verkauft. Sie verhängte im Juli 2020 eine Geldbuße von 250.000 €, u.a. wegen Verstößen gegen die Datenminimierung. Wie hätte sich das verhindern lassen?

USB-Sticks, auf denen sich Schadsoftware versteckt, sind ein klassisches Einfallstor für Cyberkriminelle. Testen Sie doch mal, wie gut die letzten Datenschutz-Schulungen zu diesem Thema gewirkt haben …

Bei Datenschutzüberprüfungen im Zusammenhang mit Auftragsverarbeitung erlebt man als Datenschutzbeauftragter immer wieder interessante Situationen. Je nach Auftrag sind dabei auch Überprüfungen vorzunehmen,
die im wahrsten Sinne des Wortes etwas brenzliger ausfallen.

Aktenvernichtung erfüllt eine bedeutende Aufgabe bei den technischen und organisatorischen Maßnahmen. Sie dient v.a. dazu, die Vertraulichkeit zu wahren. Das klappt allerdings nicht immer so wie geplant.

In einigen Unternehmen gibt es sowohl einen Datenschutzbeauftragten als auch einen Compliance Officer. Wer macht was, wie lassen sich die Aufgaben abgrenzen, in welchem Verhältnis stehen sie zueinander?

Zu den Schutzmaßnahmen, die die Datenschutz-Grundverordnung (DSGVO) fordert, gehört auch der Schutz
der Daten vor Vernichtung. Dass jemand aus Versehen personenbezogene Daten vernichtet, ist noch einzusehen.
Aber wie kann es sein, dass jemand absichtlich Daten vernichtet?

Welches sind die wichtigsten Punkte, die Datenschutzbeauftragte und Verantwortliche prüfen müssen, bevor sie sich für einen Messenger-Dienst einscheiden?

Im Gegensatz zu den unbewusst handelnden Innentätern (siehe Heft 11/21) stoßen wir bei den bewusst handelnden die Tür zu illegalen bzw. zu kriminellen Akten auf. Gar nicht so selten wird dann die Staatsanwaltschaft aktiv. Welche Typen gibt es, wie erkennt man diese Täter, was lässt sich im Vorfeld gegen sie tun?

Viele Beschäftigte wünschen sich, auch im beruflichen Umfeld Messenger nutzen zu können. Dafür müssen aber zahlreiche Punkte im Vorfeld geklärt sein. Zunächst die rechtliche Grundlage. Dann: Was soll der Messenger können, wofür soll er genau zum Einsatz kommen?

Wann wurde in Ihrer Organisation das letzte Mal über Innentäter gesprochen? Falls Sie sich nicht erinnern können: War das überhaupt schon einmal Thema? Ist man sich des Risikos bewusst oder wird es verdrängt? Da etwa zwei Drittel der Angriffe von innen erfolgen, setzen Sie den Punkt unbedingt auf die Tagesordnung.

Wie verhindern Verantwortliche, dass es bei Wartungsarbeiten zu Datenpannen kommt, weil Techniker auf Daten zugreifen, die nicht für sie bestimmt sind? Wir stellen weitere Maßnahmen zur Absicherung der Fernwartung vor und beleuchten, wie es sich mit der Sicherheit bei IoT-Geräten verhält.

Maschinen in der Produktion müssen gewartet werden. Dazu sind entweder Wartungsintervalle vorgegeben oder es erfolgt eine Ad-hoc-Wartung, wenn es zu einer Störung kommt. Wie verhindern Verantwortliche, dass es dabei zu Datenpannen kommt, weil Techniker auf Daten zugreifen, die nicht für sie bestimmt sind?

Jeder kann nach Wartungsarbeiten plötzlich die Gehaltsabrechnung aller anderen Kolleginnen und Kollegen einsehen – was ist da bloß passiert? Lesen Sie, wie Sie solche Datenschutzvorfälle umschiffen.

Wie überwacht der DSB den Datenschutz im Homeoffice? Denn grundsätzlich ist ja bei einer Begehung z.B. das Grundrecht der Unverletzlichkeit der Wohnung zu beachten oder Hygienevorschriften. Wie so oft derzeit gilt auch hier: besser virtuell als gar nicht.

Ein Kollege ist krank. Sein Vorgesetzter leitet die Information weiter – aus Versehen per Mailverteiler an alle Empfänger im Unternehmen. Wie lassen sich solche Datenschutzpannen effektiv verhindern?

So gut wie alle Unternehmen haben Kundenkontakt. Früher oder später trifft die heute übliche Eigenart, alles Mögliche zu filmen und zu posten, daher auch jeden Betrieb und jede Behörde. Bereiten Sie Ihre Kolleginnen und Kollegen mit den folgenden Hinweisen auf diese Situation vor.

Um kontrollieren zu können, ob eine Verarbeitungstätigkeit die datenschutzrechtlichen Anforderungen erfüllt, reicht meist der eher kurze Überblick im Verzeichnis der Verarbeitungstätigkeiten nicht aus. Daher heißt es, die Prozesse einer näheren Beschreibung zu unterziehen und sie detaillierter zu prüfen.

Kontrollieren Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter vor Ort die Arbeitsplätze, gilt es, eine Menge Details unter die Lupe zu nehmen. Darunter findet sich Vieles, an das Sie vielleicht nicht auf den ersten Blick denken.

Ein DSB, der nicht auch einmal vor Ort erscheint und einen Blick auf die Praxis wirft, kann seinen umfangreichen gesetzlichen Aufgaben kaum nachkommen, gerade was die Kontrolle betrifft. Daher gilt: Schauen Sie öfter mal genau hin!

Der Auftakt hat geklappt. Das Kick-off-Meeting ist erfolgreich über die Bühne gegangen. Als DSB benötigen Sie jetzt umfangreiche Informationen: Kennen müssen Sie v.a. die Prozessabläufe und welche personenbezogenen Daten dabei für welche Zwecke auf welcher Rechtsgrundlage verarbeitet werden.

„Herzlichen Glückwunsch! Sie sind der/die neue Datenschutzbeauftragte der abc-GmbH! Wann können Sie loslegen, und womit beginnen wir?“ Hören Sie das, haben Sie den interessantesten Job der Welt angetreten …

Viele Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Besonders fehleranfällig sind dabei E-Mails.

Die meisten Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Zweifellos also ein wichtiges Thema für Schulungen, aber auch für die Geschäftsprozesse, die dahinterstecken.

Sind Monitore für Unbefugte einsehbar, müssen Beschäftigte sie vor unliebsamen Blicken schützen. Bildschirmsperren und Blickschutzfolien sind dabei immer noch die wichtigsten Helfer.

Derzeit stehen AV-Verträge hoch im Kurs. Es lohnt jedoch ein Check, ob es sich tatsächlich um Auftragsverarbeitung handelt. In vielen Fällen kommt man nämlich auch mit geringerem Aufwand zu einem sauberen Ergebnis.

Die Datenlöschung ist ein wesentlicher Bestandteil der Betroffenenrechte, die die DSGVO zukünftig noch stärker betont. Ein durchdachtes Löschkonzept ist also wichtiger denn je. Was gehört alles dazu?

Sind die Hardware-Komponenten und alle Software-Systeme inventarisiert, beginnt für Datenschutzbeauftragte erst die eigentliche Arbeit: Es gilt, alle datenschutzrechtlichen Fragen zu klären, die im Zusammenhang mit Software oder Hardware entstehen, etwa bei der Wartung.

Provokante Frage für Datenschutzbeauftragte: Glauben Sie, dass Sie eine realistische Chance haben, jemals einen vollständigen Überblick über alle im Unternehmen vorhandenen und zum Einsatz kommenden Programme zu haben?

Kaum ein Unternehmen verfügt über eine aktuelle und v.a. vollständige Liste der gesamten Hardware. Zu oft können DSBs so ihren Prüfungspflichten – gleich ob nach BDSG oder DSGVO – nur schwer nachkommen. Ändern Sie diesen Zustand.

Wo gehobelt wird, da fallen Späne – und wo ein Büro ist, da fallen Daten an. Bei der täglichen Arbeit im Büro gibt es viele kleine und große Datenschutzfallen. Das Gemeine dabei ist, dass sie den dort tagtäglich Arbeitenden kaum auffallen. Besuchern dagegen schon. Beschäftigen Sie sich als Datenschutzbeauftragter also auch mit den kleinen Datenschutzfallen im Büro.