[datensicherheit.de, 01.11.2021] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur nächsten sogenannten Awareness-Veranstaltung zum Thema „Datenschutz in die Arbeitsorganisation bringen – kollaborative Methoden und Werkzeuge“ ein.

DSGVO: Datenschutz betrifft alle in der Organisation

„Datenschutz fristet in den meisten Organisationen nach wie vor ein Silo-Dasein.“ Dabei stelle die DSGVO ganz klar: Datenschutz betreffe alle in der Organisation.
Deswegen komme man nicht umhin, das Thema stärker in der Organisation zu verankern. Hierzu seien Methoden und Ansätze gefragt, „mit denen die Zusammenarbeit und fachübergreifende Kooperation gefördert werden, so dass Lernprozesse stattfinden können.“

Datenschutzanforderungen für die Organisation handhabbar machen!

„Dafür muss die Komplexität des Themas Datenschutz reduziert werden, um die Umsetzung der Datenschutzanforderungen für die Organisation handhabbar zu machen.“ Wie das gelingen kann, werde in diesem Online-Seminar via „GoToMeeting“-Plattform aufgezeigt:

„Datenschutz in die Arbeitsorganisation bringen – kollaborative Methoden und Werkzeuge“
Mittwoch, 10. November 2021, 16.00 bis 17:00 Uhr
Teilnahme lt. Veranstalter kostenlos – Anmeldung erforderlich.

Weitere Informationen zum Thema:

datensicherheit.de, 27.05.2019
it’s.BB: Kompetenter und vertrauenswürdiger Ansprechpartner

eventbrite
it’s.BB-Awareness-Webinar: „Datenschutz in die Arbeitsorganisation bringen – kollaborative Methoden und Werkzeuge“

Von unserem Gastautor Falk Schwendike, Threat Intel Engineer Central Europe bei ThreatQuotient

[datensicherheit.de, 13.04.2019] Seit Jahrzehnten agieren Sicherheitsexperten immer nach dem gleichen Muster: sie beschaffen neueste Technologien oder Threat Feeds in der Hoffnung das Sicherheitsniveau verbessern zu können. Offensichtlich funktioniert dieser Ansatz jedoch nicht. Die Anzahl der Angriffe nimmt ständig zu und die durchschnittlichen Kosten einer Datensicherheitsverletzung steigen weiter an – laut der neuesten Ponemon-Studie von 3,62 Millionen USD in 2017 auf 3,86 Millionen USD in 2018. Was steckt also hinter diesen steigenden Kosten? Ein wesentlicher Faktor ist die Verweildauer, die ebenfalls gestiegen ist – von 191 Tagen in 2017 auf 197 – sowie die längere Zeit bis zur Eindämmung einer Bedrohung, die jetzt bei 69 Tagen gegenüber 66 Tagen in 2017 liegt.

MITRE ATT&CK Framework: Werkzeug zur Beschleunigung der Erkennung von und Reaktion auf Sicherheitsvorfälle

Eines der neuesten Werkzeuge um die Erkennung von und Reaktion auf Sicherheitsvorfälle zu beschleunigen ist das MITRE ATT&CK Framework. Dieses Framework findet derzeit hohe Beachtung und beschäftigt sich tiefgreifend mit der Vorgehensweise bekannter Angreifergruppen. Das ermöglicht den Sicherheitsanalysten bei Anwendung dieser Informationen wiederum einen Wissensvorsprung. Es ist ein großer Schritt nach vorn in dem Bemühen, eine Wissensdatenbank über Kriminelle und die ihnen zuzuordnenden Taktiken, Techniken und Verfahren (TTPs) zu schaffen. Eine der Herausforderungen bei der Nutzung dieses Frameworks ist jedoch, dass Sicherheitsteams bereits mit einer massiven Menge an Protokoll- und Ereignisdaten aus einzelnen Security-Produkten und/oder ihrem SIEM bombardiert werden. Ganz zu schweigen von den Millionen Indicators of Compromise (IoC), die kommerzielle und Open-Source-Quellen, Sicherheits- und andere Branchenanbieter liefern und die zur Kontextualisierung und Priorisierung der Warnmeldungen verwendet werden können.

Es stellt sich an dieser Stelle also die Frage, wie das Framework ideal genutzt werden kann. Das Interesse der Unternehmen und Organisationen ist groß – so gut wie jeder möchte es nutzen – allerdings herrscht kein Konsens darüber, wie das Framework in Abhängigkeit der Qualität der SecOps- Prozesse in den einzelnen Unternehmen am effektivsten eingesetzt werden sollte. Es muss sichergestellt werden, dass das MITRE ATT&CK Framework nicht zu einer weiteren, nur halbherzig genutzten Quelle von Bedrohungsdaten wird, zu einer vorübergehenden Modeerscheinung degeneriert oder zu einem Werkzeug wird, das nur die erfahrensten SecOps- Teams effektiv einsetzen können. Nachfolgend einige Anwendungsbeispiele, wie das Framework – je nach Reifegrad – genutzt werden kann.

Stufe 1: Referenz- und Datenanreicherung

Das MITRE ATT&CK Framework enthält eine enorme Menge an Daten, die für jedes Unternehmen wertvoll sein können. Der MITRE ATT&CK Navigator bietet eine Matrixansicht sämtlicher Techniken, die dem Sicherheitsanalysten zeigt, welche Methoden ein Angreifer anwenden könnte, um in deren Unternehmen einzudringen. Um diese Daten einfacher nutzen zu können empfiehlt es sich mit Werkzeugen zu beginnen, die den Zugriff auf diese Daten und den Austausch zwischen den Teams erleichtern. Dies kann über ein Anreicherungstool oder eine Plattform mit einer zentralen Bedrohungsbibliothek geschehen, mit deren Hilfe ein Anwender die Daten aggregieren und leicht nach Angreiferprofilen suchen kann. Fragen wie „Wer ist dieser Gegner? Welche Techniken und Taktiken setzt er ein? Welche Gegenmaßnahmen kann ich anwenden?“ werden so geklärt. Sicherheitsanalysten können die Daten aus dem Framework als detaillierte Informationsquelle nutzen, um ihre Analyse von Vorkommnissen und Warnmeldungen manuell anzureichern. Es wird ermöglicht Untersuchungen zu unterstützen und geeignete Maßnahmen zu bestimmen, die je nach Relevanz und spezifischer Bedrohung in ihrer Umgebung zu ergreifen sind.

Stufe 2: Indikator- oder ereignisgesteuerte Reaktionen

Aufbauend auf der Fähigkeit, die MITRE ATT&CK-Daten zu referenzieren und zu verstehen, integrieren die Sicherheitsteams in Stufe 2 Ressourcen der Plattform in ihre operativen Arbeitsabläufe, um bestimmte Aktionen effektiver auf die Daten anwenden zu können. Wenn die Daten beispielsweise in eine zentrale Bedrohungsbibliothek aufgenommen werden, können die Teams automatisch Beziehungen zwischen diesen Daten aufbauen, ohne dass der einzelne Anwender diese Beziehungen mühsam manuell herstellen muss. Durch die automatische Korrelation von Ereignissen und zugehörigen Indikatoren aus der Umgebung (aus Quellen wie dem SIEM-System, dem Log Management Repository, dem Case-Management-System und der Sicherheitsinfrastruktur) mit Indikatoren aus dem MITRE ATT&CK-Framework erhalten Analysten den Kontext, um sofort das Wer?, Was?, Wo?, Wann?, Warum? und Wie? eines Angriffs zu verstehen. Sie können dann automatisch nach Relevanz für ihr Unternehmen priorisieren und risikoreiche IoCs festlegen, die in ihrer Umgebung untersucht werden müssen. Durch die Möglichkeit, ATT&CK- Daten einfacher und automatisierter zu nutzen, können die Sicherheitsteams Vorfälle untersuchen, entschärfen und Bedrohungsinformationen an Sensoren weiterleiten, um Bedrohungen effektiver zu erkennen und aufzuspüren.

Stufe 3: Proaktive Taktik oder technikgesteuerte Bedrohungssuche

In diesem Stadium können die Threat-Hunting-Teams von der simplen Suche nach relevanten Indikatoren dazu übergehen, die gesamte Bandbreite des ATT&CK- Frameworks zu nutzen. Anstatt sich strikt auf bestimmte, verdächtig erscheinende Daten zu konzentrieren, kann die Plattform dazu verwendet werden, die Geschehnisse von einer höheren Perspektive aus zu betrachten und bei Informationen über Angreifer und den zugehörigen TTPs ansetzen. Sie können einen proaktiven Ansatz wählen – beginnend beim Risikoprofil ihres Unternehmens, über die Zuordnung der identifizierten Risiken zu bestimmten Angreifergruppen und deren Taktiken, bis hin zu Techniken, die diese Angreifer verwenden – und dann untersuchen, ob entsprechende Daten im internen Netz identifiziert wurden. So könnte sich ein Team beispielsweise mit der Gruppe APT28 beschäftigen und dabei Fragen zu Techniken, potenziellen IoCs im Unternehmen, damit verbundenen Systemereignissen, beziehungsweise deren Erkennung durch Endpunkt-Technologien beantworten.

Der Erfolg von MITRE ATT&CK wird davon abhängen, wie einfach es ist, dieses Framework effektiv in die Praxis umzusetzen. Mit einem Verständnis für die entsprechenden Reifegrade der einzelnen SecOps-Prozesse und den daraus abzuleitenden Anwendungsfällen sowie der Fähigkeit von Technologien SecOps-Teams in jeder Phase zu unterstützen, können Unternehmen das Framework zu ihrem Vorteil nutzen. Unternehmen werden in der Lage sein, das MITRE ATT&CK-Framework intensiver zu nutzen und einen noch höheren Mehrwert zu generieren.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit

Datenschutz beginnt schon beim Design eines IT-Systems

Von unserem Gastautor Dr. Christopher Kunz, Geschäftsführer der Filoo GmbH

[datensicherheit.de, 12.01.2018] Noch rund ein halbes Jahr, dann müssen Unternehmen die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) erfüllen. Doch nach einer aktuellen Studie der European Business Awards (EBA) sind 28 Prozent der rund 400 befragten Unternehmen noch nicht mit der Richtlinie vertraut. Höchste Zeit also, die unternehmenseigenen IT-Systeme auf den Prüfstand zu stellen und den Datenschutz bei neuen IT-Projekten in den Fokus zu rücken.
Die EU-DSGVO legt deutlich strengere Regeln für den Umgang mit personenbezogenen Daten fest. Grundsätzlich gilt: Solche Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke erhoben werden“ und müssen „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein. Organisationen, die personenbezogene Daten von EU-Bürgern erheben, sind daher aufgerufen, ihre Systeme unter die Lupe zu nehmen und in vielen Fällen neue transparente Regeln für die Erfassung, Speicherung, Löschung und Dokumentation personenbezogener Daten zu definieren. Wer neue IT Systeme aufsetzt, sollte zukünftig von Anfang an Technologien nutzen, die den Schutz personenbezogener Daten in den Vordergrund stellen.

Neu: Pflicht zur Vervollständigung

Mit dem Inkrafttreten der EU-DSGVO müssen Unternehmen personenbezogene Daten nicht nur berichtigen, sperren oder löschen, sondern zukünftig auch vervollständigen. Damit soll vermieden werden, dass Personen durch unvollständige Daten ein Nachteil entstehen könnte, zum Beispiel durch veraltete Informationen zur Bonität. Außerdem müssen Unternehmen bei einer Löschung von Daten – dazu gehören auch Kopien und Links – automatisch alle Stellen benachrichtigen, bei denen diese Daten gespeichert wurden.
Personen haben zukünftig nicht nur ein Recht zu erfahren, welche Informationen zu welchem Zweck verarbeitet werden, sondern auch nach welcher Logik. Das neue „Recht auf Datenportabilität“ besagt außerdem, dass alle Daten, die bei einem Dienstleister zu einer Person gespeichert wurden, in einer standardisierten Form – zum Beispiel als JSON- oder XML-Datei oder in einem anderen weit verbreiteten Format – auf Wunsch an diese Personen herausgegeben werden müssen. Die Anforderungen an dieses Format sind detailliert: Es muss strukturiert, gängig, maschinenlesbar und interoperabel sein, um den Umzug personenbezogener Daten zu einem neuen Anbieter zu erleichtern. Wenn technisch machbar, sollen personenbezogene Daten auf Wunsch des oder der Betroffenen sogar direkt zwischen den Anbietern ausgetauscht werden – ein automatisierter Umzug also. Die EU-Kommission will so die Abhängigkeit von einem Anbieter, beispielsweise in sozialen Netzwerken, beseitigen und mehr Transparenz forcieren.
Spätestens jetzt sollten Unternehmen genau analysieren, welchen Weg personenbezogene Daten in ihren Fachsystemen nehmen, wo sie sich befinden und was sie wann löschen oder an die Betroffenen herausgeben müssen. Der TÜV Süd stellt im Netz einen Fragebogen bereit, der Unternehmen zeigt, ob sie den aktuellen Anforderungen an den Datenschutz gewachsen sind.

Durch technische Gestaltung Daten schützen

Mit der EU-Datenschutzgrundverordnung werden die Aspekte „Data Protection by Design“ und „Data Protection by Default“ festgeschrieben. Die Idee, Daten durch die Gestaltung der Technik zu schützen, wurde bisher nur in Datenschutzrichtlinien erwähnt und nicht verbindlich in nationales Recht umgesetzt. Das neue Gesetz verhängt nun aber Sanktionen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen. Wer personenbezogen Daten verarbeitet oder solche Systeme bereitstellt, muss daher auf einen größtmöglichen Schutz achten – und zwar schon während der Konzeption der IT-Systeme. Auch bei der Gestaltung der Anwendung ist der Datenschutz oberste Maxime, zum Beispiel durch datenschutzgerechte Voreinstellungen für die Nutzer. Das bedeutet, dass Unternehmen in Ihren Online-Formularen auf die Abfrage von Daten verzichten sollten, die für das Geschäft mit dem Kunden nicht unbedingt nötig sind, etwa Telefonnummern oder Altersangaben.

Datenschutzbeauftragter wird Pflicht

Die umfangreichen Vorgaben der EU-DSGVO werden sich in vielen Fällen nur durch ein eigenes Datenschutzmanagement nach- und einhalten lassen. Unternehmen sollten daher zum Start eines Projektes die möglichen Risiken aus Sicht des Datenschutzes analysieren. Auch im Hinblick auf die IT-Security fordert die Verordnung ein angemessenes Schutzniveau. Dazu gehören unter anderem Sicherheits-Audits und die Verschlüsselung sensitiver Daten.
Auch wenn für verschiedene Unternehmen in Deutschland Datenschutzbeauftragte bereits Pflicht sind, gilt diese Regelung nun auch europaweit für bestimmte Unternehmen – mit umfassenderen Aufgaben als bisher. Unternehmen können dazu einen internen oder externen Datenschutzbeauftragten einsetzen. Die Funktion erfordert jedoch sowohl ein umfassendes technisches Verständnis als auch juristische Kenntnisse im Hinblick auf den Datenschutz.
Die Besetzung dieser Stelle ist nicht zu unterschätzen, auch wenn grundsätzlich jeder als Datenschutzbeauftragter fungieren kann. Unternehmen sollten sich der Komplexität ihrer technologischen Anwendungen ebenso bewusst sein wie der Dynamik, mit der sich IT-Projekte in der Regel entwickeln.

Höhere Anforderungen an Datenverarbeiter in Drittstaaten

Viele Unternehmen nutzen Cloud-Lösungen von Drittanbietern. Dabei werden Daten häufig in einem Nicht-EU-Land gespeichert. Für die Datenverarbeitung in einem Drittland verlangt der Gesetzgeber jedoch auch ein angemessenes Datenschutzniveau. Dabei hat er mit der EU-DSGVO die Anforderungen an ein „angemessenes Datenschutzniveau“ noch einmal verschärft. Unternehmen sind nun für den Schutz der Daten über die gesamte Datenverarbeitungskette hinweg verantwortlich. Sie müssen also auch in solchen Fällen nachvollziehen können, welche Daten erhoben, wo sie gespeichert und wie sie wirksam gelöscht werden können.
Auch bei der Weiterübermittlung durch den Dienstleister im Drittland selbst muss immer sichergestellt sein, dass die Anforderungen an die internationale Datenübermittlung und die sonstigen Bestimmungen der EU-DSGVO eingehalten werden. So soll verhindert werden, dass das Datenschutzniveau der Verordnung untergraben wird. Die Vorschriften gelten nicht nur für die erstmalige Übermittlung personenbezogener Daten an einen Dienstleister im Drittland, sondern auch darüber hinaus. Für Übermittlungen personenbezogener Daten in Drittstaaten sollten Unternehmen deshalb möglichst umfassende Verschlüsselung einsetzen. Im Idealfall liegt darüber hinaus die Schlüsselverwaltung beim Datenexporteur aus dem EU-Land.
Die EU-Datenschutzgrundverordnung gilt übrigens auch für Unternehmen, die keinen Sitz und keine Niederlassung in einem EU-Land besitzen, aber Personen aus der Europäischen Union Waren oder Dienstleistungen anbieten oder deren Daten verarbeiten. Unwissen schützt bekanntlich nicht vor Strafe: Unternehmen sollten daher genau prüfen, ob nicht doch irgendein Kriterium auf sie zutrifft und sie der EU-DSGVO unterwirft.

Über den Autor

Bild: filoo GmbH

Dr. Christopher Kunz ist Geschäftsführer der Filoo GmbH. Das Gütersloher Unternehmen ist spezialisiert in Aufbau und Betrieb von Managed-Hosting-Lösungen sowie virtuellen Servern für mittelständische Unternehmen. Dr. Kunz ist Co-Autor eines Standardwerks zu Web Security, Autor verschiedener Fachartikel und hat auf Konferenzen im In- und Ausland gesprochen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.12.2017
EU-DSGVO ante portas: Über Herausforderungen und Chancen für Unternehmen

datensicherheit.de, 07.12.2017
Mittelstand befürchtet Benachteiligung durch EU-DSGVO

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor

[datensicherheit.de, 10.11.2011] Angesichts des demographischen Wandels, steigender Personalfluktuation sowie wachsenden Kosten- und Wettbewerbsdrucks nimmt die Bedeutung, Erfahrungswissen langjähriger Mitarbeiter zu sichern und weiterzugeben, immer mehr zu. Gleichzeitig ist eine Vielzahl von Wissensmanagement-Systemen verfügbar, die eine einfache Lösung dieser Aufgabe suggerieren – doch es stellt sich die Frage, warum dennoch viele rein technikorientierte Projekte scheitern und ob die Dokumentation nebst persönlichem Transfer des Wissens, die direkte Wissenserhebung und die Wissenserhebung mit Hilfe von Wissensingenieuren sowie die Bereitstellung und Nutzung des Wissens in Einklang gebracht werden können.
Einseitige Betrachtungen zielten dabei zu kurz, gefragt sei vielmehr eine Herangehensweise, die die drei Komponenten des Wissensmanagements – nämlich Mensch, Organisation und Technik – gleichermaßen berücksichtige, so die Veranstalter der „Wissensmanagement-Roadshow“ am 29. November 2011 in Nürnberg zum Thema „Herausforderungen des Wissensmanagements in der Praxis“. Der fachliche Teil findet von 17.30 bis 21.00 Uhr im „Leonardo Hotel“, Zufuhrstraße 22 in 90443 Nürnberg, statt. Eine Online-Anmeldung ist erforderlich.

Weitere Informationen zum Thema:

wissensmanagement
Dienstag, 29.11.2011 17:30 -21:00 Leonardo Hotel Nürnberg / Herausforderungen des Wissensmanagements in der Praxis

[datensicherheit.de, 21.06.2011] Der nächste Geburtstag steht an, aber die Wohnung ist zu klein oder man hat einfach keine Lust sie so kurzfristig auf Vordermann zu bringen. Ein wichtiger Kundenbesuch steht an, doch die Räumlichkeiten im Unternehmen reichen nicht aus, um das gewünschte Ambiente zu liefern… Was liegt da näher, als einen Veranstaltungsraum zu buchen und dort mit all seinen Freunden und Bekannten zu feiern bzw. das Meeting abzuhalten. Doch wie findet man heutzutage am schnellsten passende Räumlichkeiten? Online!
Das Internet – unendliche Weiten der Information. Immer mehr Menschen vertrauen bei der Recherche nach Informationen aber auch bei der Suche nach Dienstleistungen auf dieses inzwischen nicht mehr wegzudenkende Medium. Verwunderlich ist das nicht, hat doch das Netz unseren privaten als auch beruflichen Alltag längst in vielen Dingen wesentlich bereichert und ist fast überall verfügbar. Was liegt also näher, als im Zweifel eine Information im World Wide Web zu suchen, verbindet man doch das Internet mit Einfachheit und Bequemlichkeit – schließlich ist alles nur einen kleinen Mausklick entfernt.
Doch kann das Internet auch dabei helfen einen Raum für die geplante Veranstaltung zu finden? Gewiss! Selbstverständlich finden sich auch in den Weiten des Internets seriöse Anbieter hierfür. Vergangen sind die Zeiten, in denen man mühsam das Branchenbuch durchforsten musste, um die benötigten Ansprechpartner zu finden; und auch nicht immer wussten Freunde und Bekannte Rat, wenn man sie nach einem passenden Ort fragte. Vorbei sind auch die Zeiten, in denen man umständlich und zeitaufwändig die Kontakte der Anbieter abtelefonieren musste, immer in der Hoffnung, dass auch tatsächlich jemand den Anruf entgegen nahm und der Raum überhaupt noch verfügbar war. So zog sich alleine die Organisation, bis man einen geeigneten Ort gefunden hatte, unnötig in die Länge. Heute hilft eine kurze Suche im Web und schon hat man einen passenden Veranstaltungsraum online gefunden – eine enorme Zeitersparnis!
Ein weiterer Vorteil bei der Internetrecherche ist die Transparenz.
Natürlich unterscheiden sich die Konditionen der verschiedenen Anbieter enorm und nicht jeder Anbieter kann bereitstellen, was man sich für seine private Feier oder sein Meeting vorstellt – passendes Catering, hübsche und originelle Dekoration, Bewirtung und freundliche Bedienung. Online hat man den Preis und die Nebenleistungen des Vermieters wesentlich besser im Blick. Auch kann man sich bereits im Internet einen ersten Eindruck anhand der Bilder machen, ob der Veranstaltungsraum den
eigenen Anforderungen genügt. Via Internet lässt sich das passende Angebot wesentlich einfacher herausfinden.
Insbesondere wenn man gar nicht vor Ort einen Veranstaltungsraum sucht, hilft das Internet weiter. Während frühere Recherchen auf das lokale Branchenbuch beschränkt blieben und man auch nicht unbedingt am gewünschten Veranstaltungsort, der vielleicht 200 Kilometer entfernt war, einen Bekannten hatte, den man hätte fragen konnte, verschwinden diese Hemmnisse in den Zeiten des Internets. Die Onlinesuche nach einem passenden Veranstaltungsraum hebt solche Beschränkungen auf. So lässt sich heute die passende Location online finden – egal wo in Deutschland oder gar in der Welt.

Von unserem Gastautor Dr. Thomas Helbing

[datensicherheit.de, 05.06.2010] Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen:
So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) [3]alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen „hinzuwirken“.

Der Datenschutzbeauftragte

Der Datenschutzbeauftragte ist unmittelbar der Unternehmensleitung zu unterstellen, § 4f (3) 1, 2 BDSG [4] und in seiner Funktion als Datenschutzbeauftragter weisungsfrei. Befugnisse zur Umsetzung der datenschutzrechtlichen Anforderungen gibt das Gesetz dem Datenschutzbeauftragten jedoch nicht. Er hat also von Gesetzes wegen noch keine Weisungsrechte gegenüber Mitarbeitern im Hinblick auf Datenschutzfragen und auch keine entsprechende Richtlinienkompetenz. Der Datenschutzbeauftragte kann zum Beispiel nicht die Personalabteilung anweisen, Bewerberdaten nach einer bestimmten Zeit zu löschen. Letztlich verantwortlich für die Umsetzung und Einhaltung des Datenschutzes bleibt damit die Unternehmensleitung. Natürlich können Unternehmen entsprechende Befugnisse dem Datenschutzbeauftragten im Anstellungsvertrag einräumen. Dies hat dann auch Auswirkungen auf die Haftung des Datenschutzbeauftragten.

Der Datenschutzbeauftragte kann – muss aber nicht – beim Unternehmen angestellt sein (interner Datenschutzbeauftragter). Ist der Datenschutzbeauftragte nicht bei dem Unternehmen beschäftigt, für das er bestellt ist, so spricht man von externen Datenschutzbeauftragten. Diese finden sich in erster Linie bei kleineren und mittleren Unternehmen.

Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Seit 1. September 2009 genießt ein beim Unternehmen beschäftigter Datenschutzbeauftragter zudem einen besonderen Kündigungsschutz (§ 4f (3) BDSG [4]), womit eine ordentliche Kündigung des Arbeitsverhältnisses ausscheidet.

Fehlendes Konzernprivileg

Bilden mehrere Gesellschaften einen Konzern, etwa indem sie im Mehrheitsbesitz einer Muttergesellschaft stehen, so hat jede Gesellschaft isoliert einen Datenschutzbeauftragten zu bestellen. Es genügt insbesondere nicht, wenn nur die Muttergesellschaft eine solche Bestellung vornimmt; dies ist ein Grund für die oft wiederholte Feststellung, das BDSG enthalte kein „Konzernprivileg“. Es ist aber grundsätzlich möglich, ein und die selbe Person in einer Vielzahl von Unternehmen zum Datenschutzbeauftragten zu bestellen; mehr dazu unten.

Herausforderung Konzerndatenschutz

Beim Aufbau einer Compliance-Organisation für den Datenschutz im Konzern geht es aber keineswegs nur darum, der Pflicht zur Bestellung von Datenschutzbeauftragten nachzukommen. Ein Unternehmensverbund stellt weitergehende Anforderungen an den Datenschutz, insbesondere im Hinblick auf Koordination, Beratung und Kontrolle.

• Datenschutzrechtliche Fragestellungen und Probleme, die mehrere Konzernunternehmen betreffen, sollen oder müssen einheitlich behandelt werden (Umgang mit Mitarbeiterdaten, Datenschutz im Zusammenhang mit den vom Konzern verkauften Produkten, Hinweisgeber-Systeme, Zugriff auf Mitarbeiter E-Mails- und Kontrolle der Telefonnutzung).
• Eine einheitliche Software soll konzernweit eingesetzt werden und bedarf deshalb eines übergreifenden Datenschutzkonzeptes (Personalinformationssystem, CRM- oder ERP-Software).
• Für den Transfer bzw. Austausch von Mitarbeiter- oder Kundendaten zwischen Konzerngesellschaften und mit Dritten muss ein einheitlicher Lösungsansätze gefunden werden.
• Bei internationalen Konzernen muss eine Strategie entwickelt werden, wie in Drittstaaten (außerhalb der EU und des EWR) ein angemessenes Datenschutzniveau sichergestellt wird (Standardvertragsklauseln [5], Binding Corporate Rules). Zudem muss die Einhaltung der lokalen Datenschutzbestimmungen sichergestellt werden. Diese weichen auch innerhalb der EU trotz Harmonisierung zum Teil erheblich ab, vor allem im Bereich der Meldepflicht und Mitarbeiterdaten.
• Bei der Verhandlung von datenschutzrelevanten Betriebsvereinbarungen mit Betriebsräten bzw. dem Gesamtbetriebsrat/Konzernbetriebsrat wird von Seiten des Unternehmens ein zentraler Ansprechpartner benötigt.
• Schulungen, Datenschutzkontrollen und Audits sind mit anderen internen Stellen (z.B. Revision, Rechtsabteilung, Personalabteilung) abzustimmen und konzernweit anzugleichen.

Soweit der Konzerndatenschutzbeauftragte als Datenschutzbeauftragter nach § 4f BDSG bestellt ist, hat er zum einen die oben genannten originären Aufgaben zu erfüllen, die ihm das Gesetz zuweist. Als konzernweit Verantwortlicher für den Datenschutz treten noch besondere Aufgaben hinzu wodurch sich das Aufgabenbild ändert: Der Konzerndatenschutzbeauftragte ist vor allem planend, koordinierend und beratend tätig. Er erarbeitet Datenschutzziele, stimmt diese mit der Konzernleitung ab und entwirf eine Strategie und konkrete Maßnahmen zu deren Umsetzung.

Viele Aufgaben, zum Beispiel die Datenschutz-Kontrolle oder Schulung von Mitarbeitern, sind nur durch Hilfspersonal oder in Zusammenarbeit mit anderen Abteilungen (IT, Personalabteilung, Revision oder Rechtsabteilung) umzusetzen. Das setzt voraus, dass eine konzernintern Datenschutz-Organisation aufgebaut wird. Hierzu gehören dedizierte Ansprechpartner in den einzelnen Unternehmensbereichen und Fachabteilungen.

Organisationsformen (Einheitsmodell und Koordinationsmodell)

Grundsätzlich lassen sich zwei Formen der Datenschutzorganisation im Konzern unterscheiden: Das Einheitsmodell und das Koordinationsmodell:

Beim Einheitsmodell wird eine Person als Datenschutzbeauftragter bei der Konzernmutter und allen anderen Konzerngesellschaften bestellt. Der Konzerndatenschutzbeauftragte ist hier in Personalunion Datenschutzbeauftragter jeder Konzerngesellschaft; die gesetzlichen Aufgaben des Datenschutzbeauftragten werden bei ihm gebündelt. Aus meiner anwaltlichen Beratung und verschiedenen Gesprächen mit Datenschutzverantwortlichen in Konzernen habe ich den Eindruck gewonnen, dass sich viele große Konzerne für diesen Ansatz entschieden haben. Der Datenschutzbeauftragte ist häufig bei der Muttergesellschaft angestellt und handelt für diese als interner, für alle anderen Konzerngesellschaften entsprechend als externer Datenschutzbeauftragter.

Alternativ kann die konzernweite Datenschutz Compliance auch von einer Person koordinierend übernommen werden. Diese ist entweder gar nicht oder nur bei der Muttergesellschaft als Datenschutzbeauftragter bestellt. Seine Aufgabe ist es, die unterschiedlichen, für jedes Unternehmen bestellten Datenschutzbeauftragten zu koordinieren.

Vor- und Nachteile der beiden Modelle

Mit dem Einheitsmodell lässt sich der Datenschutz konzernweit am besten harmonisieren, da keine Abstimmung zwischen verschiedenen Beauftragten nötig ist. Beim Koordinationsmodell müssen dagegen alle Datenschutzbeauftragten unter einen Hut gebracht werden, bei Meinungsverschiedenheiten droht eine Zersplitterung des Datenschutzkonzeptes, weil kraft Gesetzes keine Weisungsmöglichkeit besteht.

Beispiel: Ein Konzern plant die Einführung eines Hinweisgeber-Systems (Whistleblowing-Hotline) bei der Mitarbeiter Verdachtsfälle von Straftaten gegen das Unternehmen durch andere Angestellte melden können. Bei diesen Whistleblowing-Systemen sind personenbezogene Daten sowohl des Hinweisgebers als auch des Beschuldigten betroffen und deren Interessen gegen die des Unternehmens abzuwägen. Die Datenschutzbeauftragten aller involvierten Konzernunternehmen haben das Hinweisgebersystem in Bezug auf die Datenschutzkonformität im Rahmen einer so genannten Vorabprüfung (§ 4d (5) BDSG [6]) zu bewerten. Kommen sie zu unterschiedlichen Ergebnissen, kann das System unter Umständen nicht konzernweit einheitlich eingeführt werden oder es kommt zu Verzögerungen, weil Bedenken einzelner Konzerngesellschaften ausgeräumt werden müssen.

Der Konzerndatenschutzbeauftragten kommt beim Einheitsmodell mit nahezu allen Datenschutzfragestellungen in den verschiedenen Unternehmensteilen in Berührung und kann so spezifisches Fachwissen aufbauen und Synergieeffekte nutzen. Das Einheitsmodell erlaubt so oft eine kosteneffiziente und schlanke Organisation des Datenschutzes; so genügt es, wenn zum Beispiel nur der Konzerndatenschutzbeauftragte zu externen Datenschutzschulungen geschickt wird, statt eine ganze Gruppe von Personen. Die Bestellung als Datenschutzbeauftragter verleiht zudem intern im Unternehmen und extern gegenüber Behörden und Betroffenen eine starke Stellung.

Mit dem Einheitsmodell wird außerdem auf einen Schlag das formale Kriterium der Bestellung eines Datenschutzbeauftragten erfüllt; die oft als mühsam und schwierig empfundene Suche nach einer geeigneten (und willigen) Person für die Position des Datenschutzbeauftragten im Unternehmen entfällt.

Allerdings kann das Einheitsmodell auch leicht zu einer Arbeitsüberlastung des Konzerndatenschutzbeauftragten führen, da er alle gesetzlichen Aufgaben des Datenschutzbeauftragten, von der Führung des Verfahrensverzeichnisses bis hin zur Schulung der Mitarbeiter in allen Unternehmen zu erledigen hat. Dadurch droht der Blick für das „große Ganze“ verloren zu gehen, weil wegen vieler kleiner Baustellen die Zeit fehlt, eine einheitliche Strategie und konzernweite Lösungsansätze zu entwickeln.

Hinzu kommt, dass der Konzerndatenschutzbeauftragte bei der Einheitslösung als externer Datenschutzbeauftragter einen schlechteren Einblick in die Gegebenheiten der einzelnen Tochterunternehmen hat, weil er nicht so gut in die betriebliche Organisation eingebunden ist als ein Mitarbeiter vor Ort. Datenschutz im Konzern ist in erheblichem Maße eine Frage der Kommunikation: von der Informationsbeschaffung über datenschutzrelevante Vorgänge bis zur Schulung und Kontrolle. All diese Aufgaben sind umso schwieriger, je größer der Konzern und je weiter weg der Konzerndatenschutzbeauftragte ist.

Um diesen Risiken vorzubeugen, muss dem Konzerndatenschutzbeauftragten bei der Einheitslösung Hilfspersonal zugeteilt werden. Hierbei handelt es sich nach meinen Erfahrungen oft um ein bei der Konzernmutter gebildetes Team, das den Konzerndatenschutzbeauftragten unterstützt. Alternativ oder – in der Praxis häufiger – ergänzend können Kontaktpersonen bei den jeweiligen Tochterunternehmen zugeteilt werden. Da diese bei der Einheitslösung nicht als Datenschutzbeauftragte bestellt sind, können sie den Weisungen des Konzerndatenschutzbeauftragten unterstellt werden. Der Aufbau dieser Organisation von Hilfspersonal ist einer der ersten Schritte beim Aufbau einer Konzern-Datenschutz-Compliance.

Schließlich ist noch zu berücksichtigen, dass es beim Einheitsmodell zu Interessenskonflikten beim Konzerndatenschutzbeauftragten kommen kann, wenn die einzelnen Gesellschaften unterschiedliche Interessen verfolgen, etwa beim konzerninternen Datentransfer. Während die Muttergesellschaft in der Regel an einem umfassenden und ungehinderten Datenaustausch interessiert ist, können Tochtergesellschaften gegenläufige Interessen haben.

Die folgende Tabelle fasst die Vor- und Nachteile der beiden Modelle zusammen:

Zu berücksichtigende Kriterien

Welches Modell das bessere ist, lässt sich pauschal nicht sagen. In der Praxis findet sich in Konzernen wohl häufiger die Einheitslösung, weil sie bei der Vereinheitlichung und Standardisierung im Vorteil liegt.

Letztlich muss aber immer auf die konkreten Umstände abgestellt werden:

Hat ein Konzern Unternehmensbereiche, die zu sehr unterschiedlichen Branchen gehören, kann es sinnvoll sein, im Rahmen eines Koordinationsmodells für die einzelnen Bereiche Datenschutzbeauftragte zu bestellen. Diese kennen sich mit den jeweiligen branchenspezifischen Besonderheiten gut aus. Eine Vereinheitlichung übergreifender Datenschutz-Aspekte lässt sich durch eine Koordinierung erreichen.

Das gleiche gilt, wenn die Standorte der einzelnen Unternehmen weit auseinander liegen und sich die Unternehmenskultur und -organisation in den verschiedenen Konzernteilen stark unterscheiden. Solche Fälle finden sich insbesondere nach größeren Zukäufen oder Verschmelzungen von Unternehmensteilen (Merger & Acquisitions).

Ist bereits ein eingespieltes Team von Datenschutzbeauftragten etabliert, kann ein Koordinierungsmodell ebenfalls eine gute Lösung sein, um Datenschutzstandards zu vereinheitlichen und konzernweite Datenschutzfragen anzugehen. Steht ein Konzern am Anfang seiner Compliance-Bemühungen im Datenschutz kann zunächst auf das Koordinationsmodell gesetzt werden, um einen Überblick zu gewinnen. Anschließend können dann immer noch schrittweise die verschiedenen Datenschutzbeauftragten durch einen Konzerndatenschutzbeauftragten abgelöst werden.

Zusammenfassung und Ausblick

Der Aufbau einer konzernweiten Datenschutz-Compliance-Organisation ist eine große Herausforderung. Trotz der gesetzlich ausformulierten Position des Datenschutzbeauftragten ergeben sich für Konzerne unterschiedliche Lösungs-Ansätze mit individuellen Vor- und Nachteilen. Der Aufgabenkreis – und entsprechend das Anforderungsprofil – des obersten Datenschützers im Konzerns ist mehr als der im Gesetz beschriebene betriebliche Datenschutzbeauftragter, der Konzerndatenschutzbeauftragte ist in erster Linie ein Datenschutz-Manager.

Der Aufbau einer Datenschutz-Organisation stellt nicht nur eine Chance auf Vereinheitlichung und Verbesserung des Datenschutzniveaus dar, sondern bietet auch Einsparpotential durch Synergieeffekte.

Das Thema Datenschutz dürfte in Zukunft an Bedeutung gewinnen. Das zeigen die vielen gesetzlichen Neuregelungen des Jahres 2009 [7] und die gegenwärtigen Bemühungen zur Kodifizierung des Beschäftigtendatenschutzes. Hinzu kommt, dass nach einem Urteil des Europäischen Gerichtshofs [8](EuGH) Deutschland die Stellung seiner Datenschutzaufsichtsbehörden neu regeln muss, um ihre durch die EU Datenschutzrichtlinie 95/46/EG [9] garantierte Unabhängigkeit sicherzustellen. Mit der neuen Unabhängigkeit könnte auch eine neue Vollzugspraxis einkehren. Auch haben die Novellen aus dem Jahr 2009 den Aufsichtsbehörden ein deutlich schärferes Instrumentarium [10] an die Hand gegeben, einschließlich der Möglichkeit, Gewinne aus Datenschutzverstößen abzuschöpfen. Damit sind die rechtlichen Rahmenbedingungen für ein strengeres Durchgreifen der Aufsichtsbehörden geschaffen, so wie es in anderen EU-Ländern (Frankreich, Spanien) schon länger zu beobachten ist.

**********

Dies ist der erste Beitrag aus meiner neuen Artikel-Reihe „Datenschutz im Konzern“. In den einzelnen Beiträgen möchte ich auf Fragestellungen des Datenschutzes eingehen, wie sie sich typischerweise in Konzernen stellen.

Weitere geplante Themen sind:

• Internationale Datentransfers im Konzern
• Datenschutz bei Hinweisgeber-Systemen (Whistleblowing)
• Zentrale Speicherung von Mitarbeiterdaten im Konzern (Personal-Informations-Systeme)

Sie wollen zukünftige Beiträge nicht verpassen? Dann abbonieren Sie meinen kostenlosen Newsletter. Ich freue mich auf Ihre Kommentare, Fragen, Anregungen und Hinweise [2], die ich gerne in bestehende oder zukünftige Beiträge integriere.

Verweise:

[1] http://www.thomashelbing.com/de/rechtsanwalt

[2] http://www.thomashelbing.com/de/kontakt-impressum

[3] http://www.gesetze-im-internet.de/bdsg_1990/

[4] http://www.gesetze-im-internet.de/bdsg_1990/__4f.html

[5] http://www.thomashelbing.com/de/neue-regeln-fuer-vertraege-datenverarbeitern-ausserhalb-eu

[6] http://www.gesetze-im-internet.de/bdsg_1990/__4d.html

[7] http://www.thomashelbing.com/de/uebersicht-bdsg-novellen-2009

[8] http://curia.europa.eu/jurisp/cgi-bin/form.pl?lang=DE&Submit=Submit&numaff=C-518/07

[9] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:DE:HTML

[10] https://www.datenschutzzentrum.de/vortraege/20100504-weichert-ermittlungs-und-sanktionsbefugnisse.pdf

[11] http://www.addtoany.com/share_save?linkurl=http://www.thomashelbing.com/de/datenschutz-konzern-konzerndatenschutzbeauftragte-organisation-datenschutz-compliance&linkname=Datenschutz im Konzern: Der Konzerndatenschutzbeauftragte und die Organisation der Datenschutz Compliance

Weitere Informationen zum Autor:

Dr. Thomas Helbing
Dr. Helbing ist Rechtsanwalt und arbeitete knapp fünf Jahre bei Lovells LLP (heute Hogan Lovells International LLP), einer führenden internationalen Wirtschaftskanzlei, im Bereich „Intellectual Property, Media and Technology“ und beriet dort führende Software- und IT-Unternehmen und internationale Konzerne. Er hat seinen Doktortitel im Bereich des Telekommunikationsrecht erworben. Seit 2009 hat er seine eigene Kanzlei für IT- und Datenschutzrecht. Neben der Gestaltung und Beratung von IT-Verträgen berät er Unternehmen in allen Fragen des Datenschutzrechtes. Erfahren Sie mehr über ihn auf der Website thomashelbing.com oder schreiben Sie ihm direkt an: helbing [at] thomashelbing [dot] com