Autor: Stefan Stumpf

Integration des Datenschutzes in ein ISMS

Der Datenschutz soll nach dem Willen des Verordnungsgebers der DSGVO zertifiziert werden können. Bislang ist das nicht möglich.

Unternehmen die bereits über ein Informationssicherheits-Managementsystem ISMS verfügen, können den Datenschutz aber integrieren. Die Norm ISO/IEC 27701 beschreibt, wie das erfolgen soll.

DSMS auf SharePoint(R)

Jedes Unternehmen hat ein „Managementsystem“, sonst würde das Unternehmen nicht funktionieren. Viele Systeme genügen in der Praxis die an ein Managementsystem gestellten umfassenden Anforderungen nicht.

Zu den bekanntesten Managementsystemen zählen das Qualitätsmanagementsystem nach ISO 9001 und das Informationssicherheitsmanagementsystem nach ISO 27001.

Die EU-DSGVO verlangt ebenfalls zahlreiche Nachweise, dass alle Vorgaben erfüllt werden. Hier ist es sinnvoll der Systematik der o. g. Normen zu folgen und ein Datenschutzmanagementsystem (DSMS) aufzubauen.

Beispiel einer SharePoint-Integration

Löschkonzepte einfach erstellen

Die Stumpf Consulting GmbH hat die Erstellung von Löschkonzepten gemäß DIN 66398 als Datenbanklösung realisiert.
Ein Löschkonzept zu erarbeiten ist bisher mit einem hohen Aufwand verbunden gewesen. Die Datenbanklösung verringert den Aufwand erheblich, strukturiert die zu erfassenden Daten und unterstützt beim Aufbau der Umsetzungsvorgaben wie der Zuordnung von Verantwortlichkeiten.

 

Einbindung von Google Analytics & Co auf Webseiten

Zum Thema Webseite hat der LfDI Rheinland-Pfalz jetzt in seinem Newsletter geschrieben:

Maßnahmen/Sanktionen
Einbindung von Google Analytics & Co auf Webseiten

Der LfDI hat in einer Reihe von Verfahren eine Anweisung an Webseitenbetreiber erlassen. Hierin wird gefordert, die Webseite so umzustellen, dass die Übermittlung von Nutzungsdaten an andere Anbieter nur aufgrund informierter und ausdrücklicher Einwilligung der Webseitennutzer durchgeführt wird. Insbesondere geht es hier um die Nutzung der Dienste von Google Analytics und Google Remarketing.

Der LfDI stützt seine Anweisung maßgeblich auf ein überwiegendes Interesse der Nutzer im Rahmen der Abwägung mit den berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 lit. f DS-GVO, welche nicht erwarten können oder müssen, dass ihre Nutzungsdaten an dritte Dienstleister weitergegeben werden. Dies entspricht der Auffassung der DSK im Rahmen ihrer Orientierungshilfe für Anbieter von Telemedien. Auch sieht sich der LfDI in seiner Anwendung von Art. 6 DS-GVO durch die Entscheidung des EuGH (EuGH, Urteil v. (01. Oktober 2019, Az. (C 673/17)) bestärkt.

In einem ersten Gerichtsverfahren zu einer solchen Anweisung hat der Webseitenbetreiber nunmehr auf die Nutzung von Google Analytics verzichtet. Das VG Mainz hat die Anwendbarkeit von Art. 6 DS-GVO auf diese Fallkonstellation bestätigt und die Ausführungen zum überwiegenden Interesse der Nutzer als „grundsätzlich überzeugend“ gewürdigt. Weitere Verfahren zu diesem Thema sind anhängig.
https://www.datenschutz.rlp.de/de/newsletter/newsletterarchiv/lfdi-newsletter-nr-1-2020/

Datenschutz – rechtliche Basis

Die rechtliche Basis des Datenschutzes ist an erster Stelle die EU-DSGVO. Die Verordnung lautet korrekt VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

In der Bundesrepublik Deutschland gibt es eine Vielzahl weiterer Gesetze und Verordnungen mit einem Bezug zum Datenschutz.

Hier bildet das Bundesdatenschutzgesetz (BDSG) die oberste Norm. Jedes Bundesland hat ein eigenes Landesdatenschutzgesetz und eine eigene Aufsichtsbehörde.

Wichtig sind u. a. das Telekommunikationsgesetz (TKG) und das Betriebsverfassungsgesetz (BetrVG).

  • 1
  • 2

© 2020 Copyright by Stumpf Consulting GmbH