Personaldaten: DSGVO diktiert die Regeln

Personaldaten in den Datenraum? Das müssen Vorstände beim Datenschutz beachten

09.07.2019 – München: In deutschen Unternehmen gibt es einen Bereich, in dem Datenverarbeitung immer gleichbedeutend mit der Verarbeitung personenbezogener Daten ist: Human Resources. Denn Personaldaten haben definitionsgemäß stets einen Personenbezug und weisen damit in den meisten Fällen einen erhöhten Schutzbedarf auf. 

DSGVO diktiert die Regeln

Selbstverständlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung angemessen zu schützen. Bereits das Bundesdatenschutz-gesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben:

  • Rechtsgrundlage  zur Datenverarbeitung ist erforderlich
  • Daten dürfen nicht unbegrenzt gespeichert werden
  • Verarbeitung der Daten darf nur für den beabsichtigten Zweck erfolgen
  • Datenschutzverletzungen sind meldepflichtig
  • Daten sind angemessen zu schützen

Doch darüber hinaus fordert die DSGVO bei Zuwiderhandlungen empfindliche Strafen – vorgesehen sind Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes[1]. Besonders heikel: Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände persönlich ersatzpflichtig machen; diese haften dann gegebenenfalls auch mit ihrem Privatvermögen[2]. In Extremfällen können sogar Gefängnisstrafen verhängt werden[3]. Viele Unternehmen setzen daher auf vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume. 

Risiko: Privilegierter Zugriff

Doch selbst, wenn die üblichen „technischen und organisatorischen Maßnahmen“ zum Schutz der Daten getroffen werden, bleibt ein nicht zu unterschätzendes Restrisiko. Dieses Risiko besteht selbst dann, wenn die personenbezogenen Daten in einem virtuellen Datenraum oder einer Business Cloud abgelegt sind. Denn gerade organisatorische Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich mit verhältnismäßig überschaubarem Aufwand umgehen. Darüber hinaus können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das aber bringt die Verantwortlichen in Bedrängnis, denn diese haben die Integrität der Daten sicherzustellen. 

Abhilfe durch Technik?

Um personenbezogene Daten wie Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, braucht es eine technische Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet. Herkömmliche Public-Cloud-Angebote können diese Anforderung in der Regel nicht erfüllen. Sogar viele Business Clouds tun sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden – die meisten klassischen Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken. 

Einen besseren Ansatz verfolgen betreibersichere Infrastrukturen[4]: Hier wurden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen – eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer. 

Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und DatenraumAngebote setzen, sind damit rechtlich auf der sicheren Seite. Stehen die Server noch dazu in einem EU-Land mit besonders hohem Datenschutzniveau wie etwa Deutschland, schafft dies zusätzlich Vertrauen. Die passenden Zertifikate erleichtern den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten[5]

Betreibersichere Infrastrukturen sind eine noch recht junge Alternative zu herkömmlichen Cloud-Infrastrukturen und werden wegen ihres hohen Datenschutzniveaus seit einigen Jahren zunehmend im geschäftlichen Umfeld eingesetzt. Dazu zählen unter anderem die versiegelte Cloud der Deutschen Telekom und die Sealed Platform der TÜV SÜD-Tochter Uniscon GmbH.


[1]https://dsgvo-gesetz.de/art-83-dsgvo/[2]https://www.rosepartner.de/geschaeftsfuehrerhaftung-datenschutzrecht.html[3]https://diligent.com/wp-content/uploads/2017/11/WP0032_US_The-GDPR-Checklist-for-Directors.pdf[4]https://de.wikipedia.org/wiki/Sealed_Cloud

Künstliche Intelligenz und sichere Digitalisierung

Deutscher IT-Sicherheitskongress

Bonn, 20. Mai 2019. Im Spannungsfeld einer dynamischen Gefährdungslage mit zunehmend professionellen Cyber-Angriffen, einer steigenden smarten Vernetzung und wachsender Abhängigkeit von funktionierenden IT-Systemen veranstaltet das Bundesamt für Sicherheit in der Informations-technik (BSI) den 16. Deutschen IT-Sicherheitskongress. Rund 700 Cyber-Sicherheitsexpertinnen und -experten werden unter dem Motto „IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung“ vom 
21. Mai bis 23. Mai 2019 in Bonn zusammenkommen.

Open Codes, ZKM Foto: Ria Hinken

BSI-Präsident Arne Schönbohm erklärt: „Angesichts einer Gefährdungslage, in der wir es mit gezielten Cyber-Angriffen auf Unternehmen, mit Datenleaks nach millionenfachem Identitätsdiebstahl und mit 
schadprogrammverseuchten Tablets und Smartphones zu tun haben, zeigt der Deutsche IT-Sicherheitskongress des BSI auf, wie Digitalisierung ‚Made in Germany‘ funktionieren kann: 
Cyber-Sicherheit ist die Antwort auf die neuen Herausforderungen, vor denen Behörden, Unternehmen, Kritische Infrastrukturen und Privatanwender jeden Tag aufs Neue stehen, um die Vorteile ihrer 
digitalisierten Geschäftsprozesse oder die Vorzüge ihres digitales Lebens zu nutzen. Als tragende Säule der Sicherheitsarchitektur Deutschlands laufen die Fäden der Cyber-Sicherheit im BSI zusammen. Mit unseren nationalen und internationalen Partnern übernehmen wir Verantwortung und 
zeigen beim Kongress Strategien und Lösungen auf, mit denen wir die Digitalisierung für alle zum Erfolg führen können.“

Als einer der Thought Leader der Cyber-Sicherheit greift das BSI im Rahmen des Deutschen IT-Sicherheitskongresses aktuelle Themen wie Künstliche Intelligenz, Supply-Chain-Security, die Sicherheit der Blockchain, die Absicherung Kritischer Infrastrukturen oder die Erhöhung der 
Cyber-Resilienz Deutschlands auf. In 48 Fachvorträgen, fünf Keynotes und zwei Paneldiskussionen stehen dabei Technologien wie 5G, Blockchain oder Post-Quanten-Kryptografie ebenso im Fokus wie neue Trends für mehr Sicherheit im Internet der Dinge, im Smart Home oder in Industriesteuerungssystemen. Abgerundet wird der Kongress traditionell durch eine begleitende Ausstellung mit 23 Ausstellern. Das Programm und weitere Informationen zum 16. Deutschen 

Studie: EU-Datenschutzrecht

EU-Datenschutzrecht

Die cepStudie gibt einen Überblick über die bestehenden Vorschriften auf EU-Ebene und die aktuellen Reformbestrebungen der EU-Kommission.

Gegenwärtig werden die auf EU-Ebene geltenden Datenschutzregeln umfassend überarbeitet und reformiert. Dabei lässt sich leicht der Überblick verlieren. Deshalb stellt das cep in einer Studie die wichtigsten Sekundärrechtsakte im Bereich Datenschutz sowie die geplanten inhaltlichen Veränderungen vor.

Die cepStudie widmet sich u.a. der EU-Datenschutzgrundverordnung, die die allgemeine EU-Datenschutzrichtlinie im Mai 2018 ablösen wird.

Ferner hat die EU-Kommission Anfang 2017 eine Verordnung über Privatsphäre und elektronische Kommunikation vorgeschlagen, die die bisherige Datenschutzrichtlinie für elektronische Kommunikation ersetzen soll. Eine wesentliche Neuerung dabei ist, dass die neuen Regeln dann auch für internetbasierte Kommmunikationsdienste wie Whatsapp und Skype gelten sollen, um gleiche Wettbewerbsbedingungen für alle Anbieter zu schaffen. Sie sollen zudem generell auch für die Anbieter gelten, die aus Drittstaaten heraus Kommunikationsdienste an Endnutzer in der EU erbringen.

Eine tiefergehende Analyse zu diesem Verordnungsentwurf werden die Autoren in den kommenden Wochen vorlegen.

cepStudie_EU-Datenschutzrecht