Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit by Erich Schmidt Verlag

SCHLÄGER • TH OD E ( H rsg .)

Handbuch Datenschutz und IT-Sicherheit

Leseprobe, mehr zum Werk unter www.ESV.info/lp/datenschutz

Handbuch Datenschutz und IT-Sicherheit Herausgegeben von Dr. Uwe Schläger und Jan-Christoph Thode Unter Mitarbeit von Dr. Christian Borchers, Conrad S. Conrad, Michael Cyl, Dr. Sebastian Ertel, Annika Freund, Clemens Grünwald, Jennifer Jähn, Dr. Irene Karper, Jan-Roman Kitzinger, Dr. Martin Klein-Hennig, Martin Kolodziej, Dr. Bettina Kraft, Dr. Sönke Maseberg, Dr. Britta Mester, Lars Meyer, Dr. Sanela Hodžić , Lea Paschke, Jan Peplow, Olaf Rossow, Jan Schirrmacher, Dr. Uwe Schläger, Felix Schmidt, Markus Schönmann, Stefan R. Seiter, Daniel Stolper, Oliver Stutz, Jan-Christoph Thode, Sven Venzke-Caprarese, Ralf von Rahden

Vorwort Am 25. Mai 2018 ersetzt die EU-Datenschutz-Grundverordnung das bisherige Bundesdatenschutzgesetz. Nach jahrelanger Diskussion wird damit europäisches Datenschutzrecht endlich harmonisiert, sehr zum Vorteil international tätiger Unternehmen, aber auch zum Vorteil kleinerer Online-Shops, die sich bislang innerhalb der EU nach den jeweils geltenden nationalen Datenschutzvorschriften richten mussten. Trotz der Harmonisierung kommen auf Unternehmen neue Herausforderungen zu: Neben erweiterten Informations-, Rechenschafts- und Meldepﬂichten gilt es, für Verfahren mit hohen Risiken für die Persönlichkeitsrechte der Betroffenen eine Datenschutz-Folgenabschätzung durchzuführen. Auftragsverarbeiter müssen künftig ebenso wie Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten führen. Auch die Eignung technischer und organisatorischer Sicherheitsmaßnahmen muss künftig regelmäßig überprüft und dokumentiert werden. Ganz zu schweigen von den deutlich erweiterten und erhöhten Bußgeldern, die künftig von Datenschutz-Aufsichtsbehörden verhängt werden können. Die mit der Datenschutz-Grundverordnung verbunden Neuerungen sollten für Unternehmen, die sich bislang konform zum Bundesdatenschutzgesetz aufgestellt haben, kein besonderes Problem darstellen. Wer bislang seine datenschutzrechtlichen Hausaufgaben erledigt hat, kann auf bestehenden Datenschutzstrukturen aufbauen, muss diese allerdings an einigen Stellen anpassen und gegebenenfalls erweitern. Unternehmen mit gravierenden Datenschutzdeﬁziten, die in der Vergangenheit eher darauf vertraut haben, nicht negativ aufzufallen, drohen allerdings nunmehr drastische Bußgelder. Und hier setzt unser neues Datenschutz-Handbuch an: Wir, dies sind erfahrene Beraterinnen und Berater der datenschutz nord Gruppe, die seit Jahren in den Bereichen Datenschutz und Informationssicherheit als Consultant tätig sind, haben für Sie ein Datenschutz-Handbuch erstellt, das zum einen auf die neuen gesetzlichen Regelungen der Datenschutz-Grundverordnung im Detail eingeht. Zum anderen stellen wir Ihnen Best-Practice-Ansätze vor, wie den neuen gesetzlichen Vorgaben am besten entsprochen werden kann. Das vorliegende Datenschutz-Handbuch richtet sich an betriebliche Datenschutzbeauftragte, IT-Administratoren, Unternehmensleitungen, Betriebs- oder Personalräte, aber auch an datenschutzinteressierte Beschäftigte und Kunden, die sich entweder einen Überblick über die neuen gesetzlichen Regelungen verschaffen wollen oder praxisgerechte Vorschläge zur Umsetzung der Datenschutz-Grundverordnung nachlesen möchten. Das Datenschutz-Handbuch gliedert sich im Wesentlichen in zwei Hauptteile: Die Kapitel A bis F sind datenschutzrechtlich geprägte Kapitel, während die Kapitel G V Aus: Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit © 2018 Erich Schmidt Verlag GmbH & Co. KG

Vorwort

bis J sicherheitstechnische Aspekte in den Vordergrund stellen. Nachdem wir in Kapitel A zunächst auf die neuen datenschutzrechtlichen Grundlagen eingehen, stellen wir in Kapitel B vor, wie ein betriebliches Datenschutz-Management umgesetzt werden sollte. In Kapitel C steht die gesetzeskonforme Verarbeitung von Beschäftigtendaten im Vordergrund, in Kapitel D die gesetzeskonforme Verarbeitung von Kundendaten. Kapitel E beschäftigt sich mit der Verarbeitung personenbezogener Daten im Internet, in sozialen Netzwerken und in unternehmenseigenen Intranets. Kapitel F stellt dar, in welchem Umfang Videosysteme nach der neuen Datenschutz-Grundverordnung betrieben werden können. Der zweite Hauptteil des Handbuches beginnt in Kapitel G mit einer Darstellung der rechtlichen Grundlagen der IT-Sicherheit. In Kapitel H werden die Eckpfeiler eines Informationssicherheits-Managements beschrieben. Kapitel I stellt geeignete technisch-organisatorische Maßnahmen vor, und zwar übergreifende Maßnahmen, Infrastrukturmaßnahmen, Maßnahmen seitens der IT-Systeme, Netzwerkmaßnahmen und Maßnahmen auf Anwendungsebene. Und schließlich wird in Kapitel J beschrieben, in welcher Form Penetrationstest zur Evaluierung einer angemessenen IT-Sicherheit durchgeführt werden können. Trotz der zahlreichen Verweise auf andere Kapitel dieses Buches sind sämtliche Hauptkapitel in sich abgeschlossen und können separat ohne Kenntnis der anderen Kapitel als Erkenntnisquelle dienen. In diesem Sinne wünschen wir Ihnen als Herausgeber dieses Datenschutz-Handbuchs viel Spaß beim Lesen und Nachschlagen. Bremen und Berlin, im Januar 2018

Uwe Schläger und Jan-Christoph Thode

3. Datenschutz-Folgenabschätzung 3.1. Anwendungsbereich 104 Das bisherige Instrument der Vorabkontrolle wird mit Inkrafttreten der DSGVO durch die sog. Datenschutz-Folgenabschätzung15 (Privacy Impact Assessment) abgelöst, vgl. Art. 35 Abs. 1 DSGVO. Die Vorabkontrolle war bisher das zentrale Kontrollinstrument für Verfahren mit besonderen Risiken für die Rechte und Freiheit der Betroffenen – wovon bereits das Gesetz zwei Beispiele nannte, nämlich zum einen – Verfahren, in denen besondere Arten personenbezogener Daten verarbeitet werden und zum anderen – Verarbeitungsverfahren, die dazu bestimmt sind, die Persönlichkeit des Betroffenen zu bewerten […] 105 Die erstgenannten sind für jeden Datenschützer konkret greifbar. Bei den letztgenannten Verfahren wurde es in der Vergangenheit häufig schwierig, sinnvolle Abgrenzungen vorzunehmen, weil die Datenschutz-Aufsichtsbehörden in den Ländern jeweils zum Teil erheblich abweichende Vorstellungen davon hatten, welche Art von Verfahren dieses Kriterium erfüllte. Zwar gab es bisher mit Videoüberwachungssystemen, Personalmanagement-Applikationen und ggf. noch der Funktionsübertragung für Beschäftigtendaten ein grobes allgemeines Verständnis, für welche Verfahren eine solche Vorabkontrolle durchzuführen war. Gleichwohl bot das Merkmal „besondere Risiken für die Rechte und Freiheiten der Betroffenen“ einen erheblichen Auslegungsspielraum und somit entsprechende Rechtsunsicherheit für die Datenschutzbeauftragten. 106 Wer nun darauf hoffte, dass der europäische Gesetzgeber die Voraussetzungen für das neue Instrument der Datenschutz-Folgenabschätzung konkreter formulierte, wird auf den ersten Blick enttäuscht: Auch die Datenschutzfolgeabschätzung soll für Verfahren angewandt werden, „deren Verarbeitungsform ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, insbesondere wenn dabei neue Technologien Verwendung finden“. 107 Damit wird klar, dass der Anwendungsbereich der Datenschutzfolgeabschätzung mindestens denselben Umfang umfasst, wie die bisherige Vorabkontrolle. Aufgrund der in Abs. 3 genannten Beispiele wird nun aber doch mehr als bisher deutlich, welche Anwendungsfälle der Gesetzgeber im Blick hatte, und der Anwender 15 Vgl. zur Anwendung der Datenschutz-Folgenabschätzung das umfangreiche WhitePaper des „Forum Privatheit und selbstbestimmtes Leben in einer digitalen Welt“, https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/ veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_ Paper_Datenschutz-Folgenabschaetzung_2016.pdf (letzter Abruf: 01.11.2017).

120

3. Datenschutz-Folgenabschätzung

bekommt auch mehr als bisher Auslegungshilfen an die Hand, mit denen eine präzisere Bestimmung der relevanten Verfahren möglich ist. Schließlich wird durch die Beispielsfälle deutlich, dass nun auch, anders als bisher, die Überwachung öffentlich zugänglicher Bereiche durch eine Datenschutz-Folgenabschätzung bewertet werden muss. Konkret nennt der Gesetzgeber – systematische und umfassende Bewertungen persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet […] – umfangreiche Verarbeitungen besonderer Kategorien von personenbezogenen Daten (oder von Daten über strafrechtliche Verurteilungen und Straftaten) sowie die erwähnte – systematische Überwachung öffentlich zugänglicher Räume Hilfreich in diesem Zusammenhang ist, dass die Datenschutz-Aufsichtsbehörden 108 gem. Art. 35 Abs. 4 DSGVO jeweils in ihrem Verantwortungsbereich eine Liste zu erstellen haben (eine explizite Pflicht der Aufsichtsbehörden – für deutsche Rechtsverhältnisse eher ungewöhnlich) mit Verfahren, für die eine DatenschutzFolgenabschätzung (zwingend) durchzuführen ist. Ergänzt wird diese Pflicht um eine Kann-Bestimmung im folgenden Abs. 5, wonach die Aufsichtsbehörden auch entsprechende Negativ-Listen erstellen können – also feststellen, welche Verfahren keiner Datenschutzfolgenabschätzung bedürfen. Es bleibt abzuwarten, innerhalb welchen Zeitraums den Aufsichtsbehörden die Erstellung solcher Listen angesichts der Personaldecke und der Fülle zusätzlicher Aufgaben möglich ist16.

3.2. Durchführung Anders als noch bei der Vorabkontrolle gibt aber auch schon die Grundverordnung 109 dem Anwender gewisse Mindestvorgaben an die Hand, wie eine Datenschutz-Folgenabschätzung inhaltlich zu strukturieren ist und welche Anforderungen an den Inhalt zu stellen sind: Art. 35 Abs. 7 sieht folgende Mindestvoraussetzungen vor: a. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

16 Ein Anfang 2017 erschienenes Gutachten von Roßnagel (vgl. http://daten.transparenz. hamburg.de/Dataport.HmbTG.ZS.Webservice.GetRessource100/GetRessource100. svc/12d25402-ee3f-4a5a-bb89-555728a7dcea/Upload__Gutachten_Aufwand_der_ Datenschutzbehoerden_DSGVO_Rossnagel.pdf (letzter Abruf: 01.11.2017)) kommt zu dem Ergebnis, dass die Aufsichtsbehörden zur verfassungskonformen Erfüllung der neuen Aufgaben im Durchschnitt mit 12–19 Juristen, 4–5 Informatikern, 2 Personen für die Öffentlichkeitsarbeit und 6 für Unterstützungsaufgaben ausgestattet sein müssten (vgl. Seite 159 des Gutachtens); diese Personalausstattung weist zum Redaktionsschluss keine der Aufsichtsbehörden der Länder auf.

Teil B: Datenschutzmanagement im Unternehmen

c. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Abs. 1; d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. 110 Mit diesem Instrumentarium lässt sich aus unserer Sicht (trotz aller Ungenauigkeiten in den Formulierungen) in der Praxis deutlich besser umgehen als mit der weitestgehend unbestimmten Vorabkontrolle. Denn die DSGVO hat sich den Risikoansatz zur Grundlage der Folgenabschätzung gemacht, d.h. Ziel ist es vor allem, Risiken für die Daten der Betroffenen zu erkennen17, zu benennen und Gegenmaßnahmen zu entwickeln, um diesen Risiken bestmöglich zu begegnen. Welche Risiken sind dies konkret? Einige Beispiele18: – – – –

die Verarbeitung inkorrekter, ungenügender oder veralteter Daten die Verarbeitung zu umfangreicher oder irrelevanter Daten eine zu lange Speicherung von Daten die Zugänglichmachung gegenüber Personen, die nicht hierzu befugt sind oder die den berechtigten Interessen des Betroffenen entgegenstehende Zugänglichmachung – eine Verarbeitung zu nicht im Vorhinein definierter oder später veränderter Zwecke – die technisch unsichere Verarbeitung mit der Möglichkeit des Zugriffs Unberechtigter 111 Weitere Unterstützung gerade auch zu diesem – zumindest in der datenschutzrechtlichen Betrachtung – neuen Risikoansatz erhält der Anwender durch jüngst (Stand: November 2017) erschienene Empfehlungen, Kriterienkataloge und „offizielle“ Vorgaben: So hat gerade die Art. 29-Arbeitsgruppe ihr Working Paper 248 aktualisiert und hierin Kriterien aufgestellt, mit denen die anfangs vorzunehmende Risikoabschätzung (bei welchen Verfahren besteht ein voraussichtlich hohes Risiko?) vorzunehmen ist19. 17 Zur Erkennung der Risiken eignet sich das aus der IT-Sicherheit bekannte Vorgehen, die Anforderungen als Schutzziele zu definieren. Die sowohl für den Datenschutz als auch die für IT-Sicherheit relevanten Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit werden dabei um die datenschutzspezifischen Schutzziele Nichtverkettbarkeit, Transparenz und Intervenierbarkeit erweitert. 18 Vgl. auch das der EU-Kommission als Grundlage für die Aufnahme des Privacy Impact Assessment in die DSGVO dienende Dokument des britischen Information Commissioner´s Office: „Conducting privacy impact assessments – code of practice“, https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf (letzter Abruf: 01.11.2017). 19 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purposes of Regulation 2016/679, http:// ec.europa.eu/newsroom/document.cfm?doc_id=47711 (letzter Abruf: 22.11.2017).

122

3. Datenschutz-Folgenabschätzung

Auch die französische Aufsichtsbehörde CNIL (Commission Nationale de 112 l’Informatique et des Libertés)20 bemüht sich darum, Anwendern Hilfen bei der Umsetzung der DSGVO allgemein und der Datenschutzfolgenabschätzung im Speziellen an die Hand zu geben21. Ihr Ansatz beruht auf dem Grundsatz, dass fundamentale Prinzipien und Rechte unabhängig von Art, Schwere oder Wahrscheinlichkeit eines Risikos unverzichtbar und nicht abdingbar seien. Bei einer DSFA geht es demnach darum, mittels technischer und organisatorischer Kontrollen den Risiken, die für die Betroffenenrechte bestehen, zu begegnen22. Das Fraunhofer Institut für System- und Innovationsforschung setzt für ihren Ansatz 113 einer Formalisierung der Datenschutz-Folgenabschätzung dagegen an dem bereits bekannten Standard-Datenschutzmodell an, um so die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit zunächst separat, später in Kombination zu analysieren und zu bewerten, um auf diese Weise generelle Aussagen zum Zustand und zu Verbesserungsmöglichkeiten eines Systems in Hinblick auf den Datenschutz treffen zu können23. 3.2.1. Informationsbeschaffung Unabhängig davon, welchem der vorgenannten Ansätze man folgt, steht am An- 114 fang immer jeweils die Informationsbeschaffung. Zunächst müssen unter Federführung des Datenschutzbeauftragten sämtliche relevanten Informationen zum fraglichen Datenverarbeitungsprozess zusammengetragen werden. Dies ist in der Praxis häufig das Hauptproblem bzw. verursacht die meiste Arbeit. Denn allein schon festzustellen, wer überhaupt die relevanten Informationen im Unternehmen liefern kann, kann eine Herkulesaufgabe sein. Dies gilt insbesondere für Konzerne, wenn Anwendungen unternehmensübergreifend und unter Beteiligung externer Dienstleister betrieben werden. Hier kann es leicht vorkommen, dass zur Informationsbeschaffung zehn verschiedene Ansprechpartner z.B. aus den Bereichen HR, IT, Beschaffung, Vertrieb, Management und externer Dienstleister herangezogen werden müssen. Dies erfordert nicht nur einen beträchtlichen Organisationsaufwand, sondern auch Geduld und Beharrlichkeit. 3.2.2. Checkliste Weiter ist es erforderlich, den Ansprechpartnern eine auch für Datenschutz-Laien 115 verständliche Checkliste an die Hand zu geben, um die Informationen möglichst

20 www.cnil.fr/professionell (letzter Abruf: 22.11.2017). 21 https://www.cnil.fr/fr/PIA-privacy-impact-assessment (letzter Abruf: 22.11.2017). 22 Beim Verfahren zur Risikobewertung orientiert sich die CNIL an den bekannten Methoden des Risikomanagements. Allerdings ist die hierbei übliche formelhafte Kalkulation des Gesamtrisikos als Produkt aus Eintrittswahrscheinlichkeit und Schwere des Schadens für Datenschutzrisiken kaum praktikabel, da hier üblicherweise keine exakten Werte angegeben werden können. 23 Friedewald in: Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis, Projektbeschreibung, https://www.dsfa.eu/ (letzter Abruf: 22.11.2017).

Teil B: Datenschutzmanagement im Unternehmen

ohne weitere oder nur geringfügige Nachfragen zu erhalten. Hierbei muss den Beteiligten zunächst möglichst einfach erklärt werden, was eigentlich personenbezogene Daten sind. Dies klingt auf den ersten Blick lapidar, wirft aber bei nicht datenschutz-affinen Kollegen immer wieder Fragen auf. Darüber hinaus muss die Checkliste Fragen stellen nach dem Zweck der Datenverarbeitung, den Beteiligten, den Zugriffsberechtigten, nach Speicherorten und Übermittlungsempfängern, nach der Speicherdauer, den technisch-organisatorischen Sicherheitsmaßnahmen und weiterer24. Es gilt hierbei, zu den in Rn. 109 genannten Anforderungen belastbare Aussagen treffen zu können. Natürlich beinhaltet dieser Informationsbeschaffungsprozess auch, kritische Rückfragen an die Beteiligten zu stellen25. 3.2.3. Bewertung 116 Soweit schließlich sämtliche erforderlichen Informationen vorliegen, gilt es, die tatsächliche Bewertung vorzunehmen. Diese beginnt mit der Beschreibung der Verarbeitungsvorgänge sowie den verfolgten Zwecken und Interessen der Verantwortlichen – also dem Dokumentations-Teil. Hieran schließt unmittelbar bereits der Bewertungs-Teil an mit einer fachlichen Stellungnahme dahingehend, ob die Datenverarbeitung in Bezug auf den verfolgten Zweck notwendig und verhältnismäßig ist. Kaum hiervon trennbar ist weiter die Feststellung, ob und welche Risiken bestehen. Denn wenn die Datenverarbeitung als nicht verhältnismäßig bewertet wird, hat sich ein Risiko für die Beteiligten bereits verwirklicht, d.h. in diesem Fall muss das Risiko auch unmittelbar als nicht rechtmäßige Datenverarbeitung festgestellt und Schritte aufgezeigt werden, wie dieses kurzfristig beseitigt werden kann, in diesem Fall z.B. durch Datenlöschung und künftig weniger umfangreiche Speicherung. 117 Viele der oben bereits beispielhaft genannten Risiken werden in der Praxis häufig auftreten. Je nachdem, ob das Thema Datenschutz als eines von mittlerweile diversen Compliance-Zielen im Unternehmen bzw. Konzern bereits identifiziert und adressiert ist, sollte es im Ergebnis nach durchgeführten Datenschutz-Folgenabschätzungen nicht überraschen, wenn diverse Prozesse bzw. Anwendungen nicht „compliant“ sind. 118 Erfahrungsgemäß lässt sich feststellen, dass viele der bei Datenschutz-Folgenabschätzungen gefundenen Risiken sowohl auf Unkenntnis, vielmehr aber auf Gleichgültigkeit der beteiligten Fachbereiche beruhen. Sehr häufig trifft man in 24 Bis zum Inkrafttreten der DSGVO wird es im Internet fraglos diverse „Muster-Formulare“ zur Durchführung von Datenschutz-Folgenabschätzungen geben – daher verzichten wir hier vorerst auf Links. 25 So werden z.B. im Personalbereich „steuerliche Gründe“ für das Erheben und Verarbeitung bestimmter Daten angegeben, ohne dass dies (von den Bearbeitern) hinterfragt wird. Genauere Rückfragen seitens des Datenschutzbeauftragten ergeben dann nicht selten, dass zumindest einige der Daten für solche Zwecke tatsächlich nicht erforderlich sind. Solche Feststellungen und Schlussfolgerungen daraus sind dann Gegenstand der Bewertung.

124

3. Datenschutz-Folgenabschätzung

diesem Zusammenhang auf den Einwand, man könne die Daten bestimmt später noch für „irgendwelchen“ Zwecke gebrauchen26. Der Hinweis, dass bereits eine zu lange Speicherung eine Persönlichkeitsrechtsverletzung des bzw. der Betroffenen sei, überzeugt in der Praxis dann nur noch mit dem Argument, dass ein solcher Gesetzesverstoß auch bußgeldbewehrt ist. Dass eine zu umfangreiche bzw. zu lange Speicherung von Daten das informationelle Selbstbestimmungsrecht des Betroffenen verletzt, überzeugt eher selten.

26 Vgl. hierzu auch die Ausführungen zur Datenlöschung Kapitel B 8.

2. Soziale Netzwerke 164 Die Nutzung von Sozialen Netzwerken gehört für viele Unternehmen heute zum Alltag. Die Möglichkeiten, Social Media zu nutzen, sowie die damit verbundenen Zwecke sind vielfältig. Durch die Nutzung von Social Media kann z.B. versucht werden, die Außenwirkung des Unternehmens bzw. einer bestimmten Marke zu verbessern. Waren und Dienstleistungen können beworben, Kontakte geknüpft, die eigene Reichweite erhöht und neue Kommunikationskanäle eröffnet werden. In diesem Rahmen beginnt der erste Schritt oftmals mit der Erstellung eines unternehmenseigenen Social-Media-Auftritts oder mit der Integration von SocialMedia-Plugins auf der klassischen Unternehmenswebsite. Darüber hinaus können Social-Media-Plattformen auch genutzt werden, um zielgerichtet Werbeanzeigen zu schalten, Gewinnspiele zu veranstalten oder die Reichweite der eigenen SocialMedia-Inhalte gegen Bezahlung zu erhöhen. 165 Die Social-Media-Nutzung muss nicht immer zwingend eine unmittelbare Außenwirkung für das Unternehmen zur Folge haben. So kann Social Media von Unternehmen auch als Informationsquelle genutzt werden. In diesem Rahmen ist es oft interessant zu wissen, was über das eigene Unternehmen und die eigenen Marken, Produkte sowie Dienstleistungen innerhalb der verschiedenen Social-MediaKanäle diskutiert wird. Schneidet ein Produkt besonders schlecht ab oder gibt es offene Fragen, Wünsche oder Anregungen zum eigenen Produkt? Und wie steht es eigentlich um Mitbewerber? Auch Zuhören kann sich daher lohnen und hat zur Folge, dass viele Unternehmen bereits ein weitreichendes Social-Media-Monitoring etabliert haben. 166 Sowohl bei der Social-Media-Nutzung zu Marketingzwecken mit Außenwirkung als auch bei der eher internen Nutzung im Rahmen des Social-Media-Monitorings stellen sich eine Reihe datenschutzrechtlicher Fragen. Nachfolgend werden die Rahmenbedingungen dargestellt, die jeweils zu beachten sind.

2.1. Social-Media-Auftritt des Unternehmens 167 Viele Unternehmen betreiben zusätzlich zu ihrer klassischen Unternehmenswebsite weitere Social-Media-Auftritte. Hierzu zählen häufig Seiten bzw. Konten bei Facebook, Twitter, Google+ und YouTube. Nicht selten finden sich aber auch Social-Media-Auftritte bei Pinterest, Instagram, LinkedIn, XING, Tumblr, Snapchat etc. Insgesamt gibt es derzeit über 65 verschiedene Social-Media-Plattformen, auf denen Unternehmen Follower, Likes oder ähnliches sammeln können und über 300 Social-Media-Services, über die Inhalte geteilt werden können.105

105 https://www.addthis.com/services (letzter Abruf: 09.08.2017).

390

2. Soziale Netzwerke

2.1.1. Grundsätzliche Fragestellungen Der Betrieb eines unternehmenseigenen Social-Media-Auftritts muss datenschutz- 168 rechtlich gut vorbereitet werden. Dabei kommt es bereits bei der Auswahl der Social-Media-Plattform zu datenschutzrechtlichen Grundsatzfragen: – Dürfen Unternehmen eine Social-Media-Plattform auch dann nutzen, wenn sie sich nicht sicher sind, ob der Anbieter der Plattform die datenschutzrechtlichen Vorschriften einhält? Bestehen an dieser Stelle besondere Sorgfaltspflichten des Unternehmens im Hinblick auf die Auswahl der Social-Media-Plattform? – Wer ist rechtlich verantwortlich, wenn der Anbieter einer Social-Media-Plattform gegen datenschutzrechtliche Vorschriften verstößt – etwa, weil der Plattformanbieter Nutzungsprofile der Besucher erstellt, ohne die rechtlichen Voraussetzungen hierfür einzuhalten? Kann das Unternehmen insoweit für das Handeln des Social-Media-Anbieters (mit-)verantwortlich gemacht werden? Obwohl beide Fragen grundlegend für den Betrieb eines Social-Media-Auftritts 169 sind, befinden sie sich derzeit noch in gerichtlicher Klärung. Baldige Antworten verspricht allerdings ein Musterprozess, der seit dem Jahr 2011 geführt wird und momentan am Bundesverwaltungsgericht anhängig ist.106 Dieses hat die entscheidenden Grundsatzfragen dem EuGH zur Vorabentscheidung vorgelegt.107 Gegenstand des Verfahrens sind zwei Social-Media-Auftritte der Staatskanzlei 170 Schleswig-Holstein und der IHK Schleswig-Holstein. Konkret geht es um deren Social-Media-Auftritte bei Facebook: – Die zuständige Datenschutzaufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, hatte gegenüber beiden Stellen im Jahr 2011 eine Beanstandung ausgesprochen und die Ansicht vertreten, dass der Betrieb einer Facebook Fanpage gegen datenschutzrechtliche Vorschriften verstoße. Damit einhergehend wurden beide Stellen aufgefordert, die Social-Media-Auftritte bei Facebook zu löschen bzw. zu deaktivieren. Begründet wurde dies seitens der Aufsichtsbehörde im Kern mit dem Vorwurf, dass Facebook eine Reichweitenanalyse (Facebook-Insights) durchführe, die gegen datenschutzrechtliche Vorschriften verstoße. So fehle es bereits an einer hinreichenden Information der Nutzer. Zudem läge weder eine Einwilligung der Nutzer vor, noch sei eine Widerspruchsmöglichkeit implementiert. Im Ergebnis stelle dies eine unzulässige Profilbildung durch Facebook dar, die auch den Stellen zurechenbar sei, die einen Social-Media-Auftritt auf der Plattform betreiben. – Sowohl die Staatskanzlei Schleswig-Holstein als auch die IHK Schleswig-Holstein hatten gegen diese Beanstandung der Aufsichtsbehörde Rechtsmittel eingelegt und Klage vor dem Verwaltungsgericht Schleswig-Holstein eingereicht. Mit Urteil vom 9. Oktober 2013 entschied das Verwaltungsgericht, dass die Anordnung der Aufsichtsbehörde, die Facebook Fanpage zu deaktivieren, rechts106 BVerwG v. 25.02.2016 – 1 C 28.14. 107 EuGH, Rechtssache C-210/16.

Teil E: Datenverarbeitung im Internet und Intranet

widrig sei.108 Insbesondere sei eine datenschutzrechtliche (Mit-)Verantwortlich keit der beanstandeten Stellen für die durch den Besuch der Fanpage ausgelöste Erhebung, Verwendung und Verarbeitung personenbezogener Daten durch Facebook nicht zu sehen. – Auch eine Berufung der Aufsichtsbehörde gegen das Urteil des Verwaltungsgerichts blieb ohne Erfolg. Die entsprechende Berufung wurde vom Oberverwaltungsgericht Schleswig-Holstein mit Urteil vom 4. September 2014 zurückgewiesen.109 Das Oberverwaltungsgericht bestätigte die Auffassung, dass die Betreiber von Social-Media-Auftritten zwar Diensteanbieter seien, insoweit aber nur Verantwortung für die eigene Erhebung und Verwendung personenbezogener Daten tragen würden. Sofern Betreiber eines Social-Media-Auftritts keinen Einfluss auf die Datenverarbeitung des Plattformanbieters haben, seien diese weder verantwortlich noch könne von ihnen verlangt werden, gegenüber dem Plattformanbieter Sorge für die Einhaltung datenschutzrechtlichen Vorschriften zu tragen. – Gegen die Berufungsentscheidung reichte die Aufsichtsbehörde im Januar 2015 Revision vor dem Bundesverwaltungsgericht ein. Das Bundeverwaltungsgericht legte die relevanten Rechtsfragen per Beschluss vom 25.02.2016 dem EuGH zur Vorabentscheidung vor.110 Dabei machte das Bundesverwaltungsgericht aber auch noch einmal deutlich, dass die Betreiber der vorliegenden Social-MediaAuftritte keinerlei tatsächlichen Einfluss auf die Datenverarbeitung durch Facebook nehmen können. Das Bundesverwaltungsgericht führte zudem aus, dass die Datenverarbeitung durch Facebook weder objektiv als gemeinsam verantwortete Datennutzung ausgestaltet noch subjektiv als gemeinsame gewollt sei. Das Bundesverwaltungsgericht wies in seinem Beschluss zudem darauf hin, dass dem Betreiber des Social-Media-Auftritts lediglich anonymisierte Daten zur Verfügung gestellt würden und gerade nicht die weitergehenden personenbezogenen Nutzungsprofile, auf die der Plattformanbieter vermutlich Zugriff hat. 171 Das dargestellte Musterverfahren nimmt zwar noch Bezug auf die Rechtslage nach BDSG-alt und TMG sowie der RL 95/46/EG. Zudem betrifft das Verfahren zwei öffentliche Stellen, was zu einer erhöhten Auswahlpflicht verglichen mit nichtöffentlichen Stellen führen könnte. Allerdings lassen sich alle relevanten Rechtsfragen auch auf die Rechtslage nach Inkrafttreten der DSGVO übertragen: – Die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO ist vergleichbar mit der Definition aus Art. 2 lit. d RL 95/46/EG. – Eine Mitverantwortlichkeit innerhalb von mehrstufigen Diensteanbieterverhältnissen wird auch durch die DSGVO nicht ausdrücklich geregelt. – Eine (Mit-)Störerhaftung kennt die DSGVO in diesem Bereich ebenfalls nicht. – Folgt man der Argumentation des Bundesverwaltungsgerichts ist zudem nicht davon auszugehen, dass vorliegend zwei Stellen gemeinsam für die Verarbei108 VG Schleswig-Holstein v. 09.10.2013 – 8 A 14/12. 109 OVG Schleswig-Holstein v. 04.09.2014 – 4 LB 20/13. 110 BVerwG v. 25.02.2016 – 1 C 28.14.

392

2. Soziale Netzwerke

tung verantwortlich sind, wie es Art. 26 DSGVO jetzt ausdrücklich aber für andere Fälle beschreibt. – Auch die bisherigen Entwürfe einer neuen ePrivacy-Verordnung, welche die Richtlinie 2002/58/EG ablösen soll, trifft zur Frage der Verantwortlichkeit insoweit keine Aussage. Die Vorabentscheidung des EuGH wird daher auch im Hinblick auf die DSGVO 172 sowie die ePrivacy-Verordnung eine entscheidende Weichenstellung bedeuten und klären, welche Verantwortlichkeiten bzw. Auswahlpflichten bei mehrstufigen Diensteanbieterverhältnissen gelten. Möglicherweise wird sich in Zukunft durch die Einführung der DSGVO aber 173 auch die Datenverarbeitung der Plattformanbieter verändern. Denn die DSGVO zielt gleich an mehreren Stellen darauf ab, die Datenverarbeitung von Social-Media-Plattformen stärker als bisher zu reglementieren und bietet nicht unerhebliche Möglichkeiten, Verstöße zu sanktionieren. Zudem wird sich die Durchsetzung gegenüber Social-Media-Plattformanbietern nach Inkrafttreten der DSGVO auch rein praktisch verbessern: Zum einen sind die Zuständigkeiten der Aufsichtsbehörden innerhalb Europas klarer geregelt als bisher. Zum anderen ist davon auszugehen, dass die Voraussetzungen der Datenverarbeitung im Internet durch die DSGVO sowie die noch anstehende Novellierung der ePrivacy-Richtlinie 2002/58/EG („Cookie-Richtlinie“) wirksam vollharmonisiert werden. Auf der anderen Seite muss bereits heute festgestellt werden, dass sich die Daten- 174 verarbeitung von Plattformanbieter zu Plattformanbieter teilweise erheblich unterscheidet. So steht Facebook dauerhaft in der datenschutzrechtlichen Kritik und im Fokus der Aufsichtsbehörden, wohingegen z.B. Twitter bislang weitaus unkritischer betrachtet werden kann. Einen Anhaltspunkt für die Einschätzung der Datenverarbeitung der Plattformanbieter gibt regelmäßig die Datenschutzerklärung der Plattform sowie die Bewertung der zur Verfügung gestellten Funktionen und ggf. eine Analyse der Datenverarbeitung, die beim Besuch von entsprechenden Social-Media-Auftritten auf dem Client des Nutzers festgestellt werden kann. So kann z.B. betrachtet werden, mit welchen Diensten die Plattform noch Kontakt aufnimmt und welche Cookies gesetzt werden. Zusammenfassend lässt sich daher feststellen: Ob eine Sorgfaltspflicht des Unter- 175 nehmens bei der Auswahl der Social-Media-Plattform besteht, ist bislang unklar. Eine Entscheidung des EuGH bzw. des Bundesverwaltungsgerichts steht derzeit noch aus, kündigt sich aber an. Momentan gibt es keine rechtskräftige Anordnung einer deutschen Aufsichtsbehörde, die den Betrieb eines Social-Media Auftritts untersagt, nur weil der Plattformanbieter eigenverantwortlich Datenschutzverstöße begeht. In jedem Fall müssen Unternehmen aber die eigene Datenverarbeitung innerhalb des Social-Media-Auftritts gründlich überprüfen, da insoweit die volle datenschutzrechtliche Verantwortung besteht. Von einer (Mit-)Verantwortung des Betreibers eines Social-Media-Auftritts ist wohl auch dann auszugehen, wenn unzulässige aber optionale Funktionen des Plattformanbieters genutzt werden und sich der Betreiber des Social-Media-Auftritts die Datenverarbeitung des Plattformanbieters insoweit zu eigen macht. Venzke-Caprarese 393 Aus: Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit © 2018 Erich Schmidt Verlag GmbH & Co. KG

Teil E: Datenverarbeitung im Internet und Intranet

2.1.2. Impressum 176 Wie bereits in Kapitel E 1.2.1 dargestellt, gelten für Anbieter von Telemediendiensten die gesetzlichen Informationspflichten. So ist jeder Diensteanbieter von geschäftsmäßigen Telemedien nach § 5 TMG verpflichtet, ein Impressum mit bestimmten allgemeinen Pflichtinformationen bereitzuhalten. Da es sich auch bei einem Social-Media-Auftritt um einen Telemediendienst handelt, müssen Unternehmen, die einen Social-Media-Auftritt betreiben, der Impressumspflicht nachkommen. Im Hinblick auf den Social-Media-Auftritt bestehen hier aber oftmals praktische Probleme: 177 Der Betreiber eines Social-Media-Auftritts hat nur sehr eingeschränkte Möglichkeiten, auf das grundlegende Design seines Auftritts Einfluss zu nehmen. Die allgemeinen Rahmenbedingungen, wie ein Auftritt gestaltet ist, gibt der Anbieter der Social-Media-Plattform vor. Dieser entscheidet auch, auf welcher Ebene und an welcher Stelle der Betreiber eines Social-Media-Auftritts Verlinkungen setzen darf. Anbieter von weltweit ausgelegten Social-Media-Plattformen berücksichtigen dabei häufig nicht die äußerst restriktiven Vorschriften, die für deutsche Social-Media-Auftritte gelten. So bestimmt § 5 TMG, dass ein Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein muss. Von einer leichten Erkennbarkeit des Impressums kann bei Verlinkungen auf das Impressum ausgegangen werden, die als „Impressum“ oder „Kontakt“111 bezeichnet sind. Auch die Bezeichnung „Über uns“ kann ausreichend sein.112 Nicht hinreichend erkennbar ist nach der deutschen Rechtsprechung hingegen eine Verlinkung auf das Impressum, die als „Info“ bezeichnet ist.113 Genau diese letztgenannte Bezeichnung („Info“) wählen Anbieter von Social-Media-Plattformen aber häufig und bieten den Betreibern von Social-Media-Auftritten keine Möglichkeiten, die Bezeichnung selbst anzupassen. 178 Noch schwieriger wird die rechtskonforme Einbindung eines Impressums durch den Umstand, dass mittlerweile grundsätzlich jede Social-Media-Plattform über ein responsives Design verfügt und sich je nach Bildschirmauflösung und Gerätetyp anders präsentiert. So existieren neben dem Desktop-Design regelmäßig auch noch mobile Ansichten. Auch hier muss das Impressum bereits auf der Startseite leicht erkennbar eingebunden werden und mittels maximal zwei Klicks erreicht werden können. Eine Bezeichnung als „Info“ reicht nach der derzeitigen Rechtsprechung selbst in der Mobilansicht nicht aus.114 Lange Zeit war es daher z.B. 111 BGH v. 20.07.2006 – I ZR 228/03. 112 OLG München v. 12.02.2004 – 29 U 4564/03. 113 OLG Düsseldorf v. 13.08.2013 – I-20 U 75/13. 114 LG Aschaffenburg v. 19.08.2011 – 2 HK O 54/11. Obwohl sich die Ansicht, ein als „Info“ bezeichneter Impressumslink sei nicht ausreichend, durchgesetzt zu haben scheint, überzeugt diese Ansicht nicht. Denn bereits die amtliche Überschrift des § 5 TMG lautet „Allgemeine Informationspflichten“. Die Bezeichnung „Info“ steht dem Gesetzeswortlaut somit noch näher als die Bezeichnung „Kontakt“ oder „Über uns“. Befindet sich ein solch bezeichneter Link dazu noch auf einer mobilen Seite, die ansonsten über keine weiteren ähnlichen Links verfügt, dürfte sich für einen Nutzer, der in der heutigen Zeit das Impressum sucht, der Weg zum Impressum ohne Weiteres erschließen.

394

2. Soziale Netzwerke

für Betreiber einer Facebook-Fanpage notwendig, dass Impressum über Umwege einzubinden und hierzu eigene Kacheln oder Applikationen zu erstellen. Bei Google+ war es zeitweise erforderlich, das Impressum als angepinnten Beitrag an oberster Stelle des Profils zu fixieren. Beide Plattformanbieter haben mittlerweile aber reagiert und bieten nunmehr auch deutschen Betreibern die Möglichkeit, den nationalen Anforderungen besser nachzukommen. Problematisch ist allerdings, dass die Anbieter von Social-Media-Plattformen ge- 179 legentlich Designänderungen vornehmen und es dabei immer wieder vorkommt, dass die bisherigen Angaben zum Impressum bzw. entsprechende Verlinkungen nicht mehr an der gewohnten Stelle zu finden und daher nicht mehr unmittelbar erreichbar sind. Unternehmen, die einen Social-Media-Auftritt betreiben, müssen daher regelmäßig kontrollieren, wie das Impressum in den eigenen Auftritt eingebunden ist und ob dieses weiterhin auf jeder Seite unmittelbar erkennbar ist – auch in der Mobilansicht. Bezüglich der Inhalte des Impressums gelten die in Kapitel E 1.2.1 dargestellten 180 Vorgaben. Es ist dabei unerheblich, ob die Pflichtinformationen innerhalb des Social-Media-Auftritts gegeben werden oder ob der Social-Media-Auftritt lediglich über eine Verlinkung verfügt, die auf das Impressum der klassischen Unternehmenswebsite verweist. Sofern eine Verlinkung auf das Impressum der klassischen Unternehmenswebsite erfolgt, wird gelegentlich vertreten, dass dort eine Angabe aufzunehmen sei, für welchen Social-Media-Auftritt das Impressum gilt. Als Begründung wird angeführt, dass ansonsten beliebige Dritte auf fremde Impressen verweisen könnten und unklar sei, auf welche Telemedien sich ein konkretes Impressum beziehe.115 Dem ist jedoch entgegenzuhalten, dass nie ausgeschlossen werden kann, dass Dritte falsche bzw. fremde Anbieterinformationen angeben. Denn anstelle einer Verlinkung könnte ein Dritter auch einfach den Text von bestehenden Impressen kopieren und auf seinem Auftritt online stellen. Sofern ein Social-Media-Auftritt auf das Impressum des klassischen Unternehmensauftritts verlinkt, schadet es daher nicht, wenn im Impressum selbst lediglich die gesetzlich vorgeschriebenen Pflichtinformationen angegeben werden und nicht ausdrücklich und abschließend aufgezählt wird, für welche Telemedien das Impressum gelten soll. Gibt man aus Gründen der Rechtssicherheit gleichwohl im eigenen Impressum auf der klassischen Unternehmenswebsite zusätzlich an, für welche SocialMedia-Auftritte das Impressum noch gilt, besteht die Gefahr, dass in der Aufzählung ein Auftritt vergessen oder nicht nachgepflegt wird. Hierdurch könnte dann aber durchaus der Eindruck entstehen, dass Impressum gelte nicht für einen bestimmten Social-Media-Auftritt des Unternehmens, obwohl dieser auf das entsprechende Impressum verweist. Aufgrund der hohen Abmahngefahr ist der Umgang mit dem Impressum des So- 181 cial-Media-Auftritts nicht zu unterschätzen und muss sorgfältig geplant sowie dauerhaft kontrolliert werden. Es ist auch nicht davon auszugehen, dass sich diese

115 Siehe auch LG Aschaffenburg v. 19.08.2011 – 2 HK O 54/11.

Teil E: Datenverarbeitung im Internet und Intranet

Lage nach Einführung der DSGVO ändern wird, da die Anforderungen an die Erkennbarkeit des Impressums vermutlich weiterhin maßgeblich von der deutschen Rechtsprechung bestimmt werden. Exkurs: Snapchat 182 Nicht immer ist die Frage, ob ein Social-Media-Auftritt eines Unternehmens ein Impressum benötigt, eindeutig zu beantworten. Ein Grenzfall stellt z.B. Snapchat dar. Unternehmen haben hier grundsätzlich keine Möglichkeit, umfangreiche Profilseiten anzulegen. Snapchat ist insofern eher eine Art Instant-Messaging-Dienst. Dies spricht gegen eine eigene Impressumspflicht des Unternehmens. 183 Allerdings bietet Snapchat die Möglichkeit, für eine gewisse Zeit sogenannte „Storys“ zu veröffentlichen. Hierbei handelt es sich um eine Aneinanderreihung von Posts bzw. „Snaps“, die für 24 Stunden online gestellt werden und die jeder Nutzer einsehen kann, der mit dem Snapchatnutzer zum Zeitpunkt der Veröffentlichung in Kontakt steht. Ob dies bereits ausreicht, um einen eigenen Telemediendienst innerhalb von Snapchat annehmen zu müssen, kann bezweifelt werden. Insgesamt ist auch an dieser Stelle eher von einer fehlenden Impressumpflicht auszugehen, wobei die Rechtsprechung zu beobachten sein wird. 184 Darüber hinaus bietet Snapchat ausgewählten Unternehmen die Möglichkeit, an Snapchat Discovery teilzunehmen. Hier können teilweise umfangreiche Inhalte, die Websites ähneln, veröffentlicht werden. Spätestens an dieser Stelle entsteht eine Impressumspflicht für jede Seite, die innerhalb von Snapchat Discovery aufgerufen werden kann. 2.1.3. Datenschutzerklärung 185 Die DSGVO verpflichtet Anbieter von Telemedien eine Datenschutzerklärung bereit zu halten. Diese Anforderung ergibt sich aus Art. 12 ff. DSGVO (vgl. hierzu auch Kapitel E 1.3.1). 186 Hinsichtlich des Social-Media-Auftritts ergeben sich für die Platzierung der Datenschutzerklärung dieselben Anforderungen und Praxisprobleme, die in der vorstehenden Ziff. bereits für das Impressum des Social-Media-Auftritts dargestellt wurden. Zu beachten ist daher insbesondere, dass neben dem Impressum auch die Datenschutzerklärung leicht erkennbar eingebunden und unmittelbar erreichbar sein muss. Diese sollte als „Datenschutz“ oder „Datenschutzerklärung“ bezeichnet werden. Die Implementierung kann entsprechend der Einbindung des Impressums vorgenommen werden. 187 Betreiber eines Social-Media-Auftritts stehen jedoch regelmäßig vor der Frage, welche Inhalte die Datenschutzerklärung des eigenen Social-Media-Auftritts haben muss. Hier empfiehlt sich folgende Vorgehensweise: 1. Sofern der Betreiber eines Social-Media-Auftritts eigenverantwortlich Daten verarbeitet, muss dies in jedem Fall in der Datenschutzerklärung dargestellt werden. Eine solche Datenverarbeitung kann z.B. vorliegen, wenn innerhalb des So396

2. Soziale Netzwerke

cial-Media-Auftritts Gewinnspiele veranstaltet und hierzu Daten von Besuchern erhoben werden. Weitere typische Beispiele für Datenverarbeitungen, die Informationspflichten auslösen, sind Datenerhebungen und Datenübermittlungen über die von der Social-Media-Plattform bereitgestellten Schnittstellen (Application Interfaces; vgl. Kapitel E 2.1.5). Auch ein zusätzliches Webtracking, welches durch den Betreiber des Social-Media-Auftritts selbst für die Analyse bestimmter Seiten eingebunden wird, löst Informationspflichten nach Art. 12 ff. DSGVO und ggf. sogar Einwilligungserfordernisse bzw. Widerspruchslösungen aus (vgl. Kapitel E 1.7). Selbst wenn der Betreiber eines Social-Media-Auftritts keine der oben genannten Datenverarbeitungen durchführt, sollte grundsätzlich zumindest darüber informiert werden, wie mit personenbezogenen Daten umgegangen wird, die der Betreiber im Rahmen von portalinternen Direktnachrichten erhält. In diesem Fall könnte darauf hingewiesen werden, dass die im Rahmen der Direktnachrichten übermittelten Daten nur zur Beantwortung der Direktnachricht und streng zweckgebunden verarbeitet werden. 2. Schwieriger wird es allerdings dann, wenn es um die Frage geht, ob der Betreiber eines Social-Media-Auftritts auch über die Datenverarbeitung informieren muss, die der Anbieter der Social-Media-Plattform durchführt. Hier ist es bereits häufig problematisch, dass der Betreiber des Social-Auftritts keine umfassende Kenntnis über die Datenverarbeitung des Plattformanbieters erhält. Es ist daher empfehlenswert, in der eigenen Datenschutzerklärung insoweit auf die Datenschutzerklärung des Plattformanbieters zu verweisen und diese als Link aufzunehmen. 3. Besonders problematisch wird es immer dann, wenn der Betreiber des SocialMedia-Auftritts Kenntnis davon hat, dass die Datenverarbeitung des Plattformanbieters unrechtmäßig ist, diese mangels Einflussnahmemöglichkeit aber nicht abgestellt bzw. anderweitig kompensiert werden kann. In diesen Fällen kann es sinnvoll sein, die Nutzer in der eigenen Datenschutzerklärung auch über diesen Umstand transparent zu informieren und auf alternative Angebote, wie z.B. die klassische Website des Unternehmens, hinzuweisen. Insgesamt ist die Rechtslage an diesem Punkt allerdings noch unklar, da die bereits in Kapitel E 2.1.1 dargestellten grundlegenden Fragen, welche Pflichten und Verantwortlichkeiten bei mehrstufigen Diensteanbieterverhältnissen gelten, noch ungeklärt sind. Auch insoweit muss die Vorabentscheidung des EuGH abgewartet und die Datenschutzerklärung dann ggf. entsprechend angepasst werden. 2.1.4. Analysemöglichkeiten Jeder Betreiber eines Social-Media-Auftritts wird sich früher oder später fragen, 188 wie häufig der eigene Auftritt besucht wird. Spätestens an diesem Punkt wird relevant, welche Analysemöglichkeiten dem Betreiber zur Verfügung gestellt werden. Mitgelieferte Analysen Viele Social-Media-Plattformen liefern von Haus aus Analysemethoden mit und 189 stellen automatisch Seitenstatistiken zur Verfügung. Den Betreibern von SocialMedia-Auftritten werden auf diese Weise Informationen über die Nutzung ihrer Venzke-Caprarese 397 Aus: Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit © 2018 Erich Schmidt Verlag GmbH & Co. KG

Teil E: Datenverarbeitung im Internet und Intranet

Seiten gegeben. Häufig werden dabei auch Aussagen über Seitenaufrufe einzelner Nutzer oder über die Reichweite bzw. Interaktionsrate von Beiträgen getroffen. Auf welche Weise diese Nutzungsdaten jedoch von den Anbietern der Social-Media-Plattform gewonnen werden, ist oftmals unklar. Zwar erhalten die Betreiber von Social-Media-Auftritten im Rahmen der normalen Analysemöglichkeiten in der Regel keine personenbezogenen Daten. Denn die Analyseergebnisse werden vom Anbieter der Social-Media-Plattform gegenüber dem Betreiber des SocialMedia-Auftritts nur stark aggregiert dargestellt. Allerdings ist regelmäßig völlig unklar, ob sich der Plattformanbieter im Vorfeld an die gesetzlichen Vorgaben hält. 190 Auch der Funktionsumfang der bereitgestellten Analysemöglichkeiten variiert stark und kann sich mit der Zeit zudem ändern. Viele Analysen enthalten Aussagen über demografische Merkmale, also z.B. Geschlecht, Altersgruppe und Wohnort der Besucher des Social-Media-Auftritts. 191 Teilweise gehen die Möglichkeiten sogar soweit, dass Unternehmen, die einen Social-Media-Auftritt betreiben und in diesem Rahmen auch den lokalen Standort des Unternehmens angeben, lokale Statistiken erhalten. Facebook stellt z.B. mit den sogenannten „local Insights“ Aussagen darüber zur Verfügung, wie viele Facebooknutzer sich zu welchen Zeiträumen in der Nähe des Unternehmensstandorts befanden (in einem wählbaren Radius zwischen 50, 150 und 500 Metern). Als Informationsquelle dienen hier vermutlich freigegebene GPS-Positionsdaten von Smartphones. Basierend auf den Wohnorten der jeweiligen Facebook-Nutzer stellt Facebook in diesem Zusammenhang auch weitere Informationen zur Anreiseentfernung bereit. 192 Bezüglich der Analysemöglichkeiten, die von den Plattformanbietern automatisch bereitgestellt werden, kommen die in Kapitel E 2.1.1 aufgeworfenen Grundsatzfragen wieder auf: 193 Muss sich der Betreiber einer Social-Media-Auftritts die Datenverarbeitung des Plattformanbieters zurechnen lassen, auch wenn er auf die Durchführung der Analyse bzw. des hierfür erforderlichen Trackings keinen Einfluss nehmen kann? Zumal der Betreiber des Social-Media-Auftritts selbst die Ansicht der aggregierten Ergebnisse für seinen Auftritt oftmals nicht unterdrücken kann und diese ungefragt erhält? 194 Wie bereits dargestellt, lässt sich diese Frage derzeit nicht eindeutig beantworten. In der Praxis sollte allerdings besonders darauf geachtet werden, keine rechtlich zweifelhaften Analysemöglichkeiten des Plattformanbieters zu nutzen, auf die selbst Einfluss genommen werden kann. Optionale Analysemöglichkeiten, für die z.B. eine separate Anmeldung erforderlich ist oder die durch den Betreiber des Social-Media-Auftritts beeinflusst werden können, sollten daher nur genutzt werden, wenn gewährleistet werden kann, dass die rechtlichen Rahmenbedingungen auch vom Anbieter der Analysen eingehalten werden.

398

teil H

IT-Sicherheitsmanagement im Unternehmen Teil H: IT-Sicherheitsmanagement im Unternehmen

1.  Vorgehensweise Unter dem Begriff Informationssicherheits-Managementsystem wird der gesam- 1 te Prozess zur Aufrechterhaltung von Informationssicherheit zusammengefasst. Dies beinhaltet konkrete Sicherheitsmaßnahmen, aber vor allem einen strukturierten Ansatz, um ausgehend von den Sicherheitszielen und dem Schutzbedarf die richtigen Maßnahmen definieren zu können. Und als Managementsystem werden die Prozesse so ausgestaltet, dass das Management laufend einen Überblick über die Informationssicherheit erhält. Informationssicherheit ist dabei mehr als IT-Sicherheit, weil Informationen im 2 weitesten Sinne – auch ohne IT-Bezug – typischerweise zu schützen sind. Wie ein Informationssicherheits-Managementsystem (ISMS) aufgebaut ist, wird im Nachfolgenden beschrieben. Im ersten Schritt muss das oberste Management des Unternehmens das ISMS auf 3 den Weg bringen. Dazu müssen die grundlegenden Ziele und Erwartungen formuliert werden, etwa in einer Sicherheitsleitlinie. Ferner muss eine Organisation geschaffen werden. Dazu müssen Ressourcen zur Verfügung gestellt werden, damit der Prozess arbeiten kann. Und es wird ein Verantwortlicher definiert, typischerweise der IT-Sicherheitsbeauftragter. Das Management wird fortlaufend über den Status der Informationssicherheit informiert. Im zweiten Schritt setzt der IT-Sicherheitsbeauftragte mit der etablierten Organi- 4 sation und den zur Verfügung gestellten Ressourcen die Vorgaben aus der Sicherheitsleitlinie um. Dazu ist zunächst eine Ist-Aufnahme durchzuführen, um alle für das Unternehmen relevanten Werte und Objekte zu erfassen; diese Werte und Objekte werden im Nachfolgenden „Assets“ genannt. Ziel ist eine exakte Beschreibung dessen, was durch das ISMS zu schützen ist. Typischerweise gehören dazu Datenarten, die verarbeitet werden, IT-Anwendungen, IT-Systeme, Räume, Gebäude, Mitarbeiter (vgl. Kap. I 1.2.2). Ob ein Asset relevant ist oder nicht, spielt häufig in Zertifizierungsverfahren eine 5 Rolle, wo es für einen definierten Bereich darum geht, die Einhaltung von Standards durch ein Zertifikat nachzuweisen. Oftmals wird in diesem Kontext gefragt, ob eine Anwendung, eine Dienstleistung oder ein Bereich einer Institution beachtet werden muss. Als „Daumenregel“ hat sich dabei herausgebildet, dass ein Asset immer dann aufzunehmen ist, wenn es für die Institution „von Wert“ ist. Wenn beispielsweise die Kaffeemaschine für die Leistungsfähigkeit der Mitarbeiter unabdingbar ist, stellt es einen „Wert“ dar und ist aufzunehmen. Nachdem die Assets identifiziert sind, ist aufzunehmen, welche Anforderungen für das Unternehmen relevant und umzusetzen sind. Dies sind beispielsweise Anforderungen aus Kundenverträgen – etwa zur Verfügbarkeit – oder gesetzliche Anforderungen. Maseberg 503 Aus: Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit © 2018 Erich Schmidt Verlag GmbH & Co. KG

Teil H: IT-Sicherheitsmanagement im Unternehmen

6 Im nächsten Schritt ist eine Risikoanalyse durchzuführen. Hier werden alle relevanten Bedrohungen erfasst und im Hinblick auf die Assets und den Schutzbedarf bewertet. Wichtig ist eine möglichst vollständige Auflistung von Bedrohungen. Hilfreich sind dazu anerkannte und etablierte Standards. Ferner muss die Bewertung reproduzierbar sein. Falls also eine Bedrohung nicht anwendbar ist, etwa weil sie nicht eintreten kann, sollte dies entsprechend dokumentiert werden, damit der Entfall dieser Bedrohung nachvollziehbar bleibt. Nachdem für das Unternehmen festgestellt wurde, welche Risiken relevant und zu beachten sind, erfolgt die Risikobehandlung. Darin wird für jedes Risiko eine der folgenden Entscheidungen getroffen: – Reduktion: Maßnahmen werden umgesetzt, um das Risiko zu reduzieren. – Verhinderung: Die Assets werden soweit verändert, dass das Risiko entfällt. – Übertragung: Ein Risiko bleibt bestehen, wird durch den Abschluss einer Versicherung allerdings auf andere übertragen. – Akzeptanz: Das Risiko wird getragen. Aus der Liste der umzusetzenden Maßnahmen wird nun ein Risikobehandlungsplan erstellt. Erfahrungsgemäß lassen sich dabei bereits etliche Maßnahmen als geschlossen kennzeichnet, weil in der Vergangenheit bereits Standard-Sicherheitsmaßnahmen – auch ohne ein ISMS – umgesetzt wurden. Anschließend werden die verbliebenen Maßnahmen nach Plan bearbeitet. Welche Maßnahmen geeignet sind, um Risiken zu begegnen, lässt sich anerkannten Standards entnehmen (vgl. Kapitel H 3.2 zu 27002, 27019 etc.). 7 Wichtig bei diesem methodischen Vorgehen ist, die Risiken zunächst originär zu erfassen und strikt von Maßnahmen zu trennen, die eventuell schon zur Reduktion von Risiken umgesetzt sind. Ein Beispiel, wie es nicht gemacht werden soll: Das Risiko „Mithören einer Kommunikationsverbindung“ wird nicht aufgenommen, weil bereits eine Verschlüsselung eingesetzt wird. 8 Wenn die geplanten Maßnahmen zur Reduktion von Risiken umgesetzt sind, ist das Informationssicherheits-Managementsystem in Kraft. Wichtig ist nun die Erfolgskontrolle und Überwachung. Zu diesem Zweck wird regelmäßig überprüft, ob die Assets und der Schutzbedarf sowie die identifizierten Risiken noch aktuell und in der Bewertung noch zutreffend sind und ob die definierten Maßnahmen in der Praxis wirksam umgesetzt werden. Falls bei der Kontrolle Mängel, Schwächen oder Verbesserungspotential identifiziert werden, werden diese im nächsten Schritt beseitigt. 9 Und hier schließt sich der Kreis; weshalb die zuvor beschriebenen vier Phasen im Kontext von Managementsystemen häufig auch PDCA-Zyklus genannt werden: – Plan: Planung des ISMS – Do: Umsetzung der Planung bzw. Durchführung des Vorhabens – Check: Erfolgskontrolle bzw. Überwachung der Zielerreichung – Act: Beseitigung von erkannten Mängeln und Schwächen bzw. Optimierung und Verbesserung 504

2.  Merkmale eines ISMS Ob ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) eta- 10 bliert hat, lässt sich erfahrungsgemäß nicht nur an einem entsprechenden Zertifikat ablesen. Auch wenn ein ISMS zunächst durch eine Vielzahl von Regelungen und Prozesse charakterisiert wird, überwiegen die Vorteile, die sich vor allem durch strukturierte Prozesse, ein höheres Maß an Sicherheit und weniger Sicherheitsvorfälle zeigen. Zu beachten ist dabei, dass ein ISMS kein Produkt ist, das sich einfach anschlie- 11 ßen und in Betrieb nehmen lässt. Ein ISMS ist stets auf das jeweilige Unternehmen maßgefertigt, auch wenn übergreifende Aspekte existieren, die ähnlich in jedem Unternehmen vorkommen Aus diesem Grund ist ein ISMS auch mehr als ein Tool. Natürlich lässt sich der Aufbau und die Pflege eines ISMS durch Tool-Unterstützung vereinfachen. Aber ein ISMS kann auch ganz klassisch mit Papier und Bleistift entwickelt werden. Woran lässt sich denn nun erkennen, ob in einem Unternehmen ein Informati- 12 onssicherheits-Managementsystem (ISMS) etabliert ist? Sichere Indizien sind die Existenz einer Sicherheitsorganisation, beispielsweise durch einen IT-Sicherheitsbeauftragten, eine Sicherheitsrichtlinie (Security Policy), die vom obersten Management getragen wird und die durch verschiedene Sicherheitskonzepte operationalisiert wurde. Der Begriff Sicherheitskonzept meint dabei jegliche Art von Regelung, Verfahrensbeschreibung, Konzept oder Arbeitsanweisung. In einem Unternehmen mit ISMS existieren folgende grundlegenden Komponen- 13 ten eines ISMS: – Management-Prinzipien – Ressourcen – Mitarbeiter – Strategie.

2.1.  Management-Prinzipien Grundvoraussetzung für ein ISMS ist, dass das oberste Management die Regelun- 14 gen zur Informationssicherheit in vorbildlicher Weise vorlebt und folgende Aufgaben und Pflichten wahrnimmt: – Übernahme der Gesamtverantwortung: Das oberste Management eines Unternehmens ist für das Unternehmen mit allen Rechten und Pflichten verantwortlich, die der Gesetzgeber dem Vorstand oder dem Geschäftsführer auferlegt. Im Kontext eines ISMS bedeutet dies, dass auch die Informationssicherheit ChefSache ist. Diese Gesamtverantwortung lässt sich nicht auf niedrigere Hierarchieebenen delegieren. Maseberg 505 Aus: Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit © 2018 Erich Schmidt Verlag GmbH & Co. KG

Teil H: IT-Sicherheitsmanagement im Unternehmen

– Integration der Informationssicherheit: Informationssicherheit ist nichts, was sich andocken oder losgelöst betrachten lässt. Informationssicherheit ist inte graler Bestandteil eines Unternehmens. Deshalb muss die Sicherheitsorganisation in die wichtigen Prozesse eines Unternehmens integriert werden. Der IT-Sicherheitsbeauftragte kann nicht losgelöst agieren, sondern er muss die Prozesse im Unternehmen und Neuerungen kennen. Diese Prozessintegration des IT-Sicherheitsbeauftragten ist Aufgabe des obersten Managements. – Steuerung und Aufrechterhaltung der Informationssicherheit: Ein ISMS ist aufgrund seines PDCA-Zyklus’ ein fortlaufender Prozess, der gerade deshalb eingeführt wurde, weil sich die Snap-Shot-Prüfungen aus früheren Jahren nicht bewährt haben. Trotzdem muss das oberste Management Informationssicherheit aufrechterhalten, pflegen, steuern und beständig darauf hinwirken, dass es nicht in Vergessenheit gerät. – Definition erreichbarer Ziele: Das oberste Management muss in der obersten Leitlinie vorgeben, welche Ziele erreicht werden sollen. Es sollten möglichst umsetzbare Ziele gesetzt werden. Motivierender ist es sicherlich, mit zunächst kleineren Zielen zu starten, die dann über die Jahre hinweg gesteigert werden. – Risikoabschätzung: Zentrales Element eines ISMS ist, dass zunächst Risiken definiert werden und mit dem obersten Management abgestimmt werden. Häufig haben Mitarbeiter aus einzelnen Abteilungen eine ganz andere Wahrnehmung über Risiken oder die Wichtigkeit von einzelnen Bereichen oder Diensten. Das oberste Management muss hier vorgeben, welche Risiken wie hoch eingeschätzt werden. – Vorbildfunktion: Wie bereits kurz angeführt, muss das oberste Management mit guten Vorbild vorangehen. Wenn der Geschäftsführer eines Unternehmens keine Bildschirmsperre eingerichtet hat, weil ihn diese stört, wird er auch im Unternehmen diese Regelung nicht durchsetzen können. – Aufrechterhaltung und Auditierung des ISMS: Im PDCA-Zyklus steht das „C“ für Check, also die Kontrolle. Typischerweise wird durch ein internes Audit überprüft, ob die Regelungen angemessen sind und ob diese Regelungen in der Praxis so gelebt werden. Frei nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ ist diese Kontrolle für die Aufrechterhaltung des ISMS unabdingbar. Und in diesen Prozess ist das oberste Management involviert, etwa hinsichtlich einer Aktualisierung der Risikoeinschätzung, des Umgangs mit Abweichungen oder der Managementbewertung. – Kommunikationsstrategie: Tue Gutes und sprich darüber. Informationssicherheit lebt maßgeblich davon, dass darüber berichtet wird, und zwar kontinuierlich, sei es durch Poster oder regelmäßige Schulungen. – Berichte an Leitungsebene: Ferner muss das oberste Management fortlaufend informiert werden. Es muss sicherlich nicht zwingend über jeden Sicherheitsvorfall informiert werden, jedoch auf strukturierte Art und Weise regelmäßig. – Informationsfluss: Andersherum gilt dies natürlich auch, so dass das oberste Management die Mitarbeiter über das ISMS informieren muss.

506

2.  Merkmale eines ISMS

2.2.  Ressourcen Damit das ISMS wirksam etabliert werden kann, müssen hinreichende finanzi- 15 elle, technische, personelle und zeitliche Ressourcen bereitgestellt werden. Hier stellt sich häufig die Frage, was hinreichend bedeutet. Erfahrungsgemäß ist der Aufbau eines ISMS mit deutlich höheren Aufwänden verbunden als die laufende Begleitung, wenn ein ISMS erst einmal etabliert ist. Dann gibt es erfahrungsgemäß regelmäßige Termine, meist einmal im Jahr zum internen Audit und zur Managementbewertung sowie monatliche Treffen der IT-Sicherheitsorganisation. Falls sich ein Unternehmen entschließt, ihr ISMS nach einem Standard zertifizieren zu lassen, steigen meist in der Vorbereitung dieser Audits die internen Aufwände. Ressourcen bereit zu stellen setzt voraus, dass genügend Personen Zeit für das 16 ISMS haben, was in Anbetracht des eigentlichen Unternehmenszwecks meist eine Herausforderung darstellt. Auch hier muss das oberste Management dafür sorgen, dass diese Ressourcen bereitstehen und ISMS-Prozesse automatisiert abgebildet werden, etwa durch Tools. Soviel zu den Ressourcen für das ISMS als solches. Daneben gilt es natürlich, Res- 17 sourcen für die Umsetzung von Sicherheitsmaßnahmen bereitzustellen. Und hierbei ist stets abzuwägen, ob technische Maßnahmen umgesetzt werden müssen – also Technik angeschafft werden muss – oder ob eine organisatorische Lösung auch zum Ziel führt. Bei allen Lösungen – ob technische oder organisatorische – ist im Rahmen inter- 18 ner Audits zu überprüfen, ob diese wirksam und geeignet sind. Hierbei sollte jedes Mal kritisch hinterfragt werden, ob nicht eine andere Lösung besser geeignet wäre. Erfahrungsgemäß gibt es Lösungen, die weit über das eigentliche Ziel hinausgehen und unverhältnismäßig sind.

2.3.  Mitarbeiter Da Informationssicherheit jeden Mitarbeiter betrifft, können die meisten techni- 19 schen Maßnahmen erst in Kombination mit organisatorischen Regelungen ihre volle Kraft entfalten. Deshalb ist eine vernünftige Sensibilisierung der Mitarbeiter hinsichtlich Informationssicherheit unabdingbar. Diese muss angemessen sein, regelmäßig erfolgen und sicherheitsrelevante Aspekte vermitteln. Ferner gehören zum Thema Mitarbeiter definierte Prozesse bei der Einstellung oder beim Ausscheiden von Mitarbeitern aus dem Unternehmen bzw. beim Wechsel eines Mitarbeiters innerhalb des Unternehmens.

2.4.  Strategie Die wichtigste Komponente eines ISMS ist die Strategie des Informationssicher- 20 heitsprozesses, die sich im PDCA-Zyklus wiederspiegelt. Zunächst ist der Sicherheitsprozess zu planen und der Geltungsbereich festzulegen: Ist das gesamte Unternehmen involviert oder zunächst nur ein kleiner Teil, für den besondere Maseberg 507 Aus: Schläger/Thode (Hrsg.): Handbuch Datenschutz und IT-Sicherheit © 2018 Erich Schmidt Verlag GmbH & Co. KG

Teil H: IT-Sicherheitsmanagement im Unternehmen

Bedingungen gelten? Welche Rahmenbedingungen gelten überhaupt? Sind gesetzliche Bestimmungen oder vertragliche Zusicherungen gegenüber Kunden zu berücksichtigen? Daraus ergibt sich die Definition von Sicherheitszielen, die in der Sicherheitsrichtlinie verschriftlicht werden. Die dann aufzubauende Sicherheitsorganisation hat anschließend die Aufgabe, diese Sicherheitsrichtlinie umzusetzen. Typischerweise wird in diesem Kontext ein Sicherheitskonzept erstellt. 21 Es findet eine Erfolgskontrolle statt, insbesondere durch die regelmäßige Managementbewertung. Hier wird u.a. geprüft, ob das Sicherheitskonzept geeignet ist, ob die Rahmenbedingungen noch aktuell sind, ob die Sicherheitsziele noch angemessen sind und ob die Sicherheitsleitlinie noch zutreffend ist. Gab es in der Vergangenheit Verstöße? Ist eine Häufung von Sicherheitsvorfällen zu verzeichnen? Ist die Sicherheitsorganisation geeignet, um die Ziele zu erreichen? Steht der Aufwand in einem sinnvollen Verhältnis zum Nutzen für das Unternehmen? 22 Das zuvor beschriebene Sicherheitskonzept kann in unterschiedlichen Dokumenten beschrieben sein. Wichtig sind dabei folgende Aspekte: – Auswahl einer Methode zur Risikobewertung: Es muss angegeben sein, nach welcher Methode die Risiken bewertet werden. Hier sollte nach Möglichkeit auch über einige Jahre hinweg Kontinuität sichergestellt werden. – Klassifikation von Risiken bzw. Schäden: Wie und nach welchen Kategorien Risiken bewertet werden, ist einheitlich darzustellen. – Risikobewertung: Die Risikobewertung enthält eine Auflistung aller Risiken, die für das Unternehmen relevant sind. Wie mit diesen Risiken umzugehen ist, ist Bestandteil der Strategie zur Risikobehandlung. – Auswahl von Sicherheitsmaßnahmen: Sofern Risiken nicht vom Management getragen, Versicherungen abgeschlossen oder durch Verschiebung des Geltungsbereiches eliminiert werden, sind geeignete Maßnahmen umzusetzen. In diesem Schritt ist anzugeben, welche Maßnahmen ausgewählt werden, um den identifizierten Risiken zu begegnen. – Erklärung zur Anwendbarkeit: Bei einige Zertifizierungsstandards ergibt sich hieraus übrigens auch die Verpflichtung des Managements, diese Maßnahmen umzusetzen. 23 Wenn der Maßnahmenplan steht, steht die Umsetzung dieses Sicherheitskonzeptes an. Vernünftigerweise wird mit einer Realisierungsplanung begonnen, die die Umsetzung steuert und kontrolliert. Im Sicherheitskonzept ist darzustellen, wie das ISMS regelmäßig überprüft wird. Insbesondere ist im Rahmen der Erfolgskontrolle und der Verbesserung des Sicherheitskonzepts zu berücksichtigen, wie auf Änderungen im laufenden Betrieb reagiert werden kann und welche Änderungen sich hieraus für die Sicherheitskonzeption ergeben. 24 Wie zuvor ausgeführt, besteht ein Informationssicherheits-Managementsystem aus einer Vielzahl von Verfahren und Prozessen, die in verschiedensten Regelungen dokumentiert sind. Deshalb ist auch ein Erkennungsmerkmal eines ISMS seine Dokumentation. Typischerweise liegt für ein ISMS die folgende Dokumentation – so oder so ähnlich benannt – vor: 508

2.  Merkmale eines ISMS

– Sicherheitsrichtlinie (Security Policy) – Geltungsbereich des ISMS / Scope – Sicherheitskonzept mit diversen Regelungen, Verfahrensbeschreibungen, Arbeitsanweisungen – Risikoanalyse – Erklärung zur Anwendbarkeit (Statement of Applicability) – Dokumentation zur Umsetzung von Maßnahmen – Protokolle interner Audits – Protokolle durchgeführter Managementbewertungen – Protokolle für Verbesserungsmaßnahmen Ferner lässt sich natürlich ein ISMS auch an einem Zertifikat erkennen. Dazu mehr 25 im nächsten Kapitel.

^ Ab dem 25. Mai 2018 finden die Regelungen der Datenschutz-

Grundverordnung (DSGVO) und des neuen BDSG Anwendung. Unternehmen sind dann zum Beispiel verpflichtet, transparent und ausführlich zu beschreiben, welche Daten sie für welche Zwecke verarbeiten und wie lange die Daten gespeichert werden. Anders als heute können Verstöße mit empfindlichen Bußgeldern geahndet werden. Dieser Aspekt führt in der Praxis dazu, dass sich viele Unternehmen – zum Teil erstmalig – intensiv mit den datenschutzrechtlichen Vorschriften und ihrer Umsetzung im Unternehmen befassen. Dieses Handbuch hilft Ihnen bei der Umsetzung der mitunter komplizierten Regelungen der DSGVO und des neuen BDSG. Es zeigt Ihnen praxisorientierte Lösungen für Fragen auf, die sich in den Unternehmen stellen. Weiterhin wird der Themenbereich der Informationssicherheit ausführlich behandelt, der in der Praxis stets zusammen mit dem Datenschutz gedacht werden sollte. Sämtliche Autoren dieses Handbuchs sind erfahrene Beraterinnen und Berater, die seit Jahren in den Bereichen Datenschutz und Informationssicherheit tätig sind. In diesem Handbuch stellen sie Best Practice-Ansätze vor, wie den neuen gesetzlichen Vorgaben am besten entsprochen werden kann.

Leseprobe, mehr zum Werk unter www.ESV.info/lp/datenschutz

9 783503 177271