Jüngst veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf. Mit dieser möchte das BSI Organisationen, Geschäftsleitungen und Schulungsanbietern eine erste Orientierung ermöglichen. Der nachfolgende Blog-Beitrag gibt einen ersten Überblick über die Inhalte und Empfehlungen.

Wen adressiert die Schulungspflicht?

Die Handreichung des BSI thematisiert die gesetzlichen Vorgaben aus § 38 Abs. 3 BSIG-E. Danach müssen Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Die Schulungspflicht adressiert dabei insbesondere die haftungsrelevanten Umsetzungs- und Überwachungspflichten der Geschäftsleitung.

Vom Begriff der Geschäftsleitung umfasst sein sollen natürliche Personen, „die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen“ sind. Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung sollen hingegen nicht als Geschäftsleitung im Sinne des Gesetzesentwurfs gelten (vgl. § 29 Abs. 2 BSIG-E). Neben der gesetzlichen Verpflichtung kann es allemal sinnvoll sein, die Schulungspflicht auf Personen mit vergleichbaren Positionen und Aufgaben zu erweitern.

Ergänzend sei zu erwähnen, dass es sich bei besonders wichtigen Einrichtungen gemäß § 28 Abs. 1 BSIG-E beispielsweise um Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdienstanbieter oder DNS-Diensteanbieter handelt. Aber auch weitere Organisationen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro, die einer der in Anlage 1 des Gesetzesentwurfs benannten Einrichtungsart zuzuordnen sind, unterfallen dem Begriff.

Neben Vertrauensdiensten gelten hingegen beispielsweise Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro als wichtige Einrichtungen, sofern sie einer der in den Anlagen 1 und 2 bestimmten Einrichtungsarten zugeordnet werden können. So werden laut Schätzungen allein in Deutschland etwa 30.000 Unternehmen in eine der beiden genannten Kategorien fallen und dementsprechend zukünftig erweiterte Cybersicherheitspflichten erfüllen müssen.

Wie oft müssen solche Schulungen stattfinden?

Eine konkrete Vorgabe, wie oft derartige Schulungen stattfinden müssen gibt der Gesetzeswortlaut nicht vor. Aus der Gesetzesbegründung lässt sich jedoch eine Orientierung entnehmen. Demnach soll als regelmäßig im Sinne des BSIG-E eine Schulung gelten, die mindestens alle drei Jahre angeboten wird. An dieser Orientierung sollte jedoch nicht zu starr festgehalten werden, stattdessen empfiehlt sich nach Angaben des BSI eine risikoangemessene Umsetzung unter besonderer Berücksichtigung von Wechsel in der Geschäftsleitung, signifikanten Änderungen in Geschäftsprozessen, signifikanten Änderungen in der Risikoexposition oder signifikanten Änderungen bei implementierten oder geplanten Risikomanagementmaßnahmen.

Auch zur konkreten Dauer schweigt der Gesetzesentwurf, wohingegen in der Gesetzesbegründung von durchschnittlich halbtägigen Schulungen ausgegangen wird. Das BSI verweist in diesem Zusammenhang darauf, dass jedoch in Einzelfällen „je nach Risikoexposition der Einrichtung und individuellen Fähigkeiten der Geschäftsleitungen“ die Dauer von vier Stunden auch deutlich überschritten werden könne. Ausschlaggebend sei die sinnvolle Übermittlung der geforderten Kenntnisse und Fähigkeiten.

Unerheblich ist dabei, ob eine Schulung durch qualifiziertes internes Personal oder spezialisierte externe Schulungsanbieter durchgeführt wird. Jedoch sollten insbesondere externe Anbieter darauf achten, dass die jeweiligen Schulungsinhalte auf die individuellen Aspekte der jeweiligen Organisation angepasst werden. In jedem Fall sind die durchgeführten Schulungen mit Nennung der Teilnehmenden, der Inhalte und der Dauer zu dokumentieren. Die Dokumentation ist aufzubewahren und den zuständigen Stellen auf Verlangen vorzulegen. Eine Pflicht zur Durchführung von Wissenskontrollen bei den Teilnehmenden ist hingegen weder gesetzlich noch durch das BSI verpflichtend vorgesehen.

Welche Inhalte sollen derartige Schulungen aufweisen?

Einen groben Rahmen gibt hierbei bereits die zuvor zitierte Formulierung des § 38 Abs. 3 BSIG-E vor. Das BSI hat hieraus in Kapitel 2 der Handreichung (S. 9 ff.) eine Auflistung dringend empfohlener und fakultativ empfohlener Inhalte abgeleitet. Diese können den vorbereitenden Kategorien „Überblick NIS-2-Richtlinie“, „Umsetzung und Dokumentation von Risikomanagementmaßnahmen“, „Melde- und Unterrichtungspflichten“, „Registrierungspflichten und ggf. besondere Registrierungspflichten“, „Pflichten für Geschäftsleitungen“ sowie den Kernkategorien „Risikoanalyse“, „Risikomanagementmaßnahmen“ und „Auswirkungen von Risiken und Risikomanagementmaßnahmen“ zugeordnet werden.

Ergänzt werden können die Inhalte zudem durch sektoren- und einrichtungsspezifische Inhalte sowie durch Szenarien, Übungen und Fallstudien. Ziel ist insgesamt die Vermittlung von „Verantwortlichkeiten und Wirkungszusammenhängen“, nicht von technischen Details. Die Handreichung des BSI enthält ferner in Kapitel 3 (S. 15 ff.) eine Reihe von Leitfragen, die den Geschäftsleitungen einen Überblick ermöglicht, welche Fragen im Rahmen derartiger Schulungen beantwortet werden sollten.

Fazit

Die vorläufige Handreichung „NIS-2-Geschäftsleitungsschulung“ enthält eine Reihe wichtiger und sinnvoller Orientierungspunkte für die Gestaltung und Umsetzung entsprechender Schulungen. Positiv hervorzuheben ist insbesondere, dass sich das BSI bereits zum derzeitigen Umsetzungsstand des NIS-2-Umsetzungsgesetzes um klare Handlungsempfehlungen bemüht. Für besonders wichtige Einrichtungen und wichtige Einrichtungen ist die Auseinandersetzung mit den Anforderungen des Gesetzgebers und der Handreichung des BSI auf jeden Fall ein Muss.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Seit dem 2. Februar 2025 haben Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO sicherzustellen, dass Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Über die konkreten Anforderungen wurde in der Praxis bislang meist gemutmaßt, wobei einige Veröffentlichungen, wie beispielsweise die der Denkfabrik Digitale Arbeitsgesellschaft, bereits eine gute Orientierung boten. Nun hat die Bundesnetzagentur ein entsprechendes Hinweispapier veröffentlicht. Dieser Blog-Beitrag stellt einige wichtige Inhalte vor.

Was ist KI-Kompetenz?

Die Bundesnetzagentur fasst in ihrem Hinweispapier die KI-Kompetenz gemäß Art. 3 Nr. 56 KI-VO als Fähigkeiten, Kenntnisse und das Verständnis zusammen, um KI-Systeme sachkundig, verantwortungsvoll und sicher einzusetzen sowie sich der Chancen und Risiken, unter anderem in ethischer, rechtlicher und gesellschaftlicher Ausprägung, von Künstlicher Intelligenz bewusst zu sein. Im Fokus stehen dabei insbesondere die Minimierung von Risiken und die Förderung von Innovationen. Der Aufbau von KI-Kompetenz läge somit auch im Eigeninteresse der jeweiligen Organisationen.

Vor diesem Hintergrund sollten Organisationen „ein allgemeines Verständnis von KI sicherstellen, die Rolle der eigenen Organisation als Anbieter oder Betreiber beachten, die Risiken des spezifischen KI-Systems im konkreten Kontext berücksichtigen, aktuelle Entwicklung und Neuerungen einbeziehen.“ Hingegen ausdrücklich durch Art. 4 KI-VO nicht gefordert sind die Benennung eines KI-Beauftragten sowie „formalisierte oder standardisierte Trainingsmaßnahmen, (externe) Zertifizierungen der durchgeführten Maßnahmen, […] regelmäßige Vorabüberprüfungen der Maßnahmen zur Sicherstellung der KI-Kompetenz durch Aufsichtsbehörden.“

Die Bundesnetzagentur weist jedoch darauf hin, dass die Durchführung von Maßnahmen zur Sicherstellung von KI-Kompetenz dokumentiert werden sollte. So kann insbesondere im Schadensfall nachgewiesen werden, dass kein Mangel an KI-Kompetenz und demnach auch keine Verletzung der Sorgfaltspflichten vorlag.

Wie baut man KI-Kompetenzen auf?

Die Maßnahmen zum Aufbau von KI-Kompetenz sollten stets an den Kontext und die Bedarfe der jeweiligen Organisation angepasst werden. Einen sogenannten „one-fits-all“-Ansatz lehnt die Bundesnetzagentur hingegen ab. Im Rahmen des Hinweispapiers werden als Orientierung vier Grundsteine beim Aufbau der KI-Kompetent dargestellt:

• Ermittlung des individuellen Bedarfs in Bezug auf Nutzende, KI-Systeme, Nutzungszwecke und potenzielle Risiken.

• Ausgestaltung von Maßnahmen, insbesondere unter Berücksichtigung des Ausbildungs-, Erfahrungs- und Wissensstandes der Nutzenden sowie des Nutzungskontexts des KI-Systems und der Rolle der eigenen Organisation in der KI-Wertschöpfungskette.

• Regelmäßige Auffrischung unter besonderer Berücksichtigung des Begriffs der KI-Kompetenz im jeweils aktuellen zeitlichen Kontext sowie der technologischen Entwicklung.

• Ausreichende Dokumentation der durchgeführten Maßnahmen, mindestens unter Angabe der Art der Maßnahmen, des inhaltlichen und zeitlichen Umfangs sowie der teilnehmenden Personen.

Die Bundesnetzagentur weist ergänzend darauf hin, dass durch die KI-Verordnung keine bestimmten Formate vorgeschrieben werden. Insofern können sowohl Selbstlernprogramme und Schulungen als auch Workshops und mehrstufige Fortbildungsprogramme geeignet sein. Inhaltlich sollten jedoch sowohl technische, rechtliche und ethische Aspekte thematisiert werden. Als mögliche Inhalte werden durch das Hinweispapier drei mögliche inhaltliche Stufen dargestellt: (1) Schaffung eines grundlegenden Verständnisses von Daten und KI in der Organisation (z. B. Überblick über KI-Technologien sowie allgemeine Chancen und Risiken), (2) Aufbau fortgeschrittener KI-Kompetenzen (z. B. technische Aspekte der angewendeten KI sowie spezifische Chancen und Risiken) und (3) rollenspezifische Trainings mit individuellen Schwerpunkten (z. B. Technik, Recht, Ethik).

Wo finde ich Unterstützung?

Abschließend weist die Bundesnetzagentur auch auf zahlreiche Möglichkeiten zur Unterstützung durch europäische und internationale Maßnahmen sowie private Initiativen und Branchenverbände hin. Zu Bennen ist hierbei beispielsweise das Europäische KI-Büro (AI Office) mit einschlägigen FAQ und einem Webinar oder das Online-Angebot des KI-Campus mit zahlreichen unentgeltlichen Online-Angeboten.

Auch das Dresdner Institut für Datenschutz unterstützt Sie bei der Etablierung von KI-Kompetenz in Ihrer Organisation. Unser Schulungsangebot vermittelt praxisrelevante Kompetenzen im Umgang mit Künstlicher Intelligenz unter besonderer Berücksichtigung der rechtlichen und technischen Rahmenbedingungen. Im Fokus stehen dabei Grundzüge und Auswirkungen der europäischen KI-Verordnung auf Organisationen, datenschutzrechtliche Anforderungen nach der Datenschutz-Grundverordnung sowie Aspekte der Informationssicherheit beim Einsatz von KI-Systemen. Abgerundet wird unsere KI-Kompetenz-Schulung durch eine Reihe von Praxisbeispielen und Handlungsempfehlungen. Kommen Sie für ein unverbindliches Angebot gern auf uns zu!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie kommunizieren Sie Datenschutz? Bei der Betrachtung der datenschutzrechtlichen Anforderungen stehen meist die diversen Dokumentationspflichten des Verantwortlichen, beispielsweise die Bereitstellung von Datenschutzinformationen gemäß Art. 13 DS-GVO , die vertragliche Einbindung externer Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO oder die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO im Fokus. Gleichwohl diese Dokumentationspflichten einen zentralen Aspekt der datenschutzrechtlichen Normierungen darstellen, kann in der alltäglichen Datenschutz-Praxis die richtige Kommunikation dieser Thematik einen sehr großen Einfluss auf die erfolgreiche Umsetzung der gesetzlichen Anforderungen nehmen.

Erwartungen der unterschiedlichen Akteure

Mit Blick auf die Normen der DS-GVO ergeben sich drei wesentliche Akteure, deren Interessen und Erwartungen in Einklang gebracht und bei einer Kommunikation angemessen zu berücksichtigen sind.

Als erste Gruppe sind die Verantwortlichen zu benennen. Gemäß Art. 4 Nr. 7 DS-GVO handelt es sich hierbei um eine natürliche oder juristische Person, welche allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Verpflichtungen in seinem Verantwortungsbereich zuständig. Bietet ein Unternehmen oder eine Behörde eine Internetseite, eine Präsenz in einem sozialen Netzwerk oder eine App an, so entscheidet diese(s) über den Zweck (z.B. Informationsportal für die Zielgruppe) und die Mittel (Bereitstellung einer Internetseite, einer Präsenz in einem sozialen Netzwerk oder einer App) der Verarbeitung personenbezogener Daten. Das Unternehmen bzw. die Behörde ist im Rahmen dieser Verarbeitung für die Einhaltung der datenschutzrechtlichen Normierungen verantwortlich.

Darüber hinaus sind die sogenannten betroffenen Personen anzuführen. Als betroffene Person bezeichnet die DS-GVO im Rahmen des Art. 4 Nr. 1 diejenigen natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Den betroffenen Personen stehen insbesondere in Kapitel III der DS-GVO zahlreiche Rechte zu, beispielsweise die Bereitstellung transparenter Informationen über die jeweilige Datenverarbeitung, das Auskunftsrecht sowie das Recht auf Löschung. Über die Wahrnehmung der Rechte ist es den betroffenen Personen zumindest partiell jederzeit möglich, die Einhaltung des Datenschutzes durch den Verantwortlichen zu überprüfen.

Abschließend zu nennen sind die jeweils zuständigen datenschutzrechtlichen Aufsichtsbehörden des Bundes, der Länder bzw. der evangelischen und katholischen Kirchen. Ihre Aufgaben sind insbesondere die Durchsetzung und Überwachung sowie die Sensibilisierung hinsichtlich der datenschutzrechtlichen Anforderungen. Zur Durchsetzung können sich die Aufsichtsbehörden eines breiten Spektrums von Sanktionsmöglichkeiten, wie beispielsweise der Verhängung von Bußgeldern oder der Untersagung von Verarbeitungstätigkeiten bedienen.

Das Interesse bzw. die Erwartung aller genannten Akteure besteht zunächst in einer datenschutzkonformen Verarbeitung personenbezogener Daten, unterscheidet sich jedoch zunehmend im Detail. Während seitens der Verantwortlichen das Datenschutzrecht oftmals als „Verhinderer“ wahrgenommen wird, streben diese nach praxisnahen Lösungen, die den datenschutzrechtlichen Anforderungen (weitestgehend) entsprechen, jedoch zugleich die Geschäftstätigkeit nicht einschränken. Hierunter leiden oftmals insbesondere die datenschutzrechtlichen Dokumentationspflichten, wobei vor allem im Rahmen der digitalen Kommunikationswerkzeuge und den diesbezüglichen öffentlich einsehbaren Datenschutzinformationen die Folgen für die Verantwortlichen fatal sein können.

Betroffene Personen informieren sich mittels der verpflichtend bereitzustellenden Angaben über die Zwecke sowie die Durchführung der Datenverarbeitungen. Sie setzen diesbezüglich insbesondere eine Nachvollziehbarkeit der Datenverarbeitungen voraus, wobei sie seitens des Verantwortlichen eine hohe Sensibilität bezüglich datenschutzrechtlicher Anforderungen erwarten. Lässt die Darstellung der Datenschutzinformationen eine solche Sensibilität vermissen, beispielsweise da die bereitgestellten Angaben offensichtlich falsch sind oder gar datenschutzwidrige Verarbeitungen abbilden, wenden sich betroffene Personen zunehmend an die jeweils zuständigen Aufsichtsbehörden.

Die Aufsichtsbehörden müssen im Falle derartiger begründeter Eingaben tätig werden, können stets jedoch auch anlasslose Kontrolle durchführen. Dabei setzten die Aufsichtsbehörden seitens des Verantwortlichen stets ein hohes Bewusstsein für die durchgeführten Datenverarbeitungen voraus. Eine solche sollte sich insbesondere aus der Aktualität, Vollständigkeit und Richtigkeit der datenschutzrechtlichen Dokumentationen ergeben. Den Ansatzpunkt einer Überprüfung digitaler Kommunikationswerkzeuge stellen dabei zunächst die bereitgestellten Datenschutzinformationen sowie eine Plausibilitätskontrolle anhand technischer Untersuchungen dar. Für die Kommunikation folgt hieraus zwangsläufig, dass die Interessen des Verantwortlichen in Einklang mit den Erwartungen betroffener Personen und Aufsichtsbehörden zu bringen sind, um sich nicht der permanenten Gefahr einer entsprechenden Sanktionierung auszusetzen.

Datenschutz intern kommunizieren

Zunächst einmal ist festzuhalten, dass „Datenschutz“ nicht eine Aufgabe einer einzelnen Person des Verantwortlichen, beispielsweise des Datenschutzbeauftragten ist, sondern erst durch das Zusammenwirken aller Beteiligten erfolgreich bewältigt werden kann.

Die Leitungsebene trägt die Verantwortung für das datenschutzkonforme Agieren der gesamten Stelle. Ihr obliegt die Delegation datenschutzrechtlicher Handlungserfordernisse an weitere Führungskräfte bzw. an die Beschäftigten. Sie hat dafür Sorge zu tragen, dass nach den Regelungen des Art. 37 DS-GVO und §§ 5, 38 BDSG (Bundesdatenschutzgesetz) ein Datenschutzbeauftragter benannt und in die notwendigen Prozesse eingebunden wird. Weitere Führungskräfte haben die Aufgabe, die Einhaltung der datenschutzrechtlichen Anforderungen in ihrem Bereich zu überwachen, entsprechende Mängel zu beheben und die Kommunikation zwischen Beschäftigten, Leitungsebene und Datenschutzbeauftragten zu fördern. Aufgabe der Beschäftigten ist das datenschutzkonforme Handeln im Rahmen ihrer alltäglichen Arbeit, in Form der Umsetzung von Richtlinien, Arbeitsanweisungen sowie der Beachtung der im Rahmen von Sensibilisierungen dargestellten Handlungserfordernisse. Der Datenschutzbeauftragte berät alle Beteiligten, überwacht und fördert die Einhaltung der datenschutzrechtlichen Anforderungen. Darüber hinaus steht er betroffenen Personen und Aufsichtsbehörden als Ansprechperson zur Verfügung. Der Datenschutzbeauftragte ist dabei nicht zur Umsetzung der datenschutzrechtlichen Pflichten zuständig, dies obliegt allein dem Verantwortlichen.

Die Vielzahl der unterschiedlichen Beteiligten verdeutlicht, dass die Umsetzung datenschutzrechtlicher Anforderungen im Wesentlichen von der erfolgreichen Kommunikation untereinander abhängt. Das bedeutet jedoch auch, dass die Kommunikationsmöglichkeit unter den Beteiligten jeweils in beiden Richtungen eröffnet sein muss. Wird beispielsweise innerhalb einer Stelle durch die Leitungsebene eine Richtlinie zum Umgang mit personenbezogenen Daten verabschiedet, welche sich in der Praxis als nicht vollständig umsetzbar erweist, muss es den Beschäftigten möglich sein, derartige Schwachpunkte offen gegenüber den Führungskräften, der Leitungsebene und dem Datenschutzbeauftragten zu kommunizieren. Wird eine solche offene Kommunikation durch verschiedene Faktoren gehemmt, führt dies dazu, dass eine solche Richtlinie leerläuft und daraus datenschutzrechtliche Risiken erwachsen.

Besonders die Kommunikationskanäle zum Datenschutzbeauftragten sollten stets geöffnet sein. Einerseits ist dies zwingend erforderlich, damit der Datenschutzbeauftragte seinen Aufgaben nach Art. 39 DS-GVO angemessen nachkommen kann, andererseits wird hierdurch eine Möglichkeit geboten, vertrauliche Anliegen direkt mit dem Datenschutzbeauftragten zu klären, bevor datenschutzrechtliche Konflikte zu eskalieren drohen. Die Erfahrungen aus der Praxis zeigen, dass insbesondere im Rahmen des Beschäftigtendatenschutzes grundsätzlich ein nicht zu unterschätzendes Konfliktpotenzial besteht.

Seitens des Datenschutzbeauftragten ist darüber hinaus sicherzustellen, dass eine regelmäßige Erreichbarkeit gewährleistet wird. Dies setzt insbesondere bei externen Datenschutzbeauftragten nicht zwingend eine permanente Anwesenheit voraus, die Möglichkeit zum Austausch sollte jedoch durch E-Mail-Kommunikation, Telefonate oder Videokonferenzen sowie ergänzend durch angemessene Reaktionszeiten eröffnet werden. Der Datenschutzbeauftragte sollte neben seiner fachlichen Expertise entsprechend den Anforderungen des Art. 37 Abs. 5 DS-GVO auch die notwendigen sozialen Kompetenzen als wesentliche Voraussetzung einer zielführenden Kommunikation aufweisen. Auch wenn für den Verantwortlichen keine rechtliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, sollte sowohl für die Beschäftigten als auch für betroffene Personen eine Ansprechperson benannt werden, um auch in diesem Fall eine zentrale Anlaufstelle bieten zu können. Die Pflicht zur Umsetzung der datenschutzrechtlichen Anforderungen besteht für den Verantwortlichen ohnehin unabhängig von der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten.

Ebenfalls gegenüber Dienstleistern und Auftragsverarbeitern sind datenschutzrechtliche Anliegen und Verpflichtungen entsprechend zu kommunizieren. Dies kann beispielsweise über Verschwiegenheitsvereinbarungen oder Verträge zur Auftragsverarbeitung realisiert werden. Letztgenannte sind verpflichtend abzuschließen, sofern der Dienstleister personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet oder ein Zugriff des Dienstleisters auf personenbezogene Daten nicht ausgeschlossen werden kann. Im Zusammenhang mit einer Internetseite betreffen dies beispielsweise den Hosting-Anbieter oder im Falle der Zugriffsmöglichkeit auf personenbezogene Daten der Nutzenden ebenfalls den technischen Betreuer. Insbesondere im Zusammenhang mit der Erstellung und Entwicklung von Internetseiten und Apps empfiehlt es sich darüber hinaus, bereits innerhalb der Leistungsvereinbarung Ergänzungen zur datenschutzkonformen Beschaffenheit aufzunehmen. Wird sodann im Rahmen der Abnahme festgestellt, dass nicht sämtliche datenschutzrechtlichen Anforderungen erfüllt werden, liegt ein Mangel vor. Der Dienstleister ist in diesem Falle auf eigene Kosten zur Nachbesserung verpflichtet.

Auch die Art und Weise der Kommunikation hat deutliche Auswirkungen auf die Effektivität der Umsetzung datenschutzrechtlicher Anforderungen und das Bewusstsein der Beschäftigten. Dessen müssen sich sowohl die Leitungsebene als auch der Datenschutzbeauftragte permanent bewusst sein. Als Negativ-Beispiele aus der Praxis zu benennen sind hierbei folgende Zitate von Führungspersonen verschiedener Verantwortlicher im Zusammenhang mit datenschutzrechtlichen Thematiken: „Der vom Datenschutz ist heute da. Wer hat denn hier Lust auf eine Datenschutzschulung?“, „Für die Veröffentlichung der Internetseite benötigen wir noch so eine Datenschutzerklärung. […] das sollte mit Copy & Paste ja schnell machbar sein.“ oder „Datenschutz ist ja ein wirklich sehr trockenes Thema. […] Ich wünsche viel Erfolg bei dem heutigen Ganztagesseminar!“. Derartige Äußerungen verkennen offensichtlich die Wichtigkeit der Thematik und bestätigen das durch die Medien geprägte Bild, nach welchem es sich bei Datenschutz um ein praxisfernes Übel handelt. Wenn die Führungsperson eines Verantwortlichen derart kommuniziert und agiert, aus welchen Gründen sollten die Beschäftigten dann anders handeln? Datenschutzrechtliche Verstöße sind auf diese Art und Weise bereits vorherzusehen.

Datenschutz extern kommunizieren

Welche besonderen Anforderungen gelten in der Kommunikation datenschutzrechtlicher Aspekte gegenüber Exernen? Das erfahren Sie in unserem Blog-Beitrag der nächsten Woche!

Dieser Beitrag war ein Bestandteil der Jahrestagung des Sächsischen Museumsbundes e.V. unter dem Titel „Museen und digitale Kommunikation“
am 21. März 2022 in Hoyerswerda.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Viele, wenn nicht sogar die meisten Datenschutzbeauftragten halten regelmäßig Schulungen für Beschäftigte. Besonders für externe Datenschutzbeauftragte gehört die Schulung der Unternehmen, die sie betreuen, fast schon zu den alltäglichen Aufgaben. Personen, die in diesem Bereich tätig sind, ist klar, dass eine gründliche Sensibilisierung von Angestellten, die regelmäßig mit personenbezogenen Daten in Berührung kommen, ein sehr effektives Mittel ist, grobe Schnitzer im Umgang mit Daten zu vermeiden. Datenschützer sind daher sehr interessiert Beschäftigte laufend zu schulen, da durch ein Mindestmaß an Awareness allen Beteiligten sehr viel Arbeit und viele weitere negative Konsequenzen erspart werden können.

Vor der Durchführung der Datenschutz-Schulungen werden wir öfters mit Fragen konfrontiert wie: „Besteht eine gesetzliche Pflicht zur Schulung?“ oder „Wie oft müssen wir geschult werden?“. Dieser Beitrag soll kurz darstellen, aus welchen Gründen Datenschützer auf Schulungen bestehen und welche Zwecke sie eigentlich verfolgen. Zudem wollen wir Ihnen eine grobe Empfehlung geben, welche Themen Bestandteil einer Datenschutz-Schulung sein sollten.

Ziele von Schulungen

Datenschutz-Schulungen sind für alle Personen, die regelmäßig mit personenbezogenen Daten hantieren, essenziell. Es ist mittlerweile kein Geheimnis mehr, dass ein falscher Umgang mit personenbezogenen Daten seit Einführung der DS-GVO zu schwerwiegenden Konsequenzen für das Unternehmen, wie beispielsweise Bußgeldern oder Untersagung von Datenverarbeitungen führen kann. Ein rechtswidriger Umgang passiert schneller als man denkt: Hat jemand einen USB-Stick mit personenbezogenen Daten verloren? Wurde eine E-Mail oder ein Brief an den falschen Empfänger gesendet? Dies sind bereits meldepflichtige Datenschutzverletzungen! Zudem bemerken wir immer wieder einen eher lapidaren Umgang mit alltäglichen Dokumenten: Oftmals werden diese einfach offen auf dem Tisch liegen gelassen, für alle sichtbar. Dokumente, die nicht mehr gebraucht werden, werden über den Hausmüll entsorgt oder es werden Software und Dienstleister eingesetzt, die nicht datenschutzkonform sind. Da wir ständig mit solchen Dingen in Berührung kommen, behalten viele die Brisanz nicht im Hinterkopf, weshalb der Datenschutz bei der Ausführung täglicher Aufgaben schlichtweg vergessen wird.

Hauptziel von Datenschutz-Schulungen ist es, Beschäftigte zu sensibilisieren und Ihnen unter Nennung der möglichen Konsequenzen für das Unternehmen, für sie selbst und den betroffenen Personen die Wichtigkeit des Themas klarzumachen. Geraten deren personenbezogenen Daten nämlich in die falschen Hände, können mit diesen Daten auch Cyber-Angriffe verübt werden. Die möglichen negativen Folgen für Betriebe, insbesondere jedoch für betroffene Personen können verheerend sein.

Schulungen im Datenschutz haben grundsätzlich nicht die Aufgabe, den Teilnehmern genau vorzuschreiben, wie sie mit Daten umgehen und wie sie ihren betrieblichen Alltag einrichten müssen um datenschutzkonform zu operieren. Schulungen dienen lediglich dazu, den Datenschutz beim Umgang mit personenbezogenen Daten immer im Hinterkopf zu behalten und Leute daran zu erinnern, dass eine gewisse Vorsicht geboten ist.

Sind Schulungen gesetzlich vorgeschrieben?

Aus dem Gesetz ergibt sich zunächst keine direkte Verpflichtung zur Durchführung und Teilnahme an Schulungen, kann sich jedoch gleichwohl aus der Rechenschaftspflicht einer jeden verantwortlichen Stelle gemäß Art. 5 Abs. 2 DS-GVO ableiten lassen. Darüber hinaus obliegt dem Datenschutzbeauftragten gemäß Art. 39 Abs. 1 lit. b) DS-GVO unter anderem die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten. Auch hieraus ergibt sich eine indirekte Pflicht zur Schulung im Datenschutz.

Wie oft muss geschult werden?

Auch gibt es keinerlei zwingende Vorgaben, in welchem Rhythmus geschult werden muss. Wir empfehlen jedoch eine Schulung in einem Zweijahresrhythmus. Zudem sollten neue Beschäftigte zeitnah zum Onboarding-Prozesses unterrichtet werden. Berücksichtigt werden sollte auch, dass eine Übersensibilisierung der Beschäftigten ebenfalls negative Folgen, wie beispielsweise eine geringe Akzeptanz oder im schlimmsten Fall gar die Nichtbeachtung zukünftiger Sensibilisierungsmaßnahmen, haben kann.

Was können Inhalte der Schulungen sein?

Nun bleibt lediglich die Frage offen, was genau eine solche Schulung beinhalten muss. Leider – oder vielleicht auch zum Glück – gibt die DS-GVO auch hierzu keine Vorgaben. Dies lässt natürlich einen gewissen Spielraum für etwaige Anpassungen an das jeweilige Unternehmen oder sogar an die jeweilige Abteilung zu. Man kann somit nicht pauschal sagen, welche Inhalte genau angesprochen werden sollen. Dennoch sollten Sie einige Eckpfeiler als Basis für ein solides Grundgerüst einbauen, welche wir Ihnen vorschlagen möchten:

Zunächst ist es sinnvoll die datenschutzrechtlichen Grundbegriffe vorzustellen, wie etwa personenbezogene Daten, Betroffene, Verarbeitung, Auftragsverarbeitung und Einwilligung. Anschließend empfehlen wir auch auf die Grundsätze der Datenverarbeitung i. S. d Art. 5 DS-GVO einzugehen. Weiterhin sollten auch die Themen Beschäftigtendatenschutz sowie die Wahrnehmung und Gewährleistung von Betroffenenrechten dargestellt werden.

Sofern innerhalb der verantwortlichen Stelle viele internationale Anwendungen und Dienstleister zum Einsatz kommen, sollten auch die rechtlichen Risiken im Zusammenhang mit Datenverarbeitungen außerhalb der Europäischen Union sowie die zwingend erforderliche Einbeziehung des Datenschutzbeauftragten bei dieser Thematik verdeutlicht werden. Natürlich empfiehlt es sich auch grundsätzlich auf die Rolle und die Aufgaben des Datenschutzbeauftragten als „Freund und Helfer“ des Verantwortlichen einzugehen – gerade weil die Wahrnehmung in der Realität oftmals eine andere ist.

Besonders empfehlenswert sind auch die kleinen, aber hilfreichen Tipps und Hinweise für den Berufsalltag, mit denen Beschäftigte einen bedeutenden Teil zum Datenschutz beitragen können. Hierzu kann auch auf die Umsetzung der für die Beschäftigten relevanten technischen und organisatorischen Maßnahmen gehören.

Unbedingt sollte zudem auf die Thematik der Datenschutzverletzung eingegangen werden. Beschäftigten ist nahe zu bringen, welche Ereignisse eine Datenschutzverletzung darstellen und wie sie sich in derartigen Fällen zu verhalten, beziehungsweise an welche Personen sie eine solche Datenschutzverletzung zu melden haben. In diese Zusammenhang sollte auch klargestellt werden, aus welchen Gründen es für verantwortliche Stellen essenziell ist, die Regelungen des Datenschutzes einzuhalten und welche Sanktionen im Zweifelsfall drohen können.

Am Ende liegt es bei der verantwortlichen Stelle beziehungsweise bei dem Datenschutzbeauftragten selbst, welche Themen angesprochen werden müssen. Hierbei sollte stets ein Ausgleich zwischen den rechtlichen Anforderungen der verantwortlichen Stelle und den Bedarfen der Beschäftigten realisiert werden. So kann die Datenschutz-Schulung effektiv zur Umsetzung und Einhaltung der datenschutzrechtlichen Anforderungen beitragen. Kommen Sie gern auf uns zu, wenn Sie auch für Ihr Unternehmen oder Ihre Behörde eine auf die Bedarfe der Beschäftigten zugeschnittene Sensibilisierung wünschen!

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Zum 25. Mai 2022 feiert die Datenschutz-Grundverordnung (DS-GVO) ihren vierten Geburtstag. Wir möchten diese Gelegenheit auch in diesem Jahr zum Anlass nehmen, einen Blick auf die vergangenen zwölf Monate zu werfen, um sowohl positive als auch negative Aspekte der Datenschutzpraxis zu beleuchten. Nachdem im Jahr zuvor insbesondere die datenschutzrechtlichen Herausforderungen – aber auch Fehlvorstellungen – im Zusammenhang mit der pandemischen Lage zu thematisieren waren, haben die vergangenen Monate den Fokus vermehrt zurück auf die datenschutzrechtlichen Kernthemen legen lassen. Die zunehmende Digitalisierung von Prozessen führt dazu, dass es sich bei dem Rechtsgebiet des Datenschutzes keinesfalls um eine Modeerscheinung handelt, sondern zunehmend als elementarer Bestandteil der Compliance eines Unternehmens oder Behörde anzusehen ist.

ZUNEHMENDE SENSIBILISIERUNG

Aus den jährlich durch die Aufsichtsbehörden des Bundes und der Länder zu veröffentlichenden Tätigkeitsberichten ist regelmäßig zu entnehmen, dass die Zahlen der Beschwerden betroffener Personen sowie der gemeldeten Datenschutzverletzungen stetig steigen. Dies lässt zwei wesentliche Rückschlüsse zu: Auf der einen Seite wächst die datenschutzrechtliche Sensibilisierung der Menschen, wobei die Akzeptanz datenschutzwidriger Datenverarbeitungen, Prozesse und Geschäftsmodelle (leicht) sinkt. Auf der anderen Seite sind diese Entwicklung und die Wichtigkeit dieses Themas nach wie vor nicht bei allen verantwortlichen Stellen angekommen. Die Erfahrungen aus der Praxis zeigen, dass das Beschwerderecht gegenüber der jeweils zuständigen Aufsichtsbehörde durch die betroffene Person erst mit zunehmender Eskalation wahrgenommen wird. Die Eskalation ist meist der verantwortlichen Stelle selbst, in Form einer unzureichenden oder gänzlich ausbleibenden Reaktion auf eine erste Eingabe durch die betroffene Person oder gar durch offensichtlich vorsätzliches Missachten datenschutzrechtlicher Normierungen, zuzurechnen. Ausnahmen mögen auch in diesem Falle die Regel bestätigen, in der Gesamtheit zeigt es jedoch auch, dass dieser Mechanismus der Datenschutz-Grundverordnung Wirkung zeigt.

Auch zahlreiche Institutionen erkennen zunehmend die Wichtigkeit der datenschutzrechtlichen Sensibilisierung, insbesondere junger Menschen. Dies wird grundsätzlich auch dem des Datenschutzrechts zugrundeliegenden Grundrechts auf informationelle Selbstbestimmung gerecht. So bietet beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit den Workshop „Datenschutz für Kinder“ in den Klassenstufen 4 bis 6 an. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bietet mit seiner Initiative „Datenschutz geht zur Schule“ ebenfalls eine Sensibilisierung zum Thema Datenschutz und einem bewussten Umgang mit dem Internet und sozialen Medien für Schüler:innen ab Klassenstufe 5. Aufgrund derartiger Initiativen und der fortlaufenden Berichterstattung durch die Aufsichtsbehörden ist zu erwarten, dass die datenschutzrechtliche Sensibilisierung in den nächsten Monaten und Jahren weiter zunehmen wird. Verantwortliche Stellen, die das Thema Datenschutz bislang stiefmütterlich behandelt haben, sollten zeitnah handeln. Das Risiko der Verhängung von Bußgeldern oder gar der Untersagung bestimmter Datenverarbeitungen steigt.

GELTENDMACHUNG VON BETROFFENENRECHTEN

Einher mit der zunehmenden datenschutzrechtlichen Sensibilisierung betroffener Personen geht die Geltendmachung von Betroffenenrechten. Neben dem Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO) stellt das Auskunftsrecht (Art. 15 DS-GVO) das in der Praxis wohl relevanteste Betroffenenrecht dar. Jedoch wird insbesondere das Auskunftsrecht durch betroffene Personen nicht ausschließlich für die Kenntniserlangung des „ob“ und „wie“ der Datenverarbeitung, sondern gleichwohl zur Vorbereitung anders gelagerter rechtlicher Verfahren verwendet. Umso weniger erstaunt es dabei, dass das Auskunftsrecht regelmäßig Gegenstand von Gerichtsentscheidungen ist. Beispielhaft zu benennen sind hierbei die Entscheidung des LG Wuppertal (Urt. v. 29.07.2021 – Az.: 4 O 409/20), welches in bestimmten Fällen die Möglichkeit sieht, einem Auskunftsverlangen nach Art. 15 DS-GVO den Einwand des Rechtsmissbrauches nach § 242 BGB entgegenzuhalten, die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20), welches durch das Auskunftsrecht ebenfalls Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sieht sowie die Entscheidung des BGH (Urt. v. 22.02.2022 – Az.: VI ZR 14/32) zur Beschränkung des Auskunftsrechts über die Herkunft von Daten durch datenschutzrechtlich geschützte Interessen Dritter. Allein in den letzten sechs Monaten war das Auskunftsrecht Gegenstand von knapp 50 gerichtlichen Entscheidungen. Dieser Umstand zeigt die zunehmend hohe Relevanz, aber auch Komplexität bezüglich der Geltendmachung von Betroffenenrechten auf. Verantwortliche Stellen sollten diesbezüglich über einheitliche und erprobte Prozesse zur Reaktion auf Betroffenenanfragen etablieren sowie Unterstützung durch Experten auf dem Gebiet des Datenschutzrechts sicherstellen. Eine Hilfestellung kann auch die Leitlinie des Europäischen Datenschutzausschusses zum Auskunftsrecht aus Februar 2022 geben.

GESAMTHEITLICHE BETRACHTUNG

Die letzten Monate haben jedoch auch gezeigt, dass eine isolierte Betrachtung des Datenschutzrechts nicht zielführend sein kann. Einerseits bedeutet dies für verantwortliche Stellen, dass datenschutzrechtliche Belange bereits frühzeitig in die Planungsphase neuer Systeme, Anwendungen und Prozesse einzubeziehen und zu berücksichtigen sind. Andererseits bedarf es einer Betrachtung des Datenschutzrechts im Umfeld weiterer rechtlicher und technischer Anforderungen. Aktuelle Beispiele, welche in diesem Zusammenhang benannt werden können, sind sowohl das im Dezember 2021 in Kraft getretene Telekom­mu­ni­kations-Telemedien-Datenschutz­gesetz (TTDSG) als auch die Aspekte der IT-Sicherheit, die spätestens mit der Log4j-Schwachstelle oder den im Zusammenhang mit dem Angriff Russlands auf die Ukraine auftretenden Cyber-Angriffen in den Fokus gerückt sind.

Im Rahmen der BvD-Verbandstage 2022 betonte Dr. Nina Elisabeth  Herbort, Referentin bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit, dass es sehr wohl Aufgabe des Datenschutzbeauftragten ist, neben den datenschutzrechtlichen Anforderungen der DS-GVO und des BDSG auch Anforderungen weiterer einschlägiger Gesetze wie dem TTDSG im Blick zu haben und verantwortliche Stellen entsprechend zu beraten und zu sensibilisieren. Gerade im Bereich der Internetseiten lassen sich die Anforderungen der unterschiedlichen Gesetze kaum isoliert voneinander betrachten. Dass insbesondere im Bereich der Internetseiten viele verantwortliche Stellen erheblichen Nachholbedarf haben und es zukünftig einer wesentlich besseren Zusammenarbeit zwischen Marketing und Öffentlichkeitsarbeit sowie dem Datenschutzbeauftragten bedarf, zeigen die länderübergreifende Prüfung der Internetseiten von Medienunternehmen sowie die Beschwerden von NOYB – Europäisches Zentrum für digitale Rechte des bekannten Datenschutzaktivisten Max Schrems.

PROBLEM DRITTLANDÜBERMITTLUNG

Eine Thematik, die nahezu alle verantwortlichen Stellen und Datenschutzbeauftragten auch im vierten Jahr der Datenschutz-Grundverordnung beschäftigt hat, betrifft (nach wie vor) die Übermittlung personenbezogener Daten in Drittländer, das heißt in Länder außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR). Zwar sind im Juni 2021 durch die Europäische Kommission neue Standarddatenschutzklauseln verabschiedet worden, jedoch kann hierdurch nicht von einer Vereinfachung der Drittlandübermittlung die Rede sein. Viel mehr ermöglichen diese den verantwortlichen Stellen unter Vornahme eines hohen dokumentarischen Aufwandes eine Argumentation, aus welchen zwingenden Gründen es einer derartigen Übermittlung personenbezogener Daten bedarf. Gegenstand dieser Argumentation hat nach Klausel 14 der neuen Standarddatenschutzklauseln insbesondere eine Auseinandersetzung mit den aktuellen rechtlichen Regularien innerhalb des jeweiligen Ziellandes, eine detaillierte technische Beschreibung der Datenübermittlung einschließlich getroffener technischer und organisatorischer Maßnahmen sowie – unter Interpretation der Ansichten der Aufsichtsbehörden – eine Darlegung fehlender gleichwertiger Alternativen zu einer Datenverarbeitung innerhalb der EU bzw. des EWR, zu sein.

Gleichwohl die neuen Standarddatenschutzklauseln vielfach Anwendung finden und zu Teilen als Erleichterung wahrgenommen werden, muss die Frage erlaubt sein, welcher konkrete Mehrwert durch eine zusätzliche interne Dokumentation erreicht werden soll. Auch wenn eine detaillierte Auseinandersetzung zu einem höheren Bewusstsein derartiger Datenübermittlungen führen kann (!), wird die Argumentation durch die verantwortliche Stelle in der Regel dergestalt aufgebaut werden, dass eine Datenübermittlung als legitim angesehen werden kann. Der derzeit beschrittene Weg führt zu einer Dokumentation bei jeder übermittelnden Stelle, welche im Zweifelsfall einer separaten Kontrolle durch die jeweils zuständige Aufsichtsbehörde bedarf. Könnte durch eine entsprechende Verpflichtung der empfangenden Stelle (z.B. Microsoft, Google, Amazon) mit geringerem Aufwand nicht ein viel höherer Nutzen erreicht werden?

Im März 2022 wurde nun bekannt, dass die EU und die USA bereits an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten. Hiermit sollte nach vorsichtiger Schätzung jedoch nicht vor Ende 2022 gerechnet werden. Auch wenn die Hoffnungen groß sind, dass durch ein solches Abkommen bei Drittlandübermittlungen wieder mehr Rechtssicherheit herrscht, sei bereits verraten, dass Max Schrems bereits angekündigt hat, hiergegen vorzugehen. Dass das Nachfolgeabkommen zu Safe Harbour und dem Privacy Shield in diesem Falle nur einige Monate Bestand haben dürfte, ist ein offenes Geheimnis. Das Ziel des neuen Abkommens sollte eindeutig ein anderes sein.

FAZIT

Auch in den vergangenen zwölf Monaten stand die Datenschutz-Welt nicht still. Die zunehmende Sensibilität betroffener Person sowie die fortschreitende Komplexität der Rechtsnormen sorgt für ein kontinuierliches Arbeitspensum für verantwortliche Stellen und Datenschutzbeauftragte. Handlungsbedarf besteht sowohl für verantwortliche Stellen in der Umsetzung der aktuellen Anforderungen als auch für die Europäische Kommission zur Schaffung einer möglichst rechtssicheren Drittlandübermittlung. Darüber hinaus bleibt nur abzuwarten, welche Chancen und Herausforderungen uns in den nächsten zwölf Monaten erwarten werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DER NUTZER ALS SICHERHEITSRISIKO?

Seit Beginn der Covid-19-Pandemie und der damit einhergehenden Dezentralisierung der betrieblichen IT-Infrastrukturen durch die Verlagerung der Arbeitstätigkeiten ins „Homeoffice“ ergeben sich für Cyberkriminelle zunehmend neue Angriffsmöglichkeiten. An dieser Stelle besonders hervorzuheben ist das sogenannte „Social Engineering“, welches nach wie vor eines der beliebtesten Werkzeuge zur Verwirklichung krimineller Absichten darstellt. Zudem zielt es auf das vermeintlich schwächste Glied in der IT-Sicherheit ab: den Nutzer.

Dem „Faktor Mensch“ sind im Rahmen der IT-Sicherheit zwei wesentliche Aufgaben zuzuschreiben: Einerseits proaktiv mögliche Bedrohungslagen und potenzielle Gefährdungen für die IT-Sicherheit zu erkennen und andererseits reaktiv auf derartige Ereignisse angemessen zu reagieren, um bereits eingetretene Schäden zu minimieren. Besonders entscheidend ist an dieser Stelle das Bewusstsein der Nutzer über sowie die Einhaltung von definierten internen Meldeprozessen im Hinblick auf die gesetzlichen Melde- und Benachrichtigungspflichten, beispielsweise gemäß Art. 33 und Art. 34 Datenschutz-Grundverordnung (DS-GVO).

Unterstützung können hierbei etwaige Sicherheitsrichtlinien, Anweisungen oder verschriftlichte Prozesse schaffen, welche sowohl das Verständnis als auch die Sensibilität hinsichtlich (potenzieller) Bedrohungslagen fördern. Darüber hinaus ist darauf zu achten, dass getroffene Vorkehrungen und Regelungen auf ein gewisses Maß an Akzeptanz seitens der Nutzer stoßen.

SENSIBILISIERUNG IST DER SCHLÜSSEL

Ein wesentliches Element stellt hierbei die Sensibilisierung einzelner Nutzer und Nutzergruppen dar. Dies geht beispielsweise auch aus dem Baustein „ORP.3: Sensibilisierung und Schulung zur Informationssicherheit“ des BSI IT-Grundschutzes hervor. Bereits im Rahmen des Onboardings ist sicherzustellen, dass die Nutzer mit den grundlegenden Anforderungen und Richtlinien vertraut gemacht werden. Ergänzend hierzu sollten zeitnah weitere Sensibilisierungsmaßnahmen durchgeführt werden, um die Thematik gegenwärtig und präsent zu halten. Im weiteren Verlaufe können zu aktuellen oder besonders sensiblen Schwerpunkten weitere Maßnahmen ergriffen werden.

Von entscheidender Bedeutung ist es dabei, ein gutes Maß an Sensibilisierungsmaßnahmen zu finden. Während eine unzureichende Sensibilisierung die Wirksamkeit der übrigen getroffenen technischen und organisatorischen Maßnahmen erheblich abschwächt, kann eine Übersensibilisierung aufgrund der Informationsfülle ebenfalls zu einer Abschwächung des Schutzniveaus führen. Abhilfe kann insbesondere ein Sensibilisierungskonzept schaffen, welches dabei insbesondere aktuelle Bedrohungsszenarien und die spezifischen Anforderungen der jeweiligen Organisation berücksichtigt. Mittels eines solchen Konzeptes lässt sich zudem unter Zuweisung von Verantwortlichkeiten ein zeitlich und inhaltlich koordiniertes Awareness-Management dokumentiert nachweisen.

Zu berücksichtigen ist in jedem Falle, dass es auch mit einer einmaligen Durchführung von Sensibilisierungsmaßnahmen nicht getan ist, sondern diese regelmäßig wiederholt werden sollten. Die stetige Berücksichtigung aktueller Bedrohungsszenarien und Angriffsmodelle vermeidet dabei repetitive Inhalte.

Eine umfassende Darstellung der sich ergebenden Sicherheitsrisiken sowie Umsetzungsmöglichkeiten für Sensibilisierungsmaßnahmen können Sie unserem Beitrag „Die menschliche Firewall – Der Nutzer als Sicherheitsrisiko?“ entnehmen, welcher in der Ausgabe Nr. 06/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.