Literaturhinweise

Uwe Schläger, Jan-Christoph Thode (Hrg.)

Handbuch Datenschutz und IT-Sicherheit

Uwe Schläger, Jan-Christoph Thode (Hrg.), Handbuch Datenschutz und IT-Sicherheit, Erich Schmidt Verlag, Berlin 2018, 94,00 €.

Wie wahr: "Die mit der Datenschutz-Grundverordnung verbundenen Neuerungen sollten für Unternehmen, die sich bislang konform zum Bundesdatenschutzgesetz aufgestellt haben, kein besonderes Problem darstellen." Das ist ein Zitat aus dem Vorwort des vorgestellten Handbuches, das sich an betriebliche Datenschutzbeauftragte, IT-Administratoren, Unternehmensleitungen, Betriebs- oder Personalräte aber auch an datenschutzinteressierte Beschäftigte und Kunden wendet. Es ist verfasst von Beratern der datenschutz nord Gruppe, die aus Beratern besteht, die mit der Materie vertraut sind.

Das ist ja das - auch politisch gesehen - Merkwürdige an der diesen Tagen kulminierenden Diskussion: Das gab es noch nie, das bringt uns um, vor allem die kleinen Unternehmen, so die geäußerten Sorgen und der zornige Blick nach Brüssel, von wo das alles mal wieder komme. Das stimmt ja nicht, wie zutreffend hervorgehoben. Die Bestimmungen waren in etwa auf dem gleichen Niveau, eher haben wir unser hohes Schutzniveau nach Europa exportiert. Zutreffend ist also juristisch gesprochen: "Unternehmen mit gravierenden Datenschutzdefiziten, die in der Vergangenheit eher darauf vertraut haben, nicht negativ aufzufallen, drohen allerdings nunmehr drastische Bußgelder", wie es ebenfalls im Vorwort heißt. Man könnte an der Stelle eine politische Bewertung anschließen, was aber nichts hilft, denn die Anforderungen sind wie sie sind.

Und die werden in dem Handbuch gut erklärt. In einem ersten Teil zur datenschutzrechtlichen Grundlage werden die Entstehungsgeschichte in Deutschland und der EU, der Anwendungsbereich der DS-GVO und knapp das Datenschutzrecht außerhalb Europas erläutert.

Der zweite Teil befasst sich mit dem Datenschutzmanagement in Unternehmen. Hier geht es um den betrieblichen Datenschutzbeauftragten, das Verzeichnis von Verarbeitungstätigkeiten und die Datenschutz-Folgeabschätzung. Man wird informiert über die Verpflichtung auf das Datengeheimnis, über Meldepflichten bei Datenpannen und - begrifflich schön - das Outsourcing, in der DS-GVO als Auftragsverarbeitung bezeichnet. Die Kontrolle des Datenschutzes (nicht nur durch den Datenschutzbeauftragten), die Datenlöschung und die Weitergabe im Konzern schließen diesen Teil ab. Nur als kleine Kostprobe: Bei der Löschung von Daten heißt eine Überschrift "Das Praxisproblem - warum soll ich Daten löschen?", eine alltägliche Frage von IT-Leitern angesichts billiger Speicherkapazitäten und der Denke, dass man doch einmal für teuer Geld eingeklopfte Datensätze nicht einfach so löscht. Das Recht war und ist anders.

Im nächsten Abschnitt geht es um die Verarbeitung von Beschäftigungsdaten. Das "Bewerbermanagement" ist für die betriebliche Praxis von großer Bedeutung, ebenso die Personalakten. Die Nutzung von Internet, E-Mail und Telefon im Unternehmen gerade für die private Nutzung ist ausführlich dargestellt.

Im Kapitel über die Verarbeitung von Kundendaten geht es um Marketing und Werbung (des Unternehmens nach außen) und um Kundenbindungssysteme sowie eine Reihe anderer Fragen, die für Medienunternehmen nicht im Vordergrund stehen.

Ein großes Kapitel widmet sich der Datenverarbeitung im Internet und Intranet. Es geht um Webseiten einschließlich Cookies und Tracking Tools, Social-Media-Plugins, Gästebücher, Foren, Bewertungsmöglichkeiten oder Mitarbeiterfotos. Also alles, was die Praxis so an Problemen hat. Bei der Gelegenheit: Das Medienprivileg und die journalistische Arbeit im Rahmen des Art. 85 DS-GVO sind nicht angesprochen, denn das ist sehr branchenspezifisch.

Die rechtlichen Grundlagen der Informationssicherheit wird in der Gliederung als Schnittstelle zwischen DS-GVO und anderen Normen angesiedelt. Technische und organisatorische Maßnahmen im Rahmen der DS-GVO und Sicherheitsanforderungen etwa für kritische Infrastrukturen sind miteinander verknüpft. Es schließt sich das Kapitel über das IT-Sicherheitsmanagement in Unternehmen an und ein sehr ausführliches Kapitel über die technischen und organisatorischen Maßnahmen: Wie archiviert man richtig? Was ist mit der Verschlüsselung? Und sind Test- und Produktivsysteme getrennt? Auch das Cloud Computing ist an dieser Stelle erwähnt. Am Ende wird in einem Teil zu Penetrationstests dargelegt, wie die geschaffene Sicherheitsarchitektur geprüft und verbessert werden kann.

Das alles zeigt, dass trotz des aktuellen Schimpfens auf die DS-GVO etwa die Datensicherheit aus Sicht eines Unternehmens wichtig ist. Es geht also alles in allem nicht um lästige Pflichtübungen. Die aktuelle Frustration der Praktiker dürfte im Moment dadurch entstehen, dass - vielfach aus Unkenntnis - jeder jedem irgendwelche Formulare schickt, die er nicht wirklich durchliest und als Auftragsverarbeitung oder sonst wie überschrieben zur Akte nimmt. Bei großen Hostern für Webseiten geht das automatisch auf Knopfdruck in der Vertragsverarbeitung und man erhält ein schmuckes PDF-Dokument zum Ausdruck für die Datenschutz-Akte - Praktische Auswirkung: null.

Interessant auch die Zwischenüberschriften "Unklare Rechtslage" beim Einsatz von Cookies und Tracking Tools. Hier wird die aktuelle Diskussion um die Anwendbarkeit im Dreieck von DS-GVO, Cookie-Richtlinie und/oder den Datenschutzbestimmungen im Telemediengesetz sowie der zukünftigen (aber im Moment eben fehlenden) ePrivacy-Verordnung diskutiert. Das hätte zum 25. Mai 2018 ein synchronisiertes Gesamtkunstwerk ergeben sollen. Hätte, hätte … Das Handbuch beschreibt die Diskussionslage sehr deutlich und kommt eben zum Ergebnis, dass die Rechtslage unklar sei. Für Praktiker alles andere als erträglich.

Das ist nun keine Kritik an dem Handbuch, denn auch versierte Autoren können die Rechts- und Sachlage nur beschreiben und Tips geben, wie man Risiken minimiert. Die Branchen sind ja auch unterschiedlich betroffen, wer keine personalisierte Werbung und keine Cookies über jene, die für das Funktionieren der Website hinaus notwendig sind, setzen muss, kann achselzuckend daneben stehen. Der Bereich der elektronischen Medien ist hier aber in einem Kern der Tätigkeit betroffen.

Fazit: Ein wirklich sehr gutes Handbuch, das zum Zeitpunkt des Wirksamwerdens der DS-GVO auf der Höhe des Balls ist.