Datenschutz und IT-Sicherheit: Rechtliche Grundlagen

Werden in Unternehmen Daten verarbeitet, insbesondere mit personenbezogenen Informationen, muss sichergestellt werden, dass die Verarbeitung sicher erfolgt. Wir betrachten die gesetzlichen Grundlagen der Datenschutz- und IT-Sicherheitsunterweisung. 

Inhaltsverzeichnis:

Was versteht man unter Datenschutz?

Bei Datenschutz geht es um die Einhaltung der Persönlichkeitsrechte und den sicheren Umgang mit personenbezogenen Daten. Die oberste Zielsetzung des Datenschutzes ist es, dem Missbrauch von Daten vorzubeugen sowie das Recht auf informationelle Selbstbestimmung zu schützen. Das bedeutet, dass jeder das Recht hat, selbstständig über die Preisgabe und die Art der Verwendung seiner Daten zu entscheiden.

Personenbezogene Daten sind nach Art. 4 Datenschutzgrundverordnung (DSGVO):

„(…) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 DSGVO)

Für die Bedeutung des Datenschutzes im Unternehmen können Mitarbeiter im Rahmen einer Datenschutzunterweisung sensibilisiert werden. Datenschutzschulungen bzw. -unterweisungen sollten daher als fester Bestandteil in den Datenschutzkonzepten von Unternehmen verankert werden.

Die rechtliche Grundlage der Datenschutzunterweisung

Ihren Ursprung findet die Datenschutzunterweisung in den Regelungen der Datenschutzgrundverordnung (DSGVO). Diese wurde im Jahr 2018 eingeführt und ersetzt das Bundesdatenschutzgesetz in Deutschland.

Die DSGVO sieht keine konkrete Regelung zur Durchführung einer Datenschutzschulung / Unterweisung vor, sie verpflichtet den Datenschutzbeauftragten allerdings zur Sensibilisierung und Schulung der Mitarbeiter. Die Pflicht zur Sensibilisierung der Mitarbeiter ergibt sich aus Artikel 32 und Artikel 39 DSGVO.

Artikel 32 DSGVO befasst sich explizit mit der Einrichtung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Detail heißt es in Absatz 1:

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (32 DSGVO)

Artikel 39 DSGVO befasst sich mit den Aufgaben des Datenschutzbeauftragen. Die Pflicht zur Sensibilisierung der Mitarbeiter ergibt sich aus Artikel 39 Absatz 1 lit. b:

„Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;“

Die Rechtsfolgen von Datenschutzverstößen können schwerwiegend sein und Geldbußen und / oder einen Vertrauensverlust nach sich ziehen. Im Rahmen der Einführung der DSGVO wurden auch die Geldbußen für diese Verstöße angepasst. Bei einem Verstoß drohen Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes.

Die Regelungen zu möglichen Bußgeldern bei Verstößen gegen die Datenschutzgrundverordnung sind in Artikel 83 DSGVO aufgelistet.

Bei der Auftragsverarbeitung wird die Haftung für Datenschutzthemen auch auf den Dienstleister ausgeweitet. Das heißt, der Auftraggeber muss den Dienstleister überwachen, der Dienstleister muss gleichzeitig aber auch den Auftraggeber über mögliche Datenschutzverstöße informieren.

Datenschutzschulungen und Unterweisungen in Unternehmen sind regelmäßig zu wiederholen. Vor der Aufnahme einer Tätigkeit sind Mitarbeiter bspw. über den Umgang mit und die Verarbeitung von personenbezogenen Daten zu unterrichten. Ebenso müssen die Mitarbeiter über Neuerungen in Bezug auf den Datenschutz unterwiesen werden.

Unterstützt wird ein Unternehmen bei der Erfüllung der Datenschutzanforderungen in der Regel durch einen Datenschutzbeauftragten. Hierbei kann es sich um einen Mitarbeiter handeln oder es wird ein externer Datenschutzbeauftragter beauftragt. 

LapID hat mehrere digitale E-Learning-Unterweisungen zum Thema Datenschutz im Portfolio. Die Unterweisungsmodule lassen sich einzeln auswählen oder auch beliebig kombinieren:

Was ist IT-Sicherheit?

Mit der zunehmenden Digitalisierung steigt auch der Anteil von Informationen, die digital verarbeitet werden. Hinzu kommen immer neue Informations- und Kommunikationstechniken, in denen die Mitarbeiter im richtigen Umgang unterwiesen werden müssen. Im Fokus der IT-Sicherheit steht die Sicherung der verarbeiteten Daten. Gelangen diese nach außen und in die Hände Dritter, kann dies zu Konsequenzen führen.

Unter IT-Sicherheit versteht man den Schutz der technischen Systeme eines Unternehmens. Dazu können die Mitarbeiter durch ihr Verhalten beitragen. Hierzu ist es notwendig, dass sie mögliche Gefahren kennen und wissen, wie mit ihnen umzugehen ist. Um dies zu gewährleisten ist es wichtig, dass die Mitarbeiter die Ziele der Informationssicherheit des Unternehmens kennen.

Die IT-Sicherheit befasst sich grundsätzlich mit verschiedenen Schutzzielen. Zu diesen zählen in der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit. Mit der Einhaltung dieser Schutzziele soll die Datensicherheit gewährleistet werden.

Sie möchten Ihre Unterweisungen im Unternehmen modern und digital gestalten?  Entdecken Sie die Zukunft digitaler Unterweisungen im Unternehmen mit dem LapID  E-Learning und lassen Sie sich von uns umfassend über Ihre Möglichkeiten  informieren.

Primäre Bedrohungen

Die zunehmende Digitalisierung trägt auch dazu bei, dass das Phänomen Cybercrime weiter zunimmt. Im Zeitraum von 2016 bis 2020 wurden deutschlandweit über 108.000 Cybercrime-Fälle erfasst (vgl. Bericht des Bundeskriminalamts). Bekannte und stetig zunehmende Bedrohungen im Rahmen des Cybercrime sind:

Umso wichtiger ist eine erhöhte Cyber-Security-Awareness bzw. ein Bewusstsein für sicherheitsgerechtes Verhalten im Umgang mit IT-Systemen.

Die rechtliche Grundlage der IT-Sicherheitsunterweisung

Die IT-Sicherheitsunterweisung ist nicht gesetzlich geregelt, vielmehr richtet sie sich nach den IT-Richtlinien der Unternehmen. Firmen sind dazu angehalten, geeignete Maßnahmen zum Risikomanagement zu ergreifen und Maßnahmen umzusetzen, die die IT-Sicherheit gewährleisten. Hierunter kann die IT-Sicherheitsunterweisung fallen. Wird eine IT-Sicherheitsunterweisung durchgeführt, sollte diese jährlich wiederholt werden. Die Inhalte orientieren sich an den Richtlinien und Systemen des Unternehmens.

In Unternehmen ist ein eingesetzter Informationssicherheitsbeauftragter oder eine beauftragte Person für die ordnungsgemäße Durchführung der Unterweisung zuständig. Bei Änderungen in den IT-Sicherheitsrichtlinien des Unternehmens sind die Mitarbeiter hierüber schriftlich auch unterjährig zu informieren. Im Bedarfsfall kann eine weitere Unterweisung notwendig sein, wie z.B. die Informationssicherheitsunterweisung.

Die IT-Sicherheitsunterweisung unterliegt dabei keiner gesetzlich vorgeschriebenen Ordnung. Unternehmen sind frei in der Gestaltung und können z. B. auf Präsenzveranstaltungen oder E-Learning-Lösungen zurückgreifen.

Für eine Datenpanne haftet grundsätzlich die Unternehmensführung. Ausnahmen gibt es, wenn Mitarbeiter grob fahrlässig oder vorsätzlich handeln. In diesen Fällen kann die Haftung an die Mitarbeiter übergehen.

Bei IT-Sicherheitsverstößen kommt es in erster Linie darauf an, wie schnell man bei einem Verstoß reagiert. Die Reaktionszeiten sind dabei eng mit anderen gesetzlichen Regelungen, wie z. B. der DSGVO, verknüpft. Diese schreibt vor, innerhalb welcher Zeiten im Falle eines Datenschutzvorfalls zu reagieren ist.

Die folgenden Unterweisungen im Bereich Informationssicherheit stehen bei LapID zur Auswahl:

Mehr zum Thema Datenschutz in Unternehmen und wie Unterweisungen dort umgesetzt und dokumentiert werden können, lesen Sie in diesen Beiträgen:

Unterweisungen im Unternehmen  Im Rahmen von Unfallverhütungs- und Arbeitssicherheitsmaßnahmen ist der  Arbeitgeber gesetzlich dazu verpflichtet, Mitarbeiter regelmäßig zu Sicherheit  und Gesundheitsschutz am Arbeitsplatz zu unterweisen. Dies umfasst  beispielsweise Unterweisungen wie Erste Hilfe, Brandschutz oder  Bildschirmarbeit. Unterweisungen müssen regelmäßig wiederholt und dokumentiert  werden.   Mit LapID können Sie Arbeitssicherheitsunterweisungen einfach via E-Learning  durchführen und so Ihre Mitarbeiter orts- und zeitunabhängig unterweisen.Mehr  Informationen zu Unterweisungen erhalten.


Sonja Riepe

Unterweisungen per E-Learning  Mit dem webbasierten LapID E-Learning-Tool unterweisen Sie Ihre Mitarbeiter  automatisch und ortsunabhängig. Mehr erfahren






    Schreiben Sie den ersten Kommentar: