Rechtsgrundlagen IT & Wirtschaft

| Dr. Wolfgang Graf |

| Fall 17 - Webshop

•Liliana Rud
Marc Kilian
Valentin Szankovich
19.01.2024
Einleitung und
Szenariobeschreibung
Unternehmensvorstellung:

Name: Unternehmen X

Standort: Paris, Frankreich

Branche: Online-Modehandel

Unternehmensgröße: Mittelständisches Unternehmen

Projektauftrag:

Aufgabe: Grundlegende Überarbeitung des bestehenden Webshops

Ziel: Optimierung der Nutzererfahrung und Effizienzsteigerung

Internationale Einbindung:

Support: Kooperation mit Unternehmen Y in Indien für den Kundensupport

Hosting: Anbindung an Server von W-LLC in San Francisco, USA, als kostengünstige Hosting-Lösung

Datenschutzrelevante Herausforderungen:

Internationale Datenübermittlung: Berücksichtigung der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) bei der Übermittlung
personenbezogener Daten über Landesgrenzen hinweg

Sicherstellung eines angemessenen Datenschutzniveaus in Ländern außerhalb der EU/EWR

Grundlagen des
Datenschutzes
Einführung in Datenschutzgesetze:

DSGVO (Datenschutz-Grundverordnung): EU-weite Verordnung, die den Umgang mit personenbezogenen Daten regelt.

Österreichisches Datenschutzgesetz (DSG): Nationale Umsetzung der DSGVO mit spezifischen Regelungen für Österreich.

Wichtige Begriffe im Datenschutz:

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, E-Mail-Adresse).

Verarbeitung: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, egal ob automatisiert oder nicht (z.B. Sammeln, Speichern, Übermitteln).

Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z.B. Cloud-Service-Anbieter).

Verantwortlicher: Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (z.B. das Unternehmen,
das den Webshop betreibt).

Internationale Datenübermittlung:

Herausforderungen: Sicherstellung eines angemessenen Datenschutzniveaus bei der Übermittlung von Daten außerhalb der EU/EWR.

Notwendige Maßnahmen: Einsatz von Standardvertragsklauseln, Beachtung des Angemessenheitsbeschlusses der EU-Kommission, Einhaltung spezifischer Vorgaben für
Länder ohne Angemessenheitsbeschluss.
Datenschutzrechtliche Rollen
und Verantwortlichkeiten

Rollenverteilung in der Datenschutzlandschaft:

Ihr Unternehmen (Datenschutzverantwortlicher):

Verantwortlich für die Definition und Überwachung der Verarbeitung personenbezogener Daten.

Muss sicherstellen, dass alle Datenschutzprinzipien, wie die Rechtmäßigkeit der Verarbeitung, Transparenz und Datensparsamkeit, eingehalten werden.

Hauptverantwortlich für die Einhaltung der DSGVO und des österreichischen DSG.

Unternehmen Y in Indien (Auftragsverarbeiter):

Verarbeitet personenbezogene Daten im Auftrag Ihres Unternehmens (Kundensupport).

Muss die Sicherheit und Vertraulichkeit der Daten gemäß den Anweisungen Ihres Unternehmens gewährleisten.

Unterliegt auch den Datenschutzgesetzen in Indien, die in Einklang mit der DSGVO gebracht werden müssen.

W-LLC in den USA (Auftragsverarbeiter):

Verantwortlich für das Hosting des Webshops und damit für die sichere Speicherung von Daten.

Muss die Datenintegrität und -verfügbarkeit sicherstellen und hat die Pflicht, Datenschutzverletzungen zu melden.

Muss den Datenschutzanforderungen der DSGVO entsprechen, insbesondere bei der Übermittlung von Daten aus der EU.

Verantwortlichkeiten und Compliance:

Vertragliche Vereinbarungen: Notwendigkeit, Datenschutzklauseln in Verträge mit Auftragsverarbeitern einzufügen, um Compliance zu gewährleisten.

Risikomanagement: Durchführung regelmäßiger Datenschutz-Folgenabschätzungen, um Risiken zu identifizieren und zu minimieren.

Schulungen und Bewusstsein: Regelmäßige Schulung der Mitarbeiter in Datenschutzfragen, um ein hohes Maß an Datenschutzbewusstsein im Unternehmen zu fördern.
 Details des Vorfalls:

Art des Angriffs: Ein Hackerangriff durch eine Phishing-Mail, wodurch

unautorisierten Zugriff auf das interne Netzwerk des Unternehmens erlangt wurde.

Entdeckung des Vorfalls: Der Vorfall wurde entdeckt, als der Angreifer die
Geschäftsleitung kontaktierte und ein Lösegeld forderte.

Umfang der Datenverletzung:

Mitarbeiterdaten: Persönliche Informationen wie Namen, Adressen und

Personalakten.

Kundendaten: Sensible Informationen einschließlich Namen, Adressen, Bestelldetails

Datenschutzverletzung - und Zahlungsdaten.

Potenzielle Risiken und Auswirkungen:

Was ist passiert? Für Individuen: Risiko des Identitätsdiebstahls, finanzieller Betrug und Verletzung der
Privatsphäre.

Für das Unternehmen: Reputationsverlust, mögliche rechtliche Konsequenzen und

finanzielle Strafen aufgrund der Nichteinhaltung der Datenschutzgesetze.

Reaktion des Unternehmens:

Sofortige Einleitung von Untersuchungen zur Bestimmung des vollen Umfangs des
Datenlecks.

Zusammenarbeit mit IT-Sicherheitsexperten, um die Sicherheitslücke zu schließen und

weitere Eindringversuche zu verhindern.
 Sofortmaßnahme

Sofortige Meldung der Verletzung:

Gesetzliche Verpflichtung: Nach Artikel 33 der DSGVO ist das Unternehmen verpflichtet,
eine Datenschutzverletzung innerhalb von 72 Stunden nach Kenntniserlangung der
zuständigen Datenschutzbehörde zu melden.

Inhalt der Meldung: Die Meldung muss Details über die Natur der Verletzung, die
Kategorien und die ungefähre Anzahl der betroffenen Daten und Personen sowie die
wahrscheinlichen Folgen der Verletzung enthalten.

Reaktion auf Kommunikation mit Transparenz:

Wichtigkeit offener Kommunikation: Offenlegung der Umstände der

Datenschutzverletzungen
Datenschutzverletzung gegenüber allen relevanten Parteien, einschließlich der
Geschäftsführung, Mitarbeitern und betroffenen Kunden.

Betonung der Transparenz: Transparente Kommunikation trägt dazu bei, das Vertrauen der

(1/2) Kunden und der Öffentlichkeit zu bewahren und zeigt die Verpflichtung des Unternehmens
zur Einhaltung ethischer Standards und gesetzlicher Vorschriften.

Erste Reaktionsschritte:

Einsatz eines Krisenreaktionsteams: Zusammenstellung eines spezialisierten Teams zur

Bewertung des Vorfalls und zur Koordination der Reaktionsmaßnahmen.

Informationskontrolle: Sicherstellung, dass korrekte und klare Informationen an die

Öffentlichkeit und betroffene Parteien kommuniziert werden, um Verwirrung und
Fehlinformationen zu vermeiden.
 Benachrichtigung der betroffenen Personen:

Gesetzliche Anforderung: Gemäß Artikel 34 der DSGVO müssen betroffene Personen unverzüglich
benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre
Rechte und Freiheiten darstellt.

Inhalt der Benachrichtigung: Klarstellung der Art der Verletzung, mögliche Auswirkungen und die
vom Unternehmen ergriffenen Maßnahmen zur Minderung der Risiken.

Kommunikationskanäle: Nutzung verschiedener Kommunikationswege, wie E-Mail, Telefon oder

Post, um sicherzustellen, dass die Betroffenen die Nachricht erhalten.

Reaktion auf Dokumentation der Datenschutzverletzung:

Umsetzung der Dokumentationspflicht: Detaillierte Erfassung des Vorfalls, der betroffenen Daten,
der eingeleiteten Untersuchungen und der ergriffenen Gegenmaßnahmen.

Datenschutzverletzungen Zweck der Dokumentation: Ermöglicht die Überprüfung durch die Aufsichtsbehörden und dient als
Nachweis der Compliance sowie als Grundlage für zukünftige Präventionsstrategien.

(2/2) Überprüfung und Anpassung der Sicherheitsmaßnahmen:

Evaluierung der Sicherheitsvorkehrungen: Analyse, wie der Vorfall stattfinden konnte, und
Identifikation von Schwachstellen in den bestehenden Sicherheitssystemen.

Implementierung verbesserter Sicherheitsmaßnahmen: Verstärkung der IT-Sicherheit,

Aktualisierung von Richtlinien und Prozessen, Einführung zusätzlicher Sicherheitskontrollen und
regelmäßige Überprüfungen.

Fortlaufende Risikobewertung: Etablierung eines Prozesses für kontinuierliche Überwachung und

Bewertung von Datenschutzrisiken, um zukünftige Vorfälle zu verhindern.
 Weiterentwicklung der Datenschutzstrategie:

Regelmäßige Überprüfung und Anpassung: Aktualisierung der Datenschutzstrategien und -praktiken, um mit den sich ändernden
technologischen und rechtlichen Rahmenbedingungen Schritt zu halten.

Integration von Datenschutz in Geschäftsprozesse: Sicherstellung, dass Datenschutzmaßnahmen in alle relevanten

Geschäftsprozesse integriert sind, um proaktiven Schutz personenbezogener Daten zu gewährleisten.

Datenschutz-Folgenabschätzung: Durchführung von Datenschutz-Folgenabschätzungen für neue Projekte oder bei wesentlichen

Präventive
Änderungen der Datenverarbeitung, um Risiken frühzeitig zu erkennen und zu mindern.

Schulung der Mitarbeiter:

Regelmäßige Schulungsprogramme: Organisation von fortlaufenden Schulungen und Workshops für Mitarbeiter, um das
Bewusstsein und das Verständnis für Datenschutz und Datensicherheit zu fördern.

Maßnahmen und Praktische Leitlinien: Bereitstellung von klaren Richtlinien und Handlungsanweisungen für den Umgang mit personenbezogenen
Daten und Reaktionsplänen im Falle einer Datenschutzverletzung.

Kultur der Datensicherheit: Förderung einer Unternehmenskultur, die Datensicherheit und Datenschutz als wesentlichen Bestandteil
des täglichen Geschäfts ansieht.

Compliance Bedeutung für das Unternehmensimage:

Vertrauen der Kunden: Ein starkes Engagement für Datenschutz stärkt das Vertrauen der Kunden und verbessert das Markenimage.

Wettbewerbsvorteil: Compliance mit Datenschutzgesetzen kann als Wettbewerbsvorteil genutzt werden, besonders in einer Zeit, in
der Kunden zunehmend Wert auf Datenschutz legen.

Risikominimierung: Vermeidung von rechtlichen Konsequenzen, finanziellen Strafen und Reputationsverlust durch proaktive
Einhaltung der Datenschutzgesetze.
 Zusammenfassung der wichtigsten Punkte:

Internationale Datenschutzherausforderungen: Die Notwendigkeit, unterschiedliche

Datenschutzgesetze und -vorschriften in verschiedenen Ländern zu beachten und zu
harmonisieren.

Rollen und Verantwortlichkeiten: Klarheit über die Rollen und Verantwortlichkeiten im

Datenschutz, insbesondere in Bezug auf Auftragsverarbeiter und Verantwortliche.

Wichtigkeit schneller Reaktion bei Datenschutzverletzungen: Zeitnahe und effektive

Maßnahmen bei Datenschutzverletzungen, um Schäden zu minimieren und Compliance zu
gewährleisten.

Schlussfolgerungen
Handlungsempfehlungen für das Unternehmen:

Stärkung der Sicherheitsinfrastruktur: Investition in robuste Sicherheitstechnologien und -

praktiken, um zukünftige Datenschutzverletzungen zu verhindern.

und Empfehlungen
Datenschutz als integralen Bestandteil der Unternehmensstrategie etablieren: Sicherstellung,
dass Datenschutzmaßnahmen in alle Geschäftsentscheidungen und -prozesse eingebettet sind.

Aufbau eines Krisenreaktionsteams: Etablierung eines spezialisierten Teams, das im Falle eines
Datenschutzvorfalls schnell und effektiv reagieren kann.

Bedeutung der Datenschutzkonformität für das Geschäft:

Vertrauensbildung bei Kunden und Geschäftspartnern: Ein starker Fokus auf Datenschutz
schafft Vertrauen und Loyalität bei Kunden und Partnern.

Vermeidung von Sanktionen und Strafen: Die Einhaltung von Datenschutzgesetzen hilft,
rechtliche Sanktionen und finanzielle Strafen zu vermeiden.

Langfristige Geschäftssicherung: Datenschutzkonformität ist essentiell für die langfristige

Sicherung und den Erfolg des Unternehmens in der digitalen Wirtschaft.
Danke für die
Aufmerksamkeit!
Fragen? Vorschläge?