Von Anfang an war es der Anspruch von cut-e, auch in diesen Bereichen ganz vorne mit dabei zu sein. Bei der Datensicherheit gelingt dies mit der Hilfe von der Firma intersoft consulting services GmbH. Mattias Lindner, Rechtsanwalt, Wirtschaftsinformatiker und Consultant für Datenschutz und IT Compliance bei intersoft, steht uns Rede und Antwort.

Frage: Herr Lindner, was ist Datenschutz, und worin liegt der Unterschied zur Datensicherheit?

Matthias Lindner: Beim Datenschutz geht es um das Recht von Menschen (z.B. Kunden), selbst zu bestimmen, ob und wie ihnen zuzuordnende Informationen erhoben, verarbeitet oder genutzt werden (‚informationelles Selbstbestimmungsrecht‘). Solche personenbezogenen Daten können z.B. Adressen, Protokolle über Internetaufrufe, Aufzeichnungen im Rahmen von Videoüberwachungen oder eben auch Antworten auf Testfragen sein. Datenschutz betrifft alleine personenbezogene Informationen. Datensicherheit betrachtet umfassender sämtliche schützenswerten Daten wie z.B. geheime technische Informationen und deren Schutz vor unberechtigtem Zugriff, unbefugter Manipulation und ungewolltem Verlust.

Frage: Was ist die Rolle eines externen Datenschutzbeauftragten?

Matthias Lindner: Der betriebliche Datenschutzbeauftragte ist eine fachlich unabhängige Stelle in einem privaten Unternehmen, welche auf die Einhaltung der Datenschutzvorschriften hinwirkt. Diese Rolle kann auch eine Person außerhalb des Unternehmens (externer betrieblicher Datenschutzbeauftragter) übernehmen. Der betriebliche Datenschutzbeauftragte macht z.B. die Mitarbeiter des Unternehmens im Rahmen von Schulungen mit den einzuhaltenden Datenschutzvorschriften vertraut.

Frage: Sollte nicht jeder Anbieter von Tests so jemanden wie Sie haben?

Matthias Lindner: Unbedingt. Ohnehin besteht für Unternehmen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, welche ständig mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber auch bei Unterschreiten dieser Grenze sollten Anbieter von Tests einen kompetenten betrieblichen Datenschutzbeauftragten bestellen, um die Einhaltung des Datenschutzes gerade hinsichtlich sensibler Testdaten zu gewährleisten und so dem von Kunden entgegengebrachte Vertrauen zu entsprechen.

Frage: Gibt es einen Unterschied, ob online oder offline getestet wird?

Matthias Lindner: Grundsätzlich ist in beiden Fällen auf die Einhaltung des Datenschutzes zu achten. Bei Online Tests ist zusätzlich dafür zu sorgen, dass bei der Datenübertragung kein unberechtigter Dritter Zugriff auf die Daten erlangen kann. Dies wird u.a. durch eine verschlüsselte Verbindung (z.B. https, SSL etc.) erreicht.

Frage: Welche Richtlinien sind wichtig?

Matthias Lindner: Was einzuhalten ist, geben zunächst allgemein die Datenschutzvorschriften vor. Wie dies im Unternehmen konkret umgesetzt wird, sollte durch interne Richtlinien geregelt werden. Diese beinhalten technische und organisatorische Maßnahmen zur innerbetrieblichen Gewährleistung des Datenschutzes (z.B. Regelung, wer auf welche Daten zugreifen darf, sowie technische Umsetzung von Zugriffsbeschränkungen). Zu achten ist insbesondere auf entsprechende vertragliche Verpflichtungen und Kontrollen von eingeschalteten Subunternehmern, denn es soll eben nicht gelten ‚aus den Augen, aus dem Sinn‘.

Herr Lindner, vielen Dank für das Gespäch.