Datenschutz
Allgemeines
Unsere allgemeinen Datenschutzhinweise finden Sie auf infranaut.com.
Durchführung des CyberRisikoCheck
Der CyberRisikoCheck (CRC) ist für Klein- und Kleinstunternehmen konzipiert. Sofern das befragte Unternehmen sich stark auf eine einzelne Person (z.B. den Gründer) bezieht, haben die beim CRC erhobenen Daten einen Personenbezug, obwohl sich ggf. alles auf eine juristische Persön sozusagen als formelle Hülle bezieht. Man spricht dann davon, dass eine Person durch die Hülle einer z.B. GmbH hindurchscheint. Damit ist die DSGVO einschlägig, obwohl eben nur Unternehmensdaten verarbeitet werden.
Beim CRC werden Informationen ermittelt, die aus Sicht der IT-Sicherheit eine recht hohe Sensibilität haben. Es muss also klar sein, was mit diesen Daten passiert und ob sie vor Missbrauch geschützt sind – unabhängig von der Einschlägigkeit der DSGVO.
Werden wir mit der Durchführung des CRC beauftragt, erheben wir nach den Vorgaben des zugrundeliegenden Standards Informationen zum Unternehmen. Nach den Regeln des CRC muss die Geschäftsführung bei der Erhebung in jedem Fall anwesend sein. Sofern die Unternehmensdaten einen engen Bezug zum Unternehmer (gewöhnlich Geschäftsführer) haben, erheben wir die Daten direkt beim Betroffenen.
Wir verarbeiten die Daten, um sie an das BSI (Bundesamt für Sicherheit in der Informationstechnik) weiterzugeben. Das BSI hat für die Umsetzung einen Dienstleister beauftragt, der die Erhebung mit einem Online-Service unterstützt. Die gesammelten Daten werden hier anschaulich aufbereitet und in Form eines Berichts zurückgegeben. Der Bericht wird nach den zwingenden Vorgaben des CRC Standards erstellt. Ein weiterer, vom BSI beauftragter Verarbeitungsschritt ist die Anonymisierung der Daten, um sie dann an das BSI zu übermitteln. Beim Dienstleister werden die Daten nach maximal 40 Tagen wieder gelöscht. Das BSI arbeitet fortan lediglich mit anonymisierten Informationen. Den Bericht übergeben wir dem beauftragten Unternehmen.
Die Erhebung der Daten und die Weitergabe an das BSI (hier den vom BSI beauftragten Dienstleister zur Erstellung des Berichts und zur Anonymisierung) sowie die Vorstellung des Berichts ist erforderlich, um die Vereinbarung zur Durchführung des CRC erfüllen zu können (Vertrag; Art. 6 (1) b. DSGVO). Sofern die Unternehmensdaten zwar ausnahmsweise einen Bezug zu einer Person haben, diese aber im Hintergrund steht und das Unternehmen nicht operativ leitet, fehlt es am Bezug zum Betroffenen. In diesem Fall würde datenschutzrechtlich die Verarbeitung der Daten mit Personenbezug aus dem berechtigten Interesse (Art. 6 (1) f DSGVO) erfolgen, den Vertrag zur Durchfürhung des CRC erfüllen zu können. Die hinter den Daten stehende Person hätte sodann ein Widerspruchsrecht.
Vom Bericht über den CRC behalten wir uns eine Kopie zurück, damit wir bei einer sich fortsetzenden Zusammenarbeit auf Basis der Ergebnisse des CRC die hierfür erforderlichen Informationen zur Hand haben (berechtigtes Interesse an einer effizienten Zusammenarbeit; Art. 6 (1) f DSGVO). Kommt es nicht zu einer weiteren Zusammenarbeit, behalten wir eine Kopie des Berichts ananog anderer, nicht steuerlich relevanter Unterlagen während der gesetzlichen Verjährungsfrist als Nachweis unserer Arbeit in unseren Unterlagen (berechtigtes Interesse, bei Bedarf [etwa bei einem Rechtsstreit] nachweisfähig zu sein; Art. 6 (1) f DGSVO). Sofern diese Nachweise nach Ablauf dieser Frist nicht mehr erforderlich sind, löschen wir die Informationen.
