Fachartikel & News

Daten­schutz für Unter­nehmer – quo vadis?

2011 und auch schon zu Beginn des Jahres 2012 wurden in der Öffent­lichkeit diverse Daten­schutz­themen zum Teil kritisch und kontrovers disku­tiert.


Unter anderem wird die Nutzung von Facebook vom „Düssel­dorfer Kreis“, der infor­mellen Verei­nigung der obersten Aufsichts­be­hörden, als daten­schutz­rechtlich proble­ma­tisch angesehen. So soll z. B. die Nutzung von Facebook-Fanpages gegen das Bundes­da­ten­schutz­gesetz verstoßen und auch der Einsatz von Social-Network-Plugins „gefällt mir“ wird als nicht daten­schutz­konform angesehen. Grund­sätzlich muss jedes Unter­nehmen überlegen, wie zukünftig mit dem Thema „Social Media“ umgegangen werden soll.

Ein sorgloser Umgang bringt zum Teil unkal­ku­lierbare Risiken und erleichtert z. B. Daten­raubzüge der Indus­trie­spione und den unberech­tigten Zugang zu Daten durch Daten­diebe.

Schlag­wörter wie „Bring your own device“ begleiten uns in der aktuellen Diskussion zur Nutzung von privaten Systemen bei der Erfüllung betrieb­licher Aufgaben. „Bring your own device“ bedeutet, dass Mitar­beiter ihre privaten IT-Systeme zur Abarbeitung von dienst­lichen Aufgaben nutzen und in das Unter­neh­mens­netzwerk einbinden. Hier ist sorgsam zu prüfen, wie dieser Trend in Einklang mit Daten­schutz und IT-Sicherheit gebracht werden kann.

Das Jahr 2012 wird weitere grund­le­gende Entschei­dungen für den Daten­schutz bringen. Die zur Verab­schiedung anste­hende EU-Daten­schutz­ver­ordnung wird zum Teil nationale Daten­schutz­ge­setze ablösen bzw. ergänzen. Die EU-Daten­schutz­ver­ordnung wird bei Umsetzung gravie­rende verschär­fende Auswir­kungen auf das Thema Daten­schutz in Deutschland haben. So ist zum Beispiel eine Benach­rich­ti­gungs­pflicht des Unter­nehmens im Fall eines vermu­teten unberech­tigten Zugriffs auf Daten binnen 24 Stunden an die zuständige Daten­schutz­auf­sichts­be­hörde geplant. Die Bußgelder sollen drastisch erhöht werden. Im Entwurf werden Zahlen zwischen 100.000 und 1.000.000 Euro oder bis zu 2 Prozent des Jahres­um­satzes einer Firma genannt. Es ist davon auszu­gehen, dass die EU-Daten­schutz­ver­ordnung sehr reale Auswir­kungen auf die Geschäfts­pro­zesse der Unter­nehmen haben wird.

Seit Längerem liegt in Deutschland ein Entwurf für ein Beschäf­tig­ten­da­ten­schutz­gesetz vor. Am 10. Februar 2012 wurde über www.zeitonline.de folgende Nachricht kommu­ni­ziert: „Die Regie­rungs­ko­alition hat sich auf ein neues Gesetz geeinigt, das Arbeit­nehmer besser vor heimlicher Beobachtung durch den Arbeit­geber schützen soll. Die FDP-Innen­ex­pertin Gisela Piltz bestä­tigte einen entspre­chenden Bericht der Financial Times Deutschland. Danach soll eine versteckte Video­über­wa­chung grund­sätzlich verboten sein. Auf Druck der Wirtschaft können jedoch Rechte von Mitar­beitern einge­schränkt werden, wenn es entspre­chende Betriebs­ver­ein­ba­rungen oder persön­liche Einwil­li­gungen der Arbeit­nehmer gibt. Über die Initiative war zuvor monatelang debat­tiert worden.“

Daten- und IT-Sicherheit 2012/2013. Für die Zukunft prognos­ti­zieren Experten weitere Bedro­hungen der IT-Sicherheit von Regie­rungen und Unter­nehmen. So wird nicht nur die Anzahl der gezielten Angriffe auf staat­liche Insti­tu­tionen und Unter­nehmen weiter steigen, es ist auch damit zu rechnen, dass die Bandbreite der Opfer merklich ausge­weitet wird. Die Sicher­heits­ex­perten von Kaspersky Lab gehen davon aus, dass vor allem Unter­nehmen aus der Rohstoff­ge­winnung, Energie-, Verkehrs-, Lebens­mittel- und Pharma­in­dustrie sowie Internet-Services und IT-Unter­nehmen die Angriffs­ziele der Zukunft sein werden.

Die Weiter­ent­wick­lungen innerhalb der IT-Sicher­heits­branche zur Abwehr gezielter Angriffe sowie das gewachsene Bewusstsein der Öffent­lichkeit zwingt Cyber­kri­mi­nelle, neue Instru­mente zu entwi­ckeln. Die herkömm­liche Methode der Angriffe via E-Mail wird zunehmend weniger effektiv werden. Attacken beim Einsatz von Browsern werden hingegen an Popula­rität gewinnen.

Der Siegeszug der Tablet Computer wird sich fortsetzen. Die Anzahl der Bedro­hungen für mobile Endgeräte wird weiterhin steigen, wobei Google Android das primäre Angriffsziel bleiben wird. Das bedeutet, dass auch bei mobilen Geräten im Hinblick auf Daten­schutz und IT-Sicherheit hohe Sicher­heits­an­for­de­rungen notwendig sind.

Smart­phone-Anbieter müssen auf einem umkämpften Markt bestehen, der perma­nenten Änderungen unter­worfen ist. Auf der Sicherheit der Smart­phones oder der Appli­ka­tionen liegt daher nicht immer die höchste Priorität. Auf der anderen Seite ermög­lichen die ständig wachsenden Funktio­na­li­täten der Smart­phones den Benutzern, permanent überall erreichbar zu sein und dabei nicht nur große Daten­mengen verar­beiten zu können, sondern auch mobil auf Unter­nehmens- oder Behör­den­netze zugreifen zu können. Smart­phones sind daher höchst attraktive Angriffs­ziele. Es gibt eine stetig zuneh­mende Anzahl von Schad­software, die auf Smart­phones spezia­li­siert ist. Häufig stehen dahinter ähnliche Ziele wie bei Schad­software für den PC. Diese Gefahren sind bei den Überle­gungen zum Daten­schutz und zur IT-Sicherheit unbedingt zu berück­sich­tigen.

Ein weiterer Trend ist Cloud Computing. Beim Cloud Computing erfolgt die Nutzung von IT-Leistungen in Echtzeit über Daten­netze (in der „Wolke“) statt auf lokalen Systemen. Cloud Computing hat sich innerhalb weniger Jahre zu einem Milli­arden-Markt entwi­ckelt. Vor dem Einsatz von Cloud Computing gilt es jedoch, wichtige Sicher­heits- und Daten­schutz­fragen zu klären. Durch Diskus­sionen in der jüngsten Vergan­genheit waren EU-Parla­men­tarier sehr beunruhigt über Äußerungen eines Microsoft-Managers, demzu­folge US-Sicher­heits­be­hörden ungehindert auf Daten von EU-Bürgern und Unter­nehmen zugreifen können, wenn diese Daten in der Cloud gespei­chert werden. Die Grundlage dafür soll der ameri­ka­nische Patriot Act liefern.

Aufgrund der geführten Diskus­sionen wird z. B. Microsoft beim Daten­schutz in der Cloud Maßstäbe setzen und die Vertrags­be­stim­mungen für seinen Cloud-Dienst Office 365 in Anlehnung an die Vorstel­lungen deutscher Daten­schützer ändern. Die neuen Regeln sollen zudem die von der EU entwor­fenen Standard­klauseln zur Übermittlung perso­nen­be­zo­gener Daten enthalten.

Ungesi­cherte USB-Anschlüsse entwi­ckeln sich für Unter­nehmen zu einem immer größeren Sicher­heits­risiko. Unter­su­chungen haben ergeben, dass bei fast der Hälfte der Fälle die Rechner durch die Benutzer selbst infiziert werden, indem diese – in der Regel unabsichtlich – die Schad­software selbst starten. Besonders heikel ist, dass durch diese Art der Infizierung keinerlei Firewalls überwunden werden müssen. So werden USB-Ports zum perfekten Einfalltor für Würmer und Trojaner, um an sensible Daten zu gelangen und diese auszu­lesen bzw. zu verändern oder zu löschen. Das zeigt, dass durch USB-Speicher­medien eine große Gefahr für den Daten­schutz und die IT-Sicherheit im Unter­nehmen ausgeht.

Daten­schutz in der Praxis.

Bei allen Überle­gungen und Verbreitung von Ängsten im Zusam­menhang mit der Verschärfung des Daten­schutzes muss jeder Unter­nehmer prüfen, wie er die gesetz­lichen Mindest­an­for­de­rungen unter Berück­sich­tigung der Verhält­nis­mä­ßigkeit praxis­ori­en­tiert umsetzen kann.

Hierzu sind 10 wichtige Punkte im Rahmen der eigenen Daten­schutz­or­ga­ni­sation zu beachten:

1. Gesetze und Verord­nungen

Es ist darauf zu achten, die in 2009/2010 verschärften Daten­schutz­be­stim­mungen einzu­halten. Hierbei sind insbe­sondere Themen wie „Neure­gelung Auftrags­da­ten­ver­ar­beitung (§ 11 BDSG)“, „Verschärfung Auskunfts­recht (§ 34 BDSG)“, „Infor­ma­ti­ons­pflicht bei unrecht­mä­ßiger Kennt­nis­er­langung von Daten (§ 42a BDSG)“, neue Regelungen für die Verwendung von Daten für Werbe­zwecke und die Verschärfung „Technische und organi­sa­to­rische Maßnahmen“ (§ 9 BDSG) zu berück­sich­tigen und notwendige Maßnahmen zu etablieren.

2. Technische und organi­sa­to­rische Maßnahmen (TOM)

Die Formu­lierung im BDSG (§ 9) ist auf jeden Fall zu beachten: „Erfor­derlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemes­senen Verhältnis zu dem angestrebten Schutz­zweck steht.“ Das bedeutet, dass die im Gesetz vorge­schrie­benen Maßnahmen unter Berück­sich­tigung der Angemes­senheit umgesetzt werden müssen. Hier sind die Regelungen mit Dienst­leistern und die Verschlüs­selung ein Bestandteil der Verschär­fungen aus 2009.

3. Mitarbeiter(innen)

Neben der Verpflichtung der Mitar­beiter auf das Daten­ge­heimnis (§ 5 BDSG) ist zu prüfen, ob weitere Verpflich­tungen wie z. B. auf das Fernmel­de­ge­heimnis (§ 88 TKG) oder auf die Geheim­haltung (§ 17 UWG Verrat von Geschäfts- und Betriebs­ge­heim­nissen) erfor­derlich sind. Im Daten­schutz­gesetz wird verlangt, dass Mitar­beiter durch geeignete Maßnahmen über die beson­deren Anfor­de­rungen des Daten­schutzes zu unter­richten sind. Hier können neben Präsenz­schu­lungen auch die Schulung bzw. Infor­mation mit Merkblättern oder webba­sie­renden Schulungs­tools erfolgen. Testen Sie kostenfrei das Tool von s-con Daten­schutz & ITK unter http://www.s-con. de/wbt/?code=123xcv (Benut­zername: name/ Kennwort: passwort)

4. Der/Die Daten­schutz­be­auf­tragte

Die bestellt Person muss die zur Erfüllung der Aufgaben erfor­der­liche Fachkunde und Zuver­läs­sigkeit besitzen. Auch eine externe Person kann die Aufgaben der Datenschutzbeauftragten/ des Daten­schutz­be­auf­tragten übernehmen (externer Daten­schutz­be­auf­tragter). Bei internen Daten­schutz­be­auf­tragten gilt: beson­derer Kündi­gungs­schutz (§ 4f Abs. 3 Satz 4 BDSG) für Arbeitsverhältnisse/ Fort- und Weiter­bil­dungs­an­spruch (§ 4f Abs. 3 Satz 6 BDSG).

5. Dienst­leister

Prüfen Sie die Zuver­läs­sigkeit Ihrer Dienst­leister, die z. B. in Ihrem Auftrag perso­nen­be­zogene Daten Ihres Unter­nehmens bzw. Ihrer Kunden verar­beiten. Dieses ist im BDSG § 11 klar geregelt.

6. Dokumen­tation

Wirken Sie darauf hin, dass die/der Daten­schutz­be­auf­tragte die Daten­schutz­or­ga­ni­sation nachvoll­ziehbar dokumen­tiert. Fordern Sie einen jährlichen Daten­schutz­be­richt des Daten­schutz­be­auf­tragten.

7. Regelungen für Systeme, Anwen­dungen und Dienste

Regeln Sie den Umgang mit den IT-Systemen und Diensten wie z. B. die Nutzung von E-Mail und Internet. Eine Duldung ist nicht ratsam. Idealer­weise verbieten Sie die private Nutzung der Unter­nehmens-IT. Hier ist abzuwägen, wie ein Verbot in die Unter­neh­mens­kultur passt.

8. Social Media

Soziale Netzwerke (Social Media) werden die Kommu­ni­ka­ti­ons­systeme der Zukunft. Dienste wie z. B. E-Mail werden voraus­sichtlich in naher Zukunft abgelöst durch Social Media: Regeln Sie den Umgang Ihren Mitar­beiter( innen) mit Social Media in Ihrem Unter­nehmen. Etablieren Sie eine Social-Media- Guideline.

9. Daten­schutz­pannen

Seit 2009 gibt es zum Thema „Daten­schutz­pannen“ eine Verschärfung. § 42a BDSG formu­liert die Voraus­setzung für den Eintritt einer Daten­schutz­panne. Überlegen Sie im Vorfeld die erfor­der­lichen Maßnahmen bei Eintritt einer Daten­schutz­panne.

10. Verant­wortung und Faust­formel

Legen Sie klare Verant­wort­lich­keiten für die Themen Daten­schutz und IT-Sicherheit fest. Entwi­ckeln Sie eine Faust­formel für Ihre Mitar­beiter( innen) zum sicheren Umgang mit Daten.

Fazit. Prüfen Sie Ihre aktuelle Daten­schutz­si­tuation. Infor­mieren Sie bei Bedarf Ihre Mitarbeiter(innen) über die neuen Anfor­de­rungen. Setzen Sie die Mindest­an­for­de­rungen um. Eine zu 80 % umgesetzte Daten­schutz­or­ga­ni­sation ist besser als eine perfekt geplante und nicht reali­sierte Daten­schutz­or­ga­ni­sation. An dem Thema „Daten­schutz“ ist konti­nu­ierlich weiter­zu­ar­beiten, um u. a. die möglichen zukünf­tigen verschärften Anfor­de­rungen der EU-Daten­schutz­ver­ordnung zu erfüllen.

This is a unique website which will require a more modern browser to work! Please upgrade today!