Fachartikel & News

Daten­schutz für Unter­neh­mer – quo vadis?

2011 und auch schon zu Beginn des Jah­res 2012 wur­den in der Öffent­lich­keit diverse Daten­schutz­the­men zum Teil kri­tisch und kon­tro­vers dis­ku­tiert.


Unter ande­rem wird die Nut­zung von Face­book vom „Düs­sel­dor­fer Kreis“, der infor­mel­len Ver­ei­ni­gung der obers­ten Auf­sichts­be­hör­den, als daten­schutz­recht­lich pro­ble­ma­tisch ange­se­hen. So soll z. B. die Nut­zung von Face­book-Fan­pages gegen das Bun­des­da­ten­schutz­ge­setz ver­sto­ßen und auch der Ein­satz von Social-Net­work-Plugins „gefällt mir“ wird als nicht daten­schutz­kon­form ange­se­hen. Grund­sätz­lich muss jedes Unter­neh­men über­le­gen, wie zukünf­tig mit dem Thema „Social Media“ umge­gan­gen wer­den soll.

Ein sorg­lo­ser Umgang bringt zum Teil unkal­ku­lier­bare Risi­ken und erleich­tert z. B. Daten­raub­züge der Indus­trie­spione und den unbe­rech­tig­ten Zugang zu Daten durch Daten­diebe.

Schlag­wör­ter wie „Bring your own device“ beglei­ten uns in der aktu­el­len Dis­kus­sion zur Nut­zung von pri­va­ten Sys­te­men bei der Erfül­lung betrieb­li­cher Auf­ga­ben. „Bring your own device“ bedeu­tet, dass Mit­ar­bei­ter ihre pri­va­ten IT-Sys­teme zur Abar­bei­tung von dienst­li­chen Auf­ga­ben nut­zen und in das Unter­neh­mens­netz­werk ein­bin­den. Hier ist sorg­sam zu prü­fen, wie die­ser Trend in Ein­klang mit Daten­schutz und IT-Sicher­heit gebracht wer­den kann.

Das Jahr 2012 wird wei­tere grund­le­gende Ent­schei­dun­gen für den Daten­schutz brin­gen. Die zur Ver­ab­schie­dung anste­hende EU-Daten­schutz­ver­ord­nung wird zum Teil natio­nale Daten­schutz­ge­setze ablö­sen bzw. ergän­zen. Die EU-Daten­schutz­ver­ord­nung wird bei Umset­zung gra­vie­rende ver­schär­fende Aus­wir­kun­gen auf das Thema Daten­schutz in Deutsch­land haben. So ist zum Bei­spiel eine Benach­rich­ti­gungs­pflicht des Unter­neh­mens im Fall eines ver­mu­te­ten unbe­rech­tig­ten Zugriffs auf Daten bin­nen 24 Stun­den an die zustän­dige Daten­schutz­auf­sichts­be­hörde geplant. Die Buß­gel­der sol­len dras­tisch erhöht wer­den. Im Ent­wurf wer­den Zah­len zwi­schen 100.000 und 1.000.000 Euro oder bis zu 2 Pro­zent des Jah­res­um­sat­zes einer Firma genannt. Es ist davon aus­zu­ge­hen, dass die EU-Daten­schutz­ver­ord­nung sehr reale Aus­wir­kun­gen auf die Geschäfts­pro­zesse der Unter­neh­men haben wird.

Seit Län­ge­rem liegt in Deutsch­land ein Ent­wurf für ein Beschäf­tig­ten­da­ten­schutz­ge­setz vor. Am 10. Februar 2012 wurde über www​.zeiton​line​.de fol­gende Nach­richt kom­mu­ni­ziert: „Die Regie­rungs­ko­ali­tion hat sich auf ein neues Gesetz geei­nigt, das Arbeit­neh­mer bes­ser vor heim­li­cher Beob­ach­tung durch den Arbeit­ge­ber schüt­zen soll. Die FDP-Innen­ex­per­tin Gisela Piltz bestä­tigte einen ent­spre­chen­den Bericht der Finan­cial Times Deutsch­land. Danach soll eine ver­steckte Video­über­wa­chung grund­sätz­lich ver­bo­ten sein. Auf Druck der Wirt­schaft kön­nen jedoch Rechte von Mit­ar­bei­tern ein­ge­schränkt wer­den, wenn es ent­spre­chende Betriebs­ver­ein­ba­run­gen oder per­sön­li­che Ein­wil­li­gun­gen der Arbeit­neh­mer gibt. Über die Initia­tive war zuvor mona­te­lang debat­tiert wor­den.“

Daten- und IT-Sicher­heit 2012/2013. Für die Zukunft pro­gnos­ti­zie­ren Exper­ten wei­tere Bedro­hun­gen der IT-Sicher­heit von Regie­run­gen und Unter­neh­men. So wird nicht nur die Anzahl der geziel­ten Angriffe auf staat­li­che Insti­tu­tio­nen und Unter­neh­men wei­ter stei­gen, es ist auch damit zu rech­nen, dass die Band­breite der Opfer merk­lich aus­ge­wei­tet wird. Die Sicher­heits­ex­per­ten von Kas­persky Lab gehen davon aus, dass vor allem Unter­neh­men aus der Roh­stoff­ge­win­nung, Ener­gie-, Ver­kehrs-, Lebens­mit­tel- und Phar­ma­in­dus­trie sowie Inter­net-Ser­vices und IT-Unter­neh­men die Angriffs­ziele der Zukunft sein wer­den.

Die Wei­ter­ent­wick­lun­gen inner­halb der IT-Sicher­heits­bran­che zur Abwehr geziel­ter Angriffe sowie das gewach­sene Bewusst­sein der Öffent­lich­keit zwingt Cyber­kri­mi­nelle, neue Instru­mente zu ent­wi­ckeln. Die her­kömm­li­che Methode der Angriffe via E-Mail wird zuneh­mend weni­ger effek­tiv wer­den. Atta­cken beim Ein­satz von Brow­sern wer­den hin­ge­gen an Popu­la­ri­tät gewin­nen.

Der Sie­ges­zug der Tablet Com­pu­ter wird sich fort­set­zen. Die Anzahl der Bedro­hun­gen für mobile End­ge­räte wird wei­ter­hin stei­gen, wobei Google Android das pri­märe Angriffs­ziel blei­ben wird. Das bedeu­tet, dass auch bei mobi­len Gerä­ten im Hin­blick auf Daten­schutz und IT-Sicher­heit hohe Sicher­heits­an­for­de­run­gen not­wen­dig sind.

Smart­phone-Anbie­ter müs­sen auf einem umkämpf­ten Markt bestehen, der per­ma­nen­ten Ände­run­gen unter­wor­fen ist. Auf der Sicher­heit der Smart­pho­nes oder der Appli­ka­tio­nen liegt daher nicht immer die höchste Prio­ri­tät. Auf der ande­ren Seite ermög­li­chen die stän­dig wach­sen­den Funk­tio­na­li­tä­ten der Smart­pho­nes den Benut­zern, per­ma­nent über­all erreich­bar zu sein und dabei nicht nur große Daten­men­gen ver­ar­bei­ten zu kön­nen, son­dern auch mobil auf Unter­neh­mens- oder Behör­den­netze zugrei­fen zu kön­nen. Smart­pho­nes sind daher höchst attrak­tive Angriffs­ziele. Es gibt eine ste­tig zuneh­mende Anzahl von Schad­soft­ware, die auf Smart­pho­nes spe­zia­li­siert ist. Häu­fig ste­hen dahin­ter ähn­li­che Ziele wie bei Schad­soft­ware für den PC. Diese Gefah­ren sind bei den Über­le­gun­gen zum Daten­schutz und zur IT-Sicher­heit unbe­dingt zu berück­sich­ti­gen.

Ein wei­te­rer Trend ist Cloud Com­pu­ting. Beim Cloud Com­pu­ting erfolgt die Nut­zung von IT-Leis­tun­gen in Echt­zeit über Daten­netze (in der „Wolke“) statt auf loka­len Sys­te­men. Cloud Com­pu­ting hat sich inner­halb weni­ger Jahre zu einem Mil­li­ar­den-Markt ent­wi­ckelt. Vor dem Ein­satz von Cloud Com­pu­ting gilt es jedoch, wich­tige Sicher­heits- und Daten­schutz­fra­gen zu klä­ren. Durch Dis­kus­sio­nen in der jüngs­ten Ver­gan­gen­heit waren EU-Par­la­men­ta­rier sehr beun­ru­higt über Äuße­run­gen eines Micro­soft-Mana­gers, dem­zu­folge US-Sicher­heits­be­hör­den unge­hin­dert auf Daten von EU-Bür­gern und Unter­neh­men zugrei­fen kön­nen, wenn diese Daten in der Cloud gespei­chert wer­den. Die Grund­lage dafür soll der ame­ri­ka­ni­sche Patriot Act lie­fern.

Auf­grund der geführ­ten Dis­kus­sio­nen wird z. B. Micro­soft beim Daten­schutz in der Cloud Maß­stäbe set­zen und die Ver­trags­be­stim­mun­gen für sei­nen Cloud-Dienst Office 365 in Anleh­nung an die Vor­stel­lun­gen deut­scher Daten­schüt­zer ändern. Die neuen Regeln sol­len zudem die von der EU ent­wor­fe­nen Stan­dard­klau­seln zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten ent­hal­ten.

Unge­si­cherte USB-Anschlüsse ent­wi­ckeln sich für Unter­neh­men zu einem immer grö­ße­ren Sicher­heits­ri­siko. Unter­su­chun­gen haben erge­ben, dass bei fast der Hälfte der Fälle die Rech­ner durch die Benut­zer selbst infi­ziert wer­den, indem diese – in der Regel unab­sicht­lich – die Schad­soft­ware selbst star­ten. Beson­ders hei­kel ist, dass durch diese Art der Infi­zie­rung kei­ner­lei Fire­walls über­wun­den wer­den müs­sen. So wer­den USB-Ports zum per­fek­ten Ein­fall­tor für Wür­mer und Tro­ja­ner, um an sen­si­ble Daten zu gelan­gen und diese aus­zu­le­sen bzw. zu ver­än­dern oder zu löschen. Das zeigt, dass durch USB-Spei­cher­me­dien eine große Gefahr für den Daten­schutz und die IT-Sicher­heit im Unter­neh­men aus­geht.

Daten­schutz in der Pra­xis.

Bei allen Über­le­gun­gen und Ver­brei­tung von Ängs­ten im Zusam­men­hang mit der Ver­schär­fung des Daten­schut­zes muss jeder Unter­neh­mer prü­fen, wie er die gesetz­li­chen Min­dest­an­for­de­run­gen unter Berück­sich­ti­gung der Ver­hält­nis­mä­ßig­keit pra­xis­ori­en­tiert umset­zen kann.

Hierzu sind 10 wich­tige Punkte im Rah­men der eige­nen Daten­schutz­or­ga­ni­sa­tion zu beach­ten:

1. Gesetze und Ver­ord­nun­gen

Es ist dar­auf zu ach­ten, die in 2009/2010 ver­schärf­ten Daten­schutz­be­stim­mun­gen ein­zu­hal­ten. Hier­bei sind ins­be­son­dere The­men wie „Neu­re­ge­lung Auf­trags­da­ten­ver­ar­bei­tung (§ 11 BDSG)“, „Ver­schär­fung Aus­kunfts­recht (§ 34 BDSG)“, „Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten (§ 42a BDSG)“, neue Rege­lun­gen für die Ver­wen­dung von Daten für Wer­be­zwe­cke und die Ver­schär­fung „Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men“ (§ 9 BDSG) zu berück­sich­ti­gen und not­wen­dige Maß­nah­men zu eta­blie­ren.

2. Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM)

Die For­mu­lie­rung im BDSG (§ 9) ist auf jeden Fall zu beach­ten: „Erfor­der­lich sind Maß­nah­men nur, wenn ihr Auf­wand in einem ange­mes­se­nen Ver­hält­nis zu dem ange­streb­ten Schutz­zweck steht.“ Das bedeu­tet, dass die im Gesetz vor­ge­schrie­be­nen Maß­nah­men unter Berück­sich­ti­gung der Ange­mes­sen­heit umge­setzt wer­den müs­sen. Hier sind die Rege­lun­gen mit Dienst­leis­tern und die Ver­schlüs­se­lung ein Bestand­teil der Ver­schär­fun­gen aus 2009.

3. Mitarbeiter(innen)

Neben der Ver­pflich­tung der Mit­ar­bei­ter auf das Daten­ge­heim­nis (§ 5 BDSG) ist zu prü­fen, ob wei­tere Ver­pflich­tun­gen wie z. B. auf das Fern­mel­de­ge­heim­nis (§ 88 TKG) oder auf die Geheim­hal­tung (§ 17 UWG Ver­rat von Geschäfts- und Betriebs­ge­heim­nis­sen) erfor­der­lich sind. Im Daten­schutz­ge­setz wird ver­langt, dass Mit­ar­bei­ter durch geeig­nete Maß­nah­men über die beson­de­ren Anfor­de­run­gen des Daten­schut­zes zu unter­rich­ten sind. Hier kön­nen neben Prä­senz­schu­lun­gen auch die Schu­lung bzw. Infor­ma­tion mit Merk­blät­tern oder web­ba­sie­ren­den Schu­lungs­tools erfol­gen. Tes­ten Sie kos­ten­frei das Tool von s-con Daten­schutz & ITK unter http://www.s-con. de/wbt/?code=123xcv (Benut­zer­name: name/ Kenn­wort: pass­wort)

4. Der/Die Daten­schutz­be­auf­tragte

Die bestellt Per­son muss die zur Erfül­lung der Auf­ga­ben erfor­der­li­che Fach­kunde und Zuver­läs­sig­keit besit­zen. Auch eine externe Per­son kann die Auf­ga­ben der Datenschutzbeauftragten/ des Daten­schutz­be­auf­trag­ten über­neh­men (exter­ner Daten­schutz­be­auf­trag­ter). Bei inter­nen Daten­schutz­be­auf­trag­ten gilt: beson­de­rer Kün­di­gungs­schutz (§ 4f Abs. 3 Satz 4 BDSG) für Arbeitsverhältnisse/ Fort- und Wei­ter­bil­dungs­an­spruch (§ 4f Abs. 3 Satz 6 BDSG).

5. Dienst­leis­ter

Prü­fen Sie die Zuver­läs­sig­keit Ihrer Dienst­leis­ter, die z. B. in Ihrem Auf­trag per­so­nen­be­zo­gene Daten Ihres Unter­neh­mens bzw. Ihrer Kun­den ver­ar­bei­ten. Die­ses ist im BDSG § 11 klar gere­gelt.

6. Doku­men­ta­tion

Wir­ken Sie dar­auf hin, dass die/der Daten­schutz­be­auf­tragte die Daten­schutz­or­ga­ni­sa­tion nach­voll­zieh­bar doku­men­tiert. For­dern Sie einen jähr­li­chen Daten­schutz­be­richt des Daten­schutz­be­auf­trag­ten.

7. Rege­lun­gen für Sys­teme, Anwen­dun­gen und Dienste

Regeln Sie den Umgang mit den IT-Sys­te­men und Diens­ten wie z. B. die Nut­zung von E-Mail und Inter­net. Eine Dul­dung ist nicht rat­sam. Idea­ler­weise ver­bie­ten Sie die pri­vate Nut­zung der Unter­neh­mens-IT. Hier ist abzu­wä­gen, wie ein Ver­bot in die Unter­neh­mens­kul­tur passt.

8. Social Media

Soziale Netz­werke (Social Media) wer­den die Kom­mu­ni­ka­ti­ons­sys­teme der Zukunft. Dienste wie z. B. E-Mail wer­den vor­aus­sicht­lich in naher Zukunft abge­löst durch Social Media: Regeln Sie den Umgang Ihren Mit­ar­bei­ter( innen) mit Social Media in Ihrem Unter­neh­men. Eta­blie­ren Sie eine Social-Media- Gui­de­line.

9. Daten­schutz­pan­nen

Seit 2009 gibt es zum Thema „Daten­schutz­pan­nen“ eine Ver­schär­fung. § 42a BDSG for­mu­liert die Vor­aus­set­zung für den Ein­tritt einer Daten­schutz­panne. Über­le­gen Sie im Vor­feld die erfor­der­li­chen Maß­nah­men bei Ein­tritt einer Daten­schutz­panne.

10. Ver­ant­wor­tung und Faust­for­mel

Legen Sie klare Ver­ant­wort­lich­kei­ten für die The­men Daten­schutz und IT-Sicher­heit fest. Ent­wi­ckeln Sie eine Faust­for­mel für Ihre Mit­ar­bei­ter( innen) zum siche­ren Umgang mit Daten.

Fazit. Prü­fen Sie Ihre aktu­elle Daten­schutz­si­tua­tion. Infor­mie­ren Sie bei Bedarf Ihre Mitarbeiter(innen) über die neuen Anfor­de­run­gen. Set­zen Sie die Min­dest­an­for­de­run­gen um. Eine zu 80 % umge­setzte Daten­schutz­or­ga­ni­sa­tion ist bes­ser als eine per­fekt geplante und nicht rea­li­sierte Daten­schutz­or­ga­ni­sa­tion. An dem Thema „Daten­schutz“ ist kon­ti­nu­ier­lich wei­ter­zu­ar­bei­ten, um u. a. die mög­li­chen zukünf­ti­gen ver­schärf­ten Anfor­de­run­gen der EU-Daten­schutz­ver­ord­nung zu erfül­len.

This is a unique website which will require a more modern browser to work! Please upgrade today!