16. April 2012

Daten­schutz für Unter­nehmer – quo vadis?

2011 und auch schon zu Beginn des Jahres 2012 wurden in der Öffent­lich­keit diverse Daten­schutz­themen zum Teil kritisch und kontro­vers disku­tiert.

Unter anderem wird die Nutzung von Face­book vom „Düssel­dorfer Kreis“, der infor­mellen Verei­ni­gung der obersten Aufsichts­be­hörden, als daten­schutz­recht­lich proble­ma­tisch ange­sehen. So soll z. B. die Nutzung von Face­book-Fanpages gegen das Bundes­da­ten­schutz­ge­setz verstoßen und auch der Einsatz von Social-Network-Plugins „gefällt mir“ wird als nicht daten­schutz­kon­form ange­sehen. Grund­sätz­lich muss jedes Unter­nehmen über­legen, wie zukünftig mit dem Thema „Social Media“ umge­gangen werden soll.

Ein sorg­loser Umgang bringt zum Teil unkal­ku­lier­bare Risiken und erleich­tert z. B. Daten­raub­züge der Indus­trie­spione und den unbe­rech­tigten Zugang zu Daten durch Daten­diebe.

Schlag­wörter wie „Bring your own device“ begleiten uns in der aktu­ellen Diskus­sion zur Nutzung von privaten Systemen bei der Erfül­lung betrieb­li­cher Aufgaben. „Bring your own device“ bedeutet, dass Mitar­beiter ihre privaten IT-Systeme zur Abar­bei­tung von dienst­li­chen Aufgaben nutzen und in das Unter­neh­mens­netz­werk einbinden. Hier ist sorgsam zu prüfen, wie dieser Trend in Einklang mit Daten­schutz und IT-Sicher­heit gebracht werden kann.

Das Jahr 2012 wird weitere grund­le­gende Entschei­dungen für den Daten­schutz bringen. Die zur Verab­schie­dung anste­hende EU-Daten­schutz­ver­ord­nung wird zum Teil natio­nale Daten­schutz­ge­setze ablösen bzw. ergänzen. Die EU-Daten­schutz­ver­ord­nung wird bei Umset­zung gravie­rende verschär­fende Auswir­kungen auf das Thema Daten­schutz in Deutsch­land haben. So ist zum Beispiel eine Benach­rich­ti­gungs­pflicht des Unter­neh­mens im Fall eines vermu­teten unbe­rech­tigten Zugriffs auf Daten binnen 24 Stunden an die zustän­dige Daten­schutz­auf­sichts­be­hörde geplant. Die Bußgelder sollen dras­tisch erhöht werden. Im Entwurf werden Zahlen zwischen 100.000 und 1.000.000 Euro oder bis zu 2 Prozent des Jahres­um­satzes einer Firma genannt. Es ist davon auszu­gehen, dass die EU-Daten­schutz­ver­ord­nung sehr reale Auswir­kungen auf die Geschäfts­pro­zesse der Unter­nehmen haben wird.

Seit Längerem liegt in Deutsch­land ein Entwurf für ein Beschäf­tig­ten­da­ten­schutz­ge­setz vor. Am 10. Februar 2012 wurde über www.zeitonline.de folgende Nach­richt kommu­ni­ziert: „Die Regie­rungs­ko­ali­tion hat sich auf ein neues Gesetz geei­nigt, das Arbeit­nehmer besser vor heim­li­cher Beob­ach­tung durch den Arbeit­geber schützen soll. Die FDP-Innen­ex­pertin Gisela Piltz bestä­tigte einen entspre­chenden Bericht der Finan­cial Times Deutsch­land. Danach soll eine versteckte Video­über­wa­chung grund­sätz­lich verboten sein. Auf Druck der Wirt­schaft können jedoch Rechte von Mitar­bei­tern einge­schränkt werden, wenn es entspre­chende Betriebs­ver­ein­ba­rungen oder persön­liche Einwil­li­gungen der Arbeit­nehmer gibt. Über die Initia­tive war zuvor mona­te­lang debat­tiert worden.“

Daten- und IT-Sicher­heit 2012/2013. Für die Zukunft prognos­ti­zieren Experten weitere Bedro­hungen der IT-Sicher­heit von Regie­rungen und Unter­nehmen. So wird nicht nur die Anzahl der gezielten Angriffe auf staat­liche Insti­tu­tionen und Unter­nehmen weiter steigen, es ist auch damit zu rechnen, dass die Band­breite der Opfer merk­lich ausge­weitet wird. Die Sicher­heits­experten von Kaspersky Lab gehen davon aus, dass vor allem Unter­nehmen aus der Rohstoff­ge­win­nung, Energie-, Verkehrs-, Lebens­mittel- und Phar­ma­in­dus­trie sowie Internet-Services und IT-Unter­nehmen die Angriffs­ziele der Zukunft sein werden.

Die Weiter­ent­wick­lungen inner­halb der IT-Sicher­heits­branche zur Abwehr gezielter Angriffe sowie das gewach­sene Bewusst­sein der Öffent­lich­keit zwingt Cyber­kri­mi­nelle, neue Instru­mente zu entwi­ckeln. Die herkömm­liche Methode der Angriffe via E-Mail wird zuneh­mend weniger effektiv werden. Atta­cken beim Einsatz von Brow­sern werden hingegen an Popu­la­rität gewinnen.

Der Siegeszug der Tablet Computer wird sich fort­setzen. Die Anzahl der Bedro­hungen für mobile Endge­räte wird weiterhin steigen, wobei Google Android das primäre Angriffs­ziel bleiben wird. Das bedeutet, dass auch bei mobilen Geräten im Hinblick auf Daten­schutz und IT-Sicher­heit hohe Sicher­heits­an­for­de­rungen notwendig sind.

Smart­phone-Anbieter müssen auf einem umkämpften Markt bestehen, der perma­nenten Ände­rungen unter­worfen ist. Auf der Sicher­heit der Smart­phones oder der Appli­ka­tionen liegt daher nicht immer die höchste Prio­rität. Auf der anderen Seite ermög­li­chen die ständig wach­senden Funk­tio­na­li­täten der Smart­phones den Benut­zern, perma­nent überall erreichbar zu sein und dabei nicht nur große Daten­mengen verar­beiten zu können, sondern auch mobil auf Unter­neh­mens- oder Behör­den­netze zugreifen zu können. Smart­phones sind daher höchst attrak­tive Angriffs­ziele. Es gibt eine stetig zuneh­mende Anzahl von Schad­soft­ware, die auf Smart­phones spezia­li­siert ist. Häufig stehen dahinter ähnliche Ziele wie bei Schad­soft­ware für den PC. Diese Gefahren sind bei den Über­le­gungen zum Daten­schutz und zur IT-Sicher­heit unbe­dingt zu berück­sich­tigen.

Ein weiterer Trend ist Cloud Compu­ting. Beim Cloud Compu­ting erfolgt die Nutzung von IT-Leis­tungen in Echt­zeit über Daten­netze (in der „Wolke“) statt auf lokalen Systemen. Cloud Compu­ting hat sich inner­halb weniger Jahre zu einem Milli­arden-Markt entwi­ckelt. Vor dem Einsatz von Cloud Compu­ting gilt es jedoch, wich­tige Sicher­heits- und Daten­schutz­fragen zu klären. Durch Diskus­sionen in der jüngsten Vergan­gen­heit waren EU-Parla­men­ta­rier sehr beun­ru­higt über Äuße­rungen eines Micro­soft-Mana­gers, demzu­folge US-Sicher­heits­be­hörden unge­hin­dert auf Daten von EU-Bürgern und Unter­nehmen zugreifen können, wenn diese Daten in der Cloud gespei­chert werden. Die Grund­lage dafür soll der ameri­ka­ni­sche Patriot Act liefern.

Aufgrund der geführten Diskus­sionen wird z. B. Micro­soft beim Daten­schutz in der Cloud Maßstäbe setzen und die Vertrags­be­stim­mungen für seinen Cloud-Dienst Office 365 in Anleh­nung an die Vorstel­lungen deut­scher Daten­schützer ändern. Die neuen Regeln sollen zudem die von der EU entwor­fenen Stan­dard­klau­seln zur Über­mitt­lung perso­nen­be­zo­gener Daten enthalten.

Unge­si­cherte USB-Anschlüsse entwi­ckeln sich für Unter­nehmen zu einem immer größeren Sicher­heits­ri­siko. Unter­su­chungen haben ergeben, dass bei fast der Hälfte der Fälle die Rechner durch die Benutzer selbst infi­ziert werden, indem diese – in der Regel unab­sicht­lich – die Schad­soft­ware selbst starten. Beson­ders heikel ist, dass durch diese Art der Infi­zie­rung keinerlei Fire­walls über­wunden werden müssen. So werden USB-Ports zum perfekten Einfalltor für Würmer und Trojaner, um an sensible Daten zu gelangen und diese auszu­lesen bzw. zu verän­dern oder zu löschen. Das zeigt, dass durch USB-Spei­cher­me­dien eine große Gefahr für den Daten­schutz und die IT-Sicher­heit im Unter­nehmen ausgeht.

Daten­schutz in der Praxis.

Bei allen Über­le­gungen und Verbrei­tung von Ängsten im Zusam­men­hang mit der Verschär­fung des Daten­schutzes muss jeder Unter­nehmer prüfen, wie er die gesetz­li­chen Mindest­an­for­de­rungen unter Berück­sich­ti­gung der Verhält­nis­mä­ßig­keit praxis­ori­en­tiert umsetzen kann.

Hierzu sind 10 wich­tige Punkte im Rahmen der eigenen Daten­schutz­or­ga­ni­sa­tion zu beachten:

1. Gesetze und Verord­nungen

Es ist darauf zu achten, die in 2009/2010 verschärften Daten­schutz­be­stim­mungen einzu­halten. Hierbei sind insbe­son­dere Themen wie „Neure­ge­lung Auftrags­da­ten­ver­ar­bei­tung (§ 11 BDSG)“, „Verschär­fung Auskunfts­recht (§ 34 BDSG)“, „Infor­ma­ti­ons­pflicht bei unrecht­mä­ßiger Kennt­nis­er­lan­gung von Daten (§ 42a BDSG)“, neue Rege­lungen für die Verwen­dung von Daten für Werbe­zwecke und die Verschär­fung „Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen“ (§ 9 BDSG) zu berück­sich­tigen und notwen­dige Maßnahmen zu etablieren.

2. Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen (TOM)

Die Formu­lie­rung im BDSG (§ 9) ist auf jeden Fall zu beachten: „Erfor­der­lich sind Maßnahmen nur, wenn ihr Aufwand in einem ange­mes­senen Verhältnis zu dem ange­strebten Schutz­zweck steht.“ Das bedeutet, dass die im Gesetz vorge­schrie­benen Maßnahmen unter Berück­sich­ti­gung der Ange­mes­sen­heit umge­setzt werden müssen. Hier sind die Rege­lungen mit Dienst­leis­tern und die Verschlüs­se­lung ein Bestand­teil der Verschär­fungen aus 2009.

3. Mitarbeiter(innen)

Neben der Verpflich­tung der Mitar­beiter auf das Daten­ge­heimnis (§ 5 BDSG) ist zu prüfen, ob weitere Verpflich­tungen wie z. B. auf das Fern­mel­de­ge­heimnis (§ 88 TKG) oder auf die Geheim­hal­tung (§ 17 UWG Verrat von Geschäfts- und Betriebs­ge­heim­nissen) erfor­der­lich sind. Im Daten­schutz­ge­setz wird verlangt, dass Mitar­beiter durch geeig­nete Maßnahmen über die beson­deren Anfor­de­rungen des Daten­schutzes zu unter­richten sind. Hier können neben Präsenz­schu­lungen auch die Schu­lung bzw. Infor­ma­tion mit Merk­blät­tern oder webba­sie­renden Schu­lungs­tools erfolgen. Testen Sie kosten­frei das Tool von s-con Daten­schutz & ITK unter http://www.s-con. de/wbt/?code=123xcv (Benut­zer­name: name/ Kenn­wort: pass­wort)

4. Der/Die Daten­schutz­be­auf­tragte

Die bestellt Person muss die zur Erfül­lung der Aufgaben erfor­der­liche Fach­kunde und Zuver­läs­sig­keit besitzen. Auch eine externe Person kann die Aufgaben der Datenschutzbeauftragten/ des Daten­schutz­be­auf­tragten über­nehmen (externer Daten­schutz­be­auf­tragter). Bei internen Daten­schutz­be­auf­tragten gilt: beson­derer Kündi­gungs­schutz (§ 4f Abs. 3 Satz 4 BDSG) für Arbeitsverhältnisse/ Fort- und Weiter­bil­dungs­an­spruch (§ 4f Abs. 3 Satz 6 BDSG).

5. Dienst­leister

Prüfen Sie die Zuver­läs­sig­keit Ihrer Dienst­leister, die z. B. in Ihrem Auftrag perso­nen­be­zo­gene Daten Ihres Unter­neh­mens bzw. Ihrer Kunden verar­beiten. Dieses ist im BDSG § 11 klar gere­gelt.

6. Doku­men­ta­tion

Wirken Sie darauf hin, dass die/der Daten­schutz­be­auf­tragte die Daten­schutz­or­ga­ni­sa­tion nach­voll­ziehbar doku­men­tiert. Fordern Sie einen jähr­li­chen Daten­schutz­be­richt des Daten­schutz­be­auf­tragten.

7. Rege­lungen für Systeme, Anwen­dungen und Dienste

Regeln Sie den Umgang mit den IT-Systemen und Diensten wie z. B. die Nutzung von E-Mail und Internet. Eine Duldung ist nicht ratsam. Idea­ler­weise verbieten Sie die private Nutzung der Unter­neh­mens-IT. Hier ist abzu­wägen, wie ein Verbot in die Unter­neh­mens­kultur passt.

8. Social Media

Soziale Netz­werke (Social Media) werden die Kommu­ni­ka­ti­ons­sys­teme der Zukunft. Dienste wie z. B. E-Mail werden voraus­sicht­lich in naher Zukunft abge­löst durch Social Media: Regeln Sie den Umgang Ihren Mitar­beiter( innen) mit Social Media in Ihrem Unter­nehmen. Etablieren Sie eine Social-Media- Guide­line.

9. Daten­schutz­pannen

Seit 2009 gibt es zum Thema „Daten­schutz­pannen“ eine Verschär­fung. § 42a BDSG formu­liert die Voraus­set­zung für den Eintritt einer Daten­schutz­panne. Über­legen Sie im Vorfeld die erfor­der­li­chen Maßnahmen bei Eintritt einer Daten­schutz­panne.

10. Verant­wor­tung und Faust­formel

Legen Sie klare Verant­wort­lich­keiten für die Themen Daten­schutz und IT-Sicher­heit fest. Entwi­ckeln Sie eine Faust­formel für Ihre Mitar­beiter( innen) zum sicheren Umgang mit Daten.

Fazit. Prüfen Sie Ihre aktu­elle Daten­schutz­si­tua­tion. Infor­mieren Sie bei Bedarf Ihre Mitarbeiter(innen) über die neuen Anfor­de­rungen. Setzen Sie die Mindest­an­for­de­rungen um. Eine zu 80 % umge­setzte Daten­schutz­or­ga­ni­sa­tion ist besser als eine perfekt geplante und nicht reali­sierte Daten­schutz­or­ga­ni­sa­tion. An dem Thema „Daten­schutz“ ist konti­nu­ier­lich weiter­zu­ar­beiten, um u. a. die mögli­chen zukünf­tigen verschärften Anfor­de­rungen der EU-Daten­schutz­ver­ord­nung zu erfüllen.