Zum Inhalt springen

Cloud

Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud-Ein­satz in Unternehmen

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­geld­ri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ort­un­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­onship-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Kurz­links als unter­schätz­tes Risi­ko für den Datenschutz

Fast jeder kennt sie, vie­le nut­zen Sie. Kurz­links zu Frei­ga­ben in Cloud­spei­chern oder auch als schnel­ler Link zu Web­sei­ten. Eine Stu­die der Uni­ver­si­tät Cor­nell hat nach­voll­zieh­bar ein Risi­ko für die auf die­se Art frei­ge­ge­be­nen Daten auf­ge­zeigt. Schwach­stel­le ist die typi­sche Zusam­men­set­zung mit Buch­sta­ben und Zah­len, und nur weni­gen Zei­chen. Die­se Kom­bi­na­tio­nen las­sen sich auto­ma­ti­siert erzeu­gen und abfra­gen. Sind die Frei­ga­ben nicht zusätz­lich mit einem Pass­wort geschützt, kön­nen die auf die­se Art im Zugriff befind­li­chen Daten direkt kom­pro­mit­tiert werden.

Die Stu­die zeigt ein wei­te­res Risi­ko auf. In sie­ben Pro­zent aller auf die­se Art ermit­tel­ten frei zugäng­li­chen Frei­ga­ben hät­ten Sie auf­grund der Art der Frei­ga­be Schad­code in den Spei­cher ein­brin­gen kön­nen. Die­ser hät­te sich mit­tels der übli­chen Syn­chro­ni­sa­ti­on somit auf die ange­schlos­se­nen Gerä­te der Nut­zer wei­ter ver­brei­ten können.

Gene­rell raten wir dazu, bei der Ver­ga­be aber auch der Nut­zung von Kurz­links sehr vor­sich­tig zu sein. Einer­seits besteht das in der Stu­die gut nach­voll­zieh­ba­re Daten­schutz-Risi­ko für Ihre auf die­se Art frei­ge­ge­be­nen Daten. Ande­rer­seits wis­sen Sie nie, wohin Sie ein Kurz­link füh­ren wird. Eine belieb­te Masche sind Umlei­tun­gen auf prä­pa­rier­te Web­sei­ten, die mit­tels Exploit Kit Schwach­stel­len auf Ihrem Gerät aunut­zen, um Ihnen Schad­code unterzujubeln.

Gene­rell scha­det es auch nicht im Unter­neh­mens­um­feld, Ihre Mit­ar­bei­ter für den Umgang mit Cloud Spei­chern, Frei­ga­ben und Kurz-Urls zu sen­si­bi­li­sie­ren und ent­spre­chen­de Richt­li­ni­en dafür auf­zu­stel­len. Sicher nicht ver­kehrt, bei der Gele­gen­heit zu prü­fen, ob Cloud Lösun­gen daten­schutz­kon­form ein­ge­führt sind, Stich­wort Auf­trag­da­ten­ver­ar­bei­tung. Ihr Daten­schutz­be­auf­trag­ter ist hier­für der idea­le Ansprech­part­ner. Sie haben kei­nen Daten­schutz­be­auf­trag­ten. Spre­chen Sie uns an.

Pass­wort-Safes zu Unrecht wenig beliebt

Laut einer aktu­el­len Bit­kom Stu­die nut­zen ledig­lich 24% der befrag­ten Inter­net­nut­zer Pass­wort-Safes für Com­pu­ter und Online-Diens­te. Das sind 5% Pro­zent­punk­te mehr als im ver­gan­ge­nen Jahr, was sei­tens Bit­kom auf ein gestie­ge­nes Pro­blem­be­wußt­sein sei­tens der Nut­zer auf­grund der NSA Affä­re zurück­zu­füh­ren sei. Die Mehr­heit bevor­zugt jedoch nach wie vor ein­fa­che und mehr­fach genutz­te Pass­wör­ter. Letz­ters wird schnell zum Pro­blem, wenn ein Account erfolg­reich kom­pro­mit­tiert wurde.

Über die Län­ge und Kom­ple­xi­tät von Pass­wör­tern wer­den wah­re Glau­bens­krie­ge geführt. Kann es der einen Par­tei nicht lang und kom­plex genug sein, zeich­net sich die Gegen­sei­te durch eine teil­wei­se naï­ve Sicht­wei­se auf das The­ma aus. Die Lösung wird — wie so oft — dazwi­schen lie­gen. Fakt ist, zu kur­ze Pass­wör­ter even­tu­ell noch ohne Kom­ple­xi­tät sind ein gefun­de­nes Fres­sen, sofern kei­ne wei­te­ren Hür­den wie Log­in Sper­ren nach x Fehl­ver­su­chen auf­ge­stellt sind. Fakt ist aber auch, ein zu lan­ges Pass­wort ist aus der Pra­xis her­aus unsi­cher, da es sich der Anwen­der nicht mer­ken kann und irgend­wo niederschreibt.

Einen Kom­pro­miss stel­len Pass­wort-Safes dar. Die­se wer­den durch ein ein­ma­li­ges kom­ple­xes siche­res Pass­wort geschützt und in der dahin­ter­lie­gen­den Daten­bank wer­den alle ande­ren Zugangs­da­ten für Com­pu­ter und Online-Diens­te ver­schlüs­selt abge­legt. So muss sich der Nut­zer erst mal nur das Haupt­pass­wort mer­ken, das gele­gent­lich auch geän­dert wer­den kann (und soll­te). Alle wei­te­ren zu schüt­zen­den Infor­ma­tio­nen sind sicher im Con­tai­ner des Pass­wort-Safes gespei­chert. Mit wei­te­ren Lösun­gen wie z.B. Boxcryp­tor kann die Daten­bank dann sogar in Cloud-Diens­ten zusätz­lich ver­schlüs­selt abge­legt wer­den. Der Zugriff ist für die gän­gigs­ten Lösun­gen ist jeder­zeit vom PC oder auch mobi­len Gerä­ten mit Android und iOS mög­lich. Natür­lich soll­ten mobi­le End­ge­rä­te mit wei­te­ren Schutz­maß­nah­men ver­se­hen sein, damit der Pass­wort-Safe nicht frei zugäng­lich ist bei Ver­lust des Geräts.

Online Spei­cher­diens­te (zumeist von ame­ri­ka­ni­schen Anbie­tern) soll­ten sich mit etwas gesun­dem Men­schen­ver­stand von selbst verbieten.

Links

Big Brot­her USA is wat­ching you — Inter­net­da­ten zur frei­en Ver­fü­gung der Geheimdienste

Es wird schwie­rig, vor die­sem Umstand wei­ter­hin die Augen zu ver­schlie­ßen. Im gro­ßen Stil greift die NSA auf Basis des Patri­ot Act von 2001 Tele­fon- und Inter­net­da­ten bei Kon­zer­nen wie Micro­soft, Veri­sign, Goog­le, Apple und Face­book ab. Der For­eign Intel­li­gence Sur­veil­lan­ce Court (FISC), das geheims­te US-Gericht hat mit AZ BR 15–80 vom 25. April 2013 eine Fir­men­kun­den-Toch­ter von Veri­sign zur Her­aus­ga­be sämt­li­cher Ver­bin­dungs- und Posi­ti­ons­da­ten ver­don­nert. Nach Bekannt­wer­den die­ses eigent­lich als top secret ein­ge­stuf­ten Beschlu­ßes leg­ten das Wei­ße Haus und der ame­ri­ka­ni­sche Kon­greß lt. Spie­gel Online noch­mals nach: es hand­le sich hier­bei um kei­ne Aus­nah­me, son­dern die Regel. Die “Washing­ton Post” und der “Guar­di­an” ver­mel­den aus Regie­rungs­krei­sen, das seit 2007 sys­te­ma­tisch NSA und FBI die Ser­ver von Micro­soft, Yahoo, Goog­le, Face­book, AOL, Sky­pe, You­Tube und Apple direkt ange­zapft werden.

Wohl dem, der dem Ruf nach “preis­wer­ten” Cloud-Lösun­gen ame­ri­ka­ni­scher Anbie­ter bis­her hat wider­ste­hen kön­nen. Der deut­sche und euro­päi­sche Markt hält siche­re und rechts­kon­for­me Cloud-Lösun­gen in Hül­le und Fül­le für Unter­neh­men bereit. Ger­ne unter­stüt­zen wir bei der Aus­wahl eines geeig­ne­ten Anbieters.

Big Brot­her Awards 2012 ver­lie­hen — hier die Gewinner

Big Brot­her Awards?

“Die Big­Brot­he­rA­wards Deutsch­land wur­den ins Leben geru­fen, um die öffent­li­che Dis­kus­si­on um Pri­vat­sphä­re und Daten­schutz zu för­dern – sie sol­len miss­bräuch­li­chen Umgang mit Tech­nik und Infor­ma­tio­nen zeigen.
Seit dem Jahr 2000 wer­den in Deutsch­land die Big­Brot­he­rA­wards an Fir­men, Orga­ni­sa­tio­nen und Per­so­nen ver­lie­hen, die in beson­de­rer Wei­se und nach­hal­tig die Pri­vat­sphä­re von Men­schen beein­träch­ti­gen oder per­sön­li­che Daten Drit­ten zugäng­lich machen. Die Big­Brot­he­rA­wards sind ein inter­na­tio­na­les Pro­jekt: in bis­her 19 Län­dern wur­den frag­wür­di­ge Prak­ti­ken mit die­sen Prei­sen ausgezeichnet.”

https://​www​.big​brot​he​ra​wards​.de/

And the win­ners 2012 are …

“Sie­ger” gab es die­ses Jahr zuhauf. So wur­de in der Kate­go­rie Behör­den + Ver­wal­tung der säch­si­sche Staats­mi­nis­ter des Inne­ren, Herrn Mar­kus Ulb­ig, für Funk­zel­len­ab­fra­gen im Raum Dres­den im Rah­men einer Anti-Nazi-Demons­tra­ti­on im Früh­jahr 2011 aus­ge­zeich­net. Ob sich Bun­des­in­nen­mi­nis­ter Dr. Hans-Peter Fried­rich (CSU) über sei­nen Award in der Kate­go­rie Poli­tik für die Ein­rich­tung eines Cyber-Abwehr­zen­trums ohne Legi­ti­ma­ti­on durch den Bun­des­tag wirk­lich freut, bleibt abzuwarten.

Weni­ger per­so­nen­be­zo­gen wur­de die Cloud als Trend aus­ge­zeich­net, Nut­zern die Kon­troll­rech­te über ihre dar­in abge­leg­ten Daten zu ent­zie­hen. Das 2008 vom Bun­des­ver­fas­sungs­ge­richt pos­tu­lier­te Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me wird in den meis­ten aktu­el­len Umset­zun­gen von Cloud Com­pu­ting ekla­tant verletzt.

In der Kate­go­rie Arbeits­welt hat sich ein nicht unbe­kann­tes Unter­neh­men um den Daten­schutz beson­ders her­vor­ge­tan: die­ser Award geht an die Fir­ma Bofrost für die rechts­wid­ri­ge Aus­for­schung von Daten auf einem Betriebsratscomputer.

Alle “Aus­ge­zeich­ne­ten” kön­nen Sie hier im Detail nachlesen.

Nomi­nie­run­gen für 20120 kön­nen bereits ein­ge­reicht werden.

 

Foto: Thors­ten Möl­ler https://​www​.big​brot​he​ra​wards​.de/​g​r​a​p​h​ics

 

Alle reden von der Cloud …

.. aber oft­mals ist gar nicht so klar, was damit eigent­lich gemeint ist. Ein Unter­neh­men spricht in Wer­be­kam­pa­gnen mas­siv Pri­vat­kun­den an, per­sön­li­che Daten und Doku­men­te doch ein­fach in der Cloud zu spei­chern, um “in”, “hip” und “tren­dy” zu sein. Ande­re Anbie­ter rich­ten sich mit etwas geziel­te­ren Infor­ma­tio­nen und Leis­tungs­be­schrei­bun­gen an Unter­neh­men und Unternehmer.

Neben der gan­zen Ver­wir­rung um die Defi­ni­ti­on beflü­geln wei­te­re Ver­kaufs­ar­gu­men­te wie Über­all-Zugriff und Kos­ten­ein­spar­po­ten­tia­le die Phan­ta­sie. Dar­über gera­ten die daten­schutz­recht­li­chen Aspek­te und Not­wen­dig­kei­ten einer sol­chen Out­sour­cing-Lösung schnell außer Acht.

Denn oft­mals wird ver­ges­sen: Cloud Com­pu­ting ist nach deut­schem Daten­schutz­recht klas­si­sche Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Und die­se bedarf eini­ger Vor­aus­set­zun­gen, die vor Inbe­trieb­nah­me umzu­set­zen und ein­zu­hal­ten sind. Zuwi­der­hand­lun­gen kön­nen nach § 43 BDSG mit Buß­gel­dern bis 50.000 EUR belegt wer­den. Da ist die Kos­ten­ein­spa­rung schnell wie­der aufgezehrt.

Drei Arti­kel kann ich zur ver­tie­fen­den Lek­tü­re wärms­tens empfehlen:

Sie wol­len mit Ihrem Unter­neh­men selbst in die Cloud? Dann bin­den Sie Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig ein. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit, spre­chen Sie mich an.

Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Daten­si­cher­heit in Unter­neh­men oft­mals noch ver­nach­läs­sig­tes Thema

Online-Umfra­ge von “Deutsch­land sicher im Netz e.V.” (DsiN) ent­hüllt Schwachstellen

600 klei­ne und mit­tel­stän­di­sche Unter­neh­men betei­lig­ten sich an der aktu­el­len anony­men Online-Umfra­ge von DsiN. Das Ergeb­nis ist wenig schmei­chel­haft für die Ver­ant­wort­li­chen in den Unter­neh­men: ledig­lich ein Drit­tel der Befrag­ten gibt an, über eine Com­pli­ance-Stra­te­gie zu ver­fü­gen. Vor dem Hin­ter­grund dro­hen­der Buß­gel­der bei Nicht­ein­hal­tung von Daten­schutz- und Daten­si­cher­heits­re­geln — gera­de im Umgang mit per­so­nen­be­zo­ge­nen Daten — schwer nachvollziehbar.

Erfreu­lich zumin­dest die Aus­sa­ge, daß fast 70% immer­hin mit der Umset­zung von Ein­zel­maß­nah­men außer­halb eines Stra­te­gie­kon­zepts begon­nen haben. Aller­dings sind ledig­lich in 26,7% aller befrag­ten Unter­neh­men die Mit­ar­bei­ter durch regel­mä­ßi­ge Schu­lun­gen zum The­ma Daten­schutz und Daten­si­cher­heit sensibilisiert.

Gefah­ren lau­ern im (Büro-) Alltag

Spre­che ich mit Ver­ant­wort­li­chen in Unter­neh­men, so höre ich beim The­ma Daten­si­cher­heit oft ein­an­der ähneln­de Aus­sa­gen wie “Wir haben alles tech­nisch mög­li­che gegen Hacker­an­grif­fe unter­nom­men”, “Unse­re Back­up- und Reco­very-Stra­te­gie wird immer wie­der geprüft” oder auch “Unse­re IT ist in ein Rechen­zen­trum out­ges­ourct und daher voll­kom­men sicher”. In der Sum­me sicher der rich­ti­ge Ansatz, als häu­fig iso­liert umge­setz­te Ein­zel­maß­nah­men im Sin­ne einer Com­pli­ance-Stra­te­gie unzureichend.

Dabei wird oft­mals über­se­hen, daß die Gefah­ren für die Daten im Unter­neh­men nicht unbe­dingt von außen dro­hen, son­dern im ganz nor­ma­len Büro-All­tag auftreten:

  • USB-Sticks /​ Mobi­le Spei­cher­me­di­en: hier lau­ert gleich dop­pel­te Gefahr. Einer­seits durch den Ver­lust die­ser oft­mals nur noch dau­men­na­gel­gro­ßen Gerä­te mit eige­nen sen­si­blen und /​ oder per­so­nen­be­zo­ge­nen Daten. Ande­rer­seits das Risi­ko, unbe­merkt und unbe­wußt Schad­rou­ti­nen durch das unge­schütz­te Ein­ste­cken oder Ein­le­gen in das inter­ne Fir­men­netz einzuschleusen.
  • Mobi­le Gerä­te /​ Lap­tops /​ Smart­phones: Pro­ble­me tre­ten hier bei Ver­lust schnell zuta­ge durch feh­len­de Ver­schlüs­se­lung, lokal gespei­cher­te Infor­ma­tio­nen oder unzu­rei­chend gesi­cher­te VPN-Zugän­ge, meist zuguns­ten eines höhe­ren Bedien­kom­forts (in einer Stu­die von 2008 steht Kom­fort für knapp ein Vier­tel der IT-Ver­ant­wort­li­chen vor Datensicherheit).
  • Mul­ti­funk­ti­ons­ge­rä­te (MFG) /​ Kopie­rer: in einer immer mehr ver­netz­ten Welt kom­mu­ni­zie­ren die­se Gerä­te mitt­ler­wei­le über das Inter­net und sind somit von außen angreif­bar. Inter­ne Zwi­schen­spei­cher kön­nen bei Repa­ra­tur oder Aus­tausch durch exter­ne Dienst­leis­ter eben­falls Internas nach außen tragen.
  • VoIP (Voice over IP): meist kom­for­ta­bler und preis­güns­ti­ger als Tele­fon­an­la­gen birgt die Tech­nik jedoch auch Gefah­ren. Wie jede IP-Tech­no­lo­gie ist sie von außen angreif­bar und im Zwei­fel auf­grund unzu­rei­chen­der Schutz­maß­neh­men abhörbar.
  • Cloud Com­pu­ting: der gro­ße Hype aus 2010 setzt sich in 2011 fort — alle wol­len “in die Cloud”. Kos­ten­druck und Über­all-Ver­füg­bar­keit hin oder her soll­ten nicht davon ablen­ken, daß hier Fir­men­in­ter­na und per­so­nen­be­zo­ge­ne Daten in “öffent­li­che” Berei­che außer­halb des Unter­neh­mens aus­ge­la­gert und in die Ver­ant­wor­tung exter­ner Anbie­ter über­ge­ben werden.
  • Mit­ar­bei­ter: man­geln­der Kennt­nis­stand und feh­len­de Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter stell­ten mit die größ­ten Bedro­hungs­po­ten­tia­le für Ihre Unter­neh­mens­da­ten dar. Gesel­len sich noch Frust oder Vor­satz hin­zu, dann ist Ihr Unter­neh­men fast chancenlos.

Wie begeg­nen Sie die­sen Gefahren?

Eine schlüs­si­ge Com­pli­ance-Stra­te­gie bewer­tet die­se bei­spiel­haft genann­ten Gefah­ren­punk­te ent­spre­chend und sieht dafür — neben IT-gestütz­ten Mecha­nis­men — bewähr­te Ver­fah­rens­wei­sen vor:

  • Erstel­len und Umset­zen geeig­ne­ter, unter­neh­mens­wei­ter Benut­zer­richt­li­ni­en für den Umgang mit Tech­no­lo­gien mit Gefährdungspotential
  • Regel­mä­ßi­ge Schu­lun­gen und Sen­si­bi­li­sie­run­gen der Mit­ar­bei­ter z.B. im Rah­men der obli­ga­to­ri­schen Ver­pflich­tung auf das Datengeheimnis
  • Fort­lau­fen­de Infor­ma­ti­on der Unter­neh­mens­füh­rung und Mit­ar­bei­ter über neue Bedro­hungs­sze­na­ri­en auf­grund tech­ni­scher Weiterentwicklungen

Ihr Daten­schutz­be­auf­trag­ter ist gefordert

Die­se fort­wäh­ren­de Tätig­keit in Abstim­mung mit Unter­neh­mens­füh­rung und IT-Lei­tung ist ein klas­si­sches Tätig­keits­feld für Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Even­tu­ell sind Sie in Ihrem Unter­neh­men gesetz­lich zur Bestel­lung ver­pflich­tet. Ver­mei­den Sie unnö­ti­ge Bußgelder.

  • DsiN Sicher­heits­check online: Prü­fen Sie, wie fit Ihr Unter­neh­men in punk­to Daten­si­cher­heit ist

Der Baye­ri­sche Lan­des­da­ten­schutz­be­auf­trag­te Tho­mas Petri legt Tätig­keits­be­richt für 2010 vor

Auf den Web­sei­ten des baye­ri­schen Lan­des­da­ten­schutz­be­auf­trag­ten steht der Tätig­keits­be­richt für 2010 zur Ver­fü­gung. Dar­in moniert Tho­mas Petri das mitt­ler­wei­le in die Jah­re gekom­me­ne Lan­des­da­ten­schutz­ge­setz. Gera­de im Hin­blick auf den Umgang mit per­so­nen­be­zo­ge­nen Daten im Inter­net bestün­de Aktua­li­sie­rungs­be­darf. Wei­ter­hin betrach­tet er die Bün­de­lung der IT-Res­sour­cen des Frei­staats an weni­gen zen­tra­li­sier­ten Stel­len kri­tisch unter Daten­schutz­ge­sichts­punk­ten. Bei dem The­ma Cloud-Com­pu­ting für Behör­den mahnt er Zurück­hal­tung an.

Der voll­stän­di­ge Bericht kann auf www​.daten​schutz​-bay​ern​.de online ein­ge­se­hen oder als PDF abge­ru­fen werden.

Die mobile Version verlassen