DSB

Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht

von Sascha Kuhrau
12. Juli 2012

Irrtümer im Datenschutz

Willkommen zum ersten Teil unserer Serie “Irrtümer im Datenschutz”. Datenschutz ist in aller Munde, doch kaum jemand kennt das dahinterstehende Bundesdatenschutzgesetz (BDSG). Dabei ist das Datenschutzgesetz auf Bundesebene nicht mehr das Jüngste, existiert es doch bereits seit 1977.

Erstaunlicherweise herrscht über das Thema Datenschutz in der Praxis meist ein risikoreiches Halbwissen. Die Existenz oder die Inhalte des BDSG sind selten konkret bekannt, Aufklärung seitens des Gesetzgebers zu diesem Thema erfolgt bedauerlicherweise ebenfalls keine. Unternehmen und Unternehmer sind auf sich alleine gestellt, wenn es um die rechtliche Auseinandersetzung mit dem Thema Datenschutz und dessen konkrete (vorgeschriebenen) Maßnahmen im Betrieb geht. Was Wunder, wenn Datenschutz im Tagesgeschäft einen geringen Stellenwert einnimmt.

Es kann teuer werden

Im Jahr 2009 hat der Gesetzgeber die Strafen und Sanktionen für Nichteinhaltung der gesetzlichen Datenschutzvorschriften durch Unternehmen verschärft. Konkret werden diese in § 43 BDSG Bußgeldvorschriften und § 44 BDSG Strafvorschriften ähnlich dem aus der Straßenverkehrsordnung bekannten Bußgeldkatalog aufgelistet. Neben Auflagen durch die Landesdatenschutzbehörden können Unternehmer und Unternehmen schnell einem Bußgeldrisiko von bis zu 300.000 Euro ausgesetzt sein — und das sogar ganz ohne Datenpanne. Unwissenheit schützt auch hier vor Strafe nicht.

“Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht”

Weit gefehlt, denn in jedem Unternehmen wird für gewöhnlich mit personenbezogene Daten hantiert (der Gesetzgeber spricht von Erheben, Verarbeiten und Nutzen). Sind es nicht die Daten von Kunden und Geschäftspartnern, so existieren doch zumeist noch Mitarbeiterdaten im Unternehmen — und diese gelten rechtlich als “sensitiv” und damit besonders schützenswert. Doch schauen wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwendungsbereich des Gesetzes macht klar, was das Datenschutzgesetz schützt und wen es betrifft.

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

Betrachten wir die Definition nicht-öffentlicher Stellen:

§ 2 Öffentliche und nicht-öffentliche Stellen

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

Somit ist klar, die Annahme “Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht” gehört ins Reich der Mythen und Irrtümer! Sollten Sie bisher mit Ihrem Unternehmen (auch als Ein-Mann-Betrieb) nach dieser Fehleinschätzung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Identifikation der Bußgeldrisiken, denen Sie sich und Ihrem Unternehmen ausgesetzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juristischen Untiefen des Bundesdatenschutzgesetzes stürzen und Aktivitäten entwickeln, fragen Sie einfach den Fachmann — a.s.k. Datenschutz. Mittels standardisierter Prüf- und Auditierungsverfahren identifizieren wir gemeinsam mit Ihnen schnell, unbürokratisch und zuverlässig die notwendigen Maßnahmen, die für eine gesetzeskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen sorgen. Selbstverständlich unterstützen wir Sie ebenfalls aktiv bei der internen Umsetzung und betreuen Sie im Anschluß als sog. externer Datenschutzbeauftragter, wenn die Überprüfung das Vorliegen einer Bestellpflicht ergibt.

Vertrauen Sie langjähriger Erfahrung aus der bundesweiten Beratung und Betreuung kleiner und großer Unternehmen aus den unterschiedlichsten Branchen und profitieren Sie von diesem übergreifenden Know-How.

Nutzen Sie einfach unseren Rückruf-Service, wir melden uns garantiert! Oder fordern Sie doch gleich Ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Bildnachweis: aboutpixel.de / Dead End © Nachtschreck

Kein Datenschutz aus Kostengründen? Das muss nicht sein

von Sascha Kuhrau
5. Januar 2012

Ein Experte der IHK Regensburg für Oberpfalz/Kelheim äußert sich aktuell folgendermaßen: „Gerade für kleinere Betriebe ist es vermutlich schwierig, auch die entsprechenden finanziellen Mittel für den Datenschutz aufzubringen, um immer alle Bestimmungen einzuhalten.“ Der Datenschutzbeauftragte der IHK für Niederbayern in Passau schiebt nach: „Bei vielen Unternehmen besteht eine erhebliche Rechtsunsicherheit, wie sie mit den Daten ihrer Kunden umgehen sollen.“

Kein Datenschutz aus Kostengründen oder Unsicherheit? Das muss nicht sein!

Der Gesetzgeber unterstützt

Mit § 4f BDSG (Bundesdatenschutzgesetz) schreibt der Gesetzgeber die Voraussetzungen für die gesetzliche Bestellpflicht eines Datenschutzbeauftragten vor. Wohl wissend, dass ein interner Datenschutzbeauftragter für viele mittelständische Betriebe keine Ideallösung ist (erweiterter Kündigungsschutz, mangelnde Kostentransparenz und Kontrolle, siehe diesen Beitrag), bietet das BDSG auch gleich in Absatz 2 die passende Lösung an — “Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden.”

Viele Vorteile sprechen für Outsourcing

Wer die Vor- und Nachteile des Einsatzes eines internen oder externen Datenschutzbeauftragten gegenüberstellt, wird die unternehmerischen und zahlreichen Vorteile der externen Bestellmöglichkeit für einen Datenschutzbeauftragten klar erkennen. Beispielhaft seien hier kurz angeführt

Volle Kostenkontrolle und Transparenz
Wegfall des erweiterten Kündigungsschutzes
Übergreifendes, interdisziplinäres Branchen-Know-How des externen Spezialisten
Wegfall der internen Kosten für Grundausbildung, Fort- und Weiterbildung, Literatur, Material und Räumlichkeiten
Weitere Vorteile können Sie in diesem Beitrag kennenlernen

„Bei vielen Betrieben gibt es den Datenschutzbeauftragten nur auf dem Papier. Besonders für kleinere Betriebe kann es ein Problem sein, Mitarbeiter in den eigenen Reihen zu finden, die die nötige Qualifikation, Zeit und Erfahrung für diese Aufgabe haben“, vermutet Bernhard Matula, Datenschutzbeauftragter der Handwerkskammer Niederbayern/Oberpfalz.

Vermeiden Sie Bußgelder und Auflagen

Doch weder die eigene Unsicherheit im Umgang mit diesem Thema noch die Kosten gelten als Ausrede, sollte die Nichtbestellung eines Datenschutzbeauftragten bei vorliegender Bestellpflicht aktenkundig werden. Empfindliche Bußgelder drohen, die es zu vermeiden gilt. Wie Sie das machen? Fordern Sie doch einfach noch heute ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.

Ich freue mich auf Sie
Sascha Kuhrau

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Alle reden von der Cloud …

von Sascha Kuhrau
29. Dezember 2011
1 Kommentar

.. aber oftmals ist gar nicht so klar, was damit eigentlich gemeint ist. Ein Unternehmen spricht in Werbekampagnen massiv Privatkunden an, persönliche Daten und Dokumente doch einfach in der Cloud zu speichern, um “in”, “hip” und “trendy” zu sein. Andere Anbieter richten sich mit etwas gezielteren Informationen und Leistungsbeschreibungen an Unternehmen und Unternehmer.

Neben der ganzen Verwirrung um die Definition beflügeln weitere Verkaufsargumente wie Überall-Zugriff und Kosteneinsparpotentiale die Phantasie. Darüber geraten die datenschutzrechtlichen Aspekte und Notwendigkeiten einer solchen Outsourcing-Lösung schnell außer Acht.

Denn oftmals wird vergessen: Cloud Computing ist nach deutschem Datenschutzrecht klassische Auftragsdatenverarbeitung nach § 11 BDSG. Und diese bedarf einiger Voraussetzungen, die vor Inbetriebnahme umzusetzen und einzuhalten sind. Zuwiderhandlungen können nach § 43 BDSG mit Bußgeldern bis 50.000 EUR belegt werden. Da ist die Kosteneinsparung schnell wieder aufgezehrt.

Drei Artikel kann ich zur vertiefenden Lektüre wärmstens empfehlen:

“Herausforderung Cloud Computing” von Guido Strunck
“Cloud Computing und Datenschutz vom” ULD
“Sicher in der Wolke oder doch nur im Nebel gestochert” von datenschutzbeauftragter-info.de (Update vom 29.04.2011)

Sie wollen mit Ihrem Unternehmen selbst in die Cloud? Dann binden Sie Ihren Datenschutzbeauftragten frühzeitig ein. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit, sprechen Sie mich an.

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Datenschutz-Studie des LfD Rheinland-Pfalz veröffentlicht — Probleme werden von den Unternehmen unterschätzt

von Sascha Kuhrau
2. November 2011
2 Kommentare

Der Landesbeauftragte für Datenschutz von Rheinland-Pfalz, Edgar Wagner veröffentlichte die Ergebnisse seiner Datenschutz-Umfrage bei rheinland-pfälzischen Unternehmen. Die 1.500 größten Unternehmen (> 50 Mitarbeiter) des Bundeslandes sollten seit Mai 2011 Rede und Antwort zu Themen rund um den Datenschutz und die Datensicherheit stehen. Antworteten bereits 957 auf das erste Anschreiben, so erhöhte sich die Zahl nach einer Erinnerung im August 2011 auf 1.369 Rückläufer. Knapp 7% der befragten Unternehmen reagierten gar nicht.

Die Ergebnisse in Kürze:

8% der befragten Unternehmen haben trotz Bestellpflicht keinen Datenschutzbeauftragten bestellt
12,5% aller Bestellungen sind nicht im Einklang mit dem Bundesdatenschutzgesetz (die Tätigkeit wird durch nicht unabhängige Personen wie die Geschäftsführung oder IT-Leitung ausgeübt)
Bei weiteren 19,5% der Bestellungen sind Interessenskonflikte zu vermuten
Ca. 20% der bestellten Datenschutzbeauftragten (DSB) weist akute fachliche Mängel auf
Das Zeitbudget von zwei Dritteln der DSB ist zu knapp bemessen
In 50% aller Fälle werden die notwendigen Kontrollen zur Auftragsdatenverarbeitung nicht durchgeführt

Wagner zeigte sich sehr erstaunt, dass 97,5% der befragten Unternehmen keinen Beratungsbedarf durch das LfD in Sachen Datensicherheit sehen. Da 2011 aufgrund der Vorfälle wie um Sony oder den Deutschen Zoll als das “Jahr der Hacker” in die Geschichte eingehen werde, sehen hier nur 2,5% entsprechenden Unterstützungsbedarf. “Entweder haben die Betriebe die Befürchtung, bei einer Beratung durch den LfD kontrolliert zu werden, oder sie unterschätzen die Datensicherheitsprobleme”, folgert Wagner.

Apropos Bestellpflicht: Verfügt Ihr Unternehmen bereits über einen Datenschutzbeauftragten? Wenn nein, wird es möglicherweise höchste Zeit aufgrund einer gesetzlichen Bestellpflicht. Nicht sicher? Dann sprechen Sie mich an und vermeiden Sie empfindliche Bussgelder.

Quellen

Pressemeldung des LfD
Folien-Präsentation des LfD

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Quo vadis Arbeitnehmerdatenschutz? (Update)

von Sascha Kuhrau
12. Oktober 2011

Für einiges Aufsehen sorgte im August letzten Jahres der Entwurf der Bundesregierung für ein neues Arbeitnehmerdatenschutzgesetz. Der Name sollte nicht irreführen, es wird wohl kein eigenständiges Gesetz geben. Es ist vielmehr beabsichtigt, die ergänzenden Regelungen in das Bundesdatenschutzgesetz (BDSG) zu integrieren. Ziel ist es, diese noch vor Sommer 2011 in Kraft treten zu lassen.

Bei aller Euphorie um die notwendigen Regelungen sorgte der Entwurf jedoch auch für kritische Stimmen. Im November 2010 nahm der Bundesrat zu den geplanten Ausgestaltungen Stellung und bemängelte unter anderem fehlende Regelungen für einen möglichen Konzerndatenschutz, die schwere Les- und Nachvollziehbarkeit der ausformulierten Regelungen (gerade für juristische Laien) oder auch die Vereinbarkeit mit anderen gesetzlichen Regelungen.

Der Tagesspiegel bringt es am 30.01.2011 auf den Punkt: es ist für alle Beteiligten zu früh, sich gegenseitig auf die Schulter zu klopfen. Ein zitiertes Gutachten stellt fest, die geplanten Regelungen schützen nicht die Arbeitnehmer besser in Sachen Datenschutz. Im Gegenteil, diese sind ein Katalog an Erlaubnistatbeständen für Arbeitgeber, umfassend Daten über ihre Mitarbeiter zu erheben.

Es bleibt spannend!

Sind in Ihrem Unternehmen die bereits geltenden Aspekte des Arbeitnehmerdatenschutz regelkonform umgesetzt? Diese Frage beantwortet Ihnen ihr betrieblicher Datenschutzbeauftragter. Sie haben noch keinen? Dann sprechen Sie mich an.

Der Gesetzentwurf der Bundesregierung vom 25.08.2010
Stellungnahme des Bundesrats vom 05.11.2010
Gegenäußerung der Bundesregierung vom vom 15.12.2010

Update vom 18.02.2011:

Guido Strunck schreibt in seinem Blog zur IT-Sicherheit nicht ganz unbegründet von einem Arbeitnehmerdatennutzgesetz. Lesen Sie mehr.

Update vom 12.10.2011:

Wie das Handelsblatt in seiner aktuellen Mittwochsausgabe berichtet, formiert sich weiterer Widerstand gegen das geplante Arbeitnehmerdatenschutzgesetz. Über 3.000 Personal- und Betriebsräte haben sich deutschlandweit zu einer Initiative zusammengeschlossen. “Statt nach den Datenschutzskandalen wie angekündigt die Beschäftigten besser zu schützen, werden Bespitzelungen mit dem vorliegenden Gesetzentwurf auch noch legalisiert”, sagte der DGB-Vorsitzende Michael Sommer dem “Handelsblatt”. Lesen Sie mehr.

Jeder darf mitmachen — nun auch Datenpanne bei Sega

von Sascha Kuhrau
19. Juni 2011
1 Kommentar

Die Geister, die ich rief

Nur böse Zungen behaupten, PwC hätte mit der vorgelegten Studie zum Datenschutz in Unternehmen (“Nichts dazugelernt? Unternehmen pfeifen auf Datenschutz”) die bösen Geister gerufen, die nun dazu führen, daß reihenweise bekannte und teilweise globale Markenunternehmen mit Datenpannen in den Medien landen.

Man muß kein Insider sein, um zu erkennen, daß ein Gemisch aus laxem Umgang mit dem Thema Datenschutz, teilweise veralteten IT-Sicherheitsmechanismen und dem Faktor Mensch die Ursache ist.

Der Nächste bitte

Nach Sony, Apple, Facebook, Neckermann, Acer, o2, citibank war nun laut mehreren Medienberichten Sega an der Reihe. Deren Online-Netzwerk Sega-Pass sei angegriffen und Kundendaten entwendet worden. Betroffen sollen Personendaten sowie die verschlüsselten Passwörter sein. Zahlungsdaten wären wohl nicht betroffen.

Reden ist Silber, Schweigen ist Gold

Sega hat das Pass-System derweil vom Netz genommen, angeblich um neue Funktionen einzupflegen. Eine offizielle Stellungnahme zu dem möglichen Vorfall ist nicht zu finden.

Die Hintermänner

Unklar ist zur Zeit noch, wer hinter der Attacke stecken könnte. Die Hackergruppe LulzSec, die sich zu dem Angriff auf Sony bekannte, weist jede Verantwortung von sich. Ironischerweise bietet sie Sega bei Twitter nun Hilfe an, die Schuldigen aufzuspüren:

LulzSec: “@Sega — contact us. We want to help you destroy the hackers that attacked you. We love the Dreamcast, these people are going down.”

Vorbeugen ist besser

Frühzeitige Einbindung des Datenschutzbeauftragten in (IT-) Projekte, regelmäßiges Monitoring der internen IT-Sicherheitsmaßnahmen, Aktualisierung der IT-Systeme (z.B. Sicherheitspatches), grundlegende Modellierung nach dem BSI Grundschutzkatalog sowie fortlaufende Sensibilisierung der Mitarbeiter und Unternehmensleitung zum Thema Datenschutz und Datensicherheit schließen zwar solche Datenpannen nicht aus, reduzieren aber das Risiko deutlich. Ein guter Datenschutzbeauftragter hält als Krisenmanager für den hoffentlich nicht eintretenden Fall einer Datenpanne eine festgelegte Verfahrensweise parat, welche den offenen Umgang mit dem Vorfall im Zusammenspiel mit den Datenschutzbehörden und den Betroffenen vorsieht.

Sie haben gar keinen Datenschutzbeauftragten im Unternehmen? Dann verstoßen Sie möglicherweise bereits ganz ohne Datenpanne gegen das Bundesdatenschutzgesetz und setzen Ihr Unternehmen unnötig einem Bußgeldrisiko bis 50.000 EUR aus. Im Zweifel nutzen Sie unseren Online-Fragebogen und erhalten Klarheit in Verbindung mit einem transparenten und nachvollziehbaren Angebot zu darstellbaren Preisen.

Nichts dazugelernt? Unternehmen pfeifen auf Datenschutz

von Sascha Kuhrau
6. Juni 2011

Sony, Facebook und jetzt Neckermann — bekannte Marken kämpfen mit Datenpannen. Parallel dazu liefert eine Umfrage von TNS-Emnid im Auftrag von PwC ein umso erstaunlicheres Ergebnis: Deutsche Unternehmen pfeifen auf Datenschutz.

Verzerrte Eigenwahrnehmung

Jeder vierte Datenschutzbeauftragte der 1.000 größten deutschen Unternehmen wurde im Rahmen der Studie befragt. Zwei Drittel der Befragten antworten, Datenschutz würde in ihrem Unternehmen als wichtig wenn nicht sogar sehr wichtig betrachtet. Die Meinungsforscher schauten genauer hin: so wird lediglich in 4 von 10 Unternehmen ein regelmäßiger Datenschutzbericht angefordert. 25% der Befragten erstellen den Bericht unregelmäßig und in 35% der Unternehmen wird dieser erst gar nicht erstellt.

Kosten sparen

Das ist das vorherrschende Motto in den Unternehmen laut den Meinungsforschern, auch beim Thema Datenschutz. Fehlende personelle Ressourcen des Datenschutzbeauftragten gepaart mit mangelnder Einbindung in interne Kommunikation und Planungen machen den Stellenwert des Themas deutlich. So werden beispielsweise bei der Einführung neuer Datenverarbeitungssysteme nur in maximal 60% der Unternehmen die Datenschutzbeauftragten in die wichtige Planungsphase mit eingebunden.

Die Hoffnung stirbt zuletzt

Bleibt der Trost, daß in 2 von 3 Fällen einer Datenschutzverletzung Unachtsamkeit die Ursache war. Bei vier von zehn Vorfällen war den Beteiligten nicht mal bewußt, daß gegen bestehende Datenschutzgesetze verstoßen wird.

Risiko für Unternehmen

Mangelnder Datenschutz birgt jedoch für Unternehmen ein nicht unbedeutendes Risiko, Bußgelder und Strafen seitens der Landesdatenschutzbehörden auferlegt zu bekommen. Durch die Novellierung des Bußgeldkatalogs im Bundesdatenschutzgesetz in 2009 stehen konkrete Bußgeldrisiken für jedes Unternehmen und jeden Unternehmer im Raum — und das nicht erst, wenn es zu einer Datenpanne gekommen ist. Untätigkeit, fehlerhafte oder fehlende Regelungen in der sog. Auftragsdatenverarbeitung (Outsourcing), fehlende oder zu späte oder pro forma Bestellung eines Datenschutzbeauftragten sind nur einige Punkte, die ganz ohne Datenpanne zu einem Bußgeld führen.

Und wer glaubt, Geld zu sparen, bis es das Unternehmen im Rahmen einer Stichprobe, einer Beschwerde oder im schlimmsten Fall einer Datenpanne erwischt und meint, sich dann erst des Themas annehmen zu müssen, für den hält § 43 BDSG Absatz 3 eine kleine Überraschung parat: “Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.” Die Rechnung kann also nicht aufgehen.

Chancen nutzen

Dabei kann Datenschutz viel mehr sein, als die reine Vermeidung von Bußgeldern und Auflagen. Moderne Unternehmen nutzen die Chance, um sich durch konsequenten Datenschutz vom Wettbewerb abzuheben. Sie setzen nicht nur das gesetzlich vorgeschriebene Mindestmaß um, sondern nutzen Datenschutz — oft in Verbindung mit Qualitätsmanagementprogrammen -, um konsequent besser zu werden und Vorteile für sich zu nutzen. Und die Vorteile sind weit gefächert: beginnend vom Qualitätsmerkmal, um sich von Wettbewerbern positiv zu unterscheiden, über Datenschutz als Kundenbindungsinstrument bis hin zu den möglichen Kostensenkungspotentialen bei IT-Ausfällen.

Was können Sie tun?

Prüfen Sie, ob für Ihr Unternehmen die gesetzliche Bestellpflicht vorliegt! Wenn ja, dann holen Sie sich ein Angebot ein, um die weitere Vorgehensweise und mögliche Kosten abzustimmen. Wenn nein, dann lehnen Sie sich nicht zurück. Jetzt müssen Sie als Geschäftsführer / Unternehmer selbst ran, um die gesetzliche vorgeschriebenen Maßnahmen zum Datenschutz in Ihrem Unternehmen sicherzustellen. Fehlen Ihnen das Know-How und die Zeit? Auch dann stehe ich Ihnen als Berater mit meinen Leistungen zur Seite — ganz ohne Bestellung zum Datenschutzbeauftragten. Sprechen Sie mich an. Die schlechteste Alternative: nichts tun und abwarten — das wird teuer!

Datensicherheit in Unternehmen oftmals noch vernachlässigtes Thema

von Sascha Kuhrau
28. Februar 2011

Online-Umfrage von “Deutschland sicher im Netz e.V.” (DsiN) enthüllt Schwachstellen

600 kleine und mittelständische Unternehmen beteiligten sich an der aktuellen anonymen Online-Umfrage von DsiN. Das Ergebnis ist wenig schmeichelhaft für die Verantwortlichen in den Unternehmen: lediglich ein Drittel der Befragten gibt an, über eine Compliance-Strategie zu verfügen. Vor dem Hintergrund drohender Bußgelder bei Nichteinhaltung von Datenschutz- und Datensicherheitsregeln — gerade im Umgang mit personenbezogenen Daten — schwer nachvollziehbar.

Erfreulich zumindest die Aussage, daß fast 70% immerhin mit der Umsetzung von Einzelmaßnahmen außerhalb eines Strategiekonzepts begonnen haben. Allerdings sind lediglich in 26,7% aller befragten Unternehmen die Mitarbeiter durch regelmäßige Schulungen zum Thema Datenschutz und Datensicherheit sensibilisiert.

Gefahren lauern im (Büro-) Alltag

Spreche ich mit Verantwortlichen in Unternehmen, so höre ich beim Thema Datensicherheit oft einander ähnelnde Aussagen wie “Wir haben alles technisch mögliche gegen Hackerangriffe unternommen”, “Unsere Backup- und Recovery-Strategie wird immer wieder geprüft” oder auch “Unsere IT ist in ein Rechenzentrum outgesourct und daher vollkommen sicher”. In der Summe sicher der richtige Ansatz, als häufig isoliert umgesetzte Einzelmaßnahmen im Sinne einer Compliance-Strategie unzureichend.

Dabei wird oftmals übersehen, daß die Gefahren für die Daten im Unternehmen nicht unbedingt von außen drohen, sondern im ganz normalen Büro-Alltag auftreten:

USB-Sticks / Mobile Speichermedien: hier lauert gleich doppelte Gefahr. Einerseits durch den Verlust dieser oftmals nur noch daumennagelgroßen Geräte mit eigenen sensiblen und / oder personenbezogenen Daten. Andererseits das Risiko, unbemerkt und unbewußt Schadroutinen durch das ungeschützte Einstecken oder Einlegen in das interne Firmennetz einzuschleusen.
Mobile Geräte / Laptops / Smartphones: Probleme treten hier bei Verlust schnell zutage durch fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge, meist zugunsten eines höheren Bedienkomforts (in einer Studie von 2008 steht Komfort für knapp ein Viertel der IT-Verantwortlichen vor Datensicherheit).
Multifunktionsgeräte (MFG) / Kopierer: in einer immer mehr vernetzten Welt kommunizieren diese Geräte mittlerweile über das Internet und sind somit von außen angreifbar. Interne Zwischenspeicher können bei Reparatur oder Austausch durch externe Dienstleister ebenfalls Internas nach außen tragen.
VoIP (Voice over IP): meist komfortabler und preisgünstiger als Telefonanlagen birgt die Technik jedoch auch Gefahren. Wie jede IP-Technologie ist sie von außen angreifbar und im Zweifel aufgrund unzureichender Schutzmaßnehmen abhörbar.
Cloud Computing: der große Hype aus 2010 setzt sich in 2011 fort — alle wollen “in die Cloud”. Kostendruck und Überall-Verfügbarkeit hin oder her sollten nicht davon ablenken, daß hier Firmeninterna und personenbezogene Daten in “öffentliche” Bereiche außerhalb des Unternehmens ausgelagert und in die Verantwortung externer Anbieter übergeben werden.
Mitarbeiter: mangelnder Kenntnisstand und fehlende Sensibilisierung Ihrer Mitarbeiter stellten mit die größten Bedrohungspotentiale für Ihre Unternehmensdaten dar. Gesellen sich noch Frust oder Vorsatz hinzu, dann ist Ihr Unternehmen fast chancenlos.

Wie begegnen Sie diesen Gefahren?

Eine schlüssige Compliance-Strategie bewertet diese beispielhaft genannten Gefahrenpunkte entsprechend und sieht dafür — neben IT-gestützten Mechanismen — bewährte Verfahrensweisen vor:

Erstellen und Umsetzen geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
Regelmäßige Schulungen und Sensibilisierungen der Mitarbeiter z.B. im Rahmen der obligatorischen Verpflichtung auf das Datengeheimnis
Fortlaufende Information der Unternehmensführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen

Ihr Datenschutzbeauftragter ist gefordert

Diese fortwährende Tätigkeit in Abstimmung mit Unternehmensführung und IT-Leitung ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten. Sie haben keinen Datenschutzbeauftragten? Dann sprechen Sie mich an. Eventuell sind Sie in Ihrem Unternehmen gesetzlich zur Bestellung verpflichtet. Vermeiden Sie unnötige Bußgelder.

DsiN Sicherheitscheck online: Prüfen Sie, wie fit Ihr Unternehmen in punkto Datensicherheit ist

Der Bayerische Landesdatenschutzbeauftragte Thomas Petri legt Tätigkeitsbericht für 2010 vor

von Sascha Kuhrau
15. Februar 2011

Auf den Webseiten des bayerischen Landesdatenschutzbeauftragten steht der Tätigkeitsbericht für 2010 zur Verfügung. Darin moniert Thomas Petri das mittlerweile in die Jahre gekommene Landesdatenschutzgesetz. Gerade im Hinblick auf den Umgang mit personenbezogenen Daten im Internet bestünde Aktualisierungsbedarf. Weiterhin betrachtet er die Bündelung der IT-Ressourcen des Freistaats an wenigen zentralisierten Stellen kritisch unter Datenschutzgesichtspunkten. Bei dem Thema Cloud-Computing für Behörden mahnt er Zurückhaltung an.

Der vollständige Bericht kann auf www.datenschutz-bayern.de online eingesehen oder als PDF abgerufen werden.

Videoüberwachung — umsichtig einsetzen, Konflikte vermeiden

von Sascha Kuhrau
11. Februar 2011

Gestern verlautbarte der Newsticker von heise online Beanstandungen des Hamburger Datenschutzbeauftragten Johannes Caspar an der Praxis zur Videoüberwachung der ebenfalls in Hamburg ansässigen ECE-Gruppe. Diese betreibt 93 Shopping Center in Deutschland. Auslöser war eine Kontrolle des Alstertal-Hauses, einem ECE-Shopping-Center in Hamburg. Caspar monierte eine zu umfängliche Videoüberwachung, unter anderem in Eingangsbereichen zu Toiletten und Umkleideräumen, aber auch von Rolltreppen und Aufenthaltsräumen wie Cafés, in denen sich die Besucher in Shopping-Pausen niederlassen.

Caspars Behörde forderte daraufhin den Abbau von 24 der 75 installierten Kameras. ECE zieht sich auf die Position zurück, es sei ausdrücklicher Kundenwunsch nach Sicherheit und man würde Aufzeichnungen nur im Falle von Straftaten an die Sicherheitsbehörden weiterleiten. Ein Abbau käme daher nur in Einzelfällen in Frage. Der Streit liegt nun zur Entscheidung beim zuständigen Hamburger Verwaltungsgericht. Vom Urteil erhofft sich Caspar eine Signalwirkung auch für andere Bundesländer, deren Datenschutzbeauftragte die Vorgehensweise begrüßen und mittragen.

Das Bundesdateschutzgesetz (BDSG) regelt in § 6b, § 32 und § 38 den Einsatz von Videoüberwachung in öffentlichen und nicht-öffentlichen Bereichen. Bereiche wie Bahnhöfe, Banken, Fußgängerzonen, aber auch Einkaufzentren dürfen mittels Videokameras überwacht werden. Allerdings gem. § 6b BDSG nur unter bestimmten Bedingungen wie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen, wenn der Zweck konkret festgelegt ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.

Doch selbst wenn das BDSG den Einsatz der Videoüberwachung legitimiert, so gilt salopp gesagt einfach Kamera aufhängen is’ nich’. Das BDSG sieht vielmehr eine Reihe an Maßnahmen vor, die eine Videoübewachung begleiten müssen. Das beginnt mit einer ausreichenden Signalisierung und hört mit verbindlichen Regelungen und Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer — für den Fall einer Mitarbeiterüberwachung — nicht auf.

Genug Möglichkeiten für Unternehmen, das probate Mittel Videoüberwachung rechtswidrig einzusetzen und sich den Unmut von Kunden, Mitarbeitern und der Landesdatenschutzbehörden zuzuziehen. Abhilfe gibt es. Fragen Sie Ihren Datenschutzbeauftragten. Sie haben noch keinen? Dann sprechen Sie mich an.