aboutpixel.de / Datenschutz © Rainer Sturm

Der Lan­des­be­auf­trag­te für Daten­schutz von Rhein­land-Pfalz, Edgar Wag­ner ver­öf­fent­lich­te die Ergeb­nis­se sei­ner Daten­schutz-Umfra­ge bei rhein­land-pfäl­zi­schen Unter­neh­men. Die 1.500 größ­ten Unter­neh­men (> 50 Mit­ar­bei­ter) des Bun­des­lan­des soll­ten seit Mai 2011 Rede und Ant­wort zu The­men rund um den Daten­schutz und die Daten­si­cher­heit ste­hen.  Ant­wor­te­ten bereits 957 auf das ers­te Anschrei­ben, so erhöh­te sich die Zahl nach einer Erin­ne­rung im August 2011 auf 1.369 Rück­läu­fer. Knapp 7% der befrag­ten Unter­neh­men reagier­ten gar nicht.

Die Ergeb­nis­se in Kürze:

  • 8% der befrag­ten Unter­neh­men haben trotz Bestell­pflicht kei­nen Daten­schutz­be­auf­trag­ten bestellt
  • 12,5% aller Bestel­lun­gen sind nicht im Ein­klang mit dem Bun­des­da­ten­schutz­ge­setz (die Tätig­keit wird durch nicht unab­hän­gi­ge Per­so­nen wie die Geschäfts­füh­rung oder IT-Lei­tung ausgeübt)
  • Bei wei­te­ren 19,5% der Bestel­lun­gen sind Inter­es­sens­kon­flik­te zu vermuten
  • Ca. 20% der bestell­ten Daten­schutz­be­auf­trag­ten (DSB) weist aku­te fach­li­che Män­gel auf
  • Das Zeit­bud­get von zwei Drit­teln der DSB ist zu knapp bemessen
  • In 50% aller Fäl­le wer­den die not­wen­di­gen Kon­trol­len zur Auf­trags­da­ten­ver­ar­bei­tung nicht durchgeführt
Wag­ner zeig­te sich sehr erstaunt, dass 97,5% der befrag­ten Unter­neh­men kei­nen Bera­tungs­be­darf durch das LfD in Sachen Daten­si­cher­heit sehen. Da 2011 auf­grund der Vor­fäl­le wie um Sony oder den Deut­schen Zoll als das “Jahr der Hacker” in die Geschich­te ein­ge­hen wer­de, sehen hier nur 2,5% ent­spre­chen­den Unter­stüt­zungs­be­darf.  “Ent­we­der haben die Betrie­be die Befürch­tung, bei einer Bera­tung durch den LfD kon­trol­liert zu wer­den, oder sie unter­schät­zen die Daten­si­cher­heits­pro­ble­me”, fol­gert Wagner.
Apro­pos Bestell­pflicht: Ver­fügt Ihr Unter­neh­men bereits über einen Daten­schutz­be­auf­trag­ten? Wenn nein, wird es mög­li­cher­wei­se höchs­te Zeit auf­grund einer gesetz­li­chen Bestell­pflicht. Nicht sicher? Dann spre­chen Sie mich an und ver­mei­den Sie emp­find­li­che Buss­gel­der.
Quel­len
  • Pres­se­mel­dung des LfD
  • Foli­en-Prä­sen­ta­ti­on des LfD
Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

“Wie sehen und bewer­ten die Men­schen die Arbeit von Daten­schutz­be­auf­trag­ten?” - die­se Fra­ge stel­len der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) und die Carl von Ossietz­ky Uni­ver­si­tät Olden­burg. Ihre Ant­wort und Mei­nung zählt. Was ist Ihre Mei­nung über das Bild des betrieb­li­chen oder behörd­li­chen Datenschutzbeauftragten?

Die Teil­nah­me ist ganz einfach:

  1. Link (öff­net ein neu­es Fens­ter) anklicken
  2. Aus­fül­len + Absenden
  3. Fer­tig in weni­gen Minuten

Noch bis 15. Juni 2011 kön­nen Sie teil­neh­men. Auf­ge­ru­fen sind Men­schen aus allen Regio­nen und Gesellschaftsbereichen.

Mit Ihrer Hil­fe erfah­ren die Initia­to­ren, wie Sie die Arbeit von Daten­schutz­be­auf­trag­ten bewer­ten und wel­ches Bild Sie von den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten haben. Der BvD wird die Ergeb­nis­se der Stu­die her­an­zie­hen, um dar­aus Fol­gen für die zukünf­tig­te Ver­bands­ar­beit abzu­lei­ten. Im Herbst 2011 wer­den die Ergeb­nis­se veröffentlicht.

Unter­stüt­zen Sie die Akti­on und infor­mie­ren Sie mit­tels des vom BvD bereit­ge­stell­ten BvD Fly­er Auf­ruf Online­be­fra­gung Datenschützer

Online-Umfra­ge von “Deutsch­land sicher im Netz e.V.” (DsiN) ent­hüllt Schwachstellen

600 klei­ne und mit­tel­stän­di­sche Unter­neh­men betei­lig­ten sich an der aktu­el­len anony­men Online-Umfra­ge von DsiN. Das Ergeb­nis ist wenig schmei­chel­haft für die Ver­ant­wort­li­chen in den Unter­neh­men: ledig­lich ein Drit­tel der Befrag­ten gibt an, über eine Com­pli­an­ce-Stra­te­gie zu ver­fü­gen. Vor dem Hin­ter­grund dro­hen­der Buß­gel­der bei Nicht­ein­hal­tung von Daten­schutz- und Daten­si­cher­heits­re­geln — gera­de im Umgang mit per­so­nen­be­zo­ge­nen Daten — schwer nachvollziehbar.

Erfreu­lich zumin­dest die Aus­sa­ge, daß fast 70% immer­hin mit der Umset­zung von Ein­zel­maß­nah­men außer­halb eines Stra­te­gie­kon­zepts begon­nen haben. Aller­dings sind ledig­lich in 26,7% aller befrag­ten Unter­neh­men die Mit­ar­bei­ter durch regel­mä­ßi­ge Schu­lun­gen zum The­ma Daten­schutz und Daten­si­cher­heit sensibilisiert.

Gefah­ren lau­ern im (Büro-) Alltag

Spre­che ich mit Ver­ant­wort­li­chen in Unter­neh­men, so höre ich beim The­ma Daten­si­cher­heit oft ein­an­der ähneln­de Aus­sa­gen wie “Wir haben alles tech­nisch mög­li­che gegen Hacker­an­grif­fe unter­nom­men”, “Unse­re Back­up- und Reco­very-Stra­te­gie wird immer wie­der geprüft” oder auch “Unse­re IT ist in ein Rechen­zen­trum out­ge­sourct und daher voll­kom­men sicher”. In der Sum­me sicher der rich­ti­ge Ansatz, als häu­fig iso­liert umge­setz­te Ein­zel­maß­nah­men im Sin­ne einer Com­pli­an­ce-Stra­te­gie unzureichend.

Dabei wird oft­mals über­se­hen, daß die Gefah­ren für die Daten im Unter­neh­men nicht unbe­dingt von außen dro­hen, son­dern im ganz nor­ma­len Büro-All­tag auftreten:

  • USB-Sticks /​ Mobi­le Spei­cher­me­di­en: hier lau­ert gleich dop­pel­te Gefahr. Einer­seits durch den Ver­lust die­ser oft­mals nur noch dau­men­nagel­gro­ßen Gerä­te mit eige­nen sen­si­blen und /​ oder per­so­nen­be­zo­ge­nen Daten. Ande­rer­seits das Risi­ko, unbe­merkt und unbe­wußt Schad­rou­ti­nen durch das unge­schütz­te Ein­ste­cken oder Ein­le­gen in das inter­ne Fir­men­netz einzuschleusen.
  • Mobi­le Gerä­te /​ Lap­tops /​ Smart­pho­nes: Pro­ble­me tre­ten hier bei Ver­lust schnell zuta­ge durch feh­len­de Ver­schlüs­se­lung, lokal gespei­cher­te Infor­ma­tio­nen oder unzu­rei­chend gesi­cher­te VPN-Zugän­ge, meist zuguns­ten eines höhe­ren Bedien­kom­forts (in einer Stu­die von 2008 steht Kom­fort für knapp ein Vier­tel der IT-Ver­ant­wort­li­chen vor Datensicherheit).
  • Mul­ti­funk­ti­ons­ge­rä­te (MFG) /​ Kopie­rer: in einer immer mehr ver­netz­ten Welt kom­mu­ni­zie­ren die­se Gerä­te mitt­ler­wei­le über das Inter­net und sind somit von außen angreif­bar. Inter­ne Zwi­schen­spei­cher kön­nen bei Repa­ra­tur oder Aus­tausch durch exter­ne Dienst­leis­ter eben­falls Inter­nas nach außen tragen.
  • VoIP (Voice over IP): meist kom­for­ta­bler und preis­güns­ti­ger als Tele­fon­an­la­gen birgt die Tech­nik jedoch auch Gefah­ren. Wie jede IP-Tech­no­lo­gie ist sie von außen angreif­bar und im Zwei­fel auf­grund unzu­rei­chen­der Schutz­maß­neh­men abhörbar.
  • Cloud Com­pu­ting: der gro­ße Hype aus 2010 setzt sich in 2011 fort — alle wol­len “in die Cloud”. Kos­ten­druck und Über­all-Ver­füg­bar­keit hin oder her soll­ten nicht davon ablen­ken, daß hier Fir­men­in­ter­na und per­so­nen­be­zo­ge­ne Daten in “öffent­li­che” Berei­che außer­halb des Unter­neh­mens aus­ge­la­gert und in die Ver­ant­wor­tung exter­ner Anbie­ter über­ge­ben werden.
  • Mit­ar­bei­ter: man­geln­der Kennt­nis­stand und feh­len­de Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter stell­ten mit die größ­ten Bedro­hungs­po­ten­tia­le für Ihre Unter­neh­mens­da­ten dar. Gesel­len sich noch Frust oder Vor­satz hin­zu, dann ist Ihr Unter­neh­men fast chancenlos.

Wie begeg­nen Sie die­sen Gefahren?

Eine schlüs­si­ge Com­pli­an­ce-Stra­te­gie bewer­tet die­se bei­spiel­haft genann­ten Gefah­ren­punk­te ent­spre­chend und sieht dafür — neben IT-gestütz­ten Mecha­nis­men — bewähr­te Ver­fah­rens­wei­sen vor:

  • Erstel­len und Umset­zen geeig­ne­ter, unter­neh­mens­wei­ter Benut­zer­richt­li­ni­en für den Umgang mit Tech­no­lo­gien mit Gefährdungspotential
  • Regel­mä­ßi­ge Schu­lun­gen und Sen­si­bi­li­sie­run­gen der Mit­ar­bei­ter z.B. im Rah­men der obli­ga­to­ri­schen Ver­pflich­tung auf das Datengeheimnis
  • Fort­lau­fen­de Infor­ma­ti­on der Unter­neh­mens­füh­rung und Mit­ar­bei­ter über neue Bedro­hungs­sze­na­ri­en auf­grund tech­ni­scher Weiterentwicklungen

Ihr Daten­schutz­be­auf­trag­ter ist gefordert

Die­se fort­wäh­ren­de Tätig­keit in Abstim­mung mit Unter­neh­mens­füh­rung und IT-Lei­tung ist ein klas­si­sches Tätig­keits­feld für Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Even­tu­ell sind Sie in Ihrem Unter­neh­men gesetz­lich zur Bestel­lung ver­pflich­tet. Ver­mei­den Sie unnö­ti­ge Bußgelder.

  • DsiN Sicher­heits­check online: Prü­fen Sie, wie fit Ihr Unter­neh­men in punk­to Daten­si­cher­heit ist

Eine aktu­el­le Emnid Umfra­ge unter 1.000 Bun­des­bür­gern zeigt: die Bür­ger miss­trau­en Unter­neh­men in Sachen Daten­schutz immer mehr. 2009 wur­de die­se Umfra­ge zum ers­ten Mal durch­ge­führt, Schwer­punkt wie auch 2010: die Ver­trau­ens­wür­dig­keit von Unter­neh­men beim Schutz per­sön­li­cher Infor­ma­tio­nen. Im Schul­no­ten­prin­zip wur­den die Bran­chen Ein­zel­han­del, Ban­ken und Ver­si­che­run­gen, Online-Shops, öffent­li­cher Sek­tor, Tele­kom­mu­ni­ka­ti­ons­dienst­leis­ter sowie Trans­port und Ver­kehr bewertet.

Auf Platz 1 mit einer leich­ten Ver­bes­se­rung gegen­über 2009 lie­gen Behör­den und der öffent­li­che Sek­tor. Doch bereits hier zeigt sich, daß die Bran­chen kein über­zeu­gen­des Bild abge­ben. Denn die bes­te Bran­chen­be­wer­tung liegt bei 2,9 (3,1 in 2009). 43% der Umfra­ge­teil­neh­mer gaben den Behör­den jedoch ein “gut” und “sehr gut”. (mehr …)