2011 und auch schon zu Beginn des Jahres 2012 wurden in der Öffentlichkeit diverse Datenschutzthemen zum Teil kritisch und kontrovers diskutiert.

---

Unter anderem wird die Nutzung von Face­book vom „Düs­sel­dor­fer Kreis“, der informellen Vere­ini­gung der ober­sten Auf­sichts­be­hör­den, als daten­schutzrechtlich prob­lema­tisch ange­se­hen. So soll z. B. die Nutzung von Face­book-Fan­pages gegen das Bun­des­daten­schutzge­setz ver­stoßen und auch der Ein­satz von Social-Net­work-Plu­g­ins „gefällt mir“ wird als nicht daten­schutzkon­form ange­se­hen. Grund­sät­zlich muss jedes Unternehmen über­legen, wie zukün­ftig mit dem The­ma „Social Media“ umge­gan­gen wer­den soll.

Ein sor­glos­er Umgang bringt zum Teil unkalkulier­bare Risiken und erle­ichtert z. B. Daten­raubzüge der Indus­tries­pi­one und den unberechtigten Zugang zu Dat­en durch Datendiebe.

Schlag­wörter wie „Bring your own device“ begleit­en uns in der aktuellen Diskus­sion zur Nutzung von pri­vat­en Sys­te­men bei der Erfül­lung betrieblich­er Auf­gaben. „Bring your own device“ bedeutet, dass Mitar­beit­er ihre pri­vat­en IT-Sys­teme zur Abar­beitung von dien­stlichen Auf­gaben nutzen und in das Unternehmen­snet­zw­erk ein­binden. Hier ist sorgsam zu prüfen, wie dieser Trend in Ein­klang mit Daten­schutz und IT-Sicher­heit gebracht wer­den kann.

Das Jahr 2012 wird weit­ere grundle­gende Entschei­dun­gen für den Daten­schutz brin­gen. Die zur Ver­ab­schiedung anste­hende EU-Daten­schutzverord­nung wird zum Teil nationale Daten­schutzge­set­ze ablösen bzw. ergänzen. Die EU-Daten­schutzverord­nung wird bei Umset­zung gravierende ver­schär­fende Auswirkun­gen auf das The­ma Daten­schutz in Deutsch­land haben. So ist zum Beispiel eine Benachrich­ti­gungspflicht des Unternehmens im Fall eines ver­muteten unberechtigten Zugriffs auf Dat­en bin­nen 24 Stun­den an die zuständi­ge Daten­schutza­uf­sichts­be­hörde geplant. Die Bußgelder sollen drastisch erhöht wer­den. Im Entwurf wer­den Zahlen zwis­chen 100.000 und 1.000.000 Euro oder bis zu 2 Prozent des Jahre­sum­satzes ein­er Fir­ma genan­nt. Es ist davon auszuge­hen, dass die EU-Daten­schutzverord­nung sehr reale Auswirkun­gen auf die Geschäft­sprozesse der Unternehmen haben wird.

Seit Län­gerem liegt in Deutsch­land ein Entwurf für ein Beschäftig­ten­daten­schutzge­setz vor. Am 10. Feb­ru­ar 2012 wurde über www.zeitonline.de fol­gende Nachricht kom­mu­niziert: „Die Regierungskoali­tion hat sich auf ein neues Gesetz geeinigt, das Arbeit­nehmer bess­er vor heim­lich­er Beobach­tung durch den Arbeit­ge­ber schützen soll. Die FDP-Innen­ex­per­tin Gisela Piltz bestätigte einen entsprechen­den Bericht der Finan­cial Times Deutsch­land. Danach soll eine ver­steck­te Videoüberwachung grund­sät­zlich ver­boten sein. Auf Druck der Wirtschaft kön­nen jedoch Rechte von Mitar­beit­ern eingeschränkt wer­den, wenn es entsprechende Betrieb­svere­in­barun­gen oder per­sön­liche Ein­willi­gun­gen der Arbeit­nehmer gibt. Über die Ini­tia­tive war zuvor monate­lang debat­tiert worden.“

Dat­en- und IT-Sicher­heit 2012/2013. Für die Zukun­ft prog­nos­tizieren Experten weit­ere Bedro­hun­gen der IT-Sicher­heit von Regierun­gen und Unternehmen. So wird nicht nur die Anzahl der geziel­ten Angriffe auf staatliche Insti­tu­tio­nen und Unternehmen weit­er steigen, es ist auch damit zu rech­nen, dass die Band­bre­ite der Opfer merk­lich aus­geweit­et wird. Die Sicher­heit­sex­perten von Kasper­sky Lab gehen davon aus, dass vor allem Unternehmen aus der Rohstof­fgewin­nung, Energie‑, Verkehrs‑, Lebens­mit­tel- und Phar­main­dus­trie sowie Inter­net-Ser­vices und IT-Unternehmen die Angriff­sziele der Zukun­ft sein werden.

Die Weit­er­en­twick­lun­gen inner­halb der IT-Sicher­heits­branche zur Abwehr geziel­ter Angriffe sowie das gewach­sene Bewusst­sein der Öffentlichkeit zwingt Cyberkrim­inelle, neue Instru­mente zu entwick­eln. Die herkömm­liche Meth­ode der Angriffe via E‑Mail wird zunehmend weniger effek­tiv wer­den. Attack­en beim Ein­satz von Browsern wer­den hinge­gen an Pop­u­lar­ität gewinnen.

Der Siegeszug der Tablet Com­put­er wird sich fort­set­zen. Die Anzahl der Bedro­hun­gen für mobile Endgeräte wird weit­er­hin steigen, wobei Google Android das primäre Angriff­sziel bleiben wird. Das bedeutet, dass auch bei mobilen Geräten im Hin­blick auf Daten­schutz und IT-Sicher­heit hohe Sicher­heit­san­forderun­gen notwendig sind.

Smart­phone-Anbi­eter müssen auf einem umkämpften Markt beste­hen, der per­ma­nen­ten Änderun­gen unter­wor­fen ist. Auf der Sicher­heit der Smart­phones oder der App­lika­tio­nen liegt daher nicht immer die höch­ste Pri­or­ität. Auf der anderen Seite ermöglichen die ständig wach­senden Funk­tion­al­itäten der Smart­phones den Benutzern, per­ma­nent über­all erre­ich­bar zu sein und dabei nicht nur große Daten­men­gen ver­ar­beit­en zu kön­nen, son­dern auch mobil auf Unternehmens- oder Behör­den­net­ze zugreifen zu kön­nen. Smart­phones sind daher höchst attrak­tive Angriff­sziele. Es gibt eine stetig zunehmende Anzahl von Schad­soft­ware, die auf Smart­phones spezial­isiert ist. Häu­fig ste­hen dahin­ter ähn­liche Ziele wie bei Schad­soft­ware für den PC. Diese Gefahren sind bei den Über­legun­gen zum Daten­schutz und zur IT-Sicher­heit unbe­d­ingt zu berücksichtigen.

Ein weit­er­er Trend ist Cloud Com­put­ing. Beim Cloud Com­put­ing erfol­gt die Nutzung von IT-Leis­tun­gen in Echtzeit über Daten­net­ze (in der „Wolke“) statt auf lokalen Sys­te­men. Cloud Com­put­ing hat sich inner­halb weniger Jahre zu einem Mil­liar­den-Markt entwick­elt. Vor dem Ein­satz von Cloud Com­put­ing gilt es jedoch, wichtige Sicher­heits- und Daten­schutzfra­gen zu klären. Durch Diskus­sio­nen in der jüng­sten Ver­gan­gen­heit waren EU-Par­la­men­tari­er sehr beun­ruhigt über Äußerun­gen eines Microsoft-Man­agers, demzu­folge US-Sicher­heits­be­hör­den unge­hin­dert auf Dat­en von EU-Bürg­ern und Unternehmen zugreifen kön­nen, wenn diese Dat­en in der Cloud gespe­ichert wer­den. Die Grund­lage dafür soll der amerikanis­che Patri­ot Act liefern.

Auf­grund der geführten Diskus­sio­nen wird z. B. Microsoft beim Daten­schutz in der Cloud Maßstäbe set­zen und die Ver­trags­bes­tim­mungen für seinen Cloud-Dienst Office 365 in Anlehnung an die Vorstel­lun­gen deutsch­er Daten­schützer ändern. Die neuen Regeln sollen zudem die von der EU ent­wor­fe­nen Stan­dard­klauseln zur Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en enthalten.

Ungesicherte USB-Anschlüsse entwick­eln sich für Unternehmen zu einem immer größeren Sicher­heit­srisiko. Unter­suchun­gen haben ergeben, dass bei fast der Hälfte der Fälle die Rech­n­er durch die Benutzer selb­st infiziert wer­den, indem diese – in der Regel unab­sichtlich – die Schad­soft­ware selb­st starten. Beson­ders heikel ist, dass durch diese Art der Infizierung kein­er­lei Fire­walls über­wun­den wer­den müssen. So wer­den USB-Ports zum per­fek­ten Ein­fall­tor für Würmer und Tro­jan­er, um an sen­si­ble Dat­en zu gelan­gen und diese auszule­sen bzw. zu verän­dern oder zu löschen. Das zeigt, dass durch USB-Spe­icher­me­di­en eine große Gefahr für den Daten­schutz und die IT-Sicher­heit im Unternehmen ausgeht.

Daten­schutz in der Praxis.

Bei allen Über­legun­gen und Ver­bre­itung von Äng­sten im Zusam­men­hang mit der Ver­schär­fung des Daten­schutzes muss jed­er Unternehmer prüfen, wie er die geset­zlichen Min­destanforderun­gen unter Berück­sich­ti­gung der Ver­hält­nis­mäßigkeit prax­isori­en­tiert umset­zen kann.

Hierzu sind 10 wichtige Punk­te im Rah­men der eige­nen Daten­schut­zor­gan­i­sa­tion zu beachten:

1. Geset­ze und Verordnungen

Es ist darauf zu acht­en, die in 2009/2010 ver­schärften Daten­schutzbes­tim­mungen einzuhal­ten. Hier­bei sind ins­beson­dere The­men wie „Neuregelung Auf­trags­daten­ver­ar­beitung (§ 11 BDSG)“, „Ver­schär­fung Auskun­ft­srecht (§ 34 BDSG)“, „Infor­ma­tion­spflicht bei unrecht­mäßiger Ken­nt­niser­lan­gung von Dat­en (§ 42a BDSG)“, neue Regelun­gen für die Ver­wen­dung von Dat­en für Wer­bezwecke und die Ver­schär­fung „Tech­nis­che und organ­isatorische Maß­nah­men“ (§ 9 BDSG) zu berück­sichti­gen und notwendi­ge Maß­nah­men zu etablieren.

2. Tech­nis­che und organ­isatorische Maß­nah­men (TOM)

Die For­mulierung im BDSG (§ 9) ist auf jeden Fall zu beacht­en: „Erforder­lich sind Maß­nah­men nur, wenn ihr Aufwand in einem angemesse­nen Ver­hält­nis zu dem angestrebten Schutzz­weck ste­ht.“ Das bedeutet, dass die im Gesetz vorgeschriebe­nen Maß­nah­men unter Berück­sich­ti­gung der Angemessen­heit umge­set­zt wer­den müssen. Hier sind die Regelun­gen mit Dien­stleis­tern und die Ver­schlüs­selung ein Bestandteil der Ver­schär­fun­gen aus 2009.

3. Mitarbeiter(innen)

Neben der Verpflich­tung der Mitar­beit­er auf das Datenge­heim­nis (§ 5 BDSG) ist zu prüfen, ob weit­ere Verpflich­tun­gen wie z. B. auf das Fer­n­meldege­heim­nis (§ 88 TKG) oder auf die Geheimhal­tung (§ 17 UWG Ver­rat von Geschäfts- und Betrieb­s­ge­heimnis­sen) erforder­lich sind. Im Daten­schutzge­setz wird ver­langt, dass Mitar­beit­er durch geeignete Maß­nah­men über die beson­deren Anforderun­gen des Daten­schutzes zu unter­richt­en sind. Hier kön­nen neben Präsen­zschu­lun­gen auch die Schu­lung bzw. Infor­ma­tion mit Merk­blät­tern oder web­basieren­den Schu­lungstools erfol­gen. Testen Sie kosten­frei das Tool von s‑con Daten­schutz & ITK unter http://www.s‑con. de/wbt/?code=123xcv (Benutzer­name: name/ Ken­nwort: passwort)

4. Der/Die Datenschutzbeauftragte

Die bestellt Per­son muss die zur Erfül­lung der Auf­gaben erforder­liche Fachkunde und Zuver­läs­sigkeit besitzen. Auch eine externe Per­son kann die Auf­gaben der Datenschutzbeauftragten/ des Daten­schutzbeauf­tragten übernehmen (extern­er Daten­schutzbeauf­tragter). Bei inter­nen Daten­schutzbeauf­tragten gilt: beson­der­er Kündi­gungss­chutz (§ 4f Abs. 3 Satz 4 BDSG) für Arbeitsverhältnisse/ Fort- und Weit­er­bil­dungsanspruch (§ 4f Abs. 3 Satz 6 BDSG).

5. Dien­stleis­ter

Prüfen Sie die Zuver­läs­sigkeit Ihrer Dien­stleis­ter, die z. B. in Ihrem Auf­trag per­so­n­en­be­zo­gene Dat­en Ihres Unternehmens bzw. Ihrer Kun­den ver­ar­beit­en. Dieses ist im BDSG § 11 klar geregelt.

6. Doku­men­ta­tion

Wirken Sie darauf hin, dass die/der Daten­schutzbeauf­tragte die Daten­schut­zor­gan­i­sa­tion nachvol­lziehbar doku­men­tiert. Fordern Sie einen jährlichen Daten­schutzbericht des Datenschutzbeauftragten.

7. Regelun­gen für Sys­teme, Anwen­dun­gen und Dienste

Regeln Sie den Umgang mit den IT-Sys­te­men und Dien­sten wie z. B. die Nutzung von E‑Mail und Inter­net. Eine Dul­dung ist nicht rat­sam. Ide­al­er­weise ver­bi­eten Sie die pri­vate Nutzung der Unternehmens-IT. Hier ist abzuwä­gen, wie ein Ver­bot in die Unternehmen­skul­tur passt.

8. Social Media

Soziale Net­zw­erke (Social Media) wer­den die Kom­mu­nika­tion­ssys­teme der Zukun­ft. Dien­ste wie z. B. E‑Mail wer­den voraus­sichtlich in naher Zukun­ft abgelöst durch Social Media: Regeln Sie den Umgang Ihren Mitar­beit­er( innen) mit Social Media in Ihrem Unternehmen. Etablieren Sie eine Social-Media- Guideline.

9. Daten­schutz­pan­nen

Seit 2009 gibt es zum The­ma „Daten­schutz­pan­nen“ eine Ver­schär­fung. § 42a BDSG for­muliert die Voraus­set­zung für den Ein­tritt ein­er Daten­schutz­panne. Über­legen Sie im Vor­feld die erforder­lichen Maß­nah­men bei Ein­tritt ein­er Datenschutzpanne.

10. Ver­ant­wor­tung und Faustformel

Leg­en Sie klare Ver­ant­wortlichkeit­en für die The­men Daten­schutz und IT-Sicher­heit fest. Entwick­eln Sie eine Faust­formel für Ihre Mitar­beit­er( innen) zum sicheren Umgang mit Daten.

Faz­it. Prüfen Sie Ihre aktuelle Daten­schutzsi­t­u­a­tion. Informieren Sie bei Bedarf Ihre Mitarbeiter(innen) über die neuen Anforderun­gen. Set­zen Sie die Min­destanforderun­gen um. Eine zu 80 % umge­set­zte Daten­schut­zor­gan­i­sa­tion ist bess­er als eine per­fekt geplante und nicht real­isierte Daten­schut­zor­gan­i­sa­tion. An dem The­ma „Daten­schutz“ ist kon­tinuier­lich weit­erzuar­beit­en, um u. a. die möglichen zukün­fti­gen ver­schärften Anforderun­gen der EU-Daten­schutzverord­nung zu erfüllen.