Pressemitteilungen
Im Nachfolgenden finden Sie unsere Pressemitteilungen. Diese können Sie alternativ auch unter http://www.pressrelations.de/ (ext.) und unter http://www.openpr.de/ (ext.) nachlesen.
Sie möchten in unseren Presseverteiler aufgenommen werden oder haben noch weiterführende Fragen? Bitte nehmen Sie Kontakt zu uns auf:
Pressekontakt:
UIMC Dr. Vossbein GmbH & Co KG
Dr. Jörn Voßbein
Nützenberger Straße 119
42115 Wuppertal
Tel.: 0202 / 265 74 – 0
Fax: 0202 / 265 74 – 19
E-Mail: consultants[at]uimc.de
Internet: www.UIMC.de
Aktuelle Pressemitteilungen:
(14.12.2011) Entwurf zur EU-Datenschutzverordnung – Fluch oder Segen?
(13.09.2011) Datenschutz sicherstellen bei StVO-Verstoß mit Dienstwagen
(10.08.2011) UIMC auditiert erfolgreich IT-Sicherheitssystem der Aktion Mensch
(06.07.2011) UIMC stellt fest: Gesundheitswesen wird datenschutzbewusster
(07.06.2011) UIMC fragt: Ist Ihr Salesinformationssystem datenschutzordnungsgemäss?
(01.03.2011) UIMC weist auf Datenschutzmängel bei Hauspostsystem hin
(17.12.2010) Düsseldorfer Kreis bestätigt UIMC Mindestanforderungen an Datenschutzbeauftragte
(02.11.2010) Cloud Computing – Entwicklungstrend mit großen Datenschutzproblemen?
(18.10.2010) Fach-Know-how gewinnen und Geld sparen: Informationstage von UIMC und UIMCert
(29.09.2010) UIMC: Viele Unternehmen kennen die Archivierungspflichten bei E-Mails nicht gut genug.
(24.06.2010) UIMC: E-Archivierung im Gesundheitswesen nicht ohne Datenschutz
(22.04.2010) Eckpunktepapier zum Beschäftigten-Datenschutz bestätigt UIMC-Politik
(25.02.2010) Helfen Schulung und Aufklärung über Datenschutz gegen kriminelle Aktivitäten?
(02.02.2010) Datendiebstahl die Zweite oder: Alle Jahre wieder: Der Staat als „Hehler“
(09.12.2009) UIMC - familienfreundlich und ausbildungsstark
(07.12.2009) UIMC/UIMCert-Kundentag: Auftragsdatenverarbeitung gem. § 11 BDSG (k)ein Stolperstein?
(20.11.2009) Stiftung Datenschutz: Heilsbringer für alle Datenschutzprobleme?
(01.10.2009) UIMC: Kunden werden mit den BDSG-Änderungen nicht alleingelassen
(08.09.2009) Fußball: 1:0 für den Datenschutz
(28.09.2009) Datenschutzbeauftragte haben ein Recht auf Fortbildung
(10.08.2009) UIMC- Geschäftsjahr 2009: Wachstum gegen den Trend
(17.07.2009) UIMC stellt fest: Wirtschaftskrise führt zum Nachdenken über Datenschutzkosten
(17.06.2009) Was tun, wenn das Budget für IT-Sicherheit gekürzt wird
(20.05.2009) Aus Kurzarbeit das Beste machen: Mitarbeiter schulen, Geld sparen
(29.04.2009) Informationssicherheits-Benchmarking für das Topmanagement
(19.02.2009) Datenschutz in Österreich - Vorbild für die Bundesrepublik Deutschland?
(14.01.2009) Auch Mittelstand erkennt Notwendigkeit zum Risiko- und IT-Sicherheitsmanagement
(24.11.2008) Qualität in der Ausbildung ausgezeichnet: 1. Preis für die UIMC
(29.10.2008) Sinnvoll zu wissen: Wo steht unser Unternehmen im Datenschutz?
(12.09.2008) Unbundling und Datenschutz – untrennbar verbunden
(14.08.2008) Studierende denken heute anders: Datenschutz ist wichtig!
(08.08.2008) Statt durch Strafen den Datenschutz in Unternehmen besser pragmatisch angehen!
(15.04.2008) EUG und UIMC blicken auf ein erfolgreiches erstes Jahr der Kooperation zurück
(10.04.2008) UIMC auf der IT-Trends 2008: Datenschutz in KMU “life“
(19.02.2008) Secure 2008: kein Mekka für IT-Sicherheitsfachleute mehr?
(01.02.2008) Keine IT-Sicherheit ohne Risikomanagement
(28.11.2007) Bußgelder und Strafanzeigen beweisen: Aufsichtsbehörden machen ernst mit Datenschutz!
(05.11.2007) IT-Sicherheitsberatung zum Nulltarif: UIMCert-Kundentag bietet viele Neuheiten
(25.09.2007) Recht der IT-Sicherheit – ein Rechtsgebiet nur für Juristen?
(12.09.2007) Zusammenarbeit bei Datenverarbeitung und Datenschutz bringt Hochschulen Synergieeffekte
(25.07.2007) Die Erfahrung zeigt: „Datenschutz ist keine Frage des Geldes“
(31.05.2007) BSI-Kongress belegt: Social Engineering ist eine Gefahr für die IT-Sicherheit
(26.04.2007) Datenschutz und IT-Sicherheit: Kooperation zwischen der ERP-Users-Group und UIMC
(23.03.2007) IT-Trends: Technische Fragestellungen nicht mehr ausreichend für eine ordnungsgemäße IT
(12.02.2007) Erleichtert geplante Strafrechtsregelung Computerspionage?
(07.02.2007) Computerspionage: Kommentatoren vergessen den Datenschutz im Unternehmen
(30.03.2006) UIMCollege für Datenschutz und IT-Sicherheit
(09.11.2005) Tools zur Effizienzsteigerung für Datenschutz und IT-Sicherheit
Entwurf zur EU-Datenschutzverordnung – Fluch oder Segen?
Die EU-Kommission plant im Jahr 2012 eine EU-weit gültige Datenschutzverordnung, die das Datenschutzniveau in allen der EU angehörigen Staaten auf ein einheitliches Maß zusammenführen soll.
Dieser Entwurf bietet aus Sicht der UIMC neben diversen positiv zu bewertenden Ansätzen auch eine schwerwiegende und als äußerst negativ einzuschätzende Änderung in Bezug auf einen datenschutzkonformen Umgang mit personenbezogenen Daten.
Starker Persönlichkeitsschutz und starke Aufsichtsbehörden!
Interessante Neuerungen, so die UIMC, umfassen die erhöhten Anforderungen zur außereuropäischen Datenverarbeitung, die Gleichstellung von internem und externem Datenschutzbeauftragten, den Schutz vor Profilbildung und das Recht auf Datenportabilität. Weiterhin ist die Stärkung der Rolle der Aufsichtsbehörden geplant und eine damit einhergehende Erweiterung der Rechte und Pflichten bis hin zur Untersagung von Datenverarbeitungstätigkeiten oder Datenübermittlungen sowie der Information der Öffentlichkeit.
Ignoranz und Unwilligkeit wird ein teueres Vergnügen!
Die geplanten Strafen und Bußgelder können bis zu 1.000.000 € oder 5% des weltweiten Unternehmensumsatzes erreichen. Diese Neuregelung in Kombination mit den weiterführenden Rechten und Möglichkeiten der neuen Aufsichtsbehörden wird dazu führen, dass Datenschutz im Unternehmen ernst zu nehmen ist und dies auch dem letzten Unwilligen die Risiken deutlich vor Augen führen wird.
KMU = datenschutzfreie Zone?
Einen großen Wermutstropfen in diesen Änderungen stellt die geplante Absenkung der Erfordernis zur Bestellung eines betrieblichen Datenschutzbeauftragten auf mindestens 250 Mitarbeitern im gesamten Unternehmen dar. Dies würde nach Ansicht von Dr. Jörn Voßbein dazu führen, dass vor allem im Bereich der klein und mittelständischen Unternehmen, welche in Deutschland ca. 80% aller Gewerbetreibenden ausmachen, der Datenschutz möglicherweise als notwendiges Übel ohne erforderliche inhaltliche Ausgestaltung angesehen wird. Ohne einen in Fragen des Datenschutzes unabhängigen Verfechter zur Einhaltung der einschlägigen Gesetze wird sich das Gefährdungspotenzial für Verstöße gegen den Datenschutz innerhalb vieler Unternehmen exponentiell erhöhen.
Senkung des Datenschutzniveaus? UIMC sagt NEIN!
Durch die einerseits erfolgte Stärkung der Aufsichtsbehörden und die signifikante Anhebung der möglichen Sanktionen sowie die andererseits gesenkte Anforderung zur Bestellung eines betrieblichen Datenschutzbeauftragten und der damit verbundenen hohen Wahrscheinlichkeit des Verlusts der datenschutzkonformen Verarbeitung von personenbezogenen Daten in vielen kleinen und mittelständischen Unternehmen wird das potentielle Risiko, zum Ziel einer Sanktion durch die Aufsichtsbehörden zu werden, drastisch erhöht.
Darum ist die UIMC der Meinung, dass die EU-Kommission hier dringend nachbessern sollte und die Grenze für die Bestellung eines betrieblichen Datenschutzbeauftragten deutlich nach unten korrigiert werden muss. Dies stellt von Seiten der UIMC eine Notwendigkeit zur Erhaltung des erreichten hohen Datenschutzniveaus innerhalb Deutschlands dar.
Datenschutz sicherstellen bei StVO-Verstoß mit Dienstwagen
Die Übermittlung der Fahrerdaten bei Fahrern eines Firmenfahrzeugs im Rahmen eines StVO-Verstoßes muss rechtmäßig vorgenommen werden, meint die UIMC.
Grundsätzlich ist die Datenübermittlung gemäß § 4 Absatz 1 BDSG nur dann zulässig, wenn „dieses Gesetz [BDSG] oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“ Wenn eine Einwilligung nicht gegeben ist, kann nur eine Rechtsvorschrift die Übermittlung legitimieren.
Die UIMC meint: Eine Betriebsvereinbarung kann eine solche Rechtsvorschrift darstellen. Ferner kann gemäß § 28 Absatz 1 Nr. 1 BDSG durch einen Vertrag (in diesem Fall „Dienstwagen-Überlassungsvertrag“) eine solche Legitimation herbeigeführt werden. Eine solche Regelung muss dann jedoch in dem Vertrag enthalten sein, z. B. durch einen Passus „Der Mitarbeiter ist dazu verpflichtet, behördliche Geldstrafen und Bußgelder […] zu tragen.“
Eine Datenübermittlung ist gemäß § 28 Absatz 1 Nr. 2 BDSG auch dann zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Eine Datenverarbeitung erfolgt dann zur Wahrung berechtigter Interessen, wenn sie zur Erreichung der Geschäftszwecke der verantwortlichen Stelle im weitesten Sinne erforderlich ist. Hierunter fallen auch wirtschaftliche Interessen, die zur Optimierung des satzungsgemäßen Institutionsgegenstands dienen, wie z. B. Verringerung der Kosten. Da bei einer wiederholten Nichtbeantwortung von Schreiben der Behörden die Auflage ergehen kann, Fahrtenbücher führen zu lassen, scheint die Datenübermittlung der Fahrerdaten an die Behörden ein berechtigtes Interesse des Arbeitgebers darzustellen.
Hingegen ist nach Auffassung der UIMC eine Übermittlung dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle überwiegt. Hierzu sind die Belange des Betroffenen den berechtigten Interessen der verantwortlichen Stelle gegenüberzustellen und miteinander abzuwägen.
Das schutzwürdige Interesse des Betroffenen umfasst jedoch nach dem Zweck des Gesetzes nicht jedes denkbare Interesse. Erforderlich ist vielmehr eine negative Beeinträchtigung von gewisser Intensität. Gegenstand des Verfahrens ist jedoch ein ordnungswidriges Verhalten des Mitarbeiters. Die Argumente sprechen für ein Überwiegen der berechtigten Interessen der verantwortlichen Stelle.
Fazit der UIMC: Somit erscheint die Übermittlung der Fahrerdaten bzw. der Daten des Dienstwagennutzers an die entsprechende Behörde gemäß § 28 Absatz 1 Nr. 2 BDSG zulässig. Nichtsdestoweniger könnte eine Verfahrensregel festlegen, dass bei Vorliegen z. B. des zweiten Schreibens/Ermahnungsschreiben der Behörde der Dienstwagennutzer darüber informiert wird, das – sofern er sich nicht selbst bei der Behörde meldet – seine Daten entsprechend weitergeleitet werden.
UIMC auditiert erfolgreich IT-Sicherheitssystem der Aktion Mensch
Die UIMC hatte in einem Audit zur Erlangung des BSI-Grundschutz-Zertifikats der Aktion Mensch bestätigt, dass ihr IT-System den strengen Anforderungen der ISO 27001 Grundschutz genügt. Das BSI hat aufgrund der Vorlage der Auditergebnisse das Grundschutzzertifikat erteilt.
Der Aktion Mensch e. V., Heinemannstraße 36 in 53175 Bonn, ist eine bedeutende Organisation im sozialen Bereich mit Schwerpunkten in der Förderung von Projekten und Einrichtungen der Behindertenhilfe sowie der Kinder- und Jugendhilfe und der Aufklärung. Die notwendigen Mittel hierfür generiert er aus seiner Soziallotterie. Die IT der Aktion Mensch stellt die Grundlagen für die Geschäftsbereiche Lotterie und Finanzen, Marketing, Kommunikation und Aufklärung, Förderung, Personal sowie den Bereich IT&O (Informationstechnologie und Organisation) dar. Hierzu zählt die Bereitstellung der IT-Infrastruktur, der IT-Systeme, der Anwendungen sowie deren Administration und Support. Nicht zum Verbund gehören die zum Betrieb der Internetplattform der Aktion Mensch erforderlichen IT-Systeme.
Der Untersuchungsgegenstand wurde von Dr. Jörn Voßbein, Geschäftsführer der UIMC und lizenzierter Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz, in Übereinstimmung mit dem Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik geprüft. Die im Auditbericht enthaltenen Schlussfolgerungen des Auditors sind im Einklang mit den erbrachten Nachweisen, was zur Ausstellung des Zertifikats führte.
Die UIMC verfügt seit langem über erfahrene Auditoren auf dem Sektor ISO 27001 Grundschutz. Die Auditoren sind beim Bundesamt für Sicherheit in der Informationstechnik für die Durchführung von ISO 27001-Audits auf der Basis von IT-Grundschutz unter der Lizenznummer BSI-IGL-0118-2007 und BSI-IGL-0102-2006 lizenziert. Der Auditteamleiter und beteiligte Mitglieder des Auditteams haben gemäß den Bedingungen des Standards die Auditierung unabhängig durchgeführt.
UIMC stellt fest: Gesundheitswesen wird datenschutzbewusster
Die UIMC - seit Jahren fest etabliert im Datenschutz für das Gesundheitswesen - stellt in der letzten Zeit zunehmend fest, dass der in der Vergangenheit im Gesundheitswesen eher vernachlässigte Datenschutz an Bedeutung gewonnen hat. Hierfür gibt es eine Anzahl von Indikatoren:
- die Anzahl von Tagungen und Kongressen über Datenschutz im Gesundheitswesen ist in diesem Jahr deutlich gestiegen
- Seminare, die sich mit dem Thema „Datenschutz im Gesundheitswesen" beschäftigen, sind im Verlauf des Jahres 2011 deutlich stärker nachgefragt und besser besetzt
- Institutionen des Gesundheitswesens stellen mehr Anfragen nach Datenschutz Coaching, mit der Zielsetzung, die Datenschutzsysteme zu verbessern
- die Nachfrage nach externer Betreuung im Rahmen des Datenschutzes mit dem Ziel, das vorhandene Datenschutzsystem ordnungsgemäß zu gestalten, ist größer geworden.
Lange Zeit hindurch waren Institutionen des Gesundheitswesens der Auffassung, dass die ärztliche Schweigepflicht und die damit verbundene Regelungen für medizinisches Personal ausreichend sein dürften, um den Datenschutz gewissermaßen nebenbei zu erledigen. Insbesondere das Vordringen des Qualitätsmanagementgedankens sowie die stärkere Konzentration auf Zertifizierungen dürften mit dazu beigetragen haben, das Bewusstsein für einen ordnungsgemäßen und den gesetzlichen Vorschriften entsprechenden Datenschutz zu schärfen. Hierbei ist den Beobachtungen der UIMC zufolge festzustellen, dass die Qualität der angebotenen Seminare sowie die Themenzentriertheit von Tagungen und Kongressen häufig verbesserungswürdig ist. Die Seminare der UIMC zum Datenschutz im Gesundheitswesen sind grundsätzlich hoch themenzentriert und bieten als Kompaktseminare ein Maximum an qualifizierter und spezialisierter Information.
Das nächste Seminar zum Datenschutz im Gesundheitswesen, welches die UIMC durchführt, findet am 23.09.2011 statt. Informationen zum Seminarprogramm können unter www.uimcollege.de abgerufen werden. Auch weitere Informationen zum Leistungsprogramm der UIMC sind unter der Adresse www.uimc.de erhältlich.
UIMC fragt: Heißt Social-Media- bzw. Instant-Messenger-Dienste zu gestatten, Datenschutzprobleme zu ignorieren?
Die UIMC meint: In Unternehmen und Behörden stellt sich oft die Frage, ob es aus Sicht des Datenschutzes Bedenken gibt, spezielle Social-Media- bzw. Instant-Messenger-Dienste wie zum Beispiel Twitter oder den Googledienst „google talk“ für die dienstliche Nutzung den Mitarbeitern zur Verfügung zu stellen.
Grundsätzlich muss es das Ziel der Institution sein – unter Berücksichtigung der gesetzlichen Vorgaben – die verschiedenen Möglichkeiten, die das Internet bietet, zu einer möglichst guten Informationsversorgung sowie einer umfassenden Unterstützung der täglichen Arbeit in Produktion, im Marketing sowie der Verwaltung zu nutzen. Gleichzeitig führt die Sensibilität der personenbezogenen Daten des Unternehmens zu einem besonders hohen Sicherheitsanspruch. Dies gilt selbstverständlich auch für Behörden.
Nach den Bundes- und verschiedenen Landesdatenschutzgesetzen sind im Umgang mit personenbezogenen Daten und besonderen Arten von personenbezogenen Daten technische und organisatorische Maßnahmen sicherzustellen, welche gewährleisten sollen, dass
- nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit)
- personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
- personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
- jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität)
- festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit)
- die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz)
Dies bedeutet nach den gesetzlichen Grundlagen, dass die Sicherstellung der Vertraulichkeit und der Integrität der personenbezogenen Daten sowie auch die Gewährleistung der Verfügbarkeit allen anderen mit der Nutzung des Internets angestrebten Zielen überzuordnen ist. Im Regelfall wird nach Feststellungen der UIMC für andere hoch vertrauliche/vertrauliche Daten der Institution ähnliches gelten. Die Forderungen des gesetzlichen Datenschutzes werden sich damit kaum von denen der Forderung nach Vertraulichkeit unternehmerischer/sonstiger institutioneller Daten unterscheiden, so dass der Einsatz solcher – oftmals für Konsumenten und nicht für Institutionen konzipierten – Dienste zumindest kritisch hinterfragt werden sollte.
Ferner haben Social-Media- bzw. Instant-Messenger-Dienste die Besonderheit, dass eine schnelle Kommunikation und rasche Reaktion auf aktuelle Begebenheiten möglich sind. Hierdurch entfällt eine redaktionelle Kontrolle, wie sie bei klassischen PR-Medien in der Regel vorgenommen wird. Dies kann dazu führen, dass nicht mit der gebotenen Sorgfalt kommuniziert wird, was die aktuellen Meldungen von ungewollten Facebook-Partys oder Skandalen um US-Politiker zeigen.
Institutionen sollten demnach den Mitarbeitern nur diejenigen Internet- und Intranetdienste zur Verfügung stellen, welche zum einen für die tägliche Arbeit zwingend notwendig sind, und die zum anderen die notwendigen Sicherheitsfunktionen beinhalten, um eine datenschutzkonforme Nutzung von vertraulichen Daten sicherzustellen. Jegliche Nutzung von Diensten, welche nicht durch die Institution freigegeben wurden, sollte untersagt werden. Institutionen, die anders verfahren, handeln leichtfertig.
Vor der Klärung dieser Fragestellungen empfiehlt die UIMC, die Nutzung von solchen Diensten zu verbieten, zumindest aber zu reglementieren.
Weitere Informationen zum UIMC-Leistungsprogramm unter www.uimc.de.
UIMC fragt: Ist Ihr Salesinformationssystem datenschutzordnungsgemäss?
Der Einsatz von Salestools mit dem Zweck Salesinformationen multinational zu nutzen und eine einheitliche Toolunterstützung zu erreichen, ist grundsätzlich datenschutzkonform gestaltbar, meint die UIMC. Um diese Rechtskonformität sicherzustellen, sind jedoch einige gravierende Herausforderungen zu lösen.
Grundsätzlich werden in solchen Systemen sowohl Kundendaten als auch Daten der Mitarbeiter verarbeitet. Hierbei sind auf Seiten der Mitarbeiterdaten zwei grundsätzliche Datenkategorien zu unterscheiden, die Inhaltsdaten der Vertriebsmitarbeiter, die zum Zwecke der Vertriebs-steuerung und -potenzialsnutzung verarbeitet werden, sowie die im Rahmen der Nutzung des Systems anfallenden Protokollierungsdaten über die Nutzer.
Bei den Kundendaten handelt es sich primär um Informationen über Ansprechpartner spezifischer institutioneller Kunden, die oft aus allgemein zugänglichen Quellen beschafft werden können. Darüber hinaus sind aber auch eigene Informationen wie Telefon-Durchwahlen oder E-Mail-Adressen, gegebenenfalls auch Endkundenadressen mit einem stärker vertraulichen Charakter zu betrachten.
Nach den Erfahrungen der UIMC ist bei den Lösungsansätzen zur Herstellung einer datenschutzgerechten Lösung von Bedeutung, dass ein Großteil der Anforderungen nicht grundsätzlich auf spezifisch deutschen Datenschutzregelungen basieren sollte, sondern eine Rechtssituation widerzuspiegeln hat, wie sie in allen Ländern der EU gilt. Wenn vorgesehen ist, Länder außerhalb der EU einzubinden - besonders häufig dürfte dies bei den USA der Fall sein, insbesondere wenn die Muttergesellschaft eines internationalen Konzerns dort ihren Sitz hat - hat dieses weitere rechtliche Folgen für die Konstruktion einer datenschutzgerechten Lösung.
Folgende datenschutzrechtliche Fragestellungen sollen im Focus einer Betrachtung stehen:
- Zulässigkeit der Datenerhebung/-verarbeitung
- Zulässigkeit des Datentransfers
- Aspekte der technischen und organisatorischen Maßnahmen, insbesondere des Berechtigungskonzeptes.
Diese Fragestellungen sind für beide der genannten Datenkategorien von Bedeutung.
Mit diesen drei Punkten werden die wichtigsten Fragestellungen betrachtet, wobei es dabei nicht Ziel ist, alle datenschutzrechtlichen Fragestellungen umfassend abzuhandeln.
Als Empfehlung lässt sich festhalten, dass insbesondere die folgenden Punkte einer unternehmensspezifischen Regelung bedürfen, um ein salesunterstützendes System ordnungsgemäß betreiben zu können:
- Es sind gegebenenfalls Vereinbarungen mit der Mitarbeitervertretung zu treffen, die die Rechtmäßigkeit der notwendigen Datenerhebung, -verarbeitung und des vorgesehenen Datentransfers sicherstellen.
- Es ist notwendig, konzernübergreifende Lösungen zu entwickeln, die einen Datentransfer von personenbezogenen Daten aus Europa in die USA gestatten.
- Es sind vertragliche Lösungen für die Datenverarbeitungsbestandteile mit Auftragsdatenverarbeitungscharakter zu gestalten. (§ 11 BDSG)
- Es sind organisatorische Regelungen zu erarbeiten, die den Ausgleich von verbleibenden technischen Schwachstellen ermöglichen. Hierzu gehört auch die Entwicklung von Organisationsanweisungen zur Durchsetzung der Ordnungsmäßigkeitsanforderungen in verschiedenen europäischen Ländern.
Nähere Informationen zu dem Problem wie auch dem gesamten Leistungsprogramm der UIMC finden Sie entweder hier
oder unter www.uimc.de
UIMC und UIMCert auf dem 12. IT-Sicherheitskongress des BSI topaktuell mit „Risikobeherrschung und Datenschutz-Konformität beim Cloud Computing“
Auf dem 12. Deutschen IT-Sicherheitskongress des BSI „Sicher in die digitale Welt von morgen“ vom 10.-12. Mai 2011 in der Stadthalle Bonn-Bad Godesberg sind UIMC und
UIMCert wieder mit einem Ausstellungsstand vertreten. UIMC/UIMCert laden recht herzlich zu einem Besuch zu fachlichen Gesprächen in ungezwungener Atmosphäre ein. Gleichzeitig können auch tiefere Einblicke in das gesamte Leistungsprogramm gewonnen werden.
In diesem Jahr setzen sich UIMC/UIMCert mit dem aktuellen IT-Trendthema: „Risikobeherrschung und Datenschutz-Konformität beim Cloud Computing“ auseinander. So wird den Besuchern die aktuelle Studie der UIMCert vorgestellt (Ergebnisse der Anbieterbefragung auf der CeBIT 2011). UIMC/UIMCert haben darüber hinaus auch Lösungshilfen für Entscheider entwickelt, die Ansätze enthalten, das Risiko und den Datenschutz beim Cloud Computing besser zu beherrschen. Dies und weitere Themen zum Datenschutz und zur IT-Sicher-heit/Informationssicherheit können am Ausstellungsstand kompetent in persönlichen Gesprächen diskutiert werden.
Als kleines „Bonbon“ erhalten die Besucher des Ausstellungsstands der UIMC/UIMCert
die UIMCert-Studie zum Cloud Computing (unter Verzicht auf die sonst übliche Schutzgebühr) kostenfrei in Verbindung mit der Checkliste „Entscheidungshilfen beim Cloud Computing“ und einen Gutschein zur kostenfreien Teilnahme am Ganztages-Seminar des UIMCollege „Auditierung und Zertifizierung gemäß ISO/IEC 27001“.
Eine Kurzfassung der Studie steht zum Download unter www.uimcert.de bereit.
Der BSI IT-Sicherheitskongress selbst bietet neben interessanten Fachvorträgen auch ausreichend Möglichkeiten, im Rahmen der Begleitausstellung generell Fachgespräche mit Herstellern zu führen. Besucher finden eine vielfältige Auswahl an Ausstellern und eine komprimierte, breite Auswahl an Anbietern in der IT-Sicherheit. Datenschutz als Teil der IT-Sicherheit wird allerdings vor allem von UIMC/UIMCert vertreten.
Nähere Informationen finden Sie unter www.uimc.de/bsi-kongress-2011.html oder generell unter www.uimc.de bzw. www.uimcert.de.
UIMC empfiehlt: Arbeitgeber sollten Risiken der Privatnutzung von Kommunikationsdiensten vermeiden
Nach den Beobachtungen der UIMC wird immer mehr Mitarbeitern der Zugang zu Kommunikationsdiensten als ein Arbeitsmittel zur Verfügung gestellt. Um diese Dienste technisch zu ermöglichen, darf der Arbeitgeber die hierfür erforderlichen personenbezogenen Daten der Mitarbeiter verarbeiten. Bei der Beurteilung, ob und inwieweit der Arbeitgeber die Mitarbeiter darüber hinaus anhand der Verbindungs- und Nutzungsdaten kontrollieren und überwachen darf, ist es von Bedeutung, ob den Mitarbeitern neben der dienstlichen auch die private Nutzung der Kommunikationsdienste am Arbeitsplatz gestattet wird.
Hat der Arbeitgeber die private Nutzung der Kommunikationsdienste erlaubt oder nicht explizit verboten und kontrolliert, so gelten die Vorschriften des Telekommunikationsgesetzes bzw. die Regelungen des Telemediengesetzes, da der Arbeitgeber in diesem Fall seinen Mitarbeitern gegenüber die Funktion eines Telekommunikations- bzw. Telemedienanbieters wahrnimmt. Als solcher hat er das Fernmeldegeheimnis nach § 88 TKG zu beachten. Ohne weitergehende Regelung sind hier etwa bereits die Durchführung der technischen und organisatorischen Maßnahmen, die Sicherstellung bestehender Dokumentations- und Aufbewahrungspflichten, eine Kontrolle und Verhinderung rechtswidriger Nutzung oder gar der Einsatz von Spam-Filtern nicht bzw. nur problematisch möglich. Auch Vertretungs- und Nutzungsregeln im Rahmen der E-Mail-Nutzung bergen Gefahren.
Die UIMC meint hierzu: Die sich aus der Rechtslage ergebenden unterschiedlichen Konsequenzen für die Durchführung von Kontrollmaßnahmen stellen den Arbeitgebern – will er die private Nutzung der Kommunikationsdienste grundsätzlich erlauben – in der Praxis vor das Problem, die dienstliche von der privaten Nutzung abgrenzen zu müssen. Der Arbeitgeber ist allerdings nicht verpflichtet, die private Nutzung der Kommunikationsdienste zu gestatten.
Für die Praxis sind grundsätzlich drei Lösungsmöglichkeiten denkbar:
Erlaubnis bzw. (ggf. stillschweigende) Duldung der privaten Nutzung; Verbot der privaten Nutzung der Kommunikationsdienste; Eingeschränkte Erlaubnis zur Privatnutzung unter Gleichstellung privater und dienstlicher Nutzung.
Eine ungeregelte Nutzung ist im Hinblick auf die gesetzlichen Rahmenbedingungen nicht praktikabel zu handhaben. Mit dem umfassenden Verbot der privaten Nutzung hat folglich jede Nutzung dienstlichen Charakter. Nach Auffassung der UIMC ist das generelle Verbot der Kommunikationsdienste ist aus Sicht des Datenschutzes die einfachste und klarste Lösung.
Eine praktikable und aus Datenschutzsicht vertretbare Lösung geht davon aus, lediglich eine beschränkte Erlaubnis zur Privatnutzung unter der Bedingung der Gleichbehandlung zur dienstlichen Nutzung zu erteilen. In diesem Fall ist keine technische Trennung nach dienstlicher und privater Nutzung vorzunehmen; die bei der privaten Nutzung anfallenden Daten werden in die Kontrollmaßnahmen für den Bereich der dienstlichen Nutzung einbezogen. Dies kann durch die Einholung einer individuellen Einwilligung in die Verarbeitung der bei der privaten Nutzung anfallenden Daten erfolgen. Insbesondere für große Unternehmen ist dieser Weg jedoch häufig wenig praktikabel. Besteht insofern Bedarf nach einer einheitlichen Regelung, so kommt hier der Abschluss einer Betriebsvereinbarung in Betracht. In dieser kann die private Nutzung und deren Einschränkung umfassend geregelt werden.
Weitere Informationen zu den Leistungen der UIMC und dem Problem der Nutzung von Kommunikationsdiensten unter www.uimc.de
UIMC zeigt auf der „IT-Trends Sicherheit“ den Weg zur Risikobeherrschung beim Mobile Computing
Der Trend zur stärkeren Mobilität in Unternehmen (also die Nutzung von Smartphones, Laptops oder Tablett-PCs) bringt viele Vorzüge, Chancen und neue Arbeitsplatzmodelle mit sich. Doch auch Risiken im Rahmen der IT-Sicherheit sowie rechtliche Aspekte müssen im Rahmen der Planung und Umsetzung von Mobile Computing betrachtet werden. Dies hat die UIMC im Rahmen ihres Vortrags „IT-Trends, aber sicher und datenschutzkonform!? Risikobeherrschung bei Mobile Computing“ auf der diesjährigen „IT-Trends Sicherheit“ näher beleuchtet.
Als führendes Beratungsunternehmen im Bereich Datenschutz mit hohen Kompetenzen im Rahmen der Auditierung, der IT-Sicherheit und des Managements kann die UIMC von langjährigen Erfahrungen in diesen Bereich berichten. Die „IT-Trends Sicherheit“, die im rewirpower-Stadion Bochum am 30.03.2011 stattgefunden hat, ist hierbei nicht nur ein Ort des fachlichen Austauschs, sondern bietet auch ein außergewöhnliches Ambiente mit direktem Blick in das Stadion des VfL Bochum, um über Datenschutz und IT-Sicherheit zu fachsimpeln.
Der Clou: Bei Vorlage von einer Visitenkarte und eines bei der UIMC erhältlichen Coupons haben die Besucher der „IT-Trends Sicherheit“ einen kostenfreien „Starter-Check“ erhalten. Mit Hilfe des Starter-Checks hat der Anwender die einmalige Möglichkeit eine Kurz-Analyse des Status Quo der IT-Sicherheit (gemäß ISO 27001-02), des Datenschutzes (insb. gemäß BDSG) und des Unbundlings (gemäß EnWG) durchzuführen. Doch auch die Maßnahmenplanung und eine quantitative Auswertung der Ergebnisse werden durch das UIMC-Tool zur Analyse und Berichterstattung (kurz UTAB) ermöglicht.
Im Rahmen der vom Veranstalter durchgeführten Tombola hatte die UIMC ebenfalls einen hochwertigen Preis ausgelobt: Für den Gewinner führt die UIMC ein Audit bei einem seiner Dienstleister (Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung gemäß § 11 BDSG) vor Ort durch und bereitet die Ergebnisse im Rahmen eines Status-Quo-Berichts sowie einer Maßnahmenliste auf. Hierzu stellt die UIMC einen kompetenten Berater, wobei auch das UIMC-Dienstleister-Auditierungstool genutzt wird. Hintergrund hierbei sind Vorgaben des novellierten Bundesdatenschutzgesetzes, wonach sich der Auftraggeber beim Auftragnehmer vor Beginn der Datenverarbeitung und „sodann regelmäßig“ von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen muss, was auch zu dokumentieren ist.
Nähere Informationen unter www.uimc.de/it-trends2011.html
UIMC weist auf Datenschutzmängel bei Hauspostsystem hin
Der Post- bzw. Dokumentenverkehr innerhalb größerer und dezentraler Systeme ist aus datenschutzrechtlicher Sicht häufig problematisch und nicht datenschutzgesetzkonform gelöst.
Die UIMC gibt aus ihren Erfahrungen in Behörden und anderen Großinstitutionen einige Tipps, die zur Verbesserung beitragen sollen, wenn auch die konkrete Einzellösung häufig komplexer ist. Folgende Regeln sollten aber als Minimalregeln beachtet werden:
1. Die Mitarbeiter müssen über die gesetzlichen Vorschriften zum Schutz personenbezogener Daten informiert sein. Hierbei ist zu beachten, dass es gem. Gesetz zwei Schutzstufen gibt. Es ist die Pflicht des DSB, entsprechende Unterrichtungen vorzunehmen.
2. Es sollten schriftliche Regelungen über den Umgang mit Postinhalten, besonders bezüglich der Hauspost bestehen. Hierin ist vorzusehen, dass Post mit personenbezogenen Inhalten grundsätzlich in verschlossenen Umschlägen oder anderen Transportbehältern weitergegeben werden dürfen.
3. Die Postverteilungsfächer sollten grundsätzlich nicht offen zugänglich und ohne Kontrollmöglichkeiten sein, es sei denn, es handelt sich um verschließbare Postfächer.
Nach Auffassung er UIMC ist das Problem der Postverteilung bei strenger Auslegung der gesetzlichen Anforderungen sehr aufwendig, in vielen Fällen kaum praktikabel und hinsichtlich des Aufwands auch unverhältnismäßig. Andererseits werden innerhalb einer Institution sehr viele Dokumente hin- und hergeschickt, die personenbezogene Daten enthalten. Daher ist ein praktikabler Weg zu finden, der handhabbar ist und gleichzeitig vertrauliche Daten und/oder personenbezogene Daten vor unbefugter Kenntnisnahme schützt. Aber es gilt auch, diejenigen vor dem Vorwurf der unberechtigten Kenntnisnahme zu schützen, die solche Dokumente innerhalb des Hauses bzw. zwischen den Standorten transportieren sowie generell zu verhindern, dass auch Dritten eine leichte Kenntnisnahme personenbezogener Daten ermöglicht wird.
Bei konkreten Fragen zu der Hauspostproblematik sowie weiteren Fragen zum Leistungsprogramm der UIMC besuchen Sie uns auf unserer Homepage unter www.uimc.de .
Düsseldorfer Kreis bestätigt UIMC Mindestanforderungen an Datenschutzbeauftragte
Die UIMC wird in ihrer Unternehmenspolitik durch den Düsseldorfer Kreis, die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, bestätigt. Dieser hat in einem Beschluss „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“
festgelegt.
Prof. Dr. Reinhard Voßbein hat schon vor über 10 Jahren in einem zusammen mit Dr. Heiko Haaz - heute beide Partner der UIMC - durchgeführten Projekt die Anforderungen an Fachkunde und persönliche Vorbedingungen für einen Datenschutzbeauftragten erarbeitet. Diese wurden mehrfach veröffentlicht, unter anderem in einem Artikel sowie einer Broschüre der Gesellschaft für Datenschutz und Datensicherheit GDD mit dem Titel „Anforderungen an die Fachkunde und Zuverlässigkeit des betrieblichen Datenschutzbeauftragten gemäß Paragraph 36 Abs. 2 BDSG".
Bemerkenswerte Anforderungen - schon damals zur Diskussion gestellt und heute vom Düsseldorfer Kreis bestätigt – sind:
• Branchenspezifische Kenntnisse (z. B. Gesundheitswesen)
• Betriebswirtschaftliche Grundkompetenz (Personalwesen, Leistungserstellungsprozesse)
• Kenntnisse der technischen und organisatorischen Struktur (Aufbauorganisation, Abläufe)
• Kenntnisse im praktischen Datenschutzmanagement (spezielle betriebliche Lösungen)
zusätzlich natürlich zu den rechtlichen und technischen Kenntnissen im Datenschutz.
Der Düsseldorfer Kreis stellt weiterhin fest:
„Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt der Bestellung zum DSB im ausreichenden Maße vorliegen“ sowie müssen „DSB darüber hinaus in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden werden“.
Es ist sehr begrüßenswert, dass der Düsseldorfer Kreis endlich eine Konkretisierung der beruflichen und persönlichen Anforderungen an Datenschutzbeauftragte vornimmt. Die UIMC begrüßt nicht nur die Bestätigung ihrer Unternehmenspolitik, sondern vor allem auch die Anforderungen, die nach dem Beschluss des Düsseldorfer Kreises an Unternehmen gestellt werden, die externe Datenschutzbeauftragte ernennen und in diesem Beschluss wie folgt verpflichtet werden: „Bei Bestellung eines externen DSB muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der beauftragenden verantwortlichen Stelle selbst erbracht werden“.
Näheres zum Leistungsprogramm der UIMC unter www.uimc.de
Cloud Computing – Entwicklungstrend mit großen Datenschutzproblemen?
Die UIMC stellt fest, dass Cloud Computing zurzeit von namhaften Herstellern als neue Form der vernetzten Kooperation der Informationsverarbeitung nach seinem Start auf dem privaten Gebiet auch für den Unternehmenssektor propagiert wird.
Nach Auffassung der UIMC ziehen mit dem Cloud Computing größere Wolken am Datenschutzhimmel auf: Je nachdem welche Form des Cloud Computing gewählt wird, sind Probleme im Zusammenhang mit § 11 BDSG „Auftragsdatenverarbeitung“ zu erwarten, die zurzeit weder von den Protagonisten des Cloud Computing noch von den potentiellen Nutzern hinreichend deutlich gesehen werden. Vor allem bei der Public Cloud in der Form der Open Cloud zeichnen sich z. T. nicht lösbare Probleme ab, während die Privat Cloud eher unproblematisch ist. Die bisher vorliegenden Stellungnahmen zu datenschutzrechtlichen Frage zeigen das Problem zwar auf, bieten jedoch keine Lösung.
Theoretisch bietet das BDSG mit seinen Regelungen in § 11 in Verbindung mit der Anlage zum § 9 die Grundlagen für ein gesetzeskonformes Vorgehen. Da jedoch in vielen Fällen auch beim normalen Computing zurzeit noch in vielen Unternehmen ein Bedarf an Herstellung der Ordnungsmäßigkeit bei der Auftragsdatenverarbeitung und Datenübertragung gegeben ist, kann nicht angenommen werden, dass die wesentlich komplexeren Formen des Cloud Computing in den entsprechenden SLAs so geregelt sind, dass die Ordnungsmäßigkeitsbedingungen vom Start an erfüllt sind.
Die UIMC liefert mit ihrem Prüftool zur Auftragsdatenverarbeitung eine Grundlage für eine sachgemäße Gestaltung der vertraglichen Grundlagen sowie ihrer Prüfung bei bestehenden Systemen. Die UIMC weist jedoch deutlich darauf hin, dass insbesondere die Form des Public Cloud spezieller vertraglicher Regelungen bedarf, um ordnungsgemäß gestaltet werden zu können. Wenn dann noch zusätzlich das Problem der Datenverarbeitung im Ausland mit den hiermit zusammenhängenden Problemen der Datenübermittlung zu lösen ist, weil sich der verarbeitende/speichernde Rechner in einem Nicht-EU-Land befindet, sind außer den genannten §§ 11 und 9 (Anlage zu § 9) noch die §§ 4d und 28 zu berücksichtigen. Dies bedarf einer sorgfältigen, im Zweifelsfall beratergestützten Vertragsgestaltung.
Zum Leistungsspektrum der UIMC gehört auch die Beratung in Fragen der Auftragsdatenverarbeitung.
Nähere Informationen hierzu unter www.uimc.de
Fach-Know-how gewinnen und Geld sparen: Informationstage von UIMC und UIMCert
Auch in diesem Jahr werden UIMC und UIMCert zeitgleich mit der DAFTA, 34. Datenschutzfachtagung der GDD, in Köln im Maternushaus, ihren Informationstag am 17. und 18. November abhalten. Wie jedes Jahr dienen auch dieses Mal die zwei Tage dazu, fachkundigen Besuchern interessante Gespräche, Anregungen und fachlichen Informationsaustausch zu bieten. Allerdings gibt es dieses Jahr etwas Besonderes:
Es wird auf dem Informationstag ein Tool zur Verfügung stehen, mit welchem das Gebiet der Auftragsdatenverarbeitung gem. § 11 Bundesdatenschutzgesetz BDSG sowohl auf der Seite der Auftraggeber als auch der Auftragnehmer in Form eines Selbstchecks geprüft werden kann.
Interessenten erhalten auf Wunsch kostenlos eine Analyse-CD, mit deren Hilfe sie in der Lage sind, ihr Datenschutzsystem auf Gesetzeskonformität zu überprüfen. Der Datenschutzbeauftragte wird mit diesem Tool in die Lage versetzt, seinen ihm vom Gesetz auferlegten Prüfungsauftrag gem. § 11 BDSG gerecht zu werden.
Auch der Dienstleister kann das Analyse-Tool zum Selbstcheck oder zur Vorbereitung auf eine Testierung nutzen.
Funktionen des UIMC-Auditierung-Tools sind:
Umfassender Fragen-/Prüfkatalog Maßnahmenkatalog und automatische Berichterstellung Quantitative Auswertung mit Gewichtung Management-Summary-Funktion für schnellen Überblick
Das auf dem Informationstag dem Besuchern zur Verfügung gestellte Tool hatte einen Wert von Euro 750,00 und wird an Kunden/Interessenten bei Vorlage der Visitenkarte ausgehändigt. Falls der Dienstleister eine Testierung/Ordnungsmäßigkeitsbestätigung wünscht, kann diese durch die UIMCert vorgenommen werden.
Weitere Informationen zu den Leistungsangeboten von UIMC und UIMCert, dem Informationstag und der Tool-CD unter www.uimc.de/informationstage2010.html oder www.uimcert.de
UIMC: Viele Unternehmen kennen die Archivierungspflichten bei E-Mails nicht gut genug.
Häufig kommen Anfragen an die UIMC, ob und in welchem Umfang Unternehmen verpflichtet sind, E-Mails zu archivieren, konkret, ob ein- und ausgehende E-Mails lückenlos archiviert werden müssen. Die schnelle und ungenaue Antwort: Nein, lückenlos nicht!
Die grobe Kategorisierung der UIMC führt zu vier unterschiedlich zu bewertenden Dokument-Kategorien, und zwar E-Mail-Dokumente:
- mit rein unternehmensinterner Bedeutung
- ohne rechtsverbindliche Inhalte, aber unternehmensübergeordneter Bedeutung
- nach dem Handelsgesetzbuch relevant
- mit Bedeutung für die Besteuerung
Grundsätzlich stellt eine elektronisch übersandte E-Mail ein digitales Dokument dar, das ggf. für den Datenzugriff der Steuerbehörden im Originalformat nach neuerer Gesetzeslage maschinell auswertbar vorgehalten werden muss.
Speziell E-Mails, die für die Besteuerung von Bedeutung sind, sind nach den allgemeinen Vorschriften des § 147 AO „Ordnungsvorschriften für die Aufbewahrung von Unterlagen der Abgabenordnung (AO)“ rechtssicher zu archivieren. Auch E-Mails, die Dokumente nach dem Handelsgesetzbuch darstellen, sind gem. § 257 HGB zu archivieren. Dies sind außer rechnungslegungsrelevanten Unterlagen, bei denen sich Handels- und Steuerrecht überschneiden, so genannte Handelsbriefe. Hierbei sollte das Unternehmen wissen, dass ein Handelsbrief ein Schriftstück ist, das der Vorbereitung, Durchführung und dem Abschluss oder der Rückgängigmachung eines Geschäfts dient. Diese nur handelsrechtlich relevanten E-Mails unterliegen jedoch nicht allen aufgeführten Vorgaben an die Form der Archivierung.
E-Mails der Kategorien 1. und 2. in der obigen Aufzählung müssen nach den gesetzlichen Vorschriften nicht archiviert werden, obwohl es häufig aus unternehmensinternen Gründen sinnvoll ist, sie zumindest eine gewisse Zeit hindurch vorzuhalten und damit temporär retrievalfähig aufzubewahren. Auszusortieren sind hierbei selbstverständlich nichtdienstliche E-Mails der Mitarbeiter bei erlaubter, aber ungeregelter Privatnutzung.
Außer den Archivierungsvorschriften sollte aber jedes Unternehmen auch mit den Löschungsvorschriften vertraut sein, da es bestimmte Unterlagen gibt - zum Beispiel solche aus dem Bereich der Datenschutzgesetzgebung - deren Aufbewahrungsfrist gesetzlich vorgegebene einer gewissen Zeit abläuft und die dann gelöscht werden müssen. Hierzu sollten dann die spezifischen Löschungsvorschriften den Mitarbeitern mitgeteilt werden/bekannt sein.
Für eine tiefergehende Diskussion über diese Problemstellungen oder konkrete Beratung auf diesem Sektor kontaktieren Sie die UIMC bitte telefonisch oder unter www.uimc.de/kontakt_uimc.html.
UIMC: Datenschutz bei der Weitergabe von Mitarbeiter-Privatanschriften - (k)ein Problem?
Ob Mitarbeiter Privatanschriften durch ein Unternehmen weitergegeben werden dürfen, ist eine datenschutzrechtlich sehr relevante Frage, meint die UIMC. Häufig veranlassen Unternehmen Dienstleister wie Verlage oder Wirtschaftsverbände dazu, Mitarbeitern für sie relevante und wichtige Informationen an deren Privatanschriften zusenden zu lassen. Dabei erhebt sich die datenschutzrechtliche Grundsatzfrage, ob die Weitergabe der Privatanschriften durch das Unternehmen zulässig ist. Hierbei kann nach herrschender Rechtsauffassung verneint werden, dass die Datennutzung zum Versand von z. B. einer Wirtschaftszeitung an die Privatanschrift für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist. Ob ein überwiegendes berechtigtes Interesse des Arbeitgebers an der Versendung besteht, ist in Rechtsprechung und Literatur umstritten, stellt die UIMC fest. So nimmt der Datenschutzbeauftragte von Schleswig-Holstein an, dass der Arbeitgeber ein berechtigtes Interesse an der Versendung der von ihm geteilten Meinungen hat. Berechtigt ist jedes Interesse, das mit der Rechtsordnung im Einklang steht. Die Meinungsbildung über politische und wirtschaftliche Fragen und die Verbreitung der Meinung der Arbeitgeber sind berechtigte Interessen. Hierfür kann die Versendung von Zeitschriften/Dokumenten sinnvoll sein. Hieran ändert sich auch nichts dadurch, dass es möglich wäre, die Information den Arbeitnehmern auch im Betrieb zugänglich zu machen. Es dürfte unstreitig sein, dass das Ziel der Meinungsbildung im häuslichen Umfeld des Arbeitnehmers besser erreicht wird, zumal überwiegende schutzwürdige Interessen der Betroffenen hierdurch nicht verletzt werden. Der Arbeitnehmer seinerseits kann die Nutzung der betreffenden Daten zur Versendung von Informationen jederzeit durch einen Widerspruch gemäß § 28 Absatz 4 BDSG unterbinden. Die Aufsichtsbehörde Baden-Württemberg teilt hingegen die Bedenken der Gegner und lehnt die Weitergabe der Mitarbeiterdaten ab. Sie sieht keinen hinreichenden Zusammenhang mit dem Arbeitsverhältnis und fordert eine Einwilligung der Betroffenen. Auf jeden Fall muss der Mitarbeiter umfassend über die Datenübermittlung sowie sein Widerspruchsrecht informiert werden. Hierbei muss sichergestellt werden, dass ein Widerspruch dem Arbeitgeber nicht zur Kenntnis gelangt und dadurch keine nachteiligen Folgen für den Arbeitnehmer entstehen.
Informationen zum Leistungsprogramm der UIMC unter www.uimc.de sowie unter www.externe-datenschutzbeauftragung.de
UIMC: Compliance - Kann der Datenschutzbeauftragte für Rechtsverstöße strafrechtlich belangt werden?
In der Rechtsprechung ist in den letzten Jahren bemerkenswerterweise die Auffassung vertreten worden, dass so genannte Compliance Manager für unter anderem im Unternehmen begangene Rechtsverstöße persönlich strafrechtlich haften. Dies wird damit begründet, dass sie kraft ihres Amtes dazu verpflichtet seien, Rechtsverstöße und Straftaten im Unternehmen zu verhindern. Dies wirft die Frage auf, ob der Datenschutzbeauftragte aufgrund seines gesetzlichen Auftrages dem Compliance Manager gleich zu setzen ist.
Wenn dieses der Fall sein sollte, würde er für im Unternehmen begangene Verstöße gegen das BDSG haftbar gemacht werden können. Dieses umso mehr, als ihm schon vom Gesetz auferlegt wird, auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken. Mit seiner Ernennung wird ihm vom Unternehmen dieser Pflichtenbereich übertragen und er sollte bei seiner Bestellung schriftlich darauf verpflichtet werden. Hiermit wird er gewissermaßen organisatorisch sowie auch rechtlich einem Compliance Manager gleichzustellen sein. Das Problem der Haftung wird auch dadurch wahrscheinlicher, dass in Kommentaren das BDSG als eines der Gesetze erwähnt wird, die den Compliance-Betrachtungen unterworfen wurden.
Der DSB wurde lange Jahre hindurch in vielen Unternehmen im Hinblick auf die ihm übertragene Verpflichtung, dem BDSG zur Umsetzung zu verhelfen, nicht voll ernst genommen und als „Alibi-DSB" zwar ernannt, nicht aber mit hinreichendem Kompetenzen und entsprechenden Budgetmitteln versehen wurde. Dies trifft vor allem für eine beachtliche Anzahl von mittelständischen Unternehmen zu, da in Großunternehmen aufgrund des öffentlichen Drucks die organisatorische Stellung des DSB häufig besser war oder aber der interne DSB durch einen externen ersetzt wurde. Dieser hat sich in vielen Fällen als erheblich profilierter, durchsetzungsfähiger und im Sinne der Compliance Forderung effizienter gezeigt. Das Haftungsproblem könnte sich als persönlicher Bumerang für den Alibi-DSB erweisen.
Die UIMC hat eine starke Stellung im Markt der externen Datenschutzbeauftragung aufgebaut. Informationen zum Leistungsprogramm der UIMC unter www.uimc.de sowie unter www.externe-datenschutzbeauftragung.de .
UIMC: Gedankenlosigkeit bei Internet-und E-Mail Regelungen führt zu Datenschutzproblemen
Nach den Erfahrungen der UIMC machen sich Unternehmen und Behörden in vielen Fällen zu wenig Gedanken über ihre Regelungssystemen bezüglich der Nutzung von Internet und E-Mail durch die Mitarbeiter. Häufig sind eine falsch verstandene Großzügigkeit und der vermeintliche Wunsch nach einem „guten Betriebsklima“ im Bezug auf solche Regelungen die Ursache für spätere Probleme und Unstimmigkeiten. Nach Auffassung der UIMC sollten folgende Regeln im Bezug auf die Nutzung eingehalten und – sofern vorhanden – mit der Arbeitnehmervertretung abgesprochen werden:
- Alle Anlagen, Geräte, Anwendungssysteme/ programme, Zugänge und Anschlüsse dürfen ausschließlich zu dienstlichen Zwecken genutzt werden. Die private Nutzung betrieblicher Einrichtungen ist ausdrücklich untersagt.
- Die Systeme sowie die hieraus gewonnenen Protokolldaten werden vom Unternehmen nicht zum Zwecke der Leistungs- und Verhaltenskontrolle der Arbeitnehmer genutzt.
- Bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sind die einschlägigen Datenschutzvorschriften zu beachten.
- Die Benutzer sind anzuhalten, alle Daten auf zentralen Systemen zu speichern. Gesetzliche Bestimmungen sind hierbei zu berücksichtigen.
- Der Zugang zum Internet wird nach dienstlicher Notwendigkeit jedem Arbeitnehmer mit Netzwerkzugang als Arbeitsmittel zur Verfügung gestellt.
- Für Abfassung, Verschlüsselung, Speicherung und Aufbewahrung von E-Mails sind spezielle Regelungen zu erlassen, die den Datenschutzvorschriften Rechnung tragen.
Gestattet der Arbeitgeber die Nutzung von E-Mail und anderen Internetdiensten ausschließlich zu dienstlichen Zwecken, ist er nicht Anbieter im Sinne des Telekommunikations- (vgl. § 3 Nr. 6 TKG) bzw. Telemediengesetzes (vgl. § 1 Abs. 1 TMG). Die Erhebung und Verarbeitung von Daten über das Nutzungsverhalten der Beschäftigten richtet sich in diesen Fällen nach den Vorschriften des Bundesdatenschutzgesetzes.
Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob die Internet-Nutzung der Beschäftigten dienstlicher Natur ist. Eine automatisierte Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig.
Nähere Informationen zu dieser Problematik und zu den diesbezüglichen Aktivitäten der UIMC unter www.uimc.de/dienstleistungen.html.
UIMC: E-Archivierung im Gesundheitswesen nicht ohne Datenschutz
Die Entwicklung der Informationstechnologie und ihr Vordringen in Prozesse der elektronischen Archivierung im Gesundheitssektor lassen für viele auf diesem Gebiet tätige Institutionen wie Krankenhäuser, Kliniken und medizinische Versorgungszentren die Frage aufkommen, wie die Anforderungen der Datenschutzgesetzgebung sowie die des ärztlichen Berufsrechts in Übereinstimmung mit den technologischen Lösungen gebracht werden können.
Die UIMC hat in mehreren Gutachten zu dieser Problematik Stellung genommen und hierbei einige Grundsätze aufgestellt, die gewahrt sein müssen, um die Ordnungsmäßigkeitskriterien/gesetzlichen Anforderungen sicherzustellen. Hierzu gehören - ohne Anspruch auf Vollständigkeit - folgende Forderungen:
- Die Patienten müssen nachvollziehen können, wer auf ihre Daten tatsächlich zugegriffen hat.
- Der Zugriff auf die Daten von Kranken darf grundsätzlich nur Krankenhausbeschäftigten möglich sein, die diese Kranken behandeln oder die Behandlung verwaltungsmäßig abwickeln.
- Die Daten von Beschäftigten dürfen nur verarbeitet werden, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses erforderlich ist.
- Der Arbeitgeber muss befugt sein, sich selbst präventiv vor möglichen Eingriffen seitens der Strafverfolgungsbehörden zu schützen.
- Die Revisionsfähigkeit der gespeicherten Daten muss gewährleistet sein und die durchgeführten Prozesse müssen lückenlos nachvollzogen werden können.
Die erstellten Nutzungsprotokolle unterliegen einem weitgehenden gesetzlichen Schutz. Die Verarbeitung von Protokolldaten ist nur zulässig, wenn ein Datenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt. Es ist für die Institution selbst zweckmäßig, die Behandlung von Protokolldateien durch eine Betriebsvereinbarung zu regeln, die jedoch auf den gesetzlichen Anforderungen basieren muss.
Nähere Informationen zu dieser Problematik und zu den diesbezüglichen Aktivitäten der UIMC unter www.uimc.de/dienstleistungen.html.
Eckpunktepapier zum Beschäftigten-Datenschutz bestätigt UIMC-Politik
Das Eckpunktepapier des BMI vom 01.04.2010 enthält in Vorbereitung auf eine Beschäftigtendatenschutzregelung einige bemerkenswerte Vorschläge, von denen einer der schon seit Jahren von der UIMC vertretenen E-Mail-Politik im Hinblick auf die Überwachung des E-Mail-Verkehrs durch den Arbeitgeber in Bezug auf Mitarbeiter/Beschäftigte entspricht. Das Eckpunktepapier sagt hierzu folgendes:
Nutzung von Telefon, E-Mail und Internet
"Der Arbeitgeber soll - insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken der Korruptionsbekämpfung/Compliance - die Nutzung von Telekommunikationsdiensten und Telemedien am Arbeitsplatz im erforderlichen Maß kontrollieren dürfen. Dabei sind die berechtigten schutzwürdigen Interessen des Beschäftigten zu beachten. Die Inhalte von Telefonaten sollen einem besonderen Schutz unterliegen.“
Hier wird das Kontrollrecht des Arbeitgebers im Sinne einer begründeten Zweckbindung von Überwachungsmaßnahmen ausdrücklich bestätigt. Dass die berechtigten schutzwürdigen Interessen der Beschäftigten zu beachten sind, ist nach den Regeln des BDSG schon fast eine triviale Aussage, auch wenn eine Präzisierung dieser Interessen für die praktische Umsetzung hilfreich ist. Interessant ist allerdings auch die vom BMI gegebene Erläuterung in Form des Beispiels:
„Ist die Nutzung des Internets nur zu beruflichen Zwecken erlaubt, soll der Arbeitgeber das Nutzungsverhalten des Beschäftigten ohne Anlass nur stichprobenhaft kontrollieren dürfen, um etwa festzustellen, ob verbotene Inhalte aufgerufen werden. Ist die Nutzung des Internets demgegenüber auch für private Zwecke erlaubt, sollen wie bisher die Vorschriften des Telemediengesetzes gelten.“
Dieses Beispiel unterstützt die von der UIMC schon immer vertretende Nutzungspolitik für E-Mails und Internet dergestalt, dass aus ihm fast zwangsläufig abgeleitet werden kann, dass ein Arbeitgeber zur Vermeidung von Problemen prinzipiell die Nutzung des Internets und des E-Mails nur zu beruflichen Zwecken erlauben sollte. Jede andere betriebliche Lösung erweist sich im Hinblick auf diese vorgesehene Regelung als grundsätzlich problematisch, auch im Zusammenhang von Vertretungs- und Nachfolgeregelungen. Dies zeigt aber, dass es auch weiterhin interner Regelungen bedarf, die insbesondere durch einen praxisorientierten Datenschutzbeauftragten geschaffen werden sollten.
Die UIMC vertritt grundsätzlich einen qualitativ hochwertigen Datenschutz; Informationen zu ihrem Leistungsprogramm unter www.uimc.de/dienstleistungen.html.
Helfen Schulung und Aufklärung über Datenschutz gegen kriminelle Aktivitäten?
In der letzten Zeit wurde gelegentlich die Auffassung vertreten, dass die in der Datenschutzgesetzgebung vorgeschriebene Schulung und Aufklärung über Datenschutz hilfreich bei der Bekämpfung krimineller Aktivitäten sei. Die UIMC vertritt diese Auffassung nur sehr bedingt. Zwar zeigt die Erfahrung, dass insbesondere Datenschutzschulungen häufig am Zeitbudget des Datenschutzbeauftragten scheitern und nicht in erforderlichem Umfang durchgeführt werden. Hiermit wird die Möglichkeit unterlassen, das Bewusstsein der Mitarbeiter für Datenschutzfragestellungen und insbesondere Verstöße gegen Datenschutz und IT-Sicherheitserfordernisse zu schärfen. Es ist jedoch nicht zu erwarten, dass hierdurch eine nennenswert höhere Aufklärung von kriminellen Verstößen einhergeht. Wer mit krimineller Energie - unter Umständen auch noch in Erwartung einer Belohnung durch den Staat für die Lieferung der widerrechtlich in Besitz genommenen Daten - sich absichtlich personenbezogene Daten unter bewusstem Verstoß gegen bestehende organisatorische Regelungen, Gesetze und ethische Normen beschafft, lässt sich in der Regel auch von denjenigen Kollegen, die datenschutzgesetzesbewusst handeln, nicht von seinem Tun abhalten.
Was durch Schulung und Aufklärung aber erreicht werden sollte: Schärfen des Bewusstseins kann aber trotzdem hilfreich sein, auffälliges Verhalten bei Kollegen zu entdecken, was dazu führt, dass ein potentieller Veruntreuer sich beobachtet fühlt und sich eventuell „nicht mehr traut".
Die UIMCollege bietet in ihren Datenschutzlehrgängen immer auch die Möglichkeit, diese speziellen Fragestellungen zu diskutieren und Hilfestellungen für die eigene Arbeit auch bezüglich solcher Spezialfragen zu erhalten.
Die von der UIMCollege abgehaltenen Seminare – Datenschutz und andere - sind zu finden unter www.uimcollege.de.
Datendiebstahl die Zweite oder: Alle Jahre wieder: Der Staat als „Hehler“
Mitte 2008 schrieb die UIMC in einer Pressemitteilung: Gegen kriminelle Energien ist auch im Datenschutz kein Kraut gewachsen. Solange der Staat oder eine seiner Institutionen sich als „Hehler“ auf dem Datensektor betätigt wie bei dem Liechtensteiner Datendiebstahl und die Veruntreuung von Daten durch Ankauf prämiert, darf keine Verwunderung darüber aufkommen, dass Datendiebstahl offensichtlich als Kavaliersdelikt angesehenen wird.
So wäre zum Beispiel der groteske Fall zu betrachten, bei denen der Staat oder eine seiner Institutionen wiederum gestohlene Daten aufkauft und sie in seinem Sinne verwendet, wobei dann der Dieb wegen eines Offizialdeliktes von einer anderen Institution des Staates, nämlich der Staatsanwaltschaft und den Gerichten verfolgt und bestraft wird. Hierbei wäre es z. B. denkbar, dass das Gericht eine Strafe verhängt, die der vom Staat gezahlten Prämie entspricht, bzw. sie gegebenenfalls sogar übersteigt. Dies wäre für den Dieb ein schlechtes Geschäft, aber gerecht.
Was dringend erforderlich ist, ist ein Wandel des Bewusstseins, der Datendiebstahl gesellschaftlich und faktisch so sanktioniert, dass dem Dieb zumindest das Unrechtsbewusstsein so klar ist, dass er weiß, einem normalen Kriminellen gleichgestellt zu werden und die hiermit verbundenen gesellschaftlichen Sanktionen auf sich nehmen zu müssen.
Was ist neu an der jetzigen Situation im Vergleich 2008 zu 2010? Es ist bemerkenswert, dass bei einem Teil der beruflich oder politisch Engagierten sich ein Wandel im Bewusstsein vollzogen hat: So sind einige führende Politiker und insbesondere der Bundesdatenschutzbeauftragte jetzt der Meinung, dass der Staat sich nicht auf das Niveau eines „Hehlers“ begeben sollte. Wie kann von normalen Menschen, auch von so genannten Betroffenen, erwartet werden, dass sie den Datenschutz ernst nehmen, wenn der Staat Datendiebstahl unterstützt? Hier ist besonders die Position des Vorsitzenden der Polizeigewerkschaft zu hinterfragen, der zugibt, dass illegale Methoden mehr oder weniger gang und gäbe sind in der Beschaffung von Material, welches zur Aufklärung von Verbrechen dient. Außerdem: Es geraten auch hunderte Bürger unter Generalverdacht, da sie sich auf den Listen befinden, obwohl sie steuerehrlich sind.
Wenn Datenschutz gesellschaftlich ernst genommen werden soll, muss der Staat das Angebot ablehnen und auf andere Art und Weise versuchen, die betreffenden Informationen zu erhalten; nicht aber dadurch, dass er sich als „Hehler“ in Datendiebstahlsgeschäften betätigt.
Die UIMC vertritt einen qualitativ hochwertigen Datenschutz; Informationen zu ihrem Leistungsprogramm unter www.uimc.de/dienstleistungen.html
UIMC - familienfreundlich und ausbildungsstark
Nachdem die UIMC im vergangenen Jahr bereits den ersten Platz im bergischen Städtedreieck bei kleinen mittelständischen Betrieben als ausbildungsstarkes Unternehmen gemacht hat, hat sie in diesem Jahr erneut eine Urkunde, diesmal als familienfreundliches Unternehmen, erhalten. Die Anerkennung wird an Unternehmen verliehen, die sich durch ihr soziales Engagement und ihre Familienfreundlichkeit im Bezug auf die Gestaltung von Arbeitszeitgestaltung, Zurverfügungstellung von Freiraum für die Wahrnehmung von Familienaufgaben und vieles anderes mehr auszeichnen. Auch dieser Preis wird unter der Schirmherrschaft der IHK verliehen.
An dem Wettbewerb haben sich in diesem Jahr 40 Unternehmen beteiligt. Der Geschäftsführer der UIMC, Dr. Jörn Vossbein meint hierzu: „Wichtig ist nicht, immer einen ersten Platz zu machen, wohl aber die Leistungen, die das Unternehmen als mittelständischer Betrieb erbringt, so transparent zu machen, dass dieses nicht nur von den Mitarbeitern, sondern auch von der Öffentlichkeit wahrgenommen und anerkannt wird.“
Bereits im vergangenen Jahr wurde die UIMC mit einem ersten Platz auf dem Sektor „Ausbildung" ausgezeichnet und wurde so für ihre Bemühungen belohnt, qualifizierte Arbeitskräfte über den eigenen Bedarf hinaus auf dem Sektor der Informatik- und Bürokaufleute dem Arbeitsmarkt erfolgreich zur Verfügung zu stellen. „Wir freuen uns über die öffentliche Anerkennung obwohl unser soziales Engagement auch ohne diese bereits seit Jahren unsere Unternehmenspolitik kennzeichnet. Auch unseren Mitarbeitern gegenüber ist es uns wichtig, unser Bemühen von außen unabhängig bestätigt zu erhalten." Auch für das nächste Jahr ist von UIMC und UIMCert wiederum die Zurverfügungstellung von zwei Ausbildungsplätzen auf dem Sektor Informatikkaufleute geplant.
Näheres zur UIMC, ihren Dienstleistungen, Produkten und Stellenangeboten unter www.uimc.de/dienstleistungen.html
UIMC/UIMCert-Kundentag: Auftragsdatenverarbeitung gem. § 11 BDSG (k)ein Stolperstein?
Die Reaktionen der Besucher des Kundentages von UIMC und UIMCert zeigen deutlich: Auftragnehmer und Auftraggeber sehen einer Umsetzung der Vorschriften der BDSG-Novellierung in Bezug auf § 11 BDSG mit gemischten Gefühlen entgegen. So sind beide Gruppen der Auffassung, dass sie noch einiges tun müssen, um die neuen Bedingungen des § 11 zu erfüllen. Beide Seiten sind der Ansicht, dass die meisten bisher abgeschlossenen Verträge angepasst und die in ihnen enthaltenen Formulierungen insbesondere im Hinblick auf die Konkretheit der getroffenen Regelungen überarbeitet werden müssen.
Die Auftraggeber sehen sich in einer neuen Rolle, in der sie häufig erst noch lernen müssen, ihre Anforderungen an die Auftragnehmer so zu formulieren, dass sie ihnen eine hinreichende Sicherheit geben, die Pflichten der Auftragnehmer gesetzeskonform formuliert zu haben. Dies ist besonders problematisch bei Vorliegen von internen Abhängigkeitsverhältnissen.
Die Auftragnehmer fühlen sich insbesondere bei dem Gedanken an die Kontrollfunktionen, die der Auftraggeber auszuführen berechtigt ist, nicht immer ganz wohl, da sie nicht sicher sind, alles Erforderliche in Maßnahmen umgesetzt zu haben. Auch die Auftraggeber fühlen sich zum Teil vom Gesetzgeber alleine gelassen, da sie nicht wissen, wie sie ihre Kontrollfunktionen ausfüllen müssen.
Das UIMC/UIMCert-Tool, welches auf dem Kundentag vorgestellt und von vielen Besuchern genutzt wurde, leistet eine Hilfe zur Auditierung des bisher Umgesetzten. Insbesondere liefert das Tool Ergebnisanhaltspunkte dafür, was noch zu tun ist und wo für beide Partner Handlungsbedarf besteht. Die UIMC leistet Hilfen, um beiden Seiten zu gesetzeskonformen Regelungen zu verhelfen.
Wichtig ist die Feststellung, dass der Auftragnehmer sich durch die Prüfung durch einen Dritten („unabhängiger Sachverständiger“ wie in der Begründung zur Novellierung dargestellt) – zum Beispiel die UIMCert – entlasten und den Prüfbericht dem Auftraggeber zur Verfügung stellen kann. Diese Auffassung, die sich auf den Gesetzestext stützt (s. hierzu § 11 BDSG), wird allerdings nicht von allen Aufsichtsbehörden geteilt. Eine gesetzeskonforme Begründung hierfür wurde bisher noch nicht gegeben.
Weitere Informationen zu dem Problem, insbesondere auch dem UIMC-Tool unter www.uimc.de/analyse-tool.html
Stiftung Datenschutz: Heilsbringer für alle Datenschutzprobleme?
Die UIMC hat Bedenken, dass eine Stiftung Datenschutz mit Erwartungen zur Lösung der Probleme des Datenschutzes in unserer Gesellschaft überfrachtet wird.
Die Bundesregierung hat im Koalitionsvertrag festgelegt, dass eine Stiftung Datenschutz errichtet werden soll die - analog zur Stiftung Warentest - die Zielsetzung haben soll, Produkte und Dienstleistungen auf Datenschutzfreundlichkeit zu prüfen, die Bildung im Bereich des Datenschutzes zu stärken, Aufklärung zu betreiben und ein Datenschutzaudit zu entwickeln.
Es sollte von Anfang an vermieden werden, eine vom Grundsatz her gute Idee mit Erwartungen zu überfrachten, die eine derartige Institution nicht erfüllen kann: Produkte und Dienstleistungen auf dem IT-Sektor sind etwas grundsätzlich anderes als normale Produkte, die einer eindeutigen technischen Prüfung im Hinblick auf Funktionsfähigkeit und Qualität unterzogen werden können. So sind Produkte häufig Programme oder Programmsysteme, bei denen die Datenschutzfreundlichkeit im Sinne der Einhaltung der Anforderungen der Datenschutzgesetzgebung in der Grundkonzeption und -konstruktion programmtechnisch eingebaut werden muss.
Diese Selbstverständlichkeit ist jedoch nicht grundsätzlich gegeben und im Zweifelsfall nur durch aufwändige Prüfungen insgesamt sowie in Einzelpunkten festzustellen. Wesentlich ist darüber hinaus, dass insbesondere bei Programmsystemen durch die so genannte Einsatzumgebung, unterstützt durch Maßnahmen auf dem Organisations- und Regelungssektor eine Datenschutzkonformität erreicht wird oder werden kann. So sind PETs (Privacy Enhancing Technologies, datenschutzerhöhende Technologien) zwar konstitutive Bestandteile ordnungsgemäßer Systeme, reichen jedoch zur Durchführung eines ordnungsgemäßen Betriebs von datenschutzrelevanten Programmsystemen nicht aus. Außerdem belegen die "Datenschutzskandale" der letzten Zeit eindrucksvoll, in welchem Umfang der menschliche Faktor und insbesondere menschliches Fehlverhalten bis hin zum bewussten Gesetzesbruch zur Nichteinhaltung von Datenschutzvorgaben führen können. Dies ist durch Prüfungen im Sinne einer Produkt- und Dienstleistungsprüfung nicht hinreichend regelbar, selbst wenn die betreffenden Produkte und Dienstleistungen das Gütesiegel einer Prüfinstitution erhalten haben.
Außerdem werden viele Programme, die datenschutzrelevante Daten verarbeiten, völlig außerhalb von Bereichen eingesetzt, die einer Prüfung unterzogen werden könnten. Die UIMC meint: So ist das Problem nicht zu lösen, Lösungswege müssten anders aussehen.
Nähere Informationen zur UIMC und zum Datenschutz unter uimc.de/datenschutz.html .
Selbstcheck ist besser als Unwissen: Auftragsdatenverarbeitung gemäß BDSG gestalten
Die UIMC als führendes Beratungsunternehmen auf dem Datenschutzsektor hat sich zu ihrem Kundentag etwas Neues einfallen lassen: Besucher können die Ordnungsmäßigkeit ihrer Auftragsdatenverarbeitung in einem Selbstcheck bewerten.
Auch in diesem Jahr wird die UIMC zeitgleich mit der DAFTA, 33. Datenschutzfachtagung der GDD in Köln im Maternushaus, ihren Kundentag abhalten. Der Kundentag wird in diesem Jahr im Zeichen der Datenschutznovellierung stehen und wird eine Vielzahl von Informationen speziell zu diesem Thema liefern.
Mittlerweile haben viele Unternehmen, und zwar nicht nur Großunternehmen, neben anderen Leistungen ihre Datenverarbeitung outgesourced. Hieraus ergibt sich die Konsequenz, dass entsprechende Outsourcingverträge mit genau definierten Inhalten vorhanden sein müssen, und dass die Einhaltung der von den beiden Vertragspartnern übernommenen Pflichten kontrolliert und in den Kontrolleergebnissen dokumentiert werden muss.
Der UIMC-Selbstcheck gibt die Möglichkeit, die vom Gesetz gestellten Forderungen einer schnellen Prüfung zu unterziehen und damit die Ordnungsmäßigkeit zu bewerten. Auf dem Kundentag steht ein Prüftool zur Verfügung, mit welchem die Besucher - sofern sie hinreichende Informationen über die in ihrem Unternehmen abgeschlossenen Verträge und ihre Inhalte haben - beurteilen können, inwieweit die Verträge, Regelungen und Maßnahmen gesetzeskonform sind.
Zielgruppe sind hierbei sowohl Datenschutzbeauftragte als auch Mitarbeiter der internen Revision. Vor allem die Letzteren werden den Selbstcheck als besonders hilfreich empfinden, da bei ihnen häufig die genaue Kenntnis der gesetzlichen Vorschriften nicht oder nur durch Nachlesen im Gesetzestext gegeben ist. Allerdings werden den Mitarbeitern der internen Revision häufiger die Vertragstexte und -bedingungen geläufig sein als dem Datenschutzbeauftragten, so dass für sie der Selbstcheck von unmittelbarem Nutzen ist. Der Selbstcheck wird folgende Gebiete abprüfen:
1. Vertragsabmachungen,
2. Kontrollmodalitäten und Weisungsbefugnisse sowie
3. Dokumentation der Kontrollergebnisse.
Der Kundentag findet am 18. und 19. November im Maternushaus in Köln, Raum Ursula, jeweils ab 9:00 Uhr statt.
Nähere Informationen unter www.uimc.de
Kontakt:
Prof. Dr. Reinhard Voßbein
UIMC: Kunden werden mit den BDSG-Änderungen nicht alleingelassen
UIMC Kunden und andere Besucher erhalten auf dem Kundentag klare Hilfen bei der Anpassung ihrer Datenschutzorganisation an die neue Gesetzgebung.
Auch in diesem Jahr wird die UIMC zeitgleich mit der DAFTA, 33. Datenschutzfachtagung der GDD in Köln im Maternushaus, ihren Kundentag abhalten. Der Kundentag wird in diesem Jahr im Zeichen der Datenschutznovellierung stehen und wird eine Vielzahl von Informationen speziell zu diesem Thema liefern.
Insbesondere auf dem Produktsektor werden alle von der UIMC in Datenschutzcheckups verwendeten Tools und Organisationsmittel auf die neue Gesetzeslage umgestellt sein. Auch wird ein Tool zur Verfügung stehen, mit welchem das Gebiet der Auftragsdatenverarbeitung sowohl auf der Seite der Auftraggeber als auch der Auftragnehmer geprüft werden kann.
Da in dem neuen Gesetz sowohl klare Vorschriften für die Gestaltung von Verträgen also insbesondere für die Durchführung von Kontrollen gegeben werden, bietet es sich an, ein Prüftool für diesen neuen gesetzlichen Vorgaben einzusetzen. Hierzu leistet die UIMC als eines der führenden Unternehmen auf dem Datenschutzsektor für ihre Kunden einen effizienten Beitrag. Wie schon einmal vor zwei Jahren stellt die UIMC den Besuchern – Kunden und Nicht-Kunden - auf dem Kundentag ein Tool zum Selbstcheck zur Verfügung, mit denen diese in der Lage sind die Qualität ihrer eigenen Lösung bei der Auftragsdatenverarbeitung zu überprüfen und die Ergebnisse mitzunehmen.
Der Kundentag findet statt am 18. und 19. November im Maternushaus in Köln, Raum Ursula, jeweils ab 9:00 Uhr.
Nähere Informationen unter www.uimc.de/messeinformationku09.html
Fußball: 1:0 für den Datenschutz
Die UIMC meint: Endlich geht einer in die Offensive: Aggressiv ist der 1. FSV Mainz 05 nach seinem Aufstieg in die erste Bundesliga mit der Datenschutz-Thematik umgegangen und hat hierfür lobende Anerkennung durch den Landesdatenschutzbeauftragten in Rheinland-Pfalz erhalten: Man will im Verein zukünftig auch einen Datenschutzbeauftragten bestellen und somit Vorbild für andere Vereine sein.
So sollten auch andere Vereine diesem Vorgehen folgen. Datenschutz ist keine Hexerei und eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht laut BDSG ohnehin. Darüber hinaus signalisiert ein datenschutzkonformer Umgang mit personenbezogenen Daten von Mitgliedern und Anhängern, dass die Vereine nicht nur an der finanziellen Unterstützung durch Ticketverkäufe und Mitgliederbeiträge interessiert sind, sondern im Gegenzug auch das Recht auf informationelle Selbstbestimmung respektieren.
Auch verbunden mit dem Thema Sicherheit ist Datenschutz bei nahezu jeder Art von Großveranstaltungen gegenwärtig. Hier ist insbesondere die gesetzeskonforme Videoüberwachung im Zusammenwirken mit der Polizei ein Bereich, der zwar notwendig ist, aber auch engen Grenzen unterliegt. Ferner sollten auch die Mitglieder, z. B. von Fußballvereinen, die durch ihre Kartenbestellungen oder Mitgliederbeiträge einen wesentlichen Beitrag dazu leisten, dieses Millionengeschäft als Produkt in unserer Gesellschaft zu etablieren, zumindest die Gewissheit haben, dass der Verein ihres Vertrauens auch vertrauensvoll mit ihren personenbezogenen Daten umgeht.
Für kleinere Vereine/Institutionen kann ein externer Datenschutzbeauftragter die ideale Lösung sein, da hierbei extrem geringe Kosten mit hoher Effizienz verbunden sind. Die UIMC hat auf dem Gebiet der externen Datenschutzbeauftragung große Erfahrung und kostengünstige Lösungen für kleine und mittlere Institutionen.
Datenschutz muss allerdings ganzheitlich gesehen werden und ist keinesfalls auf das Arbeitsverhältnis, gelegentliche Werbeanrufe oder ungebetene Postwurfsendungen beschränkt. Der Datenschutz sollte auch in der Freizeit und bei Hobbys zumindest im Wesentlichen gewährleistet sein. Denn für den Betroffenen ist es in der Wirkung unerheblich, ob der Arbeitgeber, ein Adressenhändler oder der Schriftführer des Sportvereins personenbezogene Daten an unbefugte Dritte übermittelt.
Datenschutzbeauftragte haben ein Recht auf Fortbildung
Die UIMC informiert: Im Absatz III des § 4f BDSG - Novelle mit Gültigkeit ab 01.09.2009 - wird der betriebliche Datenschutzbeauftragte explizit vor Kündigung geschützt. Ähnlich wie bei einem Betriebsrat kann ihm nur in den schwerwiegenden Fällen gekündigt werden, die eine fristlose Kündigung rechtfertigen.
Weiterhin hat der Arbeitgeber dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsmaßnahmen zu ermöglichen und die Kosten dafür zu tragen. Dies bedeutet, dass der bDSB nicht nur die Verpflichtung zur Fortbildung, sondern auch das Recht hierzu hat. Die Studie der UIMCert hat 2008 klar belegt, dass besser geschulte Datenschutzbeauftragte dem Datenschutz zu einer deutlich besseren Durchsetzung im Unternehmen verhelfen als diejenigen, die ein geringes Aus- und Fortbildungsniveau haben.
Die UIMCollege hat ab sofort alle ihre Seminare und Fortbildungsveranstaltungen auf das neue Datenschutzrecht umgestellt und bietet damit in der Fortbildung der Datenschutzbeauftragten die Möglichkeit, das ihnen vom Gesetz gegebene Recht unmittelbar wahrzunehmen. Im Einzelnen wurden folgende Veranstaltungen auf das neue Recht umgestellt:
- Datenschutz-Management Teil 1
- Datenschutz-Management Teil 2
- Datenschutz im Gesundheitswesen
- Datenschutz und Unbundling in Stadtwerken / EVU
Die UIMC weist weiter darauf hin, dass Unternehmen ebenfalls die von der Bundesregierung angebotene Möglichkeit nutzen sollten, auch die Mitarbeiter mit staatlicher Unterstützung auf dem Datenschutzsektor fortzubilden. Sie hat für 2009 die Bezugsdauer von Kurzarbeitergeld von zwölf auf achtzehn Monate verlängert. Die Bundesagentur für Arbeit zahlt - wie beim Arbeitslosengeld - 60 Prozent des Nettolohns, der durch die verkürzte Arbeitszeit wegfällt. Eltern erhalten sogar 67 Prozent. Die Bundesagentur für Arbeit erstattet den Arbeitgebern 2009 und 2010 die Sozialversicherungsbeiträge – bei Kurzarbeit zur Hälfte, bei Qualifizierung während der Kurzarbeit sogar ganz. Ein Unternehmen kann demnach auf Basis der bisherigen Informationen die kompletten Sozialleistungen erstattet bekommen, wenn es die Kurzarbeitszeit für Weiterqualifizierung der Mitarbeiter einsetzt – ein Zusatznutzen für das Unternehmen und die Mitarbeiter. Hierfür stehen weitere Kurse zur Verfügung, wie zum Beispiel:
- Allgemeines Gleichbehandlungsgesetz (AGG), (Verpflichtung zur Schulung besteht gemäß § 12 Absatz 2 AGG)
- Datenschutz im Unternehmen nach dem Bundesdatenschutzgesetz BDSG
- Professionelles Risikomanagement – Risiken erfassen und richtig managen
- Vorbereitung auf eine Sicherheitszertifizierung gem. ISO/IEC 27001-02
Die UIMC berät auch bei der Gestaltung von Schulungsplänen und kompletten Fortbildungsprogrammen. Mehr Informationen zu den Themen finden Sie unter www.uimc.de/seminare_workshops.html.
UIMC- Geschäftsjahr 2009: Wachstum gegen den Trend
Für die UIMC ist das Geschäftsjahr 2009 im ersten Halbjahr trotz Wirtschaftskrise gut gelaufen. Es ist ihr gelungen, die Kundenbasis zu verbreitern und auch ihre regionale Distribution deutlich zu erhöhen. Die Kundenzuwächse waren in den neuen Bundesländern und im Süden Deutschlands besonders hoch. Die UIMC hat antizyklisch investiert und konnte insbesondere auch ihren Personalbestand konjunkturstützend ausweiten. Hier ist vor allem zu erwähnen, dass die UIMC wieder zusätzliche Ausbildungsplätze geschaffen hat und damit ihrem Ruf als prämierter Ausbildungsbetrieb erneut gerecht geworden ist.
Auf dem Gebiet des Datenschutzes waren insbesondere Datenschutzaudits gefragt. Aber auch der Sektor externe Datenschutzbeauftragung war stark expansiv. Auch der Sektor IT-Sicherheit hat eine positive Entwicklung genommen, die dazu geführt hat, dass die UIMC sich in ihrem Marktsegment gut etabliert hat.
Die UIMC arbeitet stark toolgestützt. Auf diesem Gebiet hat sie nach wie vor eine führende Rolle. Das von ihr eingesetzte Tool-System wurde im Verlaufe des letzten Jahres deutlich verbessert und mit einer Auswertungskomponente versehen, die im Rahmen der Berichtserstellung eine Management Summary erstellt. Das Tool hat sich damit in seiner Aussagefähigkeit auch für Führungsebenen verbessert.
Von der UIMC in Zusammenarbeit mit verschiedenen Partnern durchgeführte PR-Aktionen und Roadshows wurden positiv vom Markt aufgenommen. Auch für das kommende Halbjahr sehen die Perspektiven gut aus.
Nähere Informationen zum Unternehmen, seinem Leistungsprogramm, seinen Tools und insbesondere auch zu den von der UIMCollege abgehaltenen Seminaren unter www.uimc.de/dienstleistungen.html
Kein Datenschutz in Österreich: Sparsamkeit am falschen Platz - Datenschutz ohne Datenschutzbeauftragter.
Die Novellierung des Datenschutzrechtes in Österreich bringt zahlreiche Neuerungen. Nachdem der erste Entwurf (DSG-Novelle 2008) einen Datenschutzbeauftragten vorgesehen hatte, wurde dieser im jetzt vorliegenden Entwurf (DSG-Novelle 2010) ersatzlos gestrichen. Allerdings sind die Aufgaben, die im Rahmen des Datenschutzes in Unternehmen durchzuführen sind, die gleichen geblieben. Offen ist hiermit die Frage, wer denn nun eigentlich diese Aufgaben machen soll. So gibt es auch nach dem neuen Gesetz eine Vielzahl von Aufgaben, deren Durchführung /Umsetzung notwendig ist, um den Datenschutz im Unternehmen effizient realisieren zu können. Diese Aufgaben sind u. a.:
Überwachung der Ordnungsmäßigkeit Wahrnehmung von Meldepflichten Sensibilisierung der Mitarbeiter Beratung über Datensicherheitsmaßnahmen Kontrolle und Wahrung der Rechte Betroffener Garantieren von Datensicherheit. Darüber hinaus gibt es noch eine Anzahl von Aufgaben/Sonderproblemen, die sich indirekt aus dem Gesetz ergeben, und die ein mit der Umsetzung des Datenschutzes Betrauter zu lösen hat. Konkrete Ausführungen für den Praktiker finden sich in dem Buch: „Datenschutzbeauftragter in Österreich“ (Linde Verlag, Wien).
Die jetzt vorliegende Gesetzesnovelle handelt vermeintlich im Interesse der Unternehmen, wenn der Datenschutzbeauftragte als Funktionsträger der wahrzunehmenden Aufgaben gestrichen wird, da so angeblich Kosten gespart werden. Faktisch aber müssen die Unternehmen alle Aufgaben wahrnehmen, die auch in der vorher vorgelegten Gesetzesnovelle enthalten waren. Nur bleibt in dem neuen Gesetz offen, wer denn eigentlich die Arbeit tun soll, wenn es keinen Datenschutzbeauftragten mehr gibt. Hier ist die Schweiz ein ungewolltes Vorbild, denn hier ist es schon seit langem so, dass die Unternehmen ohne vom Gesetz dazu gezwungen zu sein, einen Datenschutzbeauftragten bestellen. Die Schweizer haben im Verlaufe der Zeit gelernt, dass guter Datenschutz nur mit einem dafür Verantwortlichen möglich ist. Und dies kann nach den bisher vorliegenden Erfahrungen nur ein Datenschutzbeauftragter sein. So wird auch den Unternehmen in Österreich kaum etwas anderes übrig bleiben, als einen Datenschutzbeauftragten zu bestellen, wenn sie dem Datenschutz wirklich zu demjenigen Stellenwert verhelfen wollen, den er in einer modernen Informationsgesellschaft hat und den das Gesetz ihm verleiht.
Nähere Informationen unter www.uimc.de
UIMC stellt fest: Wirtschaftskrise führt zum Nachdenken über Datenschutzkosten
Die Wirtschaftskrise führt in vielen Unternehmen zum Nachdenken über Hauptelemente der eigenen Kostenstruktur. Hier wird besonderes Augenmerk auf versteckte Kosten und vor allem auf Kostenblöcke mit unklaren Folgekosten gerichtet. Einer der wesentlichen Punkte hierbei ist das Bestreben der Unternehmen, klare Kostenansätze und kalkulierbare Einzelkosten zu erzielen.
Die Kosten des Datenschutzes sind für viele Unternehmen nur schlecht kalkulierbar, da der Datenschutzbeauftragte lediglich in Teilzeit seine Funktion wahrnimmt. Nach einer Studie der UIMCert, einer Schwestergesellschaft der UIMC, ist das Gros der Datenschutzbeauftragten lediglich mit 20% der gesamten Arbeitszeit für den Datenschutz tätig. Damit wird sein Arbeiten als DSB entweder zu Lasten der Aufgabenerfüllung seiner Hauptfunktionen führen und/oder unkalkulierbar.
Dieses Streben nach klaren, kalkulierbaren Kosten, nachweisbaren Arbeitszeiten und effizienter Wahrnehmung der Datenschutzaufgaben führt dazu, dass Unternehmen den Datenschutz outsourcen. Hierbei werden die Kosten offengelegt, die Arbeitszeiten werden auf den externen Träger der Aufgabe ausgelagert und die Verantwortung für einen ordnungsgemäßen Datenschutz wird dem Dritten übertragen, der zur Verantwortung gezogen werden kann, wenn es nicht klappt.
Die UIMC, als führendes Unternehmen auf dem Sektor der externen Datenschutzbeauftragung, hat in diesem Jahr eine Anzahl von neuen Kunden gewinnen können, die sich Kostentransparenz, Kostenminimierung und Ordnungsmäßigkeit der Aufgabendurchführung auf dem Datenschutzsektor zum Ziel gesetzt haben. Häufig wird die Kostentransparenz auch durch ein so genanntes Datenschutzcoaching, ein wesentlicher Geschäftszweig der UIMC-Aktivitäten, erreicht. Hierbei wird der betriebliche Datenschutzbeauftragte von dem externen Coach unterstützt und insbesondere bei hoch qualifizierten Aufgaben entlastet.
Nähere Informationen über die Möglichkeiten der externen Datenschutzbeauftragung und über ein Datenschutzcoaching unter www.uimc.de/ext_datenschutzbeauf.html
Datenschutzskandale – wo Gesetze nicht weiterhelfen: UIMC und UTIMACO greifen ein brisantes Thema auf
Bei den IT-Security Foren 2009 der UTIMACO hat Dr. Jörn Voßbein, UIMC Wuppertal, in seiner Rolle als Keynote Speaker einen wegweisenden Kommentar zu den Datenschutzskandalen der letzten Zeit und ihren Zusammenhang mit Informationssicherheitsmanagement gegeben. Er führt hierzu aus, dass insbesondere die Diskussionen um Gesetzesverschärfungen sowie neue Gesetze wenig zielführend sind, da die Analyse der Datenschutzskandale klar zeigt, dass die Tatbestände gegen bestehende Gesetze verstoßen und damit die entsprechenden Sachverhalte hinreichend durch gesetzliche Regelungen abgedeckt sind. Die wesentlichen Aussagen des Vortrages lassen sich in folgenden Thesen zusammenfassen:
- Sichere Systeme sind Voraussetzung für guten Datenschutz
- Zur Gestaltung sicherer Systeme gibt es klare Vorgaben und Standards
- Techniklösungen (PETs) sind Organisationsregelungen vorzuziehen
- Organisationsregelungen sind notwendige Ergänzungen zu Techniklösungen
- Die meisten Datenschutzskandale sind keine Skandale der Datenschutzgesetzgebung allein sondern vielmehr bewusst oder gezielt begangene Gesetzesverstöße, die sich im Regelfall auf mehrere Gesetze beziehen.
- Nicht die Gesetze müssen primär verändert werden sondern vielmehr das IT-Sicherheits- und Datenschutzbewusstsein
- Es lohnt sicher eher, über Verbesserung der Umsetzung bestehender Regelungen und/oder Verschärfung der Sanktionen nachzudenken
Der Vortrag selbst spricht in einem Überblick über die Datenschutzskandale der Vergangenheit noch bei dem jeweiligen Tatbestand die gesetzlichen Regelungen an, gegen die verstoßen wurde. UTIMACO Sicherheitsforen haben bereits in Berlin und Hamburg stattgefunden, weitere werden in Stuttgart, München, Köln und Frankfurt abgehalten.
Nach Abschluss der Veranstaltungen werden die Vorträge für die Teilnehmer der Veranstaltungen im Internet abrufbar sein.
Nähere Informationen zu den Veranstaltungen und die Teilnahmemöglichkeiten unter www.UTIMACO.de sowie www.UIMC.de/itsecurityforen20.html
Was tun, wenn das Budget für IT-Sicherheit gekürzt wird
Die Wirtschaftskrise wirkt sich auch auf die IT-Budgets aus. Nach einer Erhebung von Gartner (siehe CZ vom 15.06.09, verschiedene Beiträge) werden schwerpunktmäßig unter anderem und vor allem die Personalkosten Budgetkürzungen unterworfen. Ziel der CIOs muss es daher sein, Überlegungen darüber anzustellen, wie die Budgetkürzungen kompensiert werden können, ohne dass die Qualität der Serviceleistungen darunter leidet. Hier gibt es einige bewährte Verfahren, auf die der CIO sich insbesondere dann besinnen sollte, wenn er mit reduzierten Mitteln zurechtkommen muss.
Eines der bewährtesten ist der Einsatz von Tools in Projekten zur Überwachung der Effizienz und Wirksamkeit der IT-Sicherheit in Unternehmen. Ein hoch leistungsfähiges Tool zur IT-Sicherheitsstrategie sowie zum Risiko- und IT-Sicherheitsmanagement ist das UIMC-Tool. Dieses ist in der Lage, Unterstützung bei IT-Sicherheitsanalyse, Berichterstattung, Aufsetzen von Projekten zur Verbesserung der IT-Sicherheit und bei der Abwicklung von IT-Sicherheitsprojekten zu geben.
Das UIMC-Tool hat sich in einer Vielzahl von Projekten bewährt und zeichnet sich insbesondere dadurch aus, dass es den international gültigen Standard zum IT-Sicherheitsmanagement, die ISO/IEC 27001 -02 normengetreu abbildet, auf Wunsch aber auch weitere spezifische Vertiefungen wie zum Beispiel für Infrastruktur- oder Business Continuity-Management zur Verfügung stellt. Es stellt damit für den Anwender sicher, dass er Überprüfung, Strukturierung und Verbesserung seines IT-Sicherheitssystems in einer Form durchführt, die international anerkannt und abgesichert ist und darüber hinaus an individuelle Strukturierungsbedürfnisse angepasst ist.
Mehr Informationen zum Thema UIMC-Tool finden Sie unter www.uimc.de/utab
Aus Kurzarbeit das Beste machen: Mitarbeiter schulen, Geld sparen
Unter www.konjunkturpaket.de sagt die Bundesregierung zum Thema „Neue Regeln für Kurzarbeit“: Die Bundesregierung hat für 2009 die Bezugsdauer von Kurzarbeitergeld von zwölf auf achtzehn Monate verlängert. Die Bundesagentur für Arbeit zahlt - wie beim Arbeitslosengeld - 60 Prozent des Nettolohns, der durch die verkürzte Arbeitszeit wegfällt. Eltern erhalten sogar 67 Prozent. Die Bundesagentur für Arbeit erstattet den Arbeitgebern 2009 und 2010 die Sozialversicherungsbeiträge – bei Kurzarbeit zur Hälfte, bei Qualifizierung während der Kurzarbeit sogar ganz.“
Das heißt im Klartext:
Ein Unternehmen kann demnach auf Basis der bisherigen Informationen die kompletten Sozialleistungen erstattet bekommen, wenn es die Kurzarbeitszeit für Weiterqualifizierung der Mitarbeiter einsetzt – ein Zusatznutzen für das Unternehmen und die Mitarbeiter.
Allerdings muss dieses Konzept von den Behörden erst noch genehmigt werden, was wohl noch ein bis zwei Monate dauern könnte.
Die UIMC rät: Machen Sie aus der Kurzarbeit das Beste: Schulen Sie Ihre Mitarbeiter und sparen Sie Geld!
Die UIMC bietet speziell hierfür folgenden Schulungsthemen an:
Allgemeines Gleichbehandlungsgesetz (AGG), (Verpflichtung zur Schulung besteht gemäß § 12 Absatz 2 AGG) Datenschutz im Unternehmen nach dem Bundesdatenschutzgesetz BDSG Professionelles Risikomanagement – Risiken erfassen und richtig managen Vorbereitung auf eine Sicherheitszertifizierung gem. ISO/IEC 27001-02
Weiterhin bietet die UIMC nach vorheriger Absprache eine Anzahl von branchen- und unternehmensspezifischen Seminaren/Schulungen zu den oben genannten Themen an. Die UIMC berät auch bei der Gestaltung von Schulungsplänen und kompletten Fortbildungsprogrammen.
Mehr Informationen zu den Themen finden Sie unter www.uimc.de/college
Informationssicherheits-Benchmarking für das Topmanagement
UIMC/UIMCert werden auf dem IT-Sicherheitskongress des BSI in Bonn vom 12. bis 14.05.2009 ihr neues Konzept zur Revision/Auditierung nach ISO/IEC 27001-02 vorstellen.
Vieldiskutierte Vorkommnisse der letzten Zeit haben gezeigt, welchen bedeutenden Stellenwert die IT-Sicherheit in unseren heutigen IT Systemen hat.
Das neue Konzept setzt insbesondere darauf, dass das Management IT-Sicherheit zur Chefsache machen will, um den Anforderungen nach Compliance zu genügen. Hierzu muss das Management präzise und übersichtliche Aussagen zum Stand der IT-Sicherheit erhalten. Grundlage hierfür ist das standardisierte Analyse- und Berichtssystem des UIMC/UIMCert-Tools auf Basis der ISO/IEC 27001 mit einer für das Management geeigneten Übersicht bezüglich der wesentlichen Feststellungen über das gesamte IT-Sicherheitssystem. Diese Übersicht baut auf einer quantifizierten Auswertung auf und erfüllt damit die Forderungen nach einem klar strukturierten Benchmarking.
Interessierten Kunden und Interessenten stellen UIMC/UIMCert Karten zum Besuch der mit dem Sicherheitskongress verbundenen Ausstellung zur Verfügung. Die personelle Besetzung stellt sicher, dass qualifizierte Gespräche geführt werden können. Da die Eintrittskarten zum Besuch der Ausstellung, nicht aber zur Teilnahme am Kongressprogramm berechtigen, ist auswärtigen Besuchern zu empfehlen, möglichst die Zeiten zwischen den Pausen des Kongressprogrammes/die Vortragszeiten für intensive Gespräche am UIMC/UIMCert-Stand zu nutzen oder einen Termin zu vereinbaren.
Aufgrund ihrer spezifischen Ausrichtung wird die UIMC auch das Thema Datenschutz und die UIMCert das Thema Compliance nach den IDW PS-Richtlinien behandeln.
Nähere Informationen zum Kongress und insbesondere zum Ausstellungsprogramm unter:
consultants[at]uimc.de oder certification[at]uimcert.de
IT-Trends „Sicherheit“: Compliance, ISO 27001 oder IDW-Prüfungsstandards – Mode oder Hilfe bei IT-Sicherheit und Haftungsfragen?
Die Themen Compliance und Risiko-Management werden trotz der Wirtschaftslage derzeit intensiv in den Unternehmen diskutiert, was auch den Bereich der Informationssicherheit mit einbezieht. Die Notwendigkeit zum Aufbau eines Informationssicherheits-Managementsystems wird zwar mittlerweile – zumindest in den EDV-Abteilungen – erkannt, es werden aber einerseits Probleme in der Umsetzung gesehen und andererseits ist die Sensibilisierung im Management trotz persönlicher Haftung oftmals unzureichend. Doch gerade die sichere Datenverarbeitung ist ein zentrales Element in der Verbesserung der Risikosituation und somit Teil der Senkung der Haftungsrisiken des Managements.
Nicht nur in Großunternehmen muss sich die DV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Unternehmen unterliegen einer Vielzahl von von Außen herangetragenen Anforderungen (sei es aus gesetzlicher oder marktrelevanter Sicht), die unmittelbar und mittelbar die DV-Systeme betreffen.
„Durch eine Vielzahl von Gesprächen in Unternehmen können wir feststellen, dass zunehmend erkannt wird, dass etwas getan werden muss. Auf der anderen Seite existiert aber vielfach noch Ratlosigkeit hinsichtlich dessen, was und wie etwas umgesetzt werden soll.“ so Dr. Jörn Voßbein, Geschäftsführer der UIMC und erfahrener Berater in der Informationssicherheit. Auch die allgemeine Forderung aus dem KonTraG, welches auf Nicht-AGs in Bezug auf eine Umsetzung von geeigneten Maßnahmen der Risikoüberwachung zum Fortbestand der Gesellschaft mittelbar ausstrahlt, stellt die Praktiker vor Probleme.
Trotz persönlicher Haftung der Entscheider und den Erfahrungen aus der Finanzkrise ist das Wissen um den Aufbau eines zwingend erforderlichen Informationssicherheits-Managementsystems insbe-sondere bei den Entscheidern im Mittelstand und die Umsetzung nur gering. Dabei zeigt sich zunehmend, dass die ISO 27001 (IT-Sicherheitsmanagement) und auch andere Normen geradezu prädestiniert sind, um die Situation der IT-Sicherheit im Unternehmen zu analysieren und zu verbessern, was eine wesentliche Säule für eine verbesserte Compliance- und Risikosituation darstellt.
Im Rahmen des Vortrags „Compliance, ISO 27001 oder IDW-Prüfungsstandards – Mode oder Hilfe bei IT-Sicherheit und Haftungsfragen?“ auf der IT-Trends „Sicherheit“ in der rewirpower-Lounge in Bochum am 31.03.2009 wird Tim Hoffmann, Berater für IT-Sicherheit der UIMC, Einblicke in die Hintergründe und Bedeutung des Aufbaus eines Informationssicherheits-Managementsystems bieten und darüber hinaus auch Empfehlungen für Umsetzung sowie Prüfung und Zertifizierung gegeben. „Wenn die Auditierung/Zertifizierung nicht nur als Selbstzweck verstanden wird, kann ein Mehrwert für das gesamte Unternehmen generiert werden: Die Sicherheit der IT wird verbessert und die Haftungsrisiken der Geschäftsführung werden gesenkt. Und auch die Fachbereiche profitieren davon.“
Nähere Informationen unter www.uimc.de/datenschutz
Datenschutz in Österreich - Vorbild für die Bundesrepublik Deutschland?
Die in Österreich zurzeit vorliegende Novelle zum Datenschutzgesetz enthält einige außerordentlich interessante Punkte, die auch dem deutschen Datenschutz gut anstünden. So wird z.B. in Österreich der Datenschutzbeauftragte dazu verpflichtet, sich selbst in einem bestimmten Umfang fortzubilden (im ersten Jahr seiner Tätigkeit 40, in den folgenden Jahren jeweils 20 Stunden), was für das Unternehmen bedeutet, dass ihm diese Fortbildungszeiten zur Verfügung gestellt werden müssen und das Unternehmen gegebenenfalls auch ein entsprechendes Budget zur Verfügung stellen muss.
Des Weiteren legt das österreichische Gesetz fest, dass der Datenschutzbeauftragte für Anfragen von Mitarbeitern ein bestimmtes Zeitbudgets - zur Verfügung zu stellende Zeit pro Mitarbeiter 8 Stunden im ersten, 4 Stunden in den folgenden Jahren - vorzusehen hat, was wiederum Rückschlüsse auf die ihm vom Unternehmen zur Verfügung zuzubilligende Zeit für die Ausübung seiner Funktionen zulässt. Dies bedeutet, dass die in der Bundesrepublik übliche Praxis, sein Zeitbudget so zu beschränken, dass er nur Zeit für die allernotwendigsten Aufgaben hat, zumindest auf der Gesetzesebene unmöglich gemacht wird. Die Studie, die die UIMC/UIMCert im vergangenen Jahr zur Realisierung des Datenschutzes in Deutschland vorgelegt hat, zeigt, dass die Mehrzahl von Unternehmen hier im Hinblick auf die "Teilzeitbeschäftigung“ des Datenschutzbeauftragten deutlich nachbessern müsste. In dieser UIMCert-Studie wurde festgestellt, dass der Datenschutzbeauftragte im Durchschnitt unter 20 Stunden pro Monat zur Ausübung seiner Funktionen zur Verfügung hat.
Nachteilig ist im österreichischen Datenschutzgesetz allerdings die Tatsache, dass für den öffentlichen Bereich kein Datenschutzbeauftragter vorgesehen ist. Hier zeigt insbesondere die Erfahrung aus der Bundesrepublik Deutschland, dass der Bedarf an professionellen Datenschutz in Behörden, repräsentiert die durch Person des Datenschutzbeauftragten - mindestens ebenso groß ist wie der in Wirtschaftsunternehmen.
Nähere Informationen unter www.uimc.de/datenschutz
Auch Mittelstand erkennt Notwendigkeit zum Risiko- und IT-Sicherheitsmanagement
Neben der Finanzmarktkrise, die die öffentliche Diskussion am Ende des Jahres 2008 dominiert hat, gewinnt die Frage um die persönliche Haftung von Geschäftsführern über Compliance und Risiko-Management ständig an Bedeutung. Auch die KECoS-Vortragsreihe „Brennpunkt IT-Sicherheit“ hat gezeigt, dass die Notwendigkeit zum Aufbau eines Informationssicherheits-Managementsystems mittlerweile allgemein erkannt wird, aber Probleme in der Umsetzung gesehen werden. Hierbei zeigt sich zunehmend, dass die ISO 27001(IT-Sicherheitsmanagement) geradezu prädestiniert ist, um die Situation der IT-Sicherheit im Unternehmen zu analysieren und zu verbessern, was eine wesentliche Säule für eine verbesserte Compliance -Situation darstellt.
Die Vortragsreihe „Brennpunkt IT-Sicherheit“, die vom Kompetenz-Zentrum Electronic Commerce Schwaben (KECoS) in Kooperation mit ortsansässigen IHKs in verschiedenen deutschen Städten organisiert wurde, ist bei den Geschäftsführern und EDV-Verantwortlichen des Mittelstands auf großes Interesse gestoßen. Hierbei wurde durch Tim Hoffmann von der UIMC nicht nur ein Einblick in die Hintergründe und Bedeutung des Aufbaus eines ISMS geboten, sondern auch Empfehlungen für Umsetzung sowie Prüfung und Zertifizierung gegeben.
Die ISO/IEC-Norm 27001 spielt als international anerkannte „Best Practice-Norm“ eine besondere Rolle, um ein IT-Sicherheits-Managementsystem zu etablieren, welches auch mit Qualitätsmanagementsprozessen vereinbar ist. Großes Interesse kam hierbei aus dem Mittelstand bzw. von KMUs (kleinen und mittleren Unternehmen), was eine Vielzahl von Gesprächen zeigte.
Wenn die Auditierung/Zertifizierung nicht nur als Selbstzweck verstanden wird, wird ein Mehrwert für das gesamte Unternehmen generiert.
Nicht nur in Großunternehmen muss sich die DV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Unternehmen unterliegen einer Vielzahl von Außen herangetragenen Anforderungen (sei es aus gesetzlicher oder marktrelevanter Sicht), die unmittelbar und mittelbar die DV-Systeme betreffen.
Es wird zunehmend erkannt, dass etwas getan werden muss. Auch die allgemeine Forderung aus dem KonTraG, welches auf Nicht-AGs in Bezug auf eine Umsetzung von geeigneten Maßnahmen der Risiko-Überwachung zum Fortbestand der Gesellschaft mittelbar ausstrahlt, stellt die Praktiker vor Probleme.
Somit steckt der Aufbau eines zwingend erforderlichen Informationssicherheits-Managementsystems (ISMS) zwar schon alleine aufgrund der persönlichen Haftung und der Finanzkrise zwar in den Köpfen der Entscheider, die Umsetzung aber noch in den Kinderschuhen. „Vielen EDV- und Unternehmensleitern scheint aber nicht bekannt zu sein, welche Vorgaben für sie im Einzelnen relevant sind und in welchen Bereichen entscheidende Risiken bestehen, geschweige denn, wie sie diesen begegnen können“, wie Tim Hoffmann auf der Basis seiner Erfahrungen als Datenschutz- und IT-Sicherheitsberater im Mittelstand feststellt.
Mehr Informationen zum Thema Risikomanagement im Mittelstand und zum Vortrag finden Sie unter www.uimc.de/it-sicherheit_kmu
Qualität in der Ausbildung ausgezeichnet: 1. Preis für die UIMC
Die UIMC hat in diesem Jahr den ersten Platz bei der Verleihung des Bergischen Ausbildungspreises (Städtedreieck Remscheid – Solingen – Wuppertal) erhalten. Die Preisverleihung war am Dienstag dem 18. November. Der Preis selbst wurde durch Oberbürgermeister Jung von der Stadt Wuppertal überreicht. Hiermit wurden die langjährigen Ausbildungsbemühungen der UIMC gewürdigt, die in den vergangenen 10 Jahren keinen Ausbildungsabbrecher zu verzeichnen hatte und alle Auszubildende haben ihre Ausbildung im „ersten Anlauf“ erfolgreich bestanden.
Dr. Jörn Voßbein, Geschäftsführer der UIMC, meint hierzu:
„Gerade vor dem stetigen Anstieg des „Akademisierungswahns“, erhält das über Jahrzehnte bewährte System der dualen Ausbildung in der gesellschaftlichen und politischen Wahrnehmung nicht die Wertschätzung, die es verdient. Dabei ist weder die akademische Ausbildung grundsätzlich als besser anzusehen, noch wird beachtet, dass im Ausland teilweise „Akademiker“ ausgebildet werden, deren Ausbildungsergebnis dem unserer dualen Ausbildung deutlich unterlegen ist.
Ich würde mich freuen, wenn dieser Preis auch dazu führt, dass in der Bildungspolitik ebenso die Stärken deutscher bewährter „Sonderwege“ Berücksichtigung finden und die duale Ausbildung nicht unnötigerweise einer übermotivierten internationalen Vereinheitlichungspolitik geopfert wird.“
Die UIMC und ihre Schwestergesellschaft UIMCert verstehen ihr Ausbildungsengagement als eine gesellschaftliche Verpflichtung, auch in Zeiten, in denen die Wirtschaft nicht so gut läuft. Die Ausbildung ist qualifiziert, fundiert und hat dazu geführt, dass selbst die nicht übernommenen Auszubildenden unmittelbar nach Beendigung ihrer Ausbildungszeit interessante Stellen gefunden haben, wobei auf die gesamte Zeit gesehen die Anzahl der übernommenen Auszubildenden deutlich höher ist als die Anzahl derjenigen, die nicht übernommen werden konnten.
Dr. Jörn Voßbein, der gleichzeitig auch als Prüfer der IHK tätig ist, meint hierzu:
„Wir werden unser Engagement auf diesem Gebiet auch künftig aufrecht erhalten und freuen uns über jeden von uns qualifizierten Auszubildenden, der von anderen Unternehmen übernommen wird. Auch im neuen Jahr hoffen wir wieder auf interessante Bewerbungen, die uns die Möglichkeit geben, qualifizierte Arbeitskräfte für die Wirtschaft auszubilden. Ausbildung ist bei uns eine Aufgabe die wir mit Engagement angehen, und die uns als Teil unserer Arbeit darüber hinaus Freude macht.“
Näheres hierzu – auch zu den Möglichkeiten für Auszubildende in 2009 unter www.uimc.de/stellenangebote
Sinnvoll zu wissen: Wo steht unser Unternehmen im Datenschutz?
UIMC/UIMCert haben sich für ihren Kundentag am 19./20. November etwas Besonderes ausgedacht: Basierend auf der durchgeführten Studie – vgl. hierzu die Pressemitteilungen der UIMCert zum Stand des Datenschutzes in der Bundesrepublik Deutschland vom 24.09.08 und 01.10.08 - können Kunden eine eigene Bewertung ihrer Positionierung im Datenschutz vornehmen. Die Studie wurde von der UIMCert in Kooperation mit dem Lehrstuhl für Wirtschaftsinformatik und Softwaretechnik der Universität Duisburg-Essen durchgeführt.
Besucher des Kundentages geben die Daten ihres Unternehmens in ein Programm ein und erhalten als Auswertung eine Beschreibung ihrer eigenen Positionierung im Datenschutz im Vergleich zu den in der Studie festgestellten Werten. Hiermit ist leicht zu erarbeiten, wie gut der Datenschutz im Unternehmen im Verhältnis zu den in der Studie ermittelten Standards realisiert ist. Grundlage ist ein Vergleich mit den häufigsten von den Teilnehmern der Studie genannten Bewertungen. Beispielsweise, wenn die Frage gestellt wird:
"Wie bewerten die Mitarbeiter Ihres Unternehmens die Funktion des Datenschutzbeauftragten?"
• unverzichtbar
• wichtig
• notwendig
• eher nicht notwendig
• nicht notwendig
so ist in der Auswertung der häufigste ermittelte Wert hinterlegt und bei einer wahrheitsgemäßen Antwort kann dann abgelesen werden, wo das eigene Unternehmen im Verhältnis zu anderen Unternehmen steht. Der ursprüngliche Fragebogen wurde zum Zweck der Positionsbewertung in einigen Punkten geringfügig umfangmäßig reduziert, um beim Kundentag in einer angemessenen Zeit ein interessantes Ergebnis erzielen zu können.
Die Eingabe/Bewertung des eigenen Unternehmens kann ausgedruckt und natürlich mitgenommen werden und ist streng vertraulich. Der Datenschutzbeauftragte, der die Position des eigenen Unternehmens ermittelt hat, kann das entsprechende Untersuchungsergebnis der Geschäftsleitung vorlegen und er erhält so je nach Ergebnis entweder „Munition" für fundierte Diskussionen über den Stellenwert des Datenschutzes im Unternehmen oder er vermag der Geschäftsleitung gegenüber sein erfolgreiches Wirken in der Vergangenheit darzulegen.
Näheres zum Kundentag unter www.uimc.de oder www.uimcert.de,
Näheres zur Studie unter www.uimcert.de
Unbundling und Datenschutz – untrennbar verbunden
Energieversorger stehen durch steigende Energiepreise im Fokus der Aufmerksamkeit der Öffentlichkeit. Somit kann auch ein „Fehler“ in anderen Bereichen – wie beispielsweise dem Datenschutz – negative Auswirkungen auf das Image von Stadtwerken haben. Neben dem Bundesdatenschutzgesetz (BDSG) stellt auch das Energiewirtschaftsgesetz (EnWG) Anforderungen an interne Organisation und Datenverarbeitung. Hierdurch kommt dem Datenschutz und dem Datenschutzbeauftragten ein neuer Stellenwert zu, dem durch einen entsprechenden Erfahrungsaustausch Rechnung getragen werden muss.
Die Berücksichtigung des Rechts auf informationelle Selbstbestimmung der Kunden kann einen Beitrag dazu leisten, sich das Vertrauen zurück zu gewinnen. Andersherum kann ein Verstoß gegen datenschutzrechtliche Grundlagen ein „gefundenes Fressen“ für die lokale und überregionale Presse sein.
Daher ist es um so wichtiger, dass sich Kunden darauf verlassen können, dass mit ihren personenbezogenen Daten sensibel und den einschlägigen Datenschutzgesetzen entsprechend umgangen wird. „Hierbei sind Fragen wie ‚Darf ich der Wohnungsgesellschaft den Verbrauch der Mieter nennen?’, ‚Welche Daten darf ich den Technikern/Monteuren über die Kunden mitteilen?’ oder ‚Darf ich eine Personalausweiskopie vom Kunden erstellen?’ an der Tagesordnung“, so Tim Hoffmann von der UIMC Dr. Voßbein GmbH & Co KG, der in verschiedenen Stadtwerken für den Datenschutz zuständig ist. „Diese Fragen müssen so geklärt werden, dass nicht nur die Ordnungsmäßigkeit sichergestellt ist, sondern auch die internen Prozesse nicht unnötig verkompliziert bzw. ineffizient werden.“ Hierbei hilft die Mehrfachbestellung in verschiedenen Stadtwerken, um eine hohe Kompetenz sicherzustellen.
Es sind neuerdings auch die Entflechtungsvorgaben des EnWG zu beachten, wonach ein „vertikal integriertes Energieversorgungsunternehmen“ zur diskriminierungsfreien Ausgestaltung und Abwicklung des Netzbetriebs verpflichtet ist. Dies bedeutet, dass der interne Zugang zu Informationen reglementiert werden muss, wodurch sich eine Schnittmenge zum Datenschutz ergibt. Das heißt im Umkehrschluss jedoch auch, dass sich für die „Datenschutzorganisation“ (im Sinne des BDSG und des EnWG) eine weitere Kontrollinstanz interessiert: Nach Datenschutz-Aufsichtsbehörde, Wirtschaftsprüfer, Betriebsrat und Datenschutzbeauftragter kontrolliert nun auch die Bundesnetzagentur.
Über diese und weitere datenschutzrechtliche Fragestellungen informiert das UIMCollege bzw. kann im Rahmen des Workshops „Datenschutz in Stadtwerken“ diskutiert werden. Hierbei können Geschäftsführer und Leitungskräfte sich allgemein über die Thematik und Lösungsmöglichkeiten im branchenspezifischen Datenschutz informieren, designierte Datenschutzbeauftragte den ersten Schritt zum Aufbau der Fachkunde gemäß § 4f BDSG gehen oder Gleichstellungsbeauftragte von langjährigen Erfahrungen aus dem Randgebiet „Datenschutz“ profitieren.
Näheres hierzu über www.uimc.de/unbundling-checkup.html
Studierende denken heute anders: Datenschutz ist wichtig!
Häufig verbindet sich mit der Bezeichnung „Studierender“ das Klischee und die Meinung, dass Studierende einer Gruppe unserer Gesellschaft sind, die neben dem Studium insbesondere das Leben genießt und sich nicht um trockene Themen, wie den Datenschutz kümmert. Dabei ist es gerade diese mit dem Kommunikationsmedium Internet aufgewachsene Generation, die in Chat-Rooms oder bei der Nutzung von Portalen wie ebay oder studiVZ häufig Spuren personenbezogener Daten hinterlässt.
„Was allerdings den Datenschutz innerhalb der Hochschulen betrifft, so kann dieses Vorurteil schon längst nicht mehr aufrecht gehalten werden“, stellt Dr. Heiko Haaz fest, mehrfach bestellter externer Datenschutzbeauftragter an einer Anzahl von Hochschulen und hochschulnahen Einrichtungen und Partner der UIMC. Der Alltag an Hochschulen ist ohne moderne und hochschulweite Informationssysteme mittlerweile undenkbar. Hochschulen verwalten mehrere tausend Datensätze von Studierenden, Beschäftigten, Angehörigen und Mitgliedern. Bei größeren Institutionen kommen hier leicht 50.000 und mehr Datensätze zusammen.
Jahrelang ging die Initiative von den Datenschutzbeauftragten, der EDV oder der Leitung der Hochschulen aus, entsprechende Informationssysteme datenschutzkonform zu implementieren, Rechtevergaben stringent und restriktiv zu handhaben oder Datenflüsse nach Zweck und Rechtsgrundlage zu hinterfragen. In den letzten Jahren sind zunehmend Eingaben, Anfragen und Beschwerden von Studierenden festzustellen, die bis auf Datenfeldebene wissen möchten, wer, wann und warum Zugriff auf ihre Daten nehmen kann. „Die Studierenden regen sich schon längst nicht mehr nur über fehlerhafte Aushänge ihrer Prüfungsergebnisse auf“ so Dr. Haaz weiter. „Die Studierenden zeigen sich sensibilisiert was die Veröffentlichung ihrer personenbezogenen Daten angeht und gut informiert, was die eingesetzten Systeme betrifft. Selbst wenn diese Systeme den Studierenden häufig schon deshalb einen Nutzen bringen, weil personenbezogene Daten nicht an allen Stellen der Hochschule angegeben und insbesondere bei Änderungen nicht überall aktualisiert werden müssen, so steigt die Anzahl von Auskunftsersuchen. Die Studierenden wollen wissen, was mit ihren Daten passiert und dass nicht nur als Vorwand, wie es z. B. mit der Einführung der Studienkonten unterstellt werden musste.“
Der Einzug von Identity Management Systemen an immer mehr Hochschulen und Universitäten sowie Meldungen über geknackte Sicherheitssysteme bei Studierendenausweisen mit Zahlungsfunktion (RFID-Chip) lassen den Datenschutz Einzug in das Bewusstsein von Studierenden nehmen. Dies ist auch ein Grund, warum immer mehr Hochschulen und hochschulnahe Einrichtungen sich qualifizierte Unterstützung bei der Einführung von Informationssystemen oder bei der Datenschutzberatung holen. Die UIMC hat in den letzten Jahren insbesondere bei der datenschutzkonformen Implementierung sowie bei Ordnungsmäßigkeitsprüfungen (Vorabkontrollen) verschiedener Hochschulinformationssysteme immer wieder ihre vorhandene Fachkunde zum Nutzen ihrer Kunden einbringen können.
Weitere Informationen unter www.UIMC.de/datenschutz.html
Statt durch Strafen den Datenschutz in Unternehmen besser pragmatisch angehen!
Nach den jüngsten Veröffentlichungen von „Datenschutz-Pannen“ (bzw. eklatanten Verstößen gegen den Datenschutz und das Persönlichkeitsrecht) bei Lidl, Deutsche Telekom oder HSH fordern verschiedene Politiker und Organisationen härtere Strafen im Rahmen des Datenschutzes. Diese (fast schon reflexartig erhobene) Forderung wird jedoch nicht zu dem Ziel eines besseren gelebten Datenschutzes führen. So wie Todesstrafen keine Morde, Gefängnisstrafen keine Steuerhinterziehung im großen Stil oder höhere Geldbußen keine Autobahnraserei abwehren, so werden auch verdoppelte oder vervielfachte Geldstrafen nicht verhindern, dass Daten unbefugt erhoben, verarbeitet oder anderweitig genutzt werden. Vielmehr sollte auf jene kriminelle Handlungen mit einer höheren Kontrolldichte geantwortet werden, schließlich ist die Gefahr des Erwischtwerdens heute eher gering. Doch ist dies wiederum politisch aufgrund der „Haushaltslage“ nicht durchsetzbar oder intensivere Kontrollen sind nicht gewünscht.
Andererseits ist auch dies zu kurzsichtig betrachtet, wie Prof. Dr. Reinhard Voßbein feststellt, denn diverse Datenschutzvergehen – gerade in kleinen und mittleren Unternehmensgrößen (KMU) – werden nicht aus Böswilligkeit, sondern aus Unwissenheit begangen. Wenn man die datenschutzrechtliche Realität in Deutschland betrachtet, wird man schnell feststellen, dass viele Unternehmen keinen Datenschutzbeauftragten bestellt haben, obwohl das Gesetz dies klar fordert. So zeigte auch eine aktuelle UIMCertStudie – ab Oktober verfügbar -, dass rund 60% der bestellungspflichtigen KMU keinen Datenschutzbeauftragten ernannt haben. Dies zeigt, dass – auch wenn der Datenschutz ein „alter Hut“ ist und derzeit öffentlich stark diskutiert wird – er weder in der betrieblichen Praxis „angekommen“ noch ein gesellschaftlich gelöstes Problem ist.
Die Gründe hierfür sind durchaus vielschichtig: Die Unwissenheit über die Anforderungen, die fehlende Motivation sich mit diesem lästigen Thema auseinandersetzen oder die mangelnden personellen und letztendlich auch finanziellen Möglichkeiten sind hierbei sicherlich nur exemplarisch. Hierzu bemerkt Dr. Jörn Voßbein, Geschäftsführer der UIMC und mehrfach bestellter Datenschutzbeauftragter, bissig „Die Durchsetzung der schon heute möglichen Strafe des Bundesdatenschutzgesetzes (BDSG) in Höhe von EUR 250.000 ist auch für größere Unternehmen sicherlich relevant und hält sie dennoch nicht davon ab, gegen das BDSG zu verstoßen.“
Dies zeigt somit, dass es wesentlich zielführender ist, eine bessere Herangehensweise an den Datenschutz zu wählen. Der Datenschutz wird nur dann intern akzeptiert und auch gelebt, wenn er angemessen umgesetzt wird. Somit kann die Mehrfachbestellung eines Externen äußerst hilfreich sein, da Erfahrungen auch aus anderen Unternehmen übertragen werden können. Diese Meinung teilt im Übrigen auch Bettina Sokol, Landesdatenschutzbeauftragte in NRW, die in einem ihrer vergangenen Tätigkeitsberichte festhielt, dass „die Bestellung externer Beauftragter... oft eine praktikable Lösung“ und oftmals auch „kostengünstiger und fachlich qualifizierter“ ist.
„Eins sollte bei den Überlegungen zum Datenschutz auch nicht vergessen werden“, stellt Dr. Jörn Voßbein ferner klar, „dass auch die allgemeine IT-Sicherheitssituation davon profitiert und der Qualitätsgedanke weiter ins Unternehmen getragen wird.“ Sofern die gesetzlichen Anforderungen im Rahmen des Datenschutzes effektiv und effizient im Unternehmen angegangen werden, kann somit auch ein Mehrwert im gesamten Unternehmen entstehen. Datenschutz sollte proaktiv betrieben werden, bevor Wirtschaftsprüfer, Betriebsräte oder Kunden danach fragen; oder sogar die Öffentlichkeit dies diskutiert. Andernfalls können Probleme entstehen, die über das eigentliche Thema „Datenschutz“ hinausgehen.
Weitere Informationen unter www.UIMC.de/datenschutz.html
EUG und UIMC blicken auf ein erfolgreiches erstes Jahr der Kooperation zurück
Wuppertal, 14.04.2008 – Seit einem Jahr arbeiten die Interessensvertretung der Nutzer der ERP-Software (EUG) vom Hersteller ABAS Software AG und die UIMC im Bereich des Datenschutzesund der IT-Sicherheit zusammen. Sowohl die von der UIMC betreuten Mitgliedsunternehmen als auch das mittelständische Beratungsunternehmen aus Wuppertal blicken zufrieden auf das erste Jahr der Kooperation zurück, wie alle Beteiligten auf der diesjährigen EUG-Tagung in Kassel feststellten.
Vor ziemlich genau einem Jahr wurde der „offizielle Startschuss“ für die Kooperation zwischen der ERP-User-Group (EUG) und der UIMC Dr. Vossbein GmbH & Co KG gegeben. Als sich nun die Beteiligten zur mittlerweile 13. EUG-Tagung in Kassel in noch größerer Runde wieder trafen, blickten alle zufrieden auf das erste Jahr zurück.Der zunächst „nur“ als Interessensvertretung gegenüber dem Hersteller von ERP-Software ABAS Software AG gedachte Zusammenschluss von über 100Mittelstandsfirmen kann seinen Mitgliedern durch die Kooperation noch mehr Problemlösungskompetenz anbieten, schließlich arbeitet die EUG schon seit jeher nach dem simplen und zugleich bestechenden Motto „Wer allein arbeitet, addiert. Wer zusammenarbeitet, multipliziert.“
Die betreuten Mitgliedsunternehmen können auf die über zehnjährige Kompetenz der UIMC im Datenschutz und in derIT-Sicherheit zurückgreifen. Das zuvor sperrige und gerne aufgrund der„lästigen Natur“ ignorierte Thema Datenschutz wird nun mit einer nicht überbetonten, sondern angemessenen Herangehensweise gelöst. Und last but not least kann die UIMC mit einem verlässlichen Partner einen noch größeren Interessentenkreis für das für kleine und mittelgroße Unternehmen (KMU) entwickelte „Low-Budget-Konzept“ ansprechen und sichmit ähnlich strukturierten Firmen austauschen. Das Konzept hat sichbereits in der Vergangenheit zur pragmatischen Umsetzung desDatenschutzes und der IT-Sicherheit bewährt und ist ideal als Lösung eines Verbands, wie es die EUG ist.
Im Rahmen der diesjährigen EUG-Tagung am 11. und12. April in Kassel ließ Tim Hoffmann, verantwortlicher UIMC-Berater inder Kooperation, das erste Jahr Revue passieren. Schon im ersten Jahr konnten einige Geschäftsführer und Unternehmensentscheider von der Bedeutung der sicheren IT-Organisation und des Datenschutzes überzeugt werden. Hierbei zeigen auch die jüngeren Beispiele im Lebensmitteleinzelhandel, wie wichtig eine funktionierende Datenschutzorganisation ist. Und durch das Low-Budget-Konzept des Wuppertaler Unternehmens können nun auch keine „Ausreden“ mehr dahingehend bestehen, dass die Umsetzung des Datenschutzes lästig,teuer und praxisfern ist, schließlich werden wesentliche Funktionen an die UIMC ausgelagert ohne dabei das Budget übermäßig zu belasten. Durch die Konzentration auf das Wesentliche sowie den Rückgriff auf etablierte Standards und Tools können die IT-Sicherheit und der Datenschutz pragmatisch sichergestellt werden.
Darüber hinaus bestätigten die durch die UIMC betreuten Unternehmen, dass der Datenschutz bei den betreuten EUG-Mitgliedern nicht als Selbstzweck betrieben wurde: Es konnte das Vertrauen zu den Mitarbeitervertretern ausgebaut werden und auch die Sicherheitssituation der EDV verbessert werden. Auch in diesem Jahr stieß das vorgestellte Konzept auf positive Resonanz der teilnehmenden Mitglieder, da hier eine für Mittelständler bezahlbare Lösung geboten wird und nicht mit „Kanonen auf Spatzen geschossen wird“.
Es kann also festgehalten werden, dass durch die Kooperation mit der UIMC nun auch in den Bereichen IT-Sicherheit und Datenschutz bei der EUG „multipliziert“ wird. Die UIMC gibt diese Synergien in Form von Rabatten an die interessierten Mitglieder weiter und es wird bei einer entsprechenden Anzahl an interessierten Mitgliedern ein Erfahrungsaustauschkreis bzw. eine Arbeitsgruppe geschaffen.
Nähere Informationen:
UIMC Dr. Vossbein GmbH & Co KG
Tim Hoffmann
Nützenberger Straße 119
42115 Wuppertal
Tel.: 0202 / 265 74 – 0
Fax: 0202 / 265 74 – 19
E-Mail: consultants@uimc.de
Internet: www.UIMC.de/low_budgetkmu.html
UIMC auf der IT-Trends 2008: Datenschutz in KMU “life“
Die UIMC wird auch in diesem Jahr wieder auf der IT-Trends, die am 27.05.2008 im Zentrum für IT-Sicherheit, Bochum stattfindet, mit einem Ausstellungsstand und einem Vortrag vertreten sein.
Der Vortrag bietet „Datenschutzlife“ und beinhaltet den Erfahrungsbericht eines Datenschutzes aus dem KMU-Bereich. Er gibt einen Einblick in das Leben eines „Datenschützers“ in einem KMU, wie dieser tagtäglich die Datenschutzarbeit nicht nur effektiv, sondern auch effizient erfüllt und welche klassischen Hürden er in einem KMU bewältigen muss. Auch wenn der Vortragende aus Sicht eines externen Datenschutzbeauftragten referiert, können die Erfahrungen auf die Tätigkeiten eines intern Bestellten ohne Weiteres übertragen werden. Es werden konkrete Lösungsvorschläge und Argumentationshilfen unterbreitet, welche auch jenen Zuhörern einen Mehrwert darstellen, die sich nicht in Ihrer tagtäglichen Arbeit mit dem Thema „Datenschutz“ auseinandersetzen. Ferner hat die Unternehmensführung die Möglichkeit, sich über die Anforderungen des Datenschutzes und die besonderen Lösungsmöglichkeiten innerhalb eines KMU zu informieren, so dass das „lästige Übel“ zu einem Mehrwert im Unternehmen wird.
Die Ausstellung informiert über das Produktprogramm, welches die UIMC für Unternehmen aller Größenordnungen bereithält. Auch hier wird wiederum gezeigt, wie Tools die Arbeit des Datenschutzbeauftragten und IT-Sicherheitskoordinatoren erleichtern und dazu beitragen wie ein Unternehmen „ordnungsgemäß“ wird.
Die IT-Trends hat sich in den vergangenen Jahren im westdeutschen Raum fest etabliert als eine Ausstellung, die auf dem IT-Sicherheitssektor praxisorientierte Hilfen bietet.
Weitere Informationen unter www.uimc.de/vortraege.html und www.uimc.de/it-sicherheit.html
Secure 2008: kein Mekka für IT-Sicherheitsfachleute mehr?
UIMC und UIMCert haben sich nach sorgfältigen Überlegungen unter Prüfung der bisher gemachten Erfahrungen entschlossen, auf der Secure 2008 keine Ausstellung ihrer Produkte und Dienstleistungen mehr vorzunehmen. Die Erfahrungen der verflossenen Jahre haben gezeigt, dass die Kongressteilnehmer in den meisten Fällen nur wenig Interesse zeigen, sich in den Pausen mit Ausstellerthemen zu beschäftigen, sondern lieber in einem kleinen Kreis der Kongressteilnehmer Fachgespräche führen oder einfach relaxen wollen. Diese Erfahrung haben nicht nur UIMC und UIMCert gemacht; sie haben sich vielmehr hierüber auch mit anderen Ausstellern ausgetauscht. Es wurde in diesem Zusammenhang festgestellt, dass die Besucherzahl sowie die Zusammensetzung der Besucher nicht zu nennenswerten Kontakten durch die Ausstellung geführt haben. Insbesondere ist festzustellen, dass auch die durchgeführte Werbung für den Kongress nicht so zielgruppenspezifisch ausgerichtet war, dass sie eine weitere Teilnahme gerechtfertigt hätte.
UIMC und UIMCert hatten in den vergangenen Jahren immer am Kongress und der begleitenden Ausstellung teilgenommen. Eine Umgestaltung des Geschäftsmodells durch den Kongressveranstalter hat jedoch dazu geführt, dass die Unternehmensgruppe UIMC/UIMCert ihre Strategie geändert hat. Besonderes Gewicht soll auch künftig auf den im November stattfindenden Kundentag gelegt werden.
Näheres hierzu unter www.uimcert.de oder www.uimc.de/messeinformationku08.html
Keine IT-Sicherheit ohne Risikomanagement
Nach einer Meldung der Computerzeitung vom 28. Januar sollten CIOs „weniger Aufmerksamkeit auf das Flickwerk der Security Patches“ legen als vielmehr ein umfassendes Risikomanagement einführen. Obwohl diese Erkenntnis nicht neu und auch in dieser Form nicht vollständig richtig ist – „Flickwerk“ ist nicht die Lösung, sondern viel mehr ganzheitliche IT-Sicherheitskonzepte -, sind viele Unternehmen noch nicht bereit, ein effizientes und ein an das gesamte Unternehmen erfassendes Risikomanagement zu installieren.
Die UIMC/UIMCert meinen hierzu: Es gibt mittlerweile Servicepakete, die die Unternehmen dabei unterstützen, einfunktionierendes Risikomanagement zu entwickeln und zu implementieren.UIMC/UIMCert bieten hierzu einen Risikoworkshop an, der das „Gewusst-Wie“ der Planung, Entwicklung und Durchsetzung eines Risikomanagementsystems vermittelt,auf dem Prinzip des „Befähigens zum Selbst-Tun“ beruht und auch mittelständische Unternehmen in die Lage versetzt, ein effizientes Risikomanagementsystem aufzubauen. Zu den Materialien, die ergänzend zu den Workshopunterlagen zur Verfügung gestellt werden, gehören Formularhilfen, Anleitungen und ergänzende Literatur zum Risikomanagement.
Weiterhin steht insbesondere für den Bereich der IT-Sicherheit ein Tool zur Verfügung, welches entsprechend dem internationalen Standard ISO/IEC 27001/02 eine Analyse des bestehenden Risikomanagementsystems vornimmt, bei der Erarbeitung von Risikostrategien und -maßnahmen hilft und - als Nebenfunktion - die Projektarbeit unterstützt und coacht. Zielist, das Risikomanagementsystem zu einem wirksamen Instrument der Unternehmensführung zu machen.
Detaillierte Informationen unter www.uimcert.de und www.uimc.de/risktool.html
Bußgelder und Strafanzeigen beweisen: Aufsichtsbehörden machen ernst mit Datenschutz!
Die 31. Datenschutzfachtagung DAFTA 2007 –– hat wie immer eine Vielzahl von Anregungen und Erkenntnissen über den Datenschutz gebracht. Einer der bemerkenswertesten Vorträge war der Bericht über eine Umfrage bei Datenschutzaufsichtsbehörden zum Thema „Bußgelder und Strafanzeigen“. Die Referentin Evelyn Seiffert wies überzeugend nach, dass Vorsatz und Fahrlässigkeit die Hauptgründe für Ordnungswidrigkeitstatbestände sind. Insgesamt - so führte die Referentin aus - sind im Verlaufe der letzten fünf Jahre in 242 Fällen Bußgelder inklusive Verwarnungen verordnet worden. Im gleichen Zeitraum wurden 14 Strafanträge gestellt. Bei zirka 65 Fällen wurde als Ordnungswidrigkeitstatbestand ein Verstoß gegen Meldepflichten und/oder Bestellung eines Datenschutzbeauftragten konstatiert.
Die UIMCert meint: Insbesondere der hohe Anteil der Ordnungswidrigkeitstatbestände in Form von Verstößen gegen § 43 Abs. I, 1 und 2 ist nicht verwunderlich, da - wie in einer unserer letzten Pressemitteilungen festgestellt - die Marktstudie der UIMCert ergeben hat, dass zirka 60 % der zur Bestellung eines Datenschutzbeauftragten verpflichteten KMU´s dieser Pflicht nicht nachgekommen sind. Die Differenz zwischen den von den Aufsichtsbehörden festgestellten Verstößen gegen den genannten Paragraphen und den von der UIMCert festgestellten Tatbeständen ergibt sich daraus, dass die Aufsichtsbehörden durch Personalmangel nicht flächendeckend prüfen können, so dass ihnen das gesamte Ausmaß der Verstöße insbesondere gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten entgeht. Die meisten der anderen von Frau Seiffert festgestellten Verstöße wären dann nicht passiert, wenn ein gewissenhafter Datenschutzbeauftragter bestellt und tätig geworden wäre.
UIMC und UIMCert haben nicht nur auf ihrem Kundentag darauf hingewiesen, dass sie ein effizientes System zur Herstellung der Ordnungsmäßigkeit des Datenschutzes in KMU´s in ihrem Produktportfolio haben. Die Tatsache, dass die Aufsichtsbehörden bei ihren Prüfungen ganz offensichtlich schärfere Maßstäbe anlegen und bei entsprechenden Ordnungswidrigkeitstatbeständen Geldbußen und/oder Strafen verhängen, sollte den für die Ordnungsmäßigkeit verantwortlichen Instanzen aller Unternehmen, insbesondere aber auch KMUs, zu denken geben.
Ausführliche Informationen zum KMU-Konzept unter www.uimc.de/low_budgetkmu.html oder www.uimcert.de
IT-Sicherheitsberatung zum Nulltarif: UIMCert-Kundentag bietet viele Neuheiten
Auf dem Kundentag zum zehnjährigem Jubiläum des Schwesterunternehmens UIMC bietet die UIMCert eine Anzahl von Produktneuheiten auf dem Toolsektor, die es in sich haben. Standardmäßig enthalten alle Tools die Analyse- und Berichterstattungsfunktion - und das für eine Vielzahl von IT-Sicherheitsproblemen. Eine hochkarätige kostenlose Beratung hierzu wird auf dem Kundentag gegeben.
Interessant ist vor allem die kennzahlen- und benchmarkingorientierte Managementauswer-tung, die in allen Tools integriert ist und die die Arbeit deutlich erleichtert.
Die vorhandene Tool-Palette erstreckt sich auf die Gebiete:
- ISO/IEC 27001 - ISO 17799
- IT-Sicherheits-Risikoanalysen
- IDW PS 880
- IDW PS 330
- Datenschutz gemäß BDSG
- Vorabkontrollen nach mehreren Landesgesetzen (z. B. LDSG NW oder NDSG)
Grundlage der Tool-Palette ist eine Shell, die als hoch flexibles Instrument individuel-le/unternehmensspezifische Anpassungen gestattet und z. B. auch variierenden Bedingungen (Beispiel KMU) leicht angepasst werden kann.
Wesentlich ist, dass die Tools auch in Lizenz an Kunden gegeben werden, so dass die interne Revision oder der Datenschutzbeauftragte in der Lage sind, mit Hilfe des Tools eine struktu-rierte Analyse normenkonform durchzuführen. Hiermit ist eine wesentliche Arbeitserleichte-rung verbunden. So kann beispielsweise bei der ISO/IEC 27001 - ISO 17799 ein normenkon-formes IT-Sicherheitsmanagement implementiert werden, das bei erfolgreichem Abschluss eines internen Projektes eine spätere Zertifizierung durch eine akkreditierte Zertifizierungsor-ganisation ermöglicht.
Ort und Zeit des Kundentages: Köln, Maternushaus, 14. und 15. November
Persönliche Einladung und/oder weitere Informationen zum Kundentag bzw. den Produkten unter www.uimc.de/produkte_hilfsmittel.html oder www.uimcert.de .
Was nichts kostet, ist nichts? Hoch qualifizierte kostenlose Beratung zum zehnjährigen Bestehen der UIMC
Die UIMC hat sich in den 10 Jahren ihres Bestehens zu einem im Markt etablierten Beratungsunternehmen in Sachen IT-Sicherheit und Datenschutz entwickelt. Der jährlich stattfindende Kundentag - auch in diesem Jahr wieder im Maternushaus, Köln am 14. und 15. November - steht ganz im Zeichen „Zehn Jahre UIMC". Hiervon sollen insbesondere die Kunden/Interessenten etwas haben: Auf dem Kundentag wird fachgerechte Beratung kostenlos geboten. Die vorgehaltenen Kapazitäten an Beratern auf dem Kundentag stellen sicher, dass Kunden und Interessenten - ob vorangemeldet oder ohne Terminabsprache - die Möglichkeit haben, sich in qualifizierten Beratungsgesprächen über alle Fragen rund um IT-Sicherheit und Datenschutz zu informieren. Großer Wert wird natürlich auf die neuen Produkte gelegt, die - entsprechend der UIMC Tradition - der Rationalisierung qualitativ hochwertiger Analysen und Berichterstellungen bei IT-Sicherheit und Datenschutz dienen.
Neu ist vor allem die kennzahlen- und benchmarkingorientierte Managementauswertung, die wesentlich in den Händen der UIMCert liegt. Bei dieser Auswertung wird der Grad der Erfüllung einer vorgegebenen Norm (zum Beispiel ISO/IEC 27001 oder IDW PS 880) in übersichtlicher Form quantitativ und/oder in Grafikform dargestellt. Durch Eingabe von bestimmten Gewichtungs- oder Wertvorgaben in das Tool können darüber hinaus unternehmensindividuelle Zielvorgaben als Grundlage eines Benchmarking-Auswertungssystems dienen und z. B. den Erfüllungsgrad im Sinne einer Zielkontrolle/-revision liefern.
Wer eine persönliche Einladung oder weitere Informationen zum Kundentag bzw. den Produkten erhalten möchte, erhält diese unter www.uimc.de/produkte_hilfsmittel.html oder www.uimcert.de .
Recht der IT-Sicherheit – ein Rechtsgebiet nur für Juristen?
Nach einer Untersuchung der UIMCert hat sich das Rechtsgebiet „IT-Sicherheit" in den letzten Jahren drastisch ausgeweitet. Nicht nur, dass die Haftungsbedingungen der Vorstände und Leitenden sich deutlich geändert und verschärft haben, auch die insgesamt für das Unternehmen auf dem Gebiet der IT-Sicherheit relevanten Rechtsnormen haben in vielen Fällen eine Präzisierung und Verdeutlichung erfahren. Es lassen sich deutlich einige Kerngebiete herausstellen, für die jeweils eine Mehrzahl/Vielzahl von gesetzlichen Regelungen existieren. Diese Kerngebiete sind:
- Haftungsrecht für Vorstände und Unternehmensleitungen
- Handels- und Steuerrecht
- Informations- und Kommunikationsrecht
- Datenschutzrecht
- Strafrecht.
Des Weiteren gibt es eine Anzahl von branchen- oder wirtschaftszweigspezifischen Rechtsgebieten, wie zum Beispiel für:
- Banken (z. B. Basel II)
- Versicherungen (Sozialgesetzbuch)
- Gesundheitssektor (z. B. Haftung bei mangelhafter Aufklärung)
- bestimmte Berufszweige.
Diese einzelnen Rechtsgebiete sind nicht generell überschneidungsfrei. So ist z. B. das Datenschutzrecht ein Gebiet, welches insbesondere in den branchen- oder wirtschaftszweigspezifischen Rechtsgebieten eine übergreifende Bedeutung hat.
Wesentlich für das Recht der IT-Sicherheit ist auf jeden Fall, dass seine Bedeutung beträchtlich über den Wirkungsbereich der Juristen allein hinausgeht. Unternehmen können sich hiervor nicht länger verschließen. Zwar waren Handels- und Steuerrecht auch schon immer Gebiete, in denen zum Beispiel alle im Rechnungswesen Tätigen beträchtliche Kenntnisse haben mussten, um nicht gegen Gesetzesnormen zu verstoßen und um die Ordnungsmäßigkeit unternehmerischer Aktivitäten sicherzustellen. Bei den Rechtsfeldern der IT Sicherheit wird jedoch von einer deutlich größeren Anzahl von Mitarbeitern ein zumindest grundsätzliches Wissen erwartet. Das Wichtigste: In den meisten Fällen ist sich jedoch die Unternehmensleitung selbst nicht darüber im klaren, in welchem Umfang Rechtskenntnis im Unternehmen vorhanden sein müssen, um Ordnungsmäßigkeit auf den geforderten Gebieten sicherzustellen. Hier sollte sich die Unternehmensleitung zumindest einen groben Überblick verschaffen, damit sie ein Gefühl dafür gewinnen kann, wo die rechtlichen Fallstricke und Problemfelder liegen könnten. Die Erfahrungen der UIMCert auf diesem Gebiet zeigen, dass selbst die Kenntnis der Unternehmensleitungen von den relevanten Rechtsgebieten in denjenigen Sektoren mangelhaft sind, wo es sich um branchen- oder wirtschaftszweigspezifische Rechtsgebiete handelt. Eine Kurzübersicht über die wesentlichen Ergebnisse der UIMCert-Studie sind kostenlos abrufbar.
Nähere Informationen hierzu unter http://www.uimcert.de/.
Zusammenarbeit bei Datenverarbeitung und Datenschutz bringt Hochschulen Synergieeffekte
Hochschulen stehen in einem immer stärkeren Wettbewerb um qualifizierte Studierende und Lehrende sowie um die Qualität ihrer Lehrveranstaltungen. Dies erfordert neben dem ohnehin steigenden Umfang der personenbezognen Datenverarbeitung z. B. durch die Vergabe von Studienkrediten oder die z. T. eingeführten Studiengebühren einen zusätzlichen Datenaustausch mit Dritten. Dadurch steigt nicht nur die Komplexität und Bedeutung des Datenschutzes an den Hochschulen, sondern auch der Aufwand, der mit der Erfüllung der zur Einhaltung der gesetzlichen Anforderungen verbunden ist. Dies kann durch den Austausch von Erfahrungen anderer Hochschulen optimiert werden.
Die Struktur der personenbezogenen Daten an Hochschulen ist weitgehend homogen, wenn man sie in die Hauptklassen Studierenden-, Alumni/Ehemalige und Beschäftigtendaten einordnet. Gesetzliche Forderungen nach Evaluierungen und Studienkonten oder die Studienkredite der KfW sowie der stark wachsende Bereich der hochschulnahen Dienstleistungen (wie beispielsweise die Kinderbetreuung von Studierenden und Lehrbeauftragten oder Studierendenaustauschprogramme) erhöhen jedoch den Umfang der personenbezogenen Datenverarbeitung und den Datenaustausch zwischen verschiedenen Institutionen, auch außerhalb des Hochschulbereichs.
Dies erfordert eine detaillierte Prüfung, inwieweit personenbezogene Daten zwischen den juristisch selbstständigen Institutionen übermittelt bzw. unter welchen Voraussetzung überhaupt verarbeitet werden dürfen. So kann bereits ein Studierendenausweis, der mit einer Zahlungsfunktion für die Mensa versehen ist oder als Fahrschein für den öffentlichen Nahverkehr verwendet wird, eine Datenübermittlung darstellen. „Viele Fragestellungen finden sich nach einer gewissen Zeit an jeder Hochschule wieder, weshalb wir als Dienstleister auf gewonnene Erfahrungen zurückgreifen können. Kombiniert mit unseren Erfahrungen aus anderen Bereichen können wir unser Know-how dem Kunden zur Verfügung stellen“, sagt Dr. Heiko Haaz, vielfach bestellter Datenschutzbeauftragter und Partner der UIMC. „Und die Angst vor zu hohen Beraterkosten sind durch den Einsatz moderner Kommunikationstechniken, die teure Vor-Ort-Leistungen optimieren und den Einsatz von Analyse-Tools dabei unbegründet.“
Hochschulen unterliegen als öffentliche Stellen dem jeweiligen Landesdatenschutzgesetz und haben in der Regel die Pflicht zur Bestellung eines Datenschutzbeauftragten. Um dieser gesetzlichen Pflicht effizient nachzukommen, entschließen sich die Institutionen immer öfter dazu, sich externer Beratungsleistungen zu bedienen, da die gesetzlich geforderte Fachkunde, vor allem auf dem Gebiet des technischen Datenschutzes häufig in den Hochschulen nicht gegeben ist. Je nach Konstrukt und gesetzlicher Forderung, kann der externe Berater zum Datenschutzbeauftragten oder dessen Stellvertreter bestellt werden bzw. die Rolle eines Coaches wahrnehmen. Denkbar ist auch die Mitwirkung in einem Datenschutzteam, um die kompetente Beratungsleistung einfließen zu lassen.
Die UIMC ist seit Jahren für Datenschutzbeauftragte sowohl an Hochschulen als auch im direkten Hochschulumfeld (wie z. B. bei verschiedenen Studierendenwerken) deutschlandweit beratend tätig. Hierbei profitieren die Institutionen kontinuierlich von Erfahrungswerten, da datenschutzrechtliche Fragestellungen – insbesondere wenn sie aus gesetzlichen Regelungen resultieren – annährend an jeder Hochschule gleich oder zumindest ähnlich sind.
Eingeflossen ist dieses Praxiswissen auch schon in die verschiedenen Vorabkontrollen u. a. der HIS-Produkte, welche durch die UIMC für die IuK NRW (Koordinierungsstelle für Informations- und Kommunikationstechnik in den Hochschulverwaltungen des Landes Nordrhein-Westfalen) erstellt wurden und deren Ergebnisse nun auch die Hochschulen in Niedersachsen nutzen. „Warum soll Arbeit, die von unterschiedlichen Stellen per Gesetz geleistet werden muss, doppelt und dreifach durchgeführt werden, wenn man sich bereits bestehender Ergebnisse bedienen kann und lediglich gewisse Anpassungen vornehmen muss?“, so noch einmal Dr. Heiko Haaz.
Die vergangenen Jahre haben gezeigt, dass der steigenden Komplexität, den erhöhten Anforderungen an die Datenverarbeitung und den damit verbundenen Aufwänden nur sinnvoll durch die Vernetzung der Aktivitäten und Erfahrungsaustausch an Hochschulen begegnet werden kann.
In diesem Sinne ist auch die 1. Fachtagung für Datenschutzbeauftragte an Hochschulen und anderen wissenschaftlichen Einrichtungen vom 13-14.9.07 in Berlin zu sehen.
Weitere Informationen unter http://www.uimc.de/vorabkontrollen.html .
Neue Audittool-Generation bietet effiziente Schwachstellenbeseitigung und Managementreports
Viele Unternehmen unterwerfen sich mittlerweile einer kaum zu überschaubaren Anzahl von Zertifizierungen, denen immer ein Audit vorangeht. Hierbei ist es das Ziel, zu prüfen, ob die Anforderungen bestimmter Normen/Standards (beispielsweise im Datenschutz, in der IT-Sicherheit oder im Qualitätsmanagement) erfüllt sind. Derzeit existieren auf dem Markt eine Reihe von Hilfsmitteln/Tools zur Auditierung. Doch viele gehen über die reine Bestimmung des Ist-Zustands nicht hinaus. Es ist jedoch viel wichtiger, zu wissen, wie den aufgedeckten Schwachstellen und Mängel adäquat begegnet werden kann. Auch eine Quantifizierung ist meist sinnvoll und nötig. Beides erfüllt das UIMC-Tool zur Analyse und Berichterstellung.
„Die Schwierigkeit eines Audits liegt oftmals nicht in der Erhebung, sondern vielmehr in der effizienten und effektiven Auswertung“, so Dr. Jörn Voßbein (UIMC), erfahrener IT-Sicherheitsberater und mehrfach bestellter Datenschutzbeauftragter. Wichtig ist es im Rahmen des Audits, nicht nur schnell und effektiv die Befragung durchzuführen. Schließlich ist es oftmals schwer genug, alle Beteiligten für einen Workshop oder Interview „an einen Tisch zu bekommen“. Vielmehr ist es auch bedeutend, nach der Auswertung neben der Darstellung des Ist-Zustands auch Möglichkeiten aufgezeigt zu erhalten, wie den aufgedeckten Schwachstellen bzw. Mängeln in angemessener Form begegnet werden sollte. „Genau dies stellt den Mehrwert eines Audits dar: Wissen, wo ich stehe und wie ich mich verbessern kann!“, so Dr. Jörn Voßbein weiter.
Einen weiteres Plus ist neben der qualitativen Aufbereitung auch die quantitative Auswertung: Die Gewichtung der einzelnen Auditpunkte sowie eine graphische Darstellung der Zielerreichung ermöglicht beispielsweise die interne Promotion der Ergebnisse, den quantitativen Vergleich zu einem Benchmark oder zum vorherigen Audit. Hierdurch sind selbst Einsatzgebiete im Rahmen des Management by Objectives denkbar, da so Zielvereinbarungen transparent und einfach gemessen werden können.
Die Lösung hierfür: Die UIMC hat ein Tool entwickelt (UIMC-Tool zur Analyse und Berichterstellung; kurz „UTAB“), welches alle Phasen in computergestützter Form unterstützt: Erhebung, Auswertung, Berichterstellung inkl. Ableitung von Vorschlägen zur Mängelbeseitigung. Somit wird nicht nur der Zeitaufwand während der Erhebung vermindert, sondern auch die Möglichkeit geboten, in kurzer Zeit neben einem Status-Quo-Bericht auch einen Katalog zur Beseitigung der aufgedeckten Schwachstellen zu erstellen. „Der besondere Clou ist unser Executive Information System als quantitatives Ergänzungsmodul“, stellt Dr. Jörn Voßbein nicht ohne Stolz fest. Somit wird neben der qualitativen auch eine quantitative Auditierung integriert durchgeführt.
Das Tool hat sich bei einer Vielzahl von Gebieten wie beispielsweise Datenschutz, IT-Sicherheit, Notfallmanagement oder Zertifizierung gemäß ISO/IEC 27001 bereits bewährt, um nur einen Ausschnitt der Anwendungsmöglichkeiten zu nennen. Spezifische Lösungen für Branchen wie Banken oder Rechenzentren, für verschiedene Unternehmensgrößen wie Großunternehmen oder Klein- und Mittelunternehmen (KMU) etc. existieren ebenso wie unternehmensspezifische Lösungen z. B. für die interne Revision.
Weitere Informationen unter http://uimc.de/analyse-tool.html
Die Erfahrung zeigt: „Datenschutz ist keine Frage des Geldes“
Kleinen und mittelgroßen Unternehmen bereitet die Umsetzung des Datenschutzes oftmals Probleme. Ohne externe Hilfe ist dies zumeist nicht möglich. Dieser Meinung ist auch die Datenschutzbeauftragte des Landes NRW. Da externe Berater oftmals teuer sind, wird nach den Erfahrungen der UIMC auf Datenschutz oft komplett verzichtet.
Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals „praktische Schwierigkeiten“, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Bettina Sokol, schon in ihrem 17. Datenschutzbericht formulierte. Somit ist „die Möglichkeit für die Bestellung externer Beauftragter ... oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten“, so Bettina Sokol weiter.
Hintergrund sind die Anforderungen an die Bestellung eines Datenschutzbeauftragten. Hierbei muss der Datenschutzbeauftragte nach dem BDSG nicht nur „zuverlässig“, sondern auch fachkundig, sein. Er darf keiner Interessenskollision unterliegen, wodurch u. a. Personal-, EDV- und Vertriebsverantwortliche in der Regel ausgeschlossen sind. „Eine vielgestellte Frage der Geschäftsführer ist daher, wer denn dann noch als Kandidat für die Bestellung eines Datenschutzbeauftragten übrig bleibt“, so Tim Hoffmann (UIMC), der für viele kleine Unternehmen den Datenschutz „managt“. „Es bleibt oft nur die Möglichkeiten, entweder einen ungeeigneten Datenschutzbeauftragten zu bestellen oder sich externe Hilfe zu holen!“
In der Datenschutzarbeit sind Vor-Ort-Leistungen des beratenden Unternehmens kostenintensive Leistungen. „Dies ist jedoch nicht zwingend so“, meint Dr. Jörn Voßbein, mehrfach bestellter externer Datenschutzbeauftragter und Geschäftsführer der UIMC. „Mit Hilfe von Standardisierung, Tool-Unterstützung und Einsatz moderner Kommunikationsmedien können wir hoch-individuelle Beraterleistungen liefern und teure Vor-Ort-Leistungen ersetzen.“ Gerade in kleinen und mittelgroßen Unternehmen (KMU) kommt es neben dem Ziel, gesetzeskonform zu sein, auch auf eine pragmatische Umsetzung des Datenschutzes an. Das Thema wird nur auf diese Weise intern akzeptiert und auch gelebt, wofür ein größerer Erfahrungsschatz unerlässlich ist. Die Erfahrung zeigt nämlich, dass viele frisch-bestellte Datenschutzbeauftragte entweder mit der Aufgabe fachlich und zeitlich überfordert sind oder die gesetzlichen Regelungen zu eng auslegen, so dass eine pragmatische Einbindung des Datenschutzes in die innerbetrieblichen Abläufe kaum möglich ist. Somit kann die Mehrfachbestellung äußerst hilfreich sein, damit Erfahrungen auch aus anderen Unternehmen übertragen werden können. „Eins sollte bei den Überlegungen zum Datenschutz nicht vergessen werden“, stellt Tim Hoffmann ferner klar, „die Erfahrung zeigt, dass auch die allgemeine Sicherheitssituation der Informationsverarbeitung davon profitiert, und der Qualitätsgedanke weiter ins Unternehmen getragen wird.“
Weitere Informationen unter http://uimc.de/low_budgetkmu.html
Treffpunkt für Fachleute und Führungskräfte: Secure 2007 - das Diskussionsforum für IT-Sicherheit
Die Secure 2007, die auch in diesem Jahr wiederum in Bad Homburg am 26. und 27. Juni stattfindet, ist der Treffpunkt für Fachleute, die über IT-Sicherheit diskutieren wollen und darüber hinaus in der begleitenden Ausstellung eine Vielzahl von Anregungen für die Praxis der Umsetzung gewinnen können.
Auf diesem Jahreskongress für IT-Sicherheit sollten sich Fachleute, Manager und IT-Verantwortliche über die neuesten Trends der IT-Sicherheit in verschiedenen Fachforen informieren. Auch die UIMC und UIMCert beteiligen sich am Programm in Form der Moderation des Fachforums „Business Continuity Management“ durch Prof. Dr. Reinhard Voßbein sowie durch den Vortrag „IT-Sicherheit messbar machen“ im Fachforum „Wirtschaftlichkeit von IT-Sicherheit“ durch Dr. Jörn Voßbein. Die Secure setzt die Tradition fort, hochkarätige Beiträge fachkundigen Besuchern zur Diskussion vorzustellen.
Neben den Fachbeiträgen stellen UIMC und UIMCert auch in diesem Jahr eine Vielzahl an interessanten Lösungen zum Thema IT-Sicherheit auf der begleitenden Fachausstellung vor. Hierzu zählen insbesondere Tools zum Notfall-/Business-Continuity-Management und zur Risikoanalyse/Risikobewertung. Daran angelehnt präsentieren UIMC und UIMCert die neueste Version des IT-Sicherheits-Schwachstellenanalyse-Tool, analog zur ISO/IEC 27001-BS7799. Auch werden Hilfen zur Vorbereitung auf eine Zertifizierung nach anerkannten Normen und Standards angeboten. Neu ist auch das Angebot von Prüfstandards für den Datenschutzsektor, wobei diese sich nicht nur an Datenschutzbeauftragte, sondern auch an IT-Sicherheitsbeauftragte, Revisoren und andere Verantwortliche wenden.
Nähere Informationen hierzu unter http://www.uimc.de/secure2007.html
BSI-Kongress belegt: Social Engineering ist eine Gefahr für die IT-Sicherheit
Die UIMC stellt fest: Der BSI-Kongress, der alle zwei Jahre einen Überblick über aktuelle Probleme der IT-Sicherheit vermittelt, hat in diesem Jahr einen Nebeneffekt gezeigt. Die begleitende Ausstellung, die durch die Besucherinteressen ein Spiegelbild der Sorgen und Nöte der IT-Verantwortlichen in Unternehmen und Behörden gibt, hat deutlich belegt, dass das Gefährdungspotenzial des Social Engineerings für die IT-Sicherheitsverantwortlichen nicht mehr trivial ist. Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch “Aushorchen” zu erlangen. (Definition gem. BSI-Grundschutz)
Seitens der Besucher zeigte sich eindeutiges Interesse unter anderem an Penetrationstests sowie IT-Sicherheitsschulungen. Im Hinblick auf diese Entwicklung und insbesondere das Interesse an Penetrationstests werden die Absichten der Bundesregierung, schon den Besitz von Tools zur Durchführung von Penetrationstests unter Strafe zu stellen, zunehmend fragwürdiger. Es ist offensichtlich ein Bedarf in Institutionen gegeben, die Sicherheitsvorkehrungen seriös und effizient testen zu lassen und hierbei auch Penetrationstests gezielt einzusetzen. Insbesondere ist auch das Durchführen von Social Engineering-Tests durch zuverlässige Dienstleister im Rahmen von Penetrationstests von hoher Bedeutung, um die Anfälligkeit der Mitarbeiter für diese Sicherheitsgefährdungen zu überprüfen.
Auf ein ähnliches Interesse ist das IT-Sicherheits-Schulungstool der UIMC gestoßen. IT-Sicherheitsverantwortliche sehen sich vor die Aufgabe gestellt, Mitarbeiter sowohl auf IT-Sicherheitsfragestellungen zu schulen als auch sie für die IT-Sicherheit zu motivieren. Frontalschulungen werden aufgrund ihres Aufwandes zunehmend im Hinblick auf ihre Effektivität und Effizienz hinterfragt. Schulungstools für IT-Sicherheitsprobleme stoßen auf Interesse, wenn sie realitätsnah, motivationsfördernd, von der Konzeption her überzeugend sowie preiswert sind. Das UIMC-Tool hat sich in den zurückliegenden Jahren bewährt, kann mit einer Vielzahl von Referenzen dienen und ist durch seine überzeugende Konzeption für Unternehmen aller Größenordnungen geeignet, wenn diese das Problem der Schulung der Mitarbeiter über Selbstlernsysteme angehen wollen. Das UIMC-Tool gibt es nicht nur für IT-Sicherheit, sondern auch für Datenschutz.
Nähere Informationen hierzu unter www.uimc.de/analyse-tool.html
IT-Trends: Compliance wird zunehmend auch eine Fragestellung in der EDV des Mittelstands
Wuppertal, 11.05.2007 – Im Rahmen der elektronischen Datenverarbeitung (EDV) werden Fragestellungen der Compliance immer bedeutender. Doch nicht nur der Datenschutz stellt die EDV-Leiter vor Herausforderungen, sondern auch Aspekte der Handels- und Steuergesetzgebung sind wichtig. Darüber hinaus sind erfahrungsgemäß auch im Mittelstand die Problemstellungen der Globalisierung wie Sarbannes Oxley oder internationaler Datentransfer, aber auch die ISO 27001 angekommen – und dass, obwohl sie im Regelfall keine gesetzliche Verpflichtung darstellen. Dies wurde auf der diesjährigen „IT-Trends Sicherheit“ am 8. Mai in Bochum durch die UIMC thematisiert.
Nicht nur in Großunternehmen muss sich die EDV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Hierbei stellen schon die bereits seit Jahren bekannten Themen wie der Datenschutz insbesondere kleinere und mittelgroße Unternehmen (KMU) z. T. vor nicht gerade triviale Probleme: So müssen ein fachkundiger und zugleich interessenskonfliktfreier bzw. zuverlässiger Datenschutzbeauftragter bestellt, Zulässigkeitsfragestellungen geprüft und technisch-organisatorische Schutzmaßnahmen umgesetzt werden.
Neben diesen alt-bekannten Fragestellungen stehen Themen wie allgemeine Gleichbehandlung, handels- und steuerrechtliche Anforderungen (wie beispielsweise GoDV, GdPSU) und Auskunftsersuchen der Strafverfolgungsbehörden auf der Agenda der EDV-Abteilungen zur Diskussion. Haftungsfragen gegenüber Geschäftspartnern durch eine schlechte IT-Sicherheit werden z. T. gar nicht erst bedacht. Auch der internationale Datentransfer oder Sarbannes Oxley sind mittlerweile Themenbereiche, denen sich nicht nur Großunternehmen, sondern unter Umständen auch der deutsche Mittelstand im Zusammenhang mit ausländischen Mutter-, Tochter- oder Schwesterunternehmen widmen muss.
„Alleine diese exemplarischen Ausführungen zu möglichen Anforderungen an die EDV zeigt das Risikopotential, welches sich insbesondere KMU zunehmend aussetzen“, so Dr. Jörn Voßbein, Geschäftsführer der UIMC sowie mehrfach bestellter externer Datenschutz- und IT-Sicherheitsbeauftragter. Ferner gehen Wirtschaftsprüfer zunehmend dazu über, die Ordnungsmäßigkeit der Datenverarbeitung zu prüfen; und auch Banken und Investoren interessieren sich hierfür. Um diesen Risiken zu begegnen, müssen die o. g. Fragestellungen strukturiert angegangen, Schwachstellen aufgedeckt und mittels innerbetrieblicher Maßnahmen begegnet werden.
„Doch vielen EDV- und Unternehmensleitern scheint gar nicht bekannt zu sein, welche Vorgaben für sie einschlägig sind und welchen Risiken sie sich aussetzen, geschweige denn, wie sie diesen begegnen können“, wie Tim Hoffmann, dessen Erfahrungswerte als Datenschutz- und IT-Sicherheitsberater im Mittelstand auf der diesjährigen „IT-Trends Sicherheit“ in vielen Gesprächen diesbezüglich bestätigt wurden. „Dies ist aber auch nicht weiter verwunderlich: Wer denkt bei EDV-Vorhaben schon an BGB, HGB und UWG?“ Dies hat die UIMC zum Anlass genommen, in ihrem Vortrag „Ist meine EDV ordnungsgemäß?“ über die Anforderungen und Risiken zu informieren sowie Lösungsmöglichkeiten zu skizzieren.
Darüber hinaus zeigte sich auf dem Fachkongress, dass für die Vielzahl der anwesenden EDV-Verantwortlichen aus dem Mittelstand die ISO 27001 von steigenden Interesse ist, aber oftmals Bedenken hinsichtlich der Umsetzung bestehen. „Die Erläuterungen, dass diese durch den Einsatz von speziellen Analyse-Tools und von pragmatischen Auditoren, die einerseits erfahren sind und andererseits‚ das Rad nicht neu erfinden’ müssen, unbegründet sind, haben die Gesprächspartner aber nicht nur beruhigt, sondern vielmehr darin bestärkt, das Thema im eigenen Hause voranzutreiben“, so Tim Hoffmann weiter.
Die Aktualität dieser Themen zeigte sich auch durch das Interesse der Zuhörer sowie durch intensive Diskussionen am Ausstellungsstand. Schließlich können sowohl die ISO 27001 als auch die rechtlichen Fragestellungen – sofern sie nicht als Selbstzweck verstanden werden – nicht nur eine gute Argumentationshilfe für die Bemühungen für mehr Sicherheit der eigenen EDV sein, sondern auch als Chance und als Richtschnur genutzt werden.
Mehr Informationen zum Thema und zum Vortrag finden Sie unter www.uimc.de/low_budgetkmu.html.
Den Vortrag "Ordnungsgemäße EDV" finden Sie hier.
Angeknackstes Ansehen der Behörden in Sachen IT-Sicherheit - wie kann noch größerer Imageschaden vermieden werden
Wuppertal 26.04.2007 - Die kürzlich bekannt gewordene Tatsache, dass die Sicherheitsbehörden schon seit 2005 Online-Durchsuchungen durchführen, wirft weitere Fragen auf. Das Bundesamt für Sicherheit in Informationstechnik (BSI) – eine dem BMI zugeordnete Institution - hat über die letzten Jahre in hohem Umfang positive Sensibilisierungstätigkeit im Hinblick auf IT-Sicherheit gerade für private Endverbraucher sowie kleine und mittelständische Unternehmen geleistet, die vorher in puncto IT-Sicherheit als deutlich untersensibilisiert anzusehen waren. Darüber hinaus hat das BSI Produkte zur Verbesserung der IT-Sicherheit entwickelt, beziehungsweise zu deren Verbreitung beigetragen. Die UIMC regt an: Um das hohe Ansehen des BSI nicht zu gefährden, sollten diese Tools möglichst einer unabhängigen Begutachtung unterzogen werden, die eine Freiheit von entsprechenden "Backdoor-Komponenten" bestätigt. Es ist interessant abzuwarten, inwieweit der Mitte des kommenden Monats stattfindende 10. Deutsche IT-Sicherheitskongress von dem Ausrichter BSI genutzt wird, zu der hier angesprochenen Problemstellung aktiv Stellung zu beziehen.
Dass diese gesamte Fragestellung nicht ein Zeichen von Paranoia ist, hat sich in der Vergangenheit schon häufiger gezeigt, da oftmals sehr preiswerte oder kostenfreie Produkte von anderen Geheimdiensten "gesponsert" wurden, um die Informationsbeschaffung zu vereinfachen.
Datenschutz und IT-Sicherheit: Kooperation zwischen der ERP-Users-Group und UIMC
Wuppertal, 26.04.2007 – Das Motto der ERP-Users-Group (EUG) ist simpel und bestechend zugleich: „Wer alleine arbeitet, addiert. Wer zusammenarbeitet, multipliziert.“ Wenn dies mit der über zehnjährigen Kompetenz der UIMC in Datenschutz und IT-Sicherheit kombiniert wird, scheinen sich die möglichen Synergieeffekte für die mittlerweile über hundert zusammengeschlossenen mittelständischen Unternehmen weiter zu multiplizieren. So können die typischen Probleme im deutschen Mittelstand mit einem Mehrwert für alle Beteiligten angegangen werden, was auf der diesjährigen EUG-Tagung in Kassel dargestellt wurde.
Der als Interessensvertretung gegenüber dem Hersteller von ERP-Software ABAS Software AG gedachte Zusammenschluss von über 100 Mittelstandsfirmen ist mittlerweile ein: Erfahrungsaustausch im Rahmen des Einsatz der Software und weiterer Projekte wie Patentverwaltung oder VoIP, Austausch von Tipps und Tricks sowie gemeinsam organisierte und somit kostengünstigere Schulungen bei der ABAS Software AG. Als in der Vergangenheit immer häufiger Fragen zum Datenschutz aufkamen wurde ein kompetenter Partner gesucht, der in der UIMC Dr. Voßbein GmbH & Co KG gefunden wurde.
Die UIMC bringt nicht nur jahrelange Erfahrungen im Rahmen der IT-Sicherheit und des Datenschutzes, sondern auch das speziell für kleine und mittelgroße Unternehmen (KMU) entwickelte Low-Budget-Konzept in die Kooperation mit ein. Das Konzept hat sich bereits in der Vergangenheit zur pragmatischen Umsetzung des Datenschutzes und der IT-Sicherheit bewährt und ist ideal als Verbandslösung für eine Institution, wie sie die EUG ist.
Im Rahmen der diesjährigen EUG-Tagung am 20. und 21. April in Kassel wurde das Konzept den Mitgliedern vorgestellt. „Dabei zeigte sich in vielen Gesprächen“, so Tim Hoffmann, verantwortlicher UIMC-Berater in der Kooperation, „dass in einer Vielzahl der Unternehmen im Rahmen des Datenschutzes noch Nachholbedarf besteht.“ Dies scheint entweder an einer unzureichend sensibilisierten Geschäftsführung und/oder an Problemen der praktischen Umsetzung des Datenschutzes zu liegen. „Es findet sich entweder intern kein fachkundig und zugleich ‚interessenskonfliktfreier’ Datenschutzbeauftragter oder das Tagesgeschäft lässt diesem keine Zeit“, so Hoffmann weiter. Hierbei stieß das vorgestellte Low-Budget-Konzept auf positive Resonanz der teilnehmenden Mitglieder, da hier eine für Mittelständler bezahlbare Lösung geboten wird und nicht mit „Kanonen auf Spatzen geschossen wird“.
Durch die Fokussierung auf Standards, auf Tool-Unterstützung und auf moderne Kommunikationstechnologien wird es den mittelständischen Unternehmen ermöglicht, die gesetzlichen Auflagen im Datenschutz und die Anforderungen an eine sichere Gestaltung der EDV zu erfüllen. Hierbei werden Datenschutz und IT-Sicherheit durch pragmatische und nicht überbetonte Lösungen umgesetzt.
Dieses Konzept wurde entsprechend des Mottos der ERP-User-Group angepasst und in Form einer EUG-Lösung modifiziert: Durch die Kooperation mit der UIMC wird nun auch in den Bereichen IT-Sicherheit und Datenschutz „multipliziert“. Die UIMC gibt diese Synergien in Form von Rabatten an die interessierten Mitglieder weiter, und es soll ein eigener Erfahrungsaustauschkreis bzw. Arbeitsgruppe geschaffen werden.
Nähere Informationen: www.uimc.de/low_budgetkmu.html
IT-Trends: Technische Fragestellungen nicht mehr ausreichend für eine ordnungsgemäße IT
Zur Sicherstellung einer ordnungsgemäßen Informationsverarbeitung ist es nicht mehr ausreichend, ausschließlich technische Fragestellungen zu betrachten. Technische Sicherheitsmaßnahmen stellen eine Grundvoraussetzung dar, doch zeigen auch rechtliche Forderungen, dass mehr zu einer ordnungsgemäßen EDV gehört. Zu diesem und weiteren Themen steht die UIMC auch in diesem Jahr wieder als Gesprächspartner auf der „IT-Trends Sicherheit“ in Bochum zur Verfügung.
„Von einer stetig steigenden Zahl an Wirtschaftsprüfern werden Fragen hinsichtlich der ordnungsgemäßen Informationsverarbeitung an unsere Kunden herangetragen.“, so Dr. Jörn Voßbein, Geschäftsführer der UIMC, mehrfach bestellter externer Datenschutz- und IT-Sicherheitsbeauftragter. Dies zeige, dass die Gebiete Datenschutz und IT-Sicherheit nicht nur Themen für „überängstliche Administratoren“ oder „überambitionierte Juristen“ sind. Der gesetzliche Datenschutz und die Sicherheit der EDV werden zunehmend ein Teil der Risikobetrachtung der Gesamtunternehmung.
Daher wird es für die Unternehmensleitung bzw. den EDV-Leiter immer wichtiger, auch juristische Fragestellungen in die Gestaltung der EDV und die damit verbundenen innerorganisatorischen Regelungen einfließen zu lassen. So sind z. B. Fragen nach der Zulässigkeit der Datenerhebung im Rahmen des AGG oder des BDSG zu klären; aber auch die Haftungsrisiken der Administratoren im Rahmen des Telemediengesetzes TMG und StGB werden oftmals vergessen.
Die steigenden Anfragen der eigenen Mandaten will die UIMC zum Anlass nehmen, interessierte Firmen bei der „IT-Trends Sicherheit“ in Bochum am 8. Mai 2007 über das Thema zu informieren. Der Fachkongress, veranstaltet u. a. von den networkern NRW und der IHK zu Bochum, widmet sich den digitalisierten Geschäftsprozessen im Mittelstand und deren Sicherheit. Bei Gesprächen am Ausstellungsstand werden durch die UIMC die Risiken für eine Vielzahl von Unternehmen und auch Lösungsansätze dazu an praktischen Beispielen für eine ordnungsgemäße innerbetriebliche und/oder kundenbezogene Informationsverarbeitung dargestellt.
Weitere Informationen siehe auch http://uimc.de/messeinformationittr.html
Datenschutz im Mittelstand: Entlastet das Mittelstandsentlastungsgesetz wirklich? Erste Bilanz
Die Bundesregierung beschloss im vergangenen August im Rahmen des sog. „Ersten Gesetzes zum Abbau bürokratischer Hindernisse insbesondere in der mittelständischen Wirtschaft“ eine Anpassung des BDSG, insbesondere der Regelungen zum Datenschutzbeauftragten. Die UIMC zieht eine erste kritische Bilanz aus der Praxis.
Die Anforderungen des Datenschutzes durch die geplante Novellierung des Bundesdatenschutzgesetzes führten zu keiner spürbaren Entlastung im Mittelstand. Vielmehr stellt die Novellierung verschiedene Aspekte wie die Bestellungspflicht für Ärzte, Anwälte etc. sowie die Angemessenheit bei den Anforderungen an den Datenschutzbeauftragten klar. Lediglich die Betriebe, in denen zwischen 5 und 9 Personen mit personenbezogenen Daten arbeiten (was wohl nur auf kleinere Arztpraxen und Handwerksbetriebe zutrifft), werden aus der Bestellungspflicht entlassen. Jedoch gilt hier, dass der Daten-schutz auch in diesen Institutionen einzuhalten ist und die Geschäftsleitung voll in der Verantwortung steht.
Es existieren jedoch schon heute alternative Wege, den Datenschutz und die Funktion des Datenschutzbeauftragten effektiv und effizient im Unternehmen umzusetzen. So können beispielsweise die Funktion des Datenschutzbeauftragten oder einzelne Aspekte ausgelagert werden. Eine mögliche Lösung der Probleme bei der Suche eines Datenschutzbeauftragten und auch sicherlich ein Beitrag zum internen Bürokratieabbau ist hierbei die explizit – auch im vorherigen – Gesetz ermöglichte „Auslagerung des Datenschutzbeauftragten“ auf einen Externen, welche auch von den Datenschutz-Aufsichtsbehörden als eine praktikable Lösung angesehen wird, die oftmals kostengünstiger und fachlich besser ist.
Wenn der Datenschutz im Unternehmen nicht nur als Selbstzweck verstanden wird, kann sogar ein Mehrwert generiert werden: Durch Schnittmengen mit der IT-Sicherheit können in diesem Bereich Synergien genutzt werden und die gesamte EDV und deren Sicherheit wird im Unternehmen vom Datenschutz profitieren.
Ausführlichere Informationen zu den Aufgaben des Datenschutzbeauftragten können unter www.uimc.de/datenschutz.html abgerufen werden.
Erleichtert geplante Strafrechtsregelung Computerspionage?
Das Bundesamt für Verfassungsschutz BfV hat in den letzten Tagen in verschiedenen Verlautbarungen darauf hingewiesen, dass die Computerspionage zugenommen hat. Insbesondere mittelständische Unternehmen sind nach Auffassung des BfV besonders gefährdet. Die UIMC als ausgewiesenes IT-Sicherheits-Beratungsunternehmen für den Mittelstand meint hierzu: Diese Auffassung des BfV dürfte darauf zurückzuführen sein, dass mittelständische Unternehmen in den meisten Fällen sowohl über geringere technische Hürden zur Abwehr von Computerspionage-Aktionen verfügen als auch insbesondere die Mitarbeiter nicht ausreichend schulen und auf Sicherheitsgefahren hinweisen. Bisher waren vor allem für mittelständische Unternehmen so genannte Penetrationstests ein probates Mittel, um die Sicherheit des eigenen Netzes nach außen unabhängig und zuverlässig überprüfen zu lassen. Auch das Bundesamt für Sicherheit in der Informationstechnologie BSI vertritt die Auffassung, dass Penetrationstests ein wesentliches Instrument zur Schaffung sicherer Systeme sind: "Um die Mindeststärke der Mechanismen zu bestätigen oder zu verwerfen sind, Penetrationstests durchzuführen. Penetrationstests sind nach allen anderen Tests durchzuführen, da sich aus diesen Tests Hinweise auf potentielle Schwachstellen ergeben können." (Grundschutzhandbuch des BSI)
Der Entwurf zur Änderung des Strafrechts beabsichtigt in § 202c. StGB schon "die Herstellung, Überlassung und Verbreitung" von Programmen unter Strafe zu stellen, die das Eindringen in andere Computersysteme ermöglichen. Dies bedeutet nach Auffassung der UIMC, dass eine der wesentlichsten Maßnahmen zur Herstellung sicherer Systeme künftig nicht mehr anwendbar sein wird. Damit wird der Gesetzesentwurf eine Vielzahl von Unternehmen, vor allem solche des Mittelstandes, daran hindern, sich effizient gegen Computerspionage vorbeugend zur Wehr zu setzen. Da dies auf diesem Sektor nicht der Sinn einer gesetzlichen Regelung sein kann, sei ausdrücklich betont, dass die UIMC sich den wesentlichen Forderungen des "Chaos Computer Clubs" hinsichtlich der Strafrechtsänderung anschließt.
Weitere Informationen zu Penetrationstests siehe auch http://www.uimc.de/penetrationstest.html
Computerspionage: Kommentatoren vergessen den Datenschutz im Unternehmen
Das BGH-Urteil zum Ausspionieren von Computern beherrscht zurzeit die Diskussion von Datenschutzproblemen und dem Internet. Dass alle Datenschutzfragen aber eine hohe Relevanz für Unter-nehmen haben, wird in dieser Diskussion weitgehend übersehen.
Die Datenschutzexperten der UIMC begrüßen das Urteil aus fachlicher Sicht, da es die Bedeutung des Datenschutzes grundsätzlich stärkt und damit auch die Position des Datenschutzbeauftragten und seine Aufgabe aufwertet. Es sollte aber nach Meinung der UIMC in der Diskussion nicht vergessen werden, dass der Datenschutzbeauftragte im Unternehmen die Pflicht hat, darauf zu achten, dass die Anforderungen der Datenschutzgesetzgebung in Institutionen eingehalten werden und das gesamte Datenschutzsystem des Unternehmens ordnungsgemäß ist. Hier stößt der Datenschutzbeauftragte häufig an die gleichen Grenzen wie die Strafverfolgungsbehörden, wenn ihm Organisationslösungen - zum Beispiel die Erlaubnis zur privaten Nutzung von Computern und dem Internet - die Kontrollaufgabe, die er wahrzunehmen hat, erschweren. Datenschutz basiert gemäß deutscher Gesetzgebung in hohem Maße auf der Eigenverantwortung des Datenschutzbeauftragten und der datenverarbeitenden Stellen. Wenn Unternehmen Interventionen staatlicher Stellen zur Verfolgung von Straftatbeständen durch eigenverantwortliches Handeln verhindern/vermindern wollen, müssen sie die private Nutzung von Computern und dem Internet im dienstlichen Interesse verbieten. Hiermit eröffnen sie den Datenschutzbeauftragten die Möglichkeit, eine Kontrolle auch derjenigen Tatbestände vorzunehmen, die potenziell ein Einschreiten von Behördeninstitutionen verursachen könnten. Prof. Voßbein ist der Ansicht, dass ein Gesetz, welches Behörden in die Lage versetzt, effizient Kriminalität einschließlich Computerkriminalität zu verfolgen, den Tatbestand der Existenz von Datenschutzbeauftragten in Unternehmen sowie die Verbesserung ihrer Möglichkeiten, eigenverantwortliche Kontrollen auszuüben, nicht unberücksichtigt lassen sollte. Hiermit kann zur Vorbeugung viel getan werden, um das Einschreiten von Behörden und den Zugriff auf in Unternehmen genutzte Computer überflüssig zu machen. Dadurch würde der Stellenwert des Datenschutzes deutlich angehoben und seine Effizienz gestärkt.
Die UIMC meint: Diese Entwicklungen lassen die geplante Änderung des Strafrechtes, welche kontrolliertes Hacking in Form von Penetrationstests zum Zweck der Kontrolle der Sicherheit von Netzen unter Strafe stellen soll, noch fragwürdiger erscheinen.
Nähere und zusätzliche Informationen zu Datenschutzproblemen unter http://www.uimc.de/datenschutz.html
UIMCollege für Datenschutz und IT-Sicherheit
Wuppertal, 30.03.2006 – Das Wuppertaler Beratungsunternehmen UIMC startet am 05.04.2006 mit UIMCollege ein Seminarprogramm für Datenschutz und IT-Sicherheit. Datenschutzbeauftragte aus Betrieben und Behörden können hier ihr Fachwissen erweitern und auf den neuesten Stand bringen.
Datenschutz-Management
Teil 1: Grundlagen
- Einführung in das Datenschutzrecht
- Allgemeine sowie technische und organisatorische Maßnahmen (TOMs) bei dezentraler Betrachtung zum Datenschutz (DS)
Teil 2: Managementbezogene Vertiefung
- Datenschutz und IT-Sicherheit als Unternehmensziele
- Der DSB als Manager des Datenschutzes im Unternehmen
- Aufgaben und Anforderungen an einen Datenschutzbeauftragten
- Management des Datenschutzes in verbundenen Unternehmen
- Zusammenarbeit und Spannungsfeld mit Fachbereichen
- Kooperation mit der IV- und internen Revision
Zielgruppe
Datenschutzbeauftragte/-verantwortliche, -Interessierte und solche, die es werden wollen
Preis
295,00 Euro pro Person und Tag
Referent
Dr. Heiko Haaz und Mitarbeiter
Deutsche BS 15000 – Ein häufig nachgefragtes Thema auf dem Kundentag der UIMC und UIMCert
Freitag, 25. November 2005 – Die UIMC und UIMCert, Anbieter von Lösungen und Beratungsleistungen auf den Gebieten Datenschutz, IT-Sicherheit, Auditierung und Zertifizierung, haben für ihre Kunden und Interessenten am 16. und 17. November 2005 einen Kundentag im Kölner Maternushaus veranstaltet.
Schwerpunkte der Veranstaltung waren die Themen "computergestütztes Verfahrensverzeichnis", "multimediale Lernsoftware zur Lösung des Schulungsproblems auf den Gebieten IT-Sicherheit und Datenschutz" sowie ein Tool zur Vorabkontrolle. Auf große Begeisterung stieß die von der UIMCert angebotene Übersetzung des BS 15000. Dieser weltweit erste IT-Service-Managementstandard kann als Basis für die Auditierung und Zertifizierung der IT-Service-Systeme dienen. Die UIMCert bietet Ihren Kunden als einziger offizieller deutscher Distributor den BS 15000 in einer deutschen oder englischen Fassung an.
Neben den klassischen IT-Sicherheits- und Datenschutzthemen stand unter anderem auch das Thema Sarbanes-Oxley Act auf der Tagesordnung, ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge großer Bilanzskandale. Bereits vor einigen Jahren hat die UIMC ein Tool nach dem KonTraG entwickelt, mit dessen Unterstützung die Schwachstellen und Risiken im Unternehmen dargestellt werden können. "Die aktuelle Debatte über Sarbanes-Oxlex macht deutlich, dass Unternehmen sich in Zukunft verstärkt mit dem Thema Risikomanagement bzw. Risikocontrolling auseinander setzen müssen", so Dr. Jörn Vossbein, Geschäftsführer der UIMC.
Besonders erfreut waren die Besucher über eine am Kundentag erhältliche Demoversion, welche sowohl das Datenschutz-Checkup-Tool als auch das IT-Sicherheitsschwachstellen-Analyse-Tool beinhaltete. Diese Demoversion "Self-Check" war kostenfrei erhältlich und umfasst mehr als 100 Fragestellungen.
Interessenten des "Self-Cecks" haben noch die Möglichkeit, bis zum Ende des Jahres eine der streng limitierten Demoversionen bei der UIMC zu erhalten.
Tools zur Effizienzsteigerung für Datenschutz und IT-Sicherheit
Wuppertal, 9. November 2005 – Die UIMC und UIMCert veranstalten auch in diesem Jahr parallel zum RDV-Forum und zur DAFTA im Kölner Maternushaus am 16. und 17. November 2005 ihren Kundentag. Tagungsteilnehmer und interessierte Besucher können sich über Neuerungen im Bereich des Datenschutzes und der IT-Sicherheit informieren. Der Besuch des Kundentags ist kostenfrei.
"Die Probleme bei der Umsetzung von Datenschutz und IT-Sicherheit liegen oftmals nicht am fehlenden guten Willen der Verantwortlichen, sondern vielmehr an den Schwierigkeiten, die komplexen Anforderungen auf eine effiziente Weise zu erfüllen", so Dr. Jörn Voßbein, mehrfach bestellter externer Datenschutzbeauftragter und Geschäftsführer der UIMC. "Wir wollen es den Institutionen ermöglichen, egal ob öffentliche oder nicht öffentliche Stelle, Gesetzeskonformität und IT-Sicherheit unter Beachtung der Kosten-Nutzen-Aspekte zu erreichen." Aus diesem Grund hat die UIMC mehrere Unterstützungstools entwickelt, die die Umsetzung vielfältiger gesetzlicher Anforderungen erleichtern. Besondere Berücksichtigung finden die speziellen Anforderungen von kleinen und mittelgroßen Unternehmen (KMU).
Neu entwickelte Hilfsmittel werden auch dieses Jahr auf dem UIMC/UIMCert-Kundentag vom 16. bis 17. November 2005 vorgestellt, mittlerweile traditionell am Rande des RDV-Forums und der DAFTA (veranstaltet durch die GDD) im Kölner Maternushaus (Raum Ursula).
Bei dem Kundentag können sich Tagungsbesucher und weitere Interessierte beispielsweise über das computergestützte Verfahrensverzeichnis, das UIMC-IT-Sicherheits-Risikomanagement-Tool, das UIMCert-Tool zur Vorabkontrolle oder die ITIL/BS 15000 informieren. Der Veranstaltungsort ist so gewählt, dass ein Selbstcheck mit interessanten Fachgesprächen in ruhiger Atmosphäre stattfinden kann.
Die UIMC Dr. Vossbein GmbH & Co KG, gegründet 1997, kann beachtliche Referenzen von Institutionen aus einer Vielzahl von Wirtschaftszweigen sowie Behörden aufweisen und hat eine umfangreiche Projekt- und Betreuungserfahrung, auch international.
Kerngebiete der Arbeit sind die IT-Sicherheit und der Datenschutz. Felder, auf denen die Erfahrungen der UIMC branchenführend sind. Leistungsspektrum und Produktprogramm unterscheiden sich von dem anderer Beratungsunternehmen: Es wird ein toolgestütztes Analyse- und Konzeptionierungssystem mit einer wissensbasierten Expertensystem-Komponente in Form einer Shell eingesetzt.
Die UIMCert ist mehrfach akkreditiert für die Gebiete IT-Sicherheit (BS7799) und Datenschutz und ist lizenzierter Distributor für die deutsche Fassung der BS ITIL/15000.