Pressemitteilung

Im Nachfolgenden finden Sie unsere Pressemitteilungen. Diese können Sie alternativ auch unter www.pressrelations.de (ext.) und unter www.openpr.de (ext.) nachlesen. Sie möchten in unseren Presseverteiler aufgenommen werden oder haben noch weiterführende Fragen? Bitte nehmen Sie Kontakt zu uns auf (siehe rechter Kasten).

(14.03.2017) Whistleblowing, Korruptionsbekämpfung und Datenschutz müssen keine Gegensätze sind

Laut Transparency International rangiert die Bundesrepublik auf dem 10. Platz im weltweiten Vergleich von Korruption. Dänemark ist weltweit das Land mit der niedrigsten festgestellten Korruption. Nordkorea und Somalia rangieren auf den letzten Plätzen der 168 Staaten umfassenden Auswertung. Deutschland verbesserte sich von Rang 12 in 2014 auf den 10. Platz. Ein weiterer Beleg dafür, dass die Sorge, ein moderner Datenschutz könnte die Korruptionsbekämpfung behindern, unbegründet ist. „Die Bekämpfung von Korruption und anderen Complaince-Verstößen sowie die Beachtung des Datenschutzes bilden keinen Gegensatz“, bringt es Datenschutzexperte Dr. Jörn Voßbein auf den Punkt. Allerdings müssten klare datenschutzrechtliche Spielregeln im Feld der Korruptionsbekämpfung beachtet werden.   

Als erstes datenschutzrechtliches Element müssen dabei von der Unternehmensleitung verabschiedete klare Regeln zum Umgang mit Daten festgelegt sein. Diese Regeln müssen dem Bundesdatenschutzgesetz (BDSG) Rechnung tragen, das je nach Art der Daten, die ausgewertet werden sollen, unterschiedlich hohe Anforderungen stellt.

Das Ziel der Verhütung von Betrug und Fehlverhalten in Bezug auf die Bekämpfung von Korruption kann ein berechtigtes Interesse des Arbeitgebers darstellen, das die Verarbeitung personenbezogener Daten mittels Verfahren zur Meldung von Missständen in diesen Bereichen rechtfertigt. Eine Interessensabwägung mit den schutzwürdigen Interessen der/des Betroffenen ist notwendig. Denn in jedem Fall muss die Gefahr von Stigmatisierung und Viktimisierung der belasteten Person auf ein Minimum reduziert werden.

Wichtig: Personenbezogene Daten müssen für festgelegte eindeutige Zwecke erhoben und dürfen nicht in einer damit nicht vereinbarenden Weise weiterverarbeitet oder genutzt werden. Folglich sind Maßnahmen zu treffen, die sicherstellen, dass nicht notwendige, unvollständige oder falsche Daten gelöscht oder berichtigt werden. Es gilt der Grundsatz der Datensparsamkeit: Nur die Daten sind zu erheben und zu verarbeiten, die für den jeweiligen Zweck erforderlich sind. 

Aber auch die Transparenz ist eine weitere Spielregel im Feld der datenschutzkonformen Korruptionsbekämpfung. Anonyme Anzeigen sollten nur in Ausnahmefällen akzeptiert werden. Dies fordern auch die Datenschutz-Aufsichtsbehörden. Anonymität läuft dem Transparenzprinzip zuwider, begünstigt gegenüber der namentlichen Nennung von "Ross und Reiter“ eher Missbrauch und Denunziantentum.

Ferner muss gemäß § 4 Absatz 3 BDSG das Unternehmen, wenn personenbezogene Daten erhoben werden, den Betroffenen über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung unterrichten. Nur wenn das Risiko einer solchen Unterrichtung die wirksame Untersuchung des Vorwurfs oder die Sammlung von Beweisen gefährdet, kann die Information der beschuldigten Person aufgeschoben werden. Der Aufschub dauert solange, wie die Gefahr vorhanden ist.

Organisatorische und technische Maßnahmen sind gem. § 9 BDSG zu treffen. Besondere Schwerpunkte bilden die zugesicherte Vertraulichkeit und die Löschungsverpflichtung. Die UIMC gibt hier folgende Hinweise:

»    Den Antikorruptionsbeauftragten (AKB) sind separate Laufwerke mit gesonderten Zugriffsschutz zur Verfügung zu stellen. Denkbar ist auch eine Clearing-Stelle, indem beispielsweise ein Anwalt oder eine Kanzlei zunächst die Meldungen prüft.

»    Grundsätzlich sollten Daten innerhalb von zwei Monaten nach Abschluss der Untersuchung gelöscht werden. Eine längere Speicherung ist nur bei weiteren rechtlichen Schritten bis hin zum Strafverfahren zulässig.

»    Da die AKB diese Aufgabe in aller Regel in Teilzeit wahrnehmen, ist sicherzustellen, dass Vertreter der AKB in ihrer „Kernfunktion“ keine Rechte auf die AKB-Daten erhalten. Vielmehr sollte ein separater Vertreter für die AKB-Funktion definiert werden. Eine Weiterleitung der E-Mail-Adresse sollte ausschließlich an die AKB bzw. ihre Vertreter weitergeleitet werden.

»    In Konzernen ist ferner sicherzustellen, dass bei einer etwaige zentral organisierten „Whistlebowing-Hotline“ die Vorgaben der Auftragsdatenverarbeitung beachtet werden und die Anzeigen nur in den betroffenen Konzerngesellschaften bearbeitet werden.

„Wenn diese Regeln konsequent beachtet werden, sind Korruptionsbekämpfung und Datenschutz zwei Seiten derselben Medaille“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein.

(01.03.2017) Sensibler Umgang mit elektronischem Gehaltszettel notwendig

Die Digitalisierung schreitet in allen Lebensbereichen voran. Vergleicht man einen Arbeitsplatz von vor 10 oder gar 20 Jahren mit den heutigen Gegebenheiten stellt man gravierende Unterschiede fest. Das papierlose Büro ist zwar längst noch nicht Wirklichkeit geworden, aber immer mehr Dokumente werden digital versandt und archiviert. Auch wenn die monatliche Lohnabrechnung natürlich elektronisch vorgenommen wird, so gehören die „Gehaltszettel“ aber meist noch nicht zu den digital versandten Schriftstücken. „Der elektronische Gehaltszettel ist noch die Ausnahme in Deutschland“, weiß Datenschutzfachmann Dr. Jörn Voßbein von UIMC zu berichten. Wer als Unternehmer den Weg zur papierlosen Lohnabrechnung gehen will, sollte sich vorher mit den Vorgaben des Datenschutzes auseinandersetzen, denn eins ist klar: eine Lohnabrechnung ist ein hochsensibler Datensatz.  

Bei einer Lohnabrechnung handelt es sich um die Weitergabe von personenbezogenen Daten. Gemäß Bundesdatenschutzgesetz sind Maßnahmen zu treffen, die geeignet sind, damit diese Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Vor der Einführung der elektronischen Gehaltsabrechnung ist der Betriebsrat einzubinden und die Mitarbeiter umfassend über das Projekt zu informieren. Doch welche rechtlichen Rahmenbedingungen sind einzuhalten?

Zunächst muss ein gängiges, kompatibles Format, etwa das PDF-Format, definiert werden. Dieses sollte digital signiert und gegen nachträgliche Veränderungen geschützt sein. Eine hohe Verschlüsselungsqualität sollte vom Systemhersteller verlangt werden, sonst droht im schlimmsten Fall bei einem Datenschutzvorfall gar die Meldung an die Aufsichtsbehörde. Bei den Inhalten der elektronischen Gehaltsabrechnung ist der Entgeltbescheinigungsrichtlinie und den §§ 126a und 126b BGB Rechnung zu tragen.

Oftmals wird seitens der Systemhersteller im Rahmen der Lohnabrechnung zunächst automatisch ein Passwort generiert. Hierbei hängt die Sicherheit ganz unmittelbar mit der Passwortkomplexität zusammen. Die Datenschützer von UIMC empfehlen ein alphanumerisches Passwort aus mindestens acht Zeichen unter Verwendung von Sonderzeichen und Groß-/Kleinbuchstaben. In keinem Fall sollten Trivialpassworte genutzt werden oder Passworte, die sich aus dem Namen, dem Geburtsdatum oder anderen persönlichen Daten des Mitarbeiters ableiten ließen. In der Natur der Sache eines Passwortes liegt es, dass es geheim zu halten ist. Gerade bei der Geheimhaltung in einem Unternehmen sind deshalb des Weiteren zu beachten: a) Das Passwort darf nur dem Mitarbeiter bekannt sein – einzige Ausnahme: Mitarbeiter der Personalabteilung, die ohnehin Zugriff auf die Lohndaten haben, b) Das Passwort ist dem Mitarbeiter persönlich und sicher zu übergeben (beispielsweise im Rahmen einer Papier-Lohnabrechnung).

Der Versand der elektronischen Lohnabrechnung sollte nach Auffassung von UIMC nur bei ausdrücklichem Verlangen des Mitarbeiters an eine private E-Mail-Adresse erfolgen. Dies sollte dokumentiert werden. Gerade das Sicherheitsniveau der zumeist kostenfreien Mail-Provider ist sehr unterschiedlich. Wenn also keine dienstliche Mail-Adresse vorhanden ist, empfiehlt es sich, den bisherigen Papierweg beizubehalten. Selbstverständlich sind auch andere technische Lösungen (Intranet) vorstellbar, aber die hohen Sicherheitsanforderungen bleiben bestehen.

Fazit: Bei der elektronischen Lohnabrechnung zeigen sich komplexe datenschutzrechtliche Sachverhalte, die seriös von jedem Unternehmen abgearbeitet werden müssen. „Ansonsten könnte es nicht nur Ärger mit dem Datenschutz geben, sondern auch mit der Belegschaft. Nicht auszudenken, welche Unmut durch unberechtigte Einsichtnahmen in Lohnabrechnungen entsteht, nur weil der Datenschutz nun unzulänglich betrachtet wurde“, weist Dr. Jörn Voßbein auf die Risiken der elektronischen Lohnabrechnung hin und mahnt einen sensiblen Umgang an.

(16.02.2017) Sensibler Umgang mit Skill-Datenbanken bei nationalen und internationalen Ausschreibungen

Skill-Datenbanken werden heute in vielen Unternehmen betrieben, um die Qualifikationen der Beschäftigten gezielt zu nutzen. Teilweise dienen sie sogar in Ausschreibungsverfahren im In- und Ausland als Nachweis für entsprechende Mitarbeiterqualifikationen. Welche Überlegungen müssen mit Blick auf einen rechtlich einwandfreien Umgang mit dem Datenschutz angestellt werden? „Solche Datenbanken sind inzwischen allgegenwärtig in der Arbeitswelt. Auch wenn wir sie oftmals nicht mehr bewusst wahrnehmen, so ist gerade hier ein sensibler Umgang mit den Daten erforderlich“, erklärt UIMC-Datenschutzexperte Dr. Jörn Voßbein aus Erfahrung.  

Die Verarbeitung von Beschäftigtendaten und damit der Aufbau einer Skill-Datenbank sind grundsätzlich unproblematisch aus Sicht des Datenschutzes. Zu dieser Bewertung leiten die Paragraphen 4 und 32 des Bundesdatenschutzgesetzes (BDSG). Ganz klar ist darin geregelt, dass personenbezogene Daten eines Beschäftigten erhoben, verarbeitet und genutzt werden können, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Für einen adäquaten Einsatz der Beschäftigten ist es notwendig, sie entsprechend ihres Einsatz- und Aufgabengebietes zu schulen und fortzubilden und entsprechend ihrer Qualifikation einzusetzen. Um dies innerbetrieblich effizient abwickeln zu können, kann eine solche Datenbank aufgebaut werden. 

Etwas komplexer wird die datenschutzrechtliche Einordnung, wenn personenbezogene Daten an externe Unternehmen z. B. im Zuge eines Ausschreibungsverfahrens weitergegeben werden. Als Rechtsgrundlage fällt § 32 BDSG dann aus, weil die Datenübermittlung nicht originär der Durchführung eines Beschäftigungsverhältnisses dient. Aber § 28 BDSG ermöglicht eine Interessensabwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und den schutzwürdigen Interessen des Betroffenen. Ergebnis: Zur Wahrung berechtigter Interessen erfolgt die Datenverarbeitung, wenn diese zur Erreichung der Geschäftszwecke der verantwortlichen Stelle (Unternehmen) erforderlich ist. Hierzu zählen auch wirtschaftliche Interessen und damit die Verbesserung des Betriebsergebnisses. Da Aufträge die Grundlage für die wirtschaftliche Entwicklung eines Unternehmens darstellen, ist diese Form der Datenverarbeitung als gerechtfertigt anzusehen. Andernfalls könnten mögliche Auflagen von Ausschreibungsunterlagen nicht eingehalten werden, was dazu führen würde, dass das Unternehmen keine bzw. weniger Aufträge generieren würde.

Die Datenverarbeitung ist aber dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle (Unternehmen) überwiegt, was stets im Einzelfall gemeinsam mit dem Datenschutzbeauftragten geprüft werden sollte. Wichtig ist, dass gemäß dem Prinzip der Datenvermeidung und Datensparsamkeit vorgegangen wird. Deshalb sollten die Qualifikationen der Mitarbeiterinnen und Mitarbeiter nur dann personenbezogen mitgeteilt werden, wenn dies vom ausschreibenden Unternehmen explizit gewünscht wird. Ansonsten ist eine anonyme Darstellungsform zu bevorzugen. Außerdem sollten nur die projektrelevanten Qualifikationen mitgeteilt werden und nicht darüber hinausgehende Informationen (wie beispielsweise „Negativ-Qualifikationen“, wenn durch gesundheitliche Einschränkungen einzelne Tätigkeiten nicht möglich sind).

Einen Sonderfall bilden Teilnahmen bei einer Ausschreibung eines ausländischen Unternehmens. Eine Übermittlung der Daten mit Personenbezug hat zu unterbleiben, wenn in dem Land kein „angemessenes Datenschutzniveau“ gewährleistet ist. Innerhalb der EU-Staaten oder Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder in einem sog. „sicheren Drittland“ (z. B. Kanada, Schweiz) gilt das Datenschutzniveau als angemessen. Ist dies bei einem anderen Land nicht der Fall, bleibt für die Datenübermittlung nur die Einwilligung der Betroffenen. Hierbei ist auf die Freiwilligkeit zu achten. Gute Elemente für die Akzeptanz bei der Belegschaft bilden Transparenz und Offenheit bei der kommunikativen Darstellung.

„Gerade in Zeiten wirtschaftlicher Globalisierung kommt dem Datenschutz eine große Bedeutung zu“, betont UIMC-Geschäftsführer Dr. Jörn Voßbein und rät: „Datenschutzrechtliche Risiken durch die Weitergabe von Mitarbeiterdaten sollten bei einer Ausschreibungsteilnahme genau geprüft werden. Andererseits ist aber an die ausschreibenden Unternehmen zu appelieren, auf unnötigen Personenbezug bei der Anforderung von Qualitätsnachweisen im Rahmen von Ausschreibungsverfahren zu verzichten.“

(27.01.2017) UIMC zum Europäischen Datenschutztag: Steigende Sensibilität der Bürger muss Konsequenzen für die Unternehmensstrategie haben

Am 28. Januar 2017 findet der 11. Europäische Datenschutztag statt. Ins Leben gerufen wurde der Tag vom Europarat mit dem Ziel, die Aufmerksamkeit der Bürger für das Thema Datenschutz zu steigern. Das Datum 28. Januar wurde 2006 nicht zufällig vom Europarat gewählt, sondern geht auf den Tag der Unterzeichnung der Europaratskonvention 108 zum Datenschutz im Jahre 1981 zurück. Mit der Unterschrift verpflichten sich die jeweiligen Staaten, die Achtung der Rechte und Grundfreiheiten – insbesondere des Persönlichkeitsbereichs – bei der automatisierten Datenverarbeitung zu gewährleisten.  „Der Datenschutz erfährt mit der EU-Datenschutz-Grundverordnung eine europäische Neujustierung, die alle datenschutzrechtlichen Bereiche verändert. Daher ist nicht nur eine Sensibilisierung der Bürger, sondern auch der Unternehmen dringend erforderlich“, weist UIMC-Geschäftsführer Dr. Jörn Voßbein auf die anstehenden Veränderungen hin.  

Rückblick: Nach jahrelangem Ringen verständigte sich die EU auf eine Datenschutzreform. Die neuen Regeln ersetzen die Richtlinien aus dem Jahr 1995 und trat bereits am 25. Mai 2016 in Kraft. Zur Anwendung kommt die EU-Datenschutz-Grundverordnung (DS-GVO) nach einer Übergangsfrist von zwei Jahren. Folge: Ab 25. Mai 2018 gilt sie für alle Mitgliedsstaaten. Die Einhaltung ist dann durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüfbar. Es bleiben Unternehmen somit noch 16 Monate, um sich auf die neue DS-GVO seriös vorzubereiten. Zeit, die in jedem Fall genutzt werden sollte, damit datenschutzrechtlich keine unangenehmen Überraschungen auftreten.

Die Vorbereitung sollte unter der Überschrift „Qualität vor Geschwindigkeit“ stehen und muss passgenau auf das einzelne Unternehmen zugeschnitten sein. Allerdings drängt zunehmend die Zeit, insbesondere vor dem Hintergrund der Vielzahl an Änderungen, schließlich drohen künftig harte Strafen

  1. Aus Sicht der Datenschutzexperten ist folgende Vorgehensweise empfehlenswert: Zunächst ist eine Analyse durchzuführen, welche Änderungen durch die EU-Datenschutz-Grundverordnung gegenüber den aktuellen nationalen Gesetzen herbeigeführt werden.
  2. Auf diesem Fundament kann eine strategische Umsetzungsplanung stattfinden. Be-sondere Würdigung muss in diesem Schritt die Priorität verschiedener Anforderungen für das Geschäftsumfeld des Unternehmens erfahren.
  3. Im Rahmen der Umsetzung sind dann die (neuen) Anforderungen sukzessive im Unternehmen pragmatisch umzusetzen und auch nachzuhalten. Dieses Vorgehen hilft, die neuen Anforderungen der DS-GVO bis zum Stichtag 25. Mai 2018 umzusetzen.

Zur datenschutzrechtlichen Umsetzung der DS-GVO hat die UIMC mit UIMChange ein Best-Practice-Vorgehensmodell mit hoher Flexibilität und individuellen Ausgestaltungsmöglichkeiten entwickelt. „Es ist ein bisschen wie LEGO: jedes Unternehmen kann sich die passenden Bau-steine herausnehmen und zu einem datenschutzrechtlichen Individualbau zusammenfügen“, so Dr. Jörn Voßbein, Geschäftsführer bei UIMC. 

„Der Europäische Datenschutztag ist ein idealer Anlass, um sich mit der Datenschutzkonformität des eigenen Unternehmens auseinanderzusetzen“, ist Dr. Jörn Voßbein überzeugt. Andernfalls werde Zeit auf dem Weg zur gesetzeskonformen Umsetzung der Anforderungen aus der EU-Datenschutz-Grundverordnung vergeudet. Mit 16 Monaten verbleibe noch ausreichend Zeit, um das Motto „Qualität vor Geschwindigkeit“ umzusetzen. Aber die Zeit drängt – mit und ohne UIMChange.

(24.01.2017) Datenschutz bei Infoterminals beachten

In schöner Regelmäßigkeit sieht man im Eingangsbereich von Unternehmen Begrüßungstafeln. Auf dieser werden namentlich die Gäste begrüßt, die – jedermann kann es lesen – einen Termin an diesem Tag haben. Zur besseren Orientierung wird z. T. auch noch der Ort des Meetings angegeben. Infoterminals sind auf dem Vormarsch, um Kunden zu informieren, Geschäftspartner zu begrüßen oder Gäste zu leiten. „Der Sinn und Geist des Kundenservices gerät hier aber möglicherweise in Konflikt mit dem Datenschutzrecht“, merkt UIMC-Geschäftsführer und Datenschutzfachmann Dr. Jörn Voßbein an.

Ein Blick in das Bundesdatenschutzgesetz (BDSG) erleichtert die rechtliche Einordnung. Gemäß § 4 BDSG ist die Übermittlung personenbezogener Daten zulässig, soweit es das BDSG selbst oder eine andere Rechtsvorschrift erlaubt anordnet, oder der Betroffene eingewilligt hat. Diese von § 4 geforderte Rechtfertigung kommt hierbei nur über § 28 Absatz 1 Satz 1 Nr. 2 BDSG in Betracht. Eine Verwendung personenbezogener Daten, was der Name des Gasts zweifelsohne ist, kann demnach zulässig sein, soweit es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenverarbeitung überwiegt.

Was versteht man unter berechtigtem Interesse? Im Juristen-Deutsch: Jeder Zweck, dessen Verfolgung vom gesunden Rechtsempfinden gebilligt wird. Konkret können u. a. auch Aktivitäten gemeint sein, die zur Gewinnung neuer Kunden, Verbesserung des Betriebsklimas und Erhöhung des Firmenimages beitragen. Moderne Begrüßungstafeln bieten den Unternehmen zeitgesteuerte, einfache und flexible Lösungen, um Kunden zu begrüßen, Besucher zu informieren und den Gast ggf. zum richtigen Ort zu leiten. Eine Steigerung des Firmenimages könnte also gut mit ihnen in Verbindung gebracht werden, auch das Betriebsklima leidet sicher nicht unter solchen Infobildschirmen. Ein dritter, aber nicht unwichtiger Aspekt aus Unternehmenssicht, ist ganz ohne Zweifel die Zufriedenheit des Kunden mit der Info-Tafel.

Besteht ein schutzwürdiges Interesse des Betroffenen an der Veröffentlichung? Dies scheint in diesem Fall nicht der Fall zu sein. Schließlich handelt es sich „lediglich“ um den vollständigen Namen des Betroffenen sowie die Bezeichnung seines Arbeitgebers. Anders sähe es sicherlich aus, wenn die Info-Tafel optische oder akustische Mitteilungen in das Umfeld des Unternehmens abgeben würde oder die personenbezogenen Daten aus dem öffentlichen Raum (Straße, Bürgersteig) für jedermann einsehbar wären. „In einem solchen Fall wären die schutzwürdigen Interessen des Betroffenen verletzt“, betont UIMC-Datenschutzexperte Dr. Jörn Voßbein und weist auf den Aspekt des Standortes eines solchen Infoterminals hin.

Neben dem Datenschutz bei personenbezogenen Daten sollten erfahrungsgemäß auch weitere Aspekte in die Überlegungen bei der Planung einer Infoterminals einfließen. So führt es erfahrungsgemäß zu „Irritationen“, wenn sich beispielsweise im Rahmen einer Ausschreibung mehrere Lieferanten vorstellen oder aus anderen Gründen auch Wettbewerber zu Besuch sind und somit der Kreis der Besucher transparent wird. Demnach sollte vor der Installation intern „das für und wider“ betrachtet werden. Bei der Abwägung kann in der Regel ein erfahrener Datenschutzbeauftragter eine gute Unterstützung sein.

(27.10.2016) Datenschutz im Call Center gilt für Kunden und Mitarbeiter gleichermaßen

Callcenter stehen ständig vor neuen Herausforderungen. Sinkende Erträge und Überkapazitäten kennzeichnen den aktuellen Strukturwandel. Wer im harten Wettbewerb bestehen will, muss sich auch den gesetzlichen Vorschriften eines umfassenden Datenschutzes stellen. Denn bei Verstößen gegen den Datenschutz, die sich überdies schnell zu einem Skandal entwickeln können, drohen empfindliche Strafen. Auch für viele andere Unternehmen ist das Telefon ein wichtiges Kommunikationsmedium, um mit Kunden und Verbrauchern im besten Sinne „im Geschäft“ zu bleiben. „Dem Datenschutz kommt eine zunehmend stärkere Rolle zu“, weiß der mehrfach bestellte Datenschutzbeauftragte Dr. Jörn Voßbein von UIMC zu berichten. Konkret sind nicht nur Verbraucherdaten zu schützen, sondern vor allem auch der datenschutzgerechte Umgang mit den eigenen Mitarbeiterdaten ist zu gewährleisten. Denn neben der Qualität ist der Datenschutz das Top-Thema für solche Unternehmen.

Aus der praktischen Arbeit eines Datenschutzbeauftragten: Auf einer digitalen Anzeigentafel im Unternehmen wird der Status der Mitarbeiter angezeigt, die hauptsächlich in der telefonischen Kundenbetreuung tätig sind (z. B. internes Call Center). Dies geschieht in der Form, dass angezeigt wird, ob sie im Hause sind sowie ob und aus welchem Grund sie nicht im Hause sind. Hierbei werden auch Status-Meldungen eingegeben wie „um 12 Uhr zum Arzt gegangen“ oder „bis Ende der Woche krankgeschrieben“. Hintergrund: durch die Veröffentlichung können die Kunden besser informiert und betreut werden. Die Thematik ist ein Fall aus dem Bereich des Mitarbeiterdatenschutzes.

Die Rechtslage: Alle Angaben über persönliche und sachliche Verhältnisse der Mitarbeiter sind gemäß § 3 Absatz 1 Bundesdatenschutzgesetz personenbezogene Daten. Die wichtigste Grundregel im Datenschutz aber lautet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten ist. Jeder Mensch soll selbst bestimmen dürfen, welche Daten über ihn erhoben, gespeichert und genutzt werden. Aber in § 4 Absatz 1 werden Erlaubnistatbestände geregelt: die Datenverwendung ist demnach erlaubt, wenn a) das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder b) der Betroffene einwilligt. Nach § 32 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erlaubt, wenn dies für den Zwecke des Beschäftigungsverhältnisses erforderlich ist.

Für Datenschutzexperten steht aber fest: Der Status „Pause“ oder „nicht am Platz“ ist sicher durch die Rechtsnorm § 32 BDSG legitimiert und dient dem reibungslosen Betriebsablauf. Ein Status „um 12 Uhr zum Arzt gegangen“ übersteigt die Erfordernisse, die der Durchführung des Beschäftigungsverhältnisses dienen. Diese Information sollte nur der Personalabteilung, dem direkten Vorgesetzten und/oder dem Personaleinsatzplaner zur Kenntnis gelangen.

In diesem Fall liegt ein schwerwiegender Verstoß gegen datenschutzrechtliche Bestimmungen vor. Das BDSG definiert diese Daten als „besondere Arten personenbezogener Daten“. Darunter fallen auch u. a. Angaben über die Gesundheit. Eine Verarbeitung solcher Daten ist an strenge Vorgaben geknüpft.
In dem geschilderten Sachverhalt findet sich dafür keine Rechtsgrundlage. Folge: Eine zulässige Datenverarbeitung kann nur im Wege der Einwilligung erreicht werden. Im Umkehrschluss bedeutet dies, dass Daten von Mitarbeitern, die nicht in die Datenverarbeitung eingewilligt haben, auch tatsächlich nicht – zumindest nicht mit solche detaillierten Informationen – auf der digitalen Anzeigentafel des Unternehmens erscheinen dürfen. „Mit den besonderen Arten personenbezogener Daten ist ein sehr sensibler und seriöser Umgang erforderlich, ansonsten kann hierunter nicht nur das Betriebsklima, sondern auch das Betriebsergebnis leiden“, mahnt UIMC-Geschäftsführer Dr. Jörn Voßbein zu großer Umsicht und Aufmerksamkeit. In jedem Fall sei es ratsam die Mitarbeiter über das Thema „Mitarbeiterdatenschutz“ transparent und offen zu informieren, um dadurch auch eine Sensibilisierung für die unternehmerische Sichtweise zu erreichen.

(20.09.2016) Datenschutz am Arbeitsplatz: Privat surfen oder nicht surfen, das ist hier die Frage!

In der heutigen Zeit ist fast jeder Büro-Arbeitsplatz mit einem PC samt Internetzugang ausgestattet. Es stellen sich dem Arbeitnehmer einige Fragen: „Darf ich am Arbeitsplatz private E-Mails versenden? Darf ich am Arbeitsplatz privat das Internet nutzen?“ Aber auch der Arbeitgeber hat Fragen: „Darf ich die Internetnutzung meiner Beschäftigten kontrollieren? Darf ich auf das E-Mail-Postfach der Mitarbeiter zugreifen, wenn sie ungeplant abwesend sind? Was sollte ich im Voraus regeln, um Konflikte zu vermeiden?“ Von datenschutzrechtlicher Bedeutung sind hier die anfallenden personenbezogenen Daten der Mitarbeiter und ihrer Kommunikationspartner. „Arbeitgeber müssen datenschutzrechtliche „Spielregeln“ einhalten, aber auch die Arbeitnehmer bewegen sich nicht im Freiraum“, weist Dr. Heiko Haaz, Partner der UIMC, auf Rechte und Pflichten beim Verhältnis Kommunikationsdienste vs. Arbeitsplatz hin.

Grundsatz: Soweit der Arbeitgeber Hardware bzw. Software zur Verfügung stellt, dürfen die betrieblichen Kommunikationsdienste (Internet- und E-Mail-Postfach) grundsätzlich nur für die betriebliche Tätigkeit genutzt werden. Eine private Nutzung ist daher nur erlaubt, wenn es der Arbeitgeber dies ausdrücklich gestattet hat, oder in Kenntnis und Duldung der privaten Nutzung über einen längeren Zeitraum stillschweigend akzeptiert und somit konkludent genehmigt. Je nach der konkreten Ausgestaltung der Nutzungsmöglichkeiten sind die Gesetzesvorschriften des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) sowie des Bundesdatenschutzgesetzes (BDSG) zu beachten.

Aus Sicht der Datenschutzexperten der UIMC bieten sich dem Arbeitgeber drei mehr oder minder geeignete Lösungswege:

Lösungsweg A: Dem Arbeitnehmer ist es erlaubt bzw. nicht explizit verboten die Kommunikationsdienste für private Zwecke zu nutzen. Folge: Der Arbeitgeber wird zum Telekommunikationsanbieter gegenüber den Mitarbeitern. Dies hat die Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG gebunden ist und gemäß § 11 Abs. 1 Nr. 1 TMG den Datenschutzvorschriften des TMG unterliegt. Zugleich bedeutet dies, dass sich der Arbeitgeber bei einer Verletzung des Fernmeldegeheimnisses gemäß § 206 Strafgesetzbuch (StGB) strafbar machen kann.
Die UIMC rät von diesem vermeintlichen Lösungsweg dringend ab. Erfahrungen aus der Praxis zeigten immer wieder, dass eine ungeregelte Nutzung im Hinblick auf die gesetzlichen Rahmenbedingungen nicht praktikabel zu handhaben ist. Beispielsweise ist in diesem Fall ein Zugriff auf das Mail-Postfach des Mitarbeiters im Krankheitsfall nicht zulässig.

Lösungsweg B: Generelles Nutzungsverbot der Kommunikationsdienste für private Zwecke. Vorteil dieses Lösungsweges: einfach, klar und für jeden verständlich. Allerdings ist dieser Lösungsweg oftmals nicht ohne Reibungsverluste umzusetzen, da ein Verbot nach vorheriger Erlaubnis bei Mitarbeitern und/oder Mitbestimmungsorganen auf wenig Akzeptanz stößt.

Lösungsweg C: Es findet keine technische Trennung nach dienstlicher und privater Nutzung statt. Dadurch sind die bei der privaten Nutzung anfallenden Daten in die Kontrollmaßnahmen für den Bereich der dienstlichen Nutzung einzubeziehen. Wichtig dabei ist, entsprechende Regelungen in einer Dienstanweisung oder Betriebsvereinbarung verbindlich zu treffen.

Es wird empfohlen, über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen, in der die Fragen des Zugriffs, der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig festgelegt werden. Auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen sind die Beschäftigten hinzuweisen.
„Lösungsweg B ist die für den Datenschutz klarste Regelung. Akzeptabel ist aber auch Lösungsweg C, der etwas mehr Flexibilität und Alltagstauglichkeit für Arbeitgeber und Arbeitnehmer bietet“, bewertet UIMC-Datenschutzexperte Dr. Heiko Haaz die Lösungswege im datenschutzrechtlichen Spannungsfeld Arbeitsplatz vs. Kommunikationsdienste. „Denkbar und oft praktiziert ist auch die Lösung C beim privaten Surfen und Lösung B beim privaten Mailen."

(29.08.2016) Bevor der Wechsel des Betriebsarztes weh tut...

Anwälte, Pfarrer und Ärzte haben in ihrem beruflichen Alltag eine große Gemeinsamkeit: sie erfahren sensible, zum Teil höchstpersönliche Informationen über ihre Mandaten oder Patienten. Informationen, die für Dritte (z. B. Versicherungen) von hohem Wert sein können. Der Schutz der Privatsphäre ist von herausgehobener Bedeutung. Auch Betriebsärzten ist die strikte Einhaltung der Verschwiegenheitspflicht auferlegt. Wie verhält es sich aber, wenn der Betriebsarzt wechselt oder den Betrieb verlässt? „Der Wechsel des Betriebsarztes ist keine terra incognita, aber es gibt Regeln, die vom Betrieb befolgt werden müssen“, erklärt UIMC-Datenschutzfachmann Dr. Jörn Voßbein.

Das Arbeitsfeld eines Betriebsarztes ist die Förderung und Erhaltung der Gesundheit sowie der Arbeits- und Beschäftigungsfähigkeit der Menschen. Teilweise ist er auch bei der Wiederherstellung der Arbeitsfähigkeit beteiligt. Nach § 3 Arbeitssicherheitsgesetz (ASiG) besteht die Aufgabe des Betriebsarztes ebenfalls darin, den Arbeitgeber beim Arbeitsschutz, bei der Unfallverhütung und in allen Fragen des Gesundheitsschutzes zu beraten und zu unterstützen. In diesem Rahmen erfolgt die Untersuchung von Arbeitnehmerinnen und Arbeitnehmern. Die Dokumentation beinhaltet arbeitnehmerbezogen individuelle medizinische Inhalte wie auch unternehmens- und arbeitsplatzbezogene Aspekte. Es gilt aber auch: Der Betriebsarzt unterliegt der ärztlichen Schweigepflicht. Er hat eine unabhängige Stellung und muss auch dem Arbeitgeber gegenüber die ärztliche Schweigepflicht einhalten. Dabei ist es unerheblich, ob der Betriebsarzt im Unternehmen angestellt ist oder ob es sich um einen externen handelt.

Für den Wechsel des Betriebsarztes kommen von der Pensionierung, über Entlassung bis zum Wegzug zahlreiche Gründe in Betracht. Worauf ist zu achten? Anders als bei der Übergabe einer privatärztlichen Praxis ist es nicht erforderlich, dass sich die Betriebsangehörigen mit der Benutzung der Altkartei durch den neuen Betriebsarzt einverstanden erklären. Der Unterschied liegt darin, dass - jedenfalls in bestimmten Bereichen - Untersuchungen durch Betriebsärzte vorgeschrieben und die Arbeitnehmer zur Teilnahme verpflichtet sind. Wichtig: Würde dem Arbeitnehmer das Recht eingeräumt werden, seine Zustimmung zum Zugriff des neuen Betriebsarztes auf die alten Akten zu verweigern, würden damit Mitwirkungspflichten des Arbeitnehmers hinsichtlich der Gesundheitsuntersuchung unterlaufen. Folge: die Zustimmung des Arbeitnehmers zum Zugriff des neuen Betriebsarztes auf seine patientenbezogenen Altakten ist nicht erforderlich. Allerdings sollte ein Widerspruchsrecht bezüglich bestimmter Informationen eingeräumt werden. Davon unberührt bleibt selbstverständlich die ärztliche Schweigepflicht des alten sowie des neuen Betriebsarztes gegenüber dem Arbeitgeber - das heißt: In keinem Fall darf der Arbeitgeber Kenntnis von den Details der betriebsärztlichen Untersuchungsergebnisse hinsichtlich der Arbeitnehmer erhalten. Die UIMC empfiehlt bei einem Wechsel folgende Schritte:

Der ehemalige Betriebsarzt sollte seine Dokumentation unmittelbar an seinen Nachfolger übergeben. Ebenso verhält es sich mit elektronischen Akten.

Transparenz: Die Betriebsangehörigen sollten rechtzeitig über den anstehenden Wechsel des Betriebsarztes informiert werden. Gleichzeitig ist ihnen die Möglichkeit einzuräumen, im Einzelfall Widerspruch gegen die Weitergabe patientenbezogener Informationen zu erheben, die nicht im Rahmen von Pflichtuntersuchungen entstanden sind. Allerdings muss die zehnjährige Aufbewahrungsfrist beachtet werden. Diese Akten sind besonders geschützt im Betrieb aufzubewahren.

Der ausgeschiedene Betriebsarzt hat keinerlei Rechte, die Unterlagen „mitzunehmen“. Verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes für die Verarbeitung der in den Unterlagen enthaltenen personenbezogenen Daten ist nicht der einzelne Betriebsarzt, sondern der Betrieb selbst.

(28.07.2016) Fotos auf Messen, Kongressen und Betriebsfeiern.. und was ist mit dem Recht am eigenen Bild?

Fotografieren ist modern und beliebt. Jeder Moment, ob beim Essen, beim Sport, in der Freizeit, bei Freunden oder auf Reisen wird für die Nachwelt festgehalten. Auch Unternehmen erliegen diesem Trend: von Betriebsausflügen, internen Weihnachtsfeiern oder auch Kundenevents werden zahlreiche mehr oder weniger aussagekräftige Fotos gemacht und diese häufig intern oder extern veröffentlicht. „Unternehmen sollten sich über das Unmuts- und Klagepotenzial von solchen Schnappschüssen im Klaren sein“ erklärt UIMC-Datenschutzfachmann Dr. Jörn Voßbein. Ein Bewusstsein für die rechtlichen Grundlagen bei der Eventfotografie ist wichtig, damit Unannehmlichkeiten und Auseinandersetzungen vermieden werden können.

Der Schriftsteller Friedrich Dürrenmatt brachte es so auf den Punkt: „Das Wesen des Menschen bei der Aufnahme sichtbar zu machen, ist die höchste Kunst der Fotografie.“ Sicherlich gelingt es nur wenigen Fotografen diesen Satz Realität werden zu lassen. Neben diesem künstlerischen Anspruch bringt besonders die Eventfotografie einige rechtliche Probleme mit sich, die oftmals in der Praxis nicht entsprechend gelöst oder schlichtweg ignoriert werden.

Beim ersten Blick auf die Rechtsgrundlagen stößt man auf das Recht am eigenen Bild als besondere Ausgestaltung des allgemeinen Persönlichkeitsrechts. Leider reicht dieser Rechtsbereich nicht aus, um die gesamte Problematik zu erfassen. Das Fotorecht stellt in Deutschland kein eigenes Rechtsgebiet dar. Folglich können neben dem Recht am eigenen Bild auch das Hausrecht des Veranstalters oder des Eigentümers sowie Urheberrechte des Fotografen evidente Rechtsgebiete sein.

Das Recht am eigenen Bild bedeutet eigentlich: Das Recht, darüber zu bestimmen, was mit Fotografien oder anderen bildlichen Darstellungen der eigenen Person in der Öffentlichkeit geschieht. Grundsätzlich ist gem. § 22 Kunsturhebergesetz (KUG) eine Einwilligung einzuholen. Wichtig: Es gibt keine Grenze bei der Menge von abgebildeten Personen, ab der eine Einwilligung obsolet wäre, sondern die Rechtsprechung stellt auf die Identifizierbarkeit der abgebildeten Personen ab.

Ausnahmen von dieser Regelung enthält insbesondere § 23 KUG. Drei Ausnahmebereiche werden klar benannt:
a) Bilder aus dem Bereich der Zeitgeschichte,
b) Bilder, auf denen die Person nur als Beiwerk erscheint und
c) Bilder von Versammlungen und Aufzügen.

Bei „öffentlichen“ Kundenveranstaltungen oder Kongressen kommt insbesondere die letzte Variante in Betracht. Die Begriffe Versammlung und Aufzug sind weit zu verstehen. Sie umfassen alle Ansammlungen von Menschen, die den kollektiven Willen haben, etwas gemeinsam zu tun. Insofern sollten gerade Kundenveranstaltungen oder Eröffnungsfeiern davon in aller Regel umfasst sein. Aber bei dieser Ausnahmevorschrift ist Vorsicht geboten, denn es bedeutet gerade nicht, dass bei einer Veranstaltung einzelne Personen herausgesucht und fotografiert werden dürfen. Vielmehr muss sich das Fotografieren auf die Veranstaltung in Ihrer Gesamtheit beschränken und den Charakter der Veranstaltung darstellen.

Allerdings werden von der Ausnahmevorschrift nur öffentliche, d. h. frei zugängliche Veranstaltungen erfasst (unabhängig von der Kostenpflichtigkeit). Auf Betriebsfeiern trifft diese Ausnahmeregelung folglich nicht zu. Grundsätzlich verlangt das Bundesarbeitsgericht, dass Einwilligungen des Arbeitnehmers nach § 22 KUG immer schriftlich zu erfolgen haben. „Bei Betriebsveranstaltungen, die fotografisch festgehalten werden, sollte dem Arbeitnehmer zur Unterzeichnung auch vorab eine Anmeldung vorgelegt werden, der eine entsprechende Einwilligungserklärung beigefügt ist.“, empfiehlt UIMC-Datenschutzexperte Dr. Voßbein. Wichtig dabei: Der genaue Nutzungszweck sollte auch hier unbedingt erwähnt sein. Bei Beachtung dieser rechtlichen Leitplanken, darf man sich dann wieder dem Ziel Friedrich Dürrenmatts zuwenden.

(13.07.2016) Auch auf Firmenparkplätzen gilt der Datenschutz

Jeder zweite Arbeitnehmer benutzt das Auto, um zum Arbeitsplatz zu kommen. Damit ist es mit Abstand das beliebteste Verkehrsmittel im Land. Wenn der Wagen nach der Fahrt zum Unternehmen auf dem Firmengelände geparkt wird, kommt oftmals der Datenschutz ins Spiel. Darf das Kennzeichen der privaten Kraftfahrzeuge durch den Arbeitgeber erfasst oder erfragt werden? Darf das Kennzeichen ausgerufen werden, wenn der Wagen für das Unternehmen wichtige Verkehrswege blockiert? Wie geht man als Unternehmen korrekt mit den Daten um, ohne sich selbst im Betriebsablauf ein Bein zu stellen? UIMC-Datenschutzexperte Dr. Jörn Voßbein nimmt klar Stellung: "Die Unternehmen müssen sorgfältig mit den Daten von Privatfahrzeugen umzugehen, ansonsten wird man schnell zu datenschutzrechtlichen Geisterfahrern und riskiert empfindliche Strafen."

Der Fall ist schnell erdacht: Ein Arbeitnehmer fährt mit dem privaten PKW zu seiner Arbeitsstelle in einer Großbäckerei und parkt auf dem Firmengelände. Dort ist die Mitarbeiterschaft schneller gewachsen, als der firmeneigene Parkplatz. Konsequenz: Der Arbeitnehmer muss sein Fahrzeug auf dem Betriebsgelände abstellen. Er versperrt dabei aber wichtige Stellflächen, die für Wende- und Rangiervorgänge beim Be- und Entladen dringend benötigt werden. Ist es gemäß Bundesdatenschutzgesetz (BDSG) erlaubt, wenn die Geschäftsführung der Bäckerei nun alle Kennzeichen der Mitarbeiter erfassen will, um schnellstmöglich auf falsch geparkte Fahrzeuge zu reagieren?

Im erdachten Fall könnten unter die berechtigten Interessen die wirtschaftlichen Absichten, also die Optimierung des Betriebsablaufes und letztlich einer Verbesserung des Betriebsergebnisses fallen. Ganz sicher ist die Datenverarbeitung aber dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle überwiegt. Die Datenschutzaufsichtsbehörden vertreten hierzu eine sehr strikte Meinung und messen den schutzwürdigen Interessen ein hohes Gewicht bei. Somit erscheint eine Datenerhebung und -nutzung der Kfz-Kennzeichen auf Basis dieser Abwägung zumindest problematisch.

Außerdem gibt Dr. Voßbein zu bedenken, dass diese im Beispiel erwähnte Datenerhebung aller Arbeitnehmer-Kfz-Kennzeichen als nicht datensparsam zu bewerten sei. Grund hierfür: die Daten werden für einen potenziellen, aber vielleicht nie eintretenden Fall, des "Parkverstoßes" erhoben und nicht für einen konkreten Zweck (z. B. Ausstellung eines befristeten Parkausweises). Das Vorgehen läuft ohnehin ins "Leere", wenn das falschparkende Fahrzeug einem Kunden oder Besucher des Unternehmens gehört oder der betroffene Beschäftigte außer Haus unterwegs ist.

"Die Einwilligung des Beschäftigten zur Erhebung seines Kfz-Kennzeichens und die eindeutige Markierung von Parkflächen auf dem Betriebsgelände sind die wichtigsten datenschutzrechtlichen Leitplanken", erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein den korrekten datenschutzrechtlichen Umgang. Zudem könnten Schilder angebracht werden, auf denen Falschparkern mit dem Abschleppen ihres Fahrzeugs gedroht wird. "Was die Deutschen lieben, setzen sie nicht der Gefahr des Abschleppens aus", merkt Dr. Jörn Voßbein mit einem Lächeln an.

(29.06.2016) Was bedeutet der Brexit für den betrieblichen Datenschutz?

Am 23. Juni 2016 hat die Bevölkerung von Großbritannien im Rahmen eines Referendums entschieden, aus der Europäischen Union (EU) auszuscheiden. Auch wenn die britische Regierung noch nicht final beschlossen hat, ob sie sich an den „Volkswillen“ halten will, stellen schon jetzt viele Unternehmen, die wirtschaftliche Beziehungen zu Unternehmen in Großbritannien haben, die Frage nach den Konsequenzen im Hinblick auf den Datenschutz. Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter, ist aber wenig beunruhigt.

Im Rahmen von Dienstleistungen oder Konzern-Verflechtungen finden bei vielen deutschen, österreichischen und anderen europäischen Unternehmen Datentransfers nach Großbritannien statt. Bislang war dies relativ unproblematisch, schließlich sind die britischen Länder Teil der EU, so dass ein angemessenes Datenschutzniveau vorliegt. Doch wie sieht dies aus, wenn der „Brexit“ auch Realität wird.

Zwar erfolgt die Prüfung einer grenzüberschreitenden Datenübermittlung generell zweistufig. So müssen zunächst die Anforderungen einer Datenverarbeitung als solches erfüllt sein und es ist darüber hinaus zu prüfen, ob beim Empfänger ein angemessenes Datenschutzniveau sichergestellt ist. Doch wird innerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) – bereits aufgrund der vorhandenen europarechtlichen Vorgaben – das Vorhandensein eines angemessenen Datenschutzniveaus unwiderleglich angenommen. Der Einsatz von britischen Dienstleistern (z. B. Data Centre, Remote Support) oder die Nutzung von „Shared Services“ bei britischen Konzerngesellschaften unterlag den gleichen Anforderungen wie im Inland.

Bei einem Datentransfer nach Großbritannien kann nach einem potentiellen Austritt nicht mehr per se davon ausgegangen werden, dass ein angemessenes Datenschutzniveau existiert. Was bedeutet dies nun für die Übermittlung von personenbezogenen Daten?

Zunächst ist festzuhalten, dass aktuell seitens der Unternehmen noch nichts zu unternehmen ist, schließlich ist der Austritt noch nicht vollzogen. Ferner ist es nicht unrealistisch, dass die Europäische Kommission auch Großbritannien ein angemessenes Datenschutzniveau konstatieren, wie aktuell beispielsweise schon den Ländern Argentinien, Israel, Kanada oder der Schweiz. Die britische Aufsichtsbehörde (Information Commissioner’s Office, ICO) hat bereits direkt nach dem Referendum mitgeteilt, dass sie sich dafür einsetzen wird, ein angemessenes Datenschutzniveau durch entsprechende Umsetzung der Datenschutz-Grundverordnung zu erreichen.

Demnach scheint sich diesbezüglich auch künftig nichts zu ändern. „Nichtsdestotrotz ist es uns betrieblichen Datenschutzbeauftragten natürlich dringend zu empfehlen, das weitere Vorgehen im Auge zu behalten“, empfiehlt Dr. Jörn Voßbein. Doch selbst dann, wenn ein solches Datenschutzniveau nicht attestiert werden sollte, bestehen weiterhin die Möglichkeiten, die sie aktuell und auch künftig im Rahmen der EU-Datenschutz-Grundverordnung geben wird, wie beispielsweise die Nutzung von sog. Standardvertragsklauseln der EU-Kommission oder eines konzernweiten Code of Conduct (sog. „Binding Corporate Rules“) sicherstellen. Vor allem im Rahmen multinationaler Konzerne bieten sich diese verbindlichen Unternehmensrichtlinien als Spielart der vertraglichen Vereinbarungen zur Gewährleistung ausreichender Garantien an.

Demnach ist festzuhalten, dass der Brexit zumindest aktuellim Hinblick auf en Datenschutz noch keine Konsequenzen für Unternehmen in Deutschland, Österreich und anderen EU-Staaten hat. Die weiteren Vorgehensweisen von EU und Großbritannien sollten aber dringend mitverfolgt werden, um möglichst frühzeitig etwaige Maßnahmen zu ergreifen.

(27.06.2016) Bei Ausgründung Datenschutz nicht vergessen!

Eine Unternehmensausgründung birgt eine Menge Herausforderungen. Über tarif- und steuerrechtliche Fragestellungen darf der Datenschutz aber nicht vergessen werden. „Oftmals geht es bei einem Ausgründungsprozess um personenbezogene Daten, die schutzbedürftig sind“, weiß Datenschutzexperte Dr. Jörn Voßbein aus Erfahrung. Um die Bestimmungen des Datenschutzrechtes einzuhalten, ist ein seriöses Vorgehen erforderlich. „Aber die Wahrung des Datenschutzes ist machbar und sicher kein Hexenwerk.“

Wirft man einen Blick auf die Definition des betriebswirtschaftlichen Begriffes ‚Ausgründung‘, findet sich z. B. im Gabler Wirtschaftslexikon Folgendes: „Überführung eines Teilbetriebs oder eines Betriebsteils […] in eine dafür neu gegründete Gesellschaft.“ Was gilt es hierbei aus Sicht des Datenschutzes zu beachten?

Daten von Beschäftigten, die in das ausgegründete Unternehmen wechseln, dürfen grundsätzlich beim Übergang in das neue Unternehmen übermittelt werden. Eine Prüfung dieser Aussage anhand der §§ 4, 28 und 32 des Bundesdatenschutzgesetzes ergibt die Rechtmäßigkeit eines solchen Handelns, weil personenbezogene Daten eines Beschäftigten für die Zwecke eines Beschäftigungsverhältnisses erhoben, verarbeitet und genutzt werden dürfen.
Aber: Daten von Mitarbeitern, die im bisherigen Unternehmen verbleiben, dürfen auf Basis dieser Rechtsgrundlage nicht übermittelt werden. Gerade eine exakte Trennung zwischen den Daten vom Betriebsübergang betroffener und nicht betroffener Mitarbeiter kann in der gelebten Praxis zu Schwierigkeiten führen. Im Grundsatz liegen drei Gruppen von Daten vor:

  • Eindeutig einer Person zugeordnete und separat abgelegte Daten/Unterlagen – Beispiel: Personalakten.
  • Daten, die einer Person zugeordnet werden können, aber nicht systematisch nach Personen angelegte Dateien oder Unterlagen – Beispiele: elektronische Korrespondenz oder Datenbanken.
  • Listen und Aufstellungen von Mitarbeitern – Beispiel: Teilnehmerlisten

Die erste Gruppe ist unproblematisch. Hier ist Rechtskonformität am einfachsten herzustellen. Es werden nur die Daten weitergegeben, die eindeutig einer vom Übergang betroffenen Person zugeordnet werden können. Ausnahmen stellen Daten dar, die auch vom bisherigen Unternehmen beispielsweise aus Steuer- und Handelsrechtsvorgaben noch vorzuhalten sind.

„Mischdaten“ sind in der zweiten und dritten Gruppe eine größere Herausforderung. Möglicherweise sind Daten nicht zu trennen oder nur mit großem Aufwand. Beispiel: Teilnehmerlisten bei internen Schulungen. Hier müssten die Teilnehmer, die im bisherigen Unternehmen verbleiben, geschwärzt werden - ein immenser Aufwand.

Wie geht man nun mit diesem Datenbestand von Mischdaten datenschutzrechtlich korrekt um? Variante eins: Es findet keinerlei Übermittlung solcher Mischdaten an das neue Unternehmen statt. Folglich gibt es keine unzulässige Datenübermittlung. Aber: Die Nicht-Übermittlung ist keine pragmatische Lösung, da bestimmte Informationen auch im neuen Unternehmen vorliegen müssen bzw. sollten. Variante zwei: Datenübermittlung aller Mischdaten, also auch von den Mitarbeitern, die nicht vom Übergang betroffen sind. Rechtlich ist dies durchaus problematisch, da keine Rechtsgrundlage zur Datenübermittlung vorhanden ist. Diese Vorgehensweise sollte ausschließlich bei unkritischen Daten gewählt werden.

Bei Variante drei fände eine tatsächliche Trennung der Daten statt. Dies kann zu entsprechendem Aufwand insbesondere im bisherigen Unternehmen führen, beinhaltet aber ein geringes Risiko unzulässigen Datentransfers. UIMC empfiehlt im Vorfeld mindestens eine grobe Strukturierung der Daten und Unterlagen vorzunehmen, um auf Basis einer Risikoanalyse insbesondere sehr sensible Daten von der Übermittlung auszunehmen.

Allerdings steht fest, dass eine vollkommen datenschutzkonforme Lösung kaum umsetzbar ist, da es sich nicht vermeiden lässt, dass auch Mischdaten im neuen Unternehmen ankommen. Dr. Jörn Voßbein bezieht hierzu klar Stellung: „Zielsetzung muss es bei einer Ausgründung daher sein, so datenschutzkonform zu arbeiten, wie möglich.“ Das Ziel ist mit Bewusstsein für den Datenschutz, Sensibilität beim Umgang mit personenbezogenen Unterlagen und rechtzeitiger und konsequenter Datentrennung unter Risikogesichtspunkten erreichbar.

(25.05.2016) Die UIMC startet Countdown: Neue EU Datenschutz-Grundverordnung

Die neue EU-Datenschutz-Grundverordnung tritt heute in Kraft und gilt in genau zwei Jahren (am 25. Mai 2018). „Mit dieser Rechtssetzung werden die Regeln des Datenschutzes in der EU stärker harmonisiert und die Unternehmen sollten sich schon jetzt mit den Inhalten und neuen Anforderung auseinandersetzen“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein die Reichweite der neuen Grundverordnung. Grund genug für die UIMC ein spezielles Change-Konzept zu etablieren.

Kurz zur Chronologie: Einer Initiative der damaligen EU-Justizkommissarin Viviane Reding vor knapp vier Jahren folgten intensive Verhandlungen zwischen Vertretern des Europäischen Parlamentes und des EU-Ministerrates, bis die neue EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) am 12. Februar 2016 vom Europäischen Rat gebilligt wurde. Zuvor war kurz vor Weihnachten 2015 eine Einigung über die textliche Ausgestaltung der Grundverordnung zwischen dem Europäischen Rat, dem EU-Parlament und der EU-Kommission erzielt worden.

Wie schaut nun der weitere Zeitablauf bei der Umsetzung der EU-Datenschutz-Grundverordnung aus? Seit dem 6. April 2016 gibt es eine offizielle deutsche Fassung der EU-DSGVO. Am 14. April beschloss das EU-Parlament die Grundverordnung, die wiederum am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht wurde und somit am 25. Mai 2016 in Kraft tritt. Gültig ist sie dann in exakt zwei Jahren.
Der Countdown läuft also: In genau 24 Monaten findet die Grundverordnung Anwendung in allen 28 Mitgliedsstaaten der Europäischen Union.

Als erfahrener Datenschutzexperte gibt Dr. Jörn Voßbein folgenden Rat: „Die zwei Übergangsjahre sollten von den Unternehmen genutzt werden, um die neuen datenschutzrechtlichen Prozesse zu etablieren und am Ende des Tages die drastisch gestiegenen Bußgeldzahlungen zu vermeiden.“ Hierzu hat die UIMC ein spezielles Change-Konzept aufgesetzt, um Unternehmen schon jetzt auf die neue Rechtslage in der Form vorzubereiten, dass auch am 25.5.2018 eine rechtskonforme Datenverarbeitung in der Organisation verankert ist. Weitere Informationen werden kontinuierlich unter www.EU-Datenschutz-Grundverordnung.info veröffentlicht.

(17.05.2016) Tippspiel zur EM führt ohne Datenschutz-Taktik zum Eigentor

Nachdem Yogi Löw heute nun den erweiterten Kader für die Europameisterschaft verkündet hat, starten auch in vielen Unternehmen die letzten Vorbereitungen für die EM. Denn gerade in Zeiten von Fußballgroßereignissen, wie Welt- oder Europameisterschaften, wird gerne im Kollegen-, Freundes- oder Bekanntenkreis getippt, gefiebert und am liebsten gewonnen. Diese Beliebtheit der Tippspiele wollen viele Unternehmen nutzen. Oft heißt es dann: Mittippen und wertvolle Preise sichern. Aber schnell führt ein solches Tippspiel auf der Firmenhomepage zum datenschutzrechtlichen Eigentor. UIMC-Datenschutzexperte Dr. Jörn Voßbein bittet daher vor Start eines solchen Tippspiels, um eine gründliche Betrachtung, Beachtung und Einhaltung der bestehenden Rechtsvorschriften.

Die Fußball-Europameisterschaft in Frankreich steht unmittelbar vor der Tür. In Kürze werden überall kleinere und größere Tippspiele mit der Chance auf attraktive Gewinne angeboten. Der Fall ist schnell erdacht: Die Marketing-Abteilung kommt auf die Idee, Kunden mit einem Tippspiel zur Europameisterschaft emotional noch stärker an das Unternehmen und ihre Produkte zu binden. Schnell ist die Internetplattform kicktipp.de ausgemacht, deren Tippspiel wird in die eigene Homepage eingebunden und die Kunden werden per Newsletter auf das EM-Tippspiel aufmerksam gemacht. Die Teilnahmebedingungen bestimmen, dass der Gewinner sich durch Teilnahme mit der Veröffentlichung des Gewinns unter Angabe seines Namens auf der Unternehmens-Homepage einverstanden erklärt. Zudem sollen die gewonnen persönlichen Daten nur im Rahmen des Gewinnspiels verwendet und nicht an Dritte weitergegeben werden.

Auf den ersten Blick scheint alles bedacht worden zu sein. Allerdings gibt es doch einige Problemfelder, die genauer betrachtet werden müssen:

Information über das Tippspiel   

Die Versendung des Newsletters an die Kunden ist aus Sicht des Datenschutzes eine besonders sensible Stelle der Werbeaktion. Hierbei müssen die Regelungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) beachtet werden. E-Mail-Werbung ohne Einwilligung des Adressaten stellt in der Regel eine unzumutbare Belästigung dar, wenn der Kunde sein Einverständnis nicht gegeben hat. Vielmehr ist es empfehlenswert, schon bei dem Vertragsabschluss oder bei einem vorherigen Tippspiel um die Einwilligung zur Newsletter-Zusendung zu bitten.

Anmeldedaten

Hier muss stets der Grundsatz der Datensparsamkeit Berücksichtigung finden. Es sind also nur diejenigen Daten vom Tippspieler abzufragen, die für die weitere Kommunikation bzw. Abwicklung des Tippspiels notwendig sind. E-Mail-Adresse, Name und Vorname sind unzweifelhaft elementar, um eine eindeutige Identifizierung zu ermöglichen. „Die Post-Anschrift oder das Alter der Tippspieler - sind Daten, die nicht abgefragt werden sollten“, rät Dr. Jörn Voßbein.

Partnerseite

Sofern das Tippspiel mit einem professionellen Anbieter für Tippspiele (wie z. B. kicktipp.de) umgesetzt werden soll, so ist dies dem Teilnehmer transparent zu machen. Dies gilt sowohl bei einer Verlinkung auf die Seite des Anbieters als auch bei der Einbettung auf der eigenen Internetpräsenz („embedded content“).

Fazit: Allein die Betrachtung der drei Problemfelder zeigt, dass die Durchführung eines Tippspiels wohlüberlegt und klug durchdacht sein sollte, denn ein datenschutzrechtliches Eigentor ist schneller verursacht, als man landläufig erwartet. Vielmehr sollte der Datenschutzbeauftragte als „Coach“ besser vorab eingebunden und eine Datenschutz-Taktik ausgearbeitet werden.

(12.05.2016) Verschlüsselte Internetseiten erhöhen Vertrauen, Sicherheit und Compliance

Ein Unternehmen ohne eigene Internetpräsenz ist kaum noch vorstellbar. Wie eine Visitenkarte und ein eigener Briefkopf, so gehört die eigene Homepage zum Auftritt am Markt. Kunden, potentielle Mitarbeiter, aber auch die unternehmerische Konkurrenz verschaffen sich einen Eindruck über Leistungen und Angebote des Unternehmens im WorldWideWeb. Eine Homepage ist heutzutage schnell gestaltet und noch schneller online gestellt. Datenschutz- und Informationssicherheitsexperte Dr. Jörn Voßbein mahnt jedoch mit dem alten Grundsatz von „Gründlichkeit vor Schnelligkeit“ vor unüberlegten Schnellschüssen. „Die Verschlüsselung von Datentransfers gehört  in ein Online-Konzept“, erinnert Dr. Voßbein an das Telemedien- (TMG) und Bundesdatenschutzgesetz (BDSG).

Bei Aufbau und Betrieb der Firmen-Homepage ist u. a. das Telemediengesetz zu beachten. Was bedeutet das nun für eine Internetpräsenz? Das Telemediengesetz sagt in § 13 Absatz 4 Nr. 3 eindeutig aus, dass „der Nutzer Telemedien gegen die Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“. Was sind Telemedien? Neben dem reinen Angebot von Informationen auf Unternehmenshomepages sind auch Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit; Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen; kommerzielle Verbreitung von Informationen über Waren-/Dienstleistungsangebote mit elektronischer Post  Dienste im Sinne des Telemediengesetzes.

Mit Absatz 7 wurde die Forderung nach Sicherheitsmaßnahmen für den Nutzer noch einmal verschärft und bekräftigt. Die Maßnahmen müssen zwar angemessen, also technisch möglich und wirtschaftlich zumutbar sein. Der zweite Satz von Absatz 7 macht es dann aber nochmal sehr deutlich, was der Gesetzgeber von einem Telemedien-Betreiber erwartet: „Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“ Diese Formulierung hat zur Folge, dass bei einem Sicherheitsvorfall und/oder einer damit verbundenen aufsichtsbehördlichen Anfrage von Unternehmensseite sehr triftige Gründe für das Weglassen einer Verschlüsselung angeführt werden müssen.

Sicherlich wird eine Argumentation über die wirtschaftliche Unzumutbarkeit auch bei kleineren Unternehmen oftmals nicht verfangen und akzeptiert werden. Andererseits sollten die bisherigen Erfahrungen mit den Aufsichtsbehörden nicht verschwiegen werden, denn bei solchen Fragestellungen wurde bislang meist nicht sofort sanktioniert. Dies ist aber eine trügerische Sicherheit, denn eine Verschärfung des aufsichtsbehördlichen Verhaltens ist jederzeit denkbar und die Aufforderung zur Umsetzung der gesetzlich vorgeschriebenen Maßnahmen ist sicher. Auch ist noch nicht final geklärt, ob eine fehlende Verschlüsselung unter Umständen auch abmahnfähig ist.

„Deshalb sollten erst gar keine rechtlichen Lücken beim Betrieb der Internetpräsenz zugelassen werden“, betont UIMC-Geschäftsführer Dr. Jörn Voßbein und rät zu einer Verschlüsselung insbesondere von vertraulichen Datentransfers. Hierzu sind insbesondere die Kontaktformulare zu zählen. Der Einsatz von TLS-/SSL-Zertifikaten hat zudem den Vorteil, dass verschlüsselte Internetauftritte von der Suchmaschine Google höher bewertet werden, so dass auch deshalb eine komplett verschlüsselte Internetpräsenz empfehlenswert ist.

(25.04.2016) UIMC rät: Auch Anfragen der Polizei sorgfältig prüfen

Anfragen von Polizei und anderen Behörden bringen Unternehmen schnell in Unsicherheit: Welche Informationen über Arbeitnehmer müssen herausgegeben werden? „Oft wird versucht personenbezogene Daten zu ermitteln, obwohl es dafür gar keine Rechtsgrundlage gibt“, berichtet Dr. Heiko Haaz, Partner der UIMC.

Der Sachverhalt: Die Polizeiinspektion fragt in einem Unternehmen personenbezogene Daten eines Mitarbeiters an. Hintergrund der Anfrage ist ein Ordnungswidrigkeitsverfahren, welches aufgrund eines Verhaltens im Straßenverkehr mit einem Dienstwagen eingeleitet wurde. Gibt der Arbeitgeber nun die Informationen heraus oder verweigert er der Polizei die Herausgabe?

Ein Blick ins Gesetz erleichtert die Rechtsfindung. § 4 Bundesdatenschutzgesetz (BDSG) besagt eindeutig, dass die Weitergabe personenbezogener Daten nur dann zulässig ist, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt. Experten sprechen vom „Verbot mit Erlaubnisvorbehalt“. Kurz: Alles, was nicht ausdrücklich erlaubt ist, ist verboten.

Zur Rechtfertigung der Datenübermittlung kommt § 32 BDSG in Betracht, der die Herausgabe dann erlaubt, wenn der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Das war nicht der Fall, die Polizeianfrage hat hierin keine Rechtsgrundlage. Auch findet sich diese Rechtsgrundlage nicht im § 28 Abs. 2 Nr. 2 BDSG. Danach ist zwar die Übermittlung der Daten zulässig, soweit es „zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.“ Eine Straftat liegt aber nicht vor. Auch diese Rechtsvorschrift deckt Anfragen zu Ordnungswidrigkeiten nicht ab.

Fazit: Die Anfrage der Polizei im Rahmen eines Ordnungswidrigkeiten-Verfahrens, rechtfertigt nicht die Weitergabe von personenbezogenen Daten. Aber selbst wenn eine Straftat vorliegt, besteht keinerlei Verpflichtung gegenüber der Polizei Aussagen zu tätigen und personenbezogene Daten weiterzugeben. Anders sieht es bei Anfragen und Anordnungen durch die Staatsanwaltschaft und die Gerichte aus, z. B. auf Basis der Strafprozessordnung (StPO). Aber selbst dann müssen die schutzwürdigen Interessen des Arbeitnehmers betrachtet werden „Im Einzelfall sollte immer der Datenschutzbeauftragte hinzugezogen werden“, rät Dr. Heiko Haaz zu einem umsichtigen Vorgehen. 

Als Möglichkeit kommt eigentlich nur die Einwilligung des Arbeitnehmers in Betracht – diese sollte idealerweise schon aus Nachweisgründen schriftlich eingeholt werden. Empfehlenswert ist die Weiterleitung der Polizei-Anfrage an den betroffenen Mitarbeiter. Eine Einwilligung innerhalb der Dienstwagenvereinbarung wäre problematisch, da hierbei die erforderliche Freiwilligkeit in Frage gestellt wird.

(23.03.2016) Stiftung Warentest deckt vermeidbare Datenschutzmängel bei Ärzten auf

Gesundheitsdaten gehören zu den sensibelsten persönlichen Daten. Ihr Schutz ist eindeutig geregelt – im Bundesdatenschutzgesetz und den Berufsordnungen der Mediziner. Trotzdem scheinen die Regeln oftmals nicht beachtet zu werden, wie die Stiftung Warentest jetzt herausfand. Fakt: Die Ärzteschaft ist gefordert. „Verletzungen des Datenschutzes sind keine Kavaliersdelikte, sondern haben strafrechtliche Relevanz“, so Dr. Jörn Voßbein, Geschäftsführer von UIMC, der betont: „Dabei können die Regeln mit einem kompetenten Umgang ohne größere Probleme eingehalten werden.“

32 Prozent der Teilnehmer einer Studie des Bundesjustizministeriums stimmten der Aussage zu, dass die persönlichen Gesund¬heits¬daten niemand etwas angehen. Weitere 49 Prozent wollten selber bestimmen, wer die entsprechenden Informationen erhält. Das Ziel: Herr oder Frau über die eigenen Daten sein (das sog. „Recht auf informationelle Selbstbestimmung) – zusammen mit dem Arzt, aber ohne unerwünschte Mitwisser. Doch wird dieses Ziel in den Arztpraxen erfüllt?

Die Stiftung Warentest kommt in einer neuen Studie zu einem ernüchternden Ergebnis: In jeder zweiten geprüften Arztpraxis gab es Datenlecks. „Diese Feststellung macht mir Sorgen“, zeigt sich UIMC-Geschäftsführer Dr. Jörn Voßbein bestürzt über die Ergebnisse, wenn auch nicht überrascht. Dabei sind die Daten über die Gesundheit besonders schützenswert.

Wo befinden sich die Datenlecks in den deutschen Arztpraxen?

  1. Telefongespräche – In acht von zehn Praxen gab das Personal freimütig Auskünfte im Telefongespräch. Mal wurde mitgeteilt, dass die gesuchte Person im Wartezimmer sei, mal die Laborwerte mit Einordnung und ein anderes Mal die weiter verordnete Therapie. Tipp von UIMC: „In jedem Fall muss die Identität des Anrufers zweifelsfrei festgestellt werden“, weist Dr. Jörn Voßbein auf die zentrale Schwachstelle hin.
  2. E-Mail – Vier von zehn Reaktionen wurden von Stiftung Warentest beanstandet. Dabei gab es Abstufungen bei der Größenordnung des Verstoßes. Klar ist: Es lauern zwei Gefahren. Zum einen könnte die Anfrage von Unbefugten stammen, zum anderen ist eine unverschlüsselte E-Mail wie eine Postkarte zu sehen. Tipp von UIMC: So wenig Arzt-Patienten-Kommunikation wie möglich per Mail abwickeln. „Die sicherste Variante ist der direkte Kontakt“, so Dr. Voßbein. Aber auch hier lauern Risiken:
  3. Gespräche werden mitgehört – Die Tester hörten in drei von zehn Praxen sensible Informationen mit, weil Empfangsbereich und Wartezimmer nicht ausreichend voneinander getrennt waren. Tipp von UIMC: „Abgetrennte Bereiche sind hier in jedem Fall ein Schritt in die richtige Richtung“, befürwortet Dr. Voßbein klare bauliche Verhältnisse. Gerade auch die Mitarbeiterinnen und Mitarbeiter müssten beim Thema Datenschutz geschult und sensibilisiert werden. Übrigens: Ab 10 Arbeitnehmern muss eine Arztpraxis über einen Datenschutzbeauftragten verfügen.

Für die Datenschutz-Experten der UIMC ist unverkennbar : die Defizite beim Datenschutz in den Arztpraxen sind mit dem Test der Stiftung Warentest nochmal deutlich identifiziert worden. Im nächsten Schritt müssen sie abgebaut werden, zur Sicherheit und zum Schutz von Arzt und Patient.

(03.03.2016) Die tollen Tage sind vorbei, aber: Datenschutz-Kater in Thüringen

Der Umgang mit personenbezogenen Daten ist zwar in vielen Betrieben ein Thema, es gibt aber oft noch Nachholbedarf, wie ein Vorfall aus dem thüringischen Karneval bewiesen hat. Dr. Jörn Voßbein, Geschäftsführer der UIMC, weist darauf hin, dass es oft an einem durchdachten Entsorgungskonzept fehlt.

„Da ist wirklich Schluss mit lustig“, kommentiert UIMC-Geschäftsführer Dr. Jörn Voßbein die Ereignisse von Dermbach im Wartburgkreis (Thüringen). Was war passiert?

Kamelle, Strüßje und Konfetti gehören zu jedem ordentlichen Karnevalsumzug. In Dermbach wurde dem Publikum aber etwas Außergewöhnliches zugeworfen. Eine Konfettikanone feuerte geschredderte Patientenakten aus einer Außenstelle des Klinikums Bad Salzungen. Die Patientenakten wurden nicht fachgerecht vernichtet. Folge: Es waren personenbezogene Daten wie Namen, Adressen und Telefonnummern zu lesen. Auf anderen fanden sich die Arbeitspläne der Ärzte. Aufgefallen war der ungewöhnliche Konfetti-Daten-Regen einer Anwohnerin erst beim Auffegen. Sie hatte plötzlich den Namen ihrer Schwester auf den nicht korrekt geschredderten Unterlagen entdeckt.

Für Dr. Jörn Voßbein ist dieser Vorgang Grund genug, um auf den fachgerechten Umgang mit Akten und anderen wichtigen Schriftstücken hinzuweisen: „Das beginnt bei der Entstehung des Schriftstückes und endet mit seiner korrekten Vernichtung." Aber Papier ist nicht der einzige Datenträger, den es zu beachten gilt, so Voßbein weiter. "Speziell bei den elektronischen Medien sind in den letzten Jahren neue Aspekte hinzugekommen. Nicht mehr genutzte Mobiltelefone, Kopier- und Navigationsgeräte verfügen über einen Speicher, der personenbezogene Daten enthalten kann."

Als Anhaltswert für die datenschutzgerechte Entsorgung dient die DIN-Norm 66399, die seit 2012 in Kraft ist. Hierbei werden die Daten entsprechend ihrer Sensibilität in drei Schutzklassen eingeordnet. Sieben untergeordnete Sicherheitsstufen geben je nach Art des Datenträgers den Aufwand wieder, der für eine korrekte Entsorgung notwendig ist. Außerdem beschreibt die Norm den kompletten Prozess der Datenträgervernichtung und die technisch-organisatorischen Maßnahmen.
Dr. Voßbein sieht in vielen Betrieben noch Nachholbedarf: "Die Notwendigkeit der Vernichtung sensibler Daten wird zwar meist gesehen, häufig gibt es aber Unklarheiten bei der Umsetzung und es fehlt an einem spezifischen Entsorgungskonzept."

Die Folgen sind bei einem nichtfachgerechten Umgang mit personenbezogenen Unterlagen nicht immer bis ins letzte Detail abzusehen. Jeder Fall liege schließlich anders. In Thüringen rief der Vorfall den Landesdatenschutzbeauftragten Lutz Hasse auf den Plan. Er leitete ein Verwaltungs- und Bußgeldverfahren wegen des Verstoßes gegen Datenschutzrecht ein.

(25.02.2016) Bayern München im Abseits: Videoüberwachung genau prüfen [Update]

In den deutschen und europäischen Stadien eilt der FC Bayern München von Erfolg zu Erfolg. Im Gerichtssaal fallen die Erfolge der Bayern nicht so üppig aus – im Gegenteil: Das Arbeitsgericht zog den Bayern quasi die Lederhosen aus und gab einer klagenden Mitarbeiterin Recht. Was war geschehen?

Im FC Bayern-Fanshop im Oberhausener Centro setzt der Verein auf Videoüberwachung und das nicht nur im Verkaufsraum, sondern auch im Sozialraum der Mitarbeiter. Hiergegen klagte eine Mitarbeiterin, wie der SPIEGEL berichtete, erfolgreich. Sie sah ihre Persönlichkeitsrechte verletzt. Dieser Fall führt zu einer erneuten Sensibilisierung im Bereich des Einsatzes technischer Mittel am Arbeitsplatz zum Zweck der besseren Kontrolle.

Was gilt es dabei zu beachten? Die Persönlichkeitsrechte des Mitarbeiters gelten auch im Betrieb, sie treten allerdings in einen Konflikt mit den Eigentumsrechten des Unternehmers. Aus juristischer Sicht ist eine Abwägung zwischen den unterschiedlichen Interessen vorzunehmen. Grundsatz: Jede im Betrieb installierte Videokamera muss unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes begründet sein und die Betroffenen müssen darüber in Kenntnis gesetzt sein. Auch gilt das Prinzip der Erforderlichkeit. Beispiel: Kann ein Diebstahl durch eine neue Sicherung am Gegenstand oder ein moderneres Schloss verhindert werden, ist eine Videoüberwachung nicht erforderlich und folglich unzulässig. Generell noch strenger hat die Beurteilung bei der Beobachtung von Mitarbeitern auszufallen.

Die UIMC weist deshalb ausdrücklich auf die engen Grenzen der Videoüberwachung am Arbeitsplatz hin und regt dringend eine genaue Überprüfung der im Einzelfall vorliegenden Rahmenbedingungen an. „Jeder Fall ist anders und verdient eine fundierte Überprüfung“, betont UIMC-Geschäftsführer Dr. Jörn Voßbein und empfiehlt, vor der Einrichtung einer Videoüberwachung eine Zulässigkeitsprüfung durch den Datenschutzbeauftragten vornehmen zu lassen. Ansonsten könne es zu bösen und kostspieligen Überraschungen vor den Arbeitsgerichten kommen; aber auch zu Image-Schäden.

Wichtig: Die Videoüberwachung im Sozial- oder Pausenraum ist grundsätzlich nicht zulässig, weil diese Räume einer überwiegend privaten Lebensgestaltung der Beschäftigten dienen sollen. Auch WC, Sanitär- oder Umkleideräume müssen frei von jeder Überwachung durch den Arbeitgeber sein. Der Schutz der Intimsphäre muss gewahrt sein.

Übrigens: Der FC Bayern München legte gegen das Urteil Einspruch ein und geht in die juristische Verlängerung. Bleibt aus sportlicher Sicht zu hoffen, dass die Videoanalysen von Startrainer Guardiola ein besseres Fundament haben als die Videoüberwachungen der Merchandisingabteilung.

Update: Am 25.02.2016 hat der FC Bayern in einer Berufungsverhandlung nun doch recht bekommen. Da sich in dem Raum nicht nur Tische und Stühle, sondern auch zwei Tresore und Ware für den Verkauf lagerten, hat das Gericht dieses Mal das Interesse des Vereins höher als die Persönlichkeitsrechte der Mitarbeiterin bewertet und das Filmen als zulässig erklärt.

„Dies zeigt, dass stets eine Einzelfallprüfung vorgenommen werden muss“, so Dr. Jörn Voßbein. Die UIMC hinterfragt aber die Entscheidung des Gerichts kritisch. „Unseres Erachtens ist die Vermengung von Sozialräumen und Lagerung ‚hochwertiger‘ Güter problematisch“, so Dr. Voßbein weiter. Auch sollte stets die Kameraeinstellung derart geprüft werden, ob ausschließlich die Tresore gefilmt werden können, ohne die Mitarbeiter bei der Mittagspause oder gar beim Umziehen zu filmen. Dies wäre datensparsamer und könnte beiden Interessenslagen Rechnung tragen.

(10.02.2016) Noch kein Schutz durch Privacy Shield - Keine Änderung für Unternehmen

Im vergangenen Jahr wurde im Rahmen eines vieldiskutierten EuGH-Urteils das sog. Safe-Harbor-Abkommen für ungültig erklärt. Dies stellte viele Unternehmen vor Probleme, da für den Datentransfer in die USA (beispielsweise an die Muttergesellschaft oder IT-Dienstleister) nun eine rechtlich legitimierende Voraussetzung nicht mehr gegeben war. Nun wurde bekannt gegeben, dass sich die EU-Kommission und die USA auf neue Regeln für den Datenaustausch geeinigt hätten. Das Privacy Shield soll Safe Harbor ersetzen. Doch eigentlich ändert sich aktuell für die betroffenen Unternehmen erst einmal noch nichts, so Dr. Heiko Haaz (UIMC).

Ein internationaler Datentransfer bedarf aus datenschutzrechtlicher Sicht einer besonderen Legitimation. § 4b BDSG bestimmt, dass eine Übermittlung personenbezogener Daten ins Ausland zu unterbleiben hat, soweit bei dem Empfänger ein angemessenes Datenschutzniveau nicht gewährleistet ist. Die USA weisen kein angemessenes Datenschutzniveau auf.

In der Vergangenheit gab es für hierfür drei Möglichkeiten der Legitimation: Abschluss von sog. Standard-Vertragsklauseln der EU-Kommission (Model Contract Clauses), Entwicklung von verbindlichen, zu genehmigende Unternehmensregelungen (Binding Corporate Rules, BCR) und das Safe Harbor, sofern sich das betroffenen US-Unternehmen dem verpflichtete. Aufgrund des EuGH-Urteils war ein Datentransfer auf Basis von Safe Harbor nicht mehr möglich, so dass EU-Kommission und die USA ein Nachfolge-Abkommen verhandelt haben.

Privacy Shield soll nun als Nachfolge-Abkommen Safe Harbor ersetzen. Ein schriftliches Dokument über diese Einigung gibt es aber noch nicht. Daher konnte die Regelung weder von den Aufsichtsbehörden geprüft noch kann Privacy Shield schon jetzt als legitimierende Grundlage für einen Datentransfer in die USA genutzt werden.  muss auch weiterhin wie in den letzten Monaten vorgegangen werden, indem die o. g. Alternativen für einen Datentransfer in die USA genutzt werden.

Generell ist davon auszugehen, dass auch dieses Instrument durch das EuGH geprüft werden wird, so dass Rechtssicherheit noch auf sich warten lassen wird.

(29.01.2016) Die UIMC kann beruhigen: Nicht jedes Unternehmen betrifft die Vorratsdatenspeicherung

Trotz scharfer Kritik wurde das „Gesetz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“ verabschiedet. Hierin ist auch die umstrittene Vorratsdatenspeicherung geregelt. Viele Unternehmen stellen sich nun die Frage, ob diese Regelung, welche im Dezember 2015 in Kraft getreten ist, auch sie betreffen. Die UIMC kann beruhigen.

Entsprechend der neuen Regelungen sind Verbindungsdaten zu speichern, die sich aus den Umständen der Telekommunikation ergeben. Der Inhalt der Kommunikation oder Daten über aufgerufene Internetseiten dürfen nicht gespeichert werden. Immer wieder für Unsicherheiten sorgt die Definition des Kreises der zur Speicherung Verpflichteten.

Gemäß Telekommunikationsgesetz (TKG) richten sich die Speicherpflichten an diejenigen, die öffentlich zugängliche Telekommunikationsdienste erbringen. Nicht in den Anwendungsbereich der Regelung fallen zum Beispiel Betreiber von Krankenhäusern, Hotels oder Gaststätten, die ihren Patienten oder Kunden eine Telefon- oder Internetnutzung lediglich vorübergehend zur Verfügung stellen. Auch wenn Unternehmen externen Besuchern oder Kunden ihre betrieblichen Kommunikationsmittel zur Verfügung stellen, dürfte es sich in der Regel um ein nur vorübergehendes Angebot handeln.

Darüber hinaus stellt sich für viele Arbeitgeber die Frage, ob sie zur Vorratsdatenspeicherung verpflichtet sind. Dies gilt insbesondere vor dem Hintergrund, dass sie durch eine Erlaubnis zur Privatnutzung betrieblicher Kommunikationsmittel (Telefon, Internet, E-Mail) ohne weiteres zum Diensteanbieter im Sinne des TKG werden. Zur Vorratsdatenspeicherung ist jedoch nur derjenige Diensteanbieter verpflichtet, der sog. „öffentlich zugängliche“ Telekommunikationsdienste erbringt.

Zwar gibt es keine gesetzliche Definition für den Begriff der „Öffentlichkeit“, doch ähnlich etwa dem Versammlungsrecht impliziert der Begriff das Vorhandensein eines unbestimmten Personenkreises (also jedermann). Ein solcher liegt bei der (dienstlichen oder privaten) Nutzung der Telekommunikationsdienste durch die Arbeitnehmer jedoch gerade nicht vor. Die Identität der Mitarbeiter ist dem Unternehmen bekannt; zudem setzt die Nutzung der Telekommunikationsdienste ein eigenständiges Rechtsverhältnis zwischen Arbeitgeber und Arbeitnehmer voraus. Insofern ist davon auszugehen, dass selbst bei erlaubter Privatnutzung von Telefon oder Internet für den Arbeitgeber aus diesem Gesichtspunkt heraus keine Verpflichtung zur Vorratsdatenspeicherung besteht. Analoges gilt für die o. g. Gastzugänge in Hotels, Krankenhäusern oder anderen Unternehmen.

In den aufgeführten Fällen ist ergänzend zu berücksichtigten, dass durch konkrete Sicherheitsvorkehrungen und Beschränkungen – sei es durch die Auswahl der Berechtigten, den Abschluss expliziter Benutzervereinbarungen etc. – ein Ausschluss der Öffentlichkeit sichergestellt werden muss. Sofern keinerlei Beschränkungen gegen die Nutzung durch Externe getroffen werden, droht ansonsten die Einstufung als „öffentlich zugänglicher Telekommunikationsdienst“. Zwar sollte bereits aus datenschutz-/haftungsrechtlichen Gründen (sog. „Störerhaftung“) eine Absicherung des Netzes bzw. eine Kontrolle der Zugangsberechtigungen erfolgen, spätestens vor dem Hintergrund einer drohenden Verpflichtung zur Vorratsdatenspeicherung dürfte jedoch nun ein entsprechender Anreiz für die Umsetzung der erforderlichen Maßnahmen bestehen.

(21.12.2015) Neue EU-Datenschutz-Grundverordnung: Herausforderungen, aber auch Chancen für Unternehmen

Innerhalb des Trilogs – bestehend aus Parlament, Kommission und Ministerrat – hat sich die EU nun nach jahrelangem Ringen auf eine Datenschutzreform geeinigt; eine formale Verabschiedung gilt nur noch als Formsache. Die neuen Regeln sollen die Richtlinie aus dem Jahre von 1995 ablösen und stellen eine Herausforderung für Unternehmen dar. Dies muss Unternehmen aber nicht in Unruhe versetzen, wie die UIMC findet.

Die EU will durch ihre neue Datenschutz-Grundverordnung – die in allen EU-Staaten gleichermaßen auch für außereuropäische Unternehmen gelten, wenn sie Services innerhalb der EU anbieten – den digitalen Herausforderungen und der Internationalität der Datenverarbeitung entsprechend Rechnung tragen. Der Flickenteppich mit verschiedenen länderspezifischen Vorschriften soll damit der Vergangenheit angehören, da die Grundverordnung nicht in nationales Recht umgesetzt werden muss, wobei es aber weiterhin nationale „Öffnungsklauseln“ geben soll (wie beispielsweise bei der Frage bzgl. der Bestellpflicht eines Datenschutzbeauftragten). Die Reform beinhaltet u. a. folgende Aspekte:

  • Stärke Berücksichtigung von Risiken    
    (Angemessenheit von Maßnahmen und Vorschriften sollen sich verstärkt an Risiken orientieren);
  • One-Stop-Shop    
    (Verhandlung nur mit einer Datenschutzkontrollbehörde auch bei länderübergreifenden Fragestellungen);
  • Berücksichtigung von KMU-Anforderungen
    (Ausnahmeregelungen bei Meldung, Bestellungspflichten oder Vorabkontrollen bzw. Risikofolgeabschätzungen);
  • Erhöhung der Umsetzungstreue durch hohe Maximalstrafen, die sich am weltweiten Umsatz orientieren sollen („Nicht-Datenschutz“ soll nicht mehr dahingehend belohnt werden, dass die Strafen geringer als die internen Aufwände für Datenschutzaktivitäten sind).

Die neue Datenschutz-Verordnung wird viele Unternehmen vor Herausforderungen stellen, wie es bei Gesetzesänderungen grundsätzlich der Fall ist. Die Prozesse müssen durchleuchtet werden und Änderungen aufgrund der Reform umgesetzt werden. „Hier bedarf es eines professionellen Change-Managements, um eine möglichst pragmatische und effiziente Umsetzung der Reform sicherzustellen“, wie Dr. Heiko Haaz feststellt, Partner der UIMC und vielfach bestellter Datenschutzbeauftragter. „Diese Herausforderungen brauchen aber nicht als beängstigend angesehen zu werden; schließlich sind gerade deutsche und österreichische Unternehmen – zumindest die uns näher bekannt sind – durch das bestehende hohe Datenschutzniveau bereits gut vorbereitet.“ Auch ist aufgrund der Übergangsfrist bis Anfang 2018 genügend Zeit.

Die Datenschutzreform bietet aber auch Chancen. Durch die Grundverordnung gelten künftig in allen EU-Staaten die gleichen Datenschutz-Anforderungen. Auch wenn die in der Öffentlichkeit viel genannten Internet-Konzerne wie Facebook und Google vermutlich unter den Neuregelungen leiden werden, gilt für viele Unternehmensverbünde und -konzerne, dass sie nicht mehr in jedem europäischen Land separate Prüfungen durchführen müssen. „Dies wird sicherlich zu Vereinfachungen in vielen Unternehmen führen.“, so UIMC-Geschäftsführer Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter in international operierenden Unternehmen.

Nach der politischen Einigung im Trilog wird die Grundverordnung aller Voraussicht offiziell vom Europäischen Parlament und Rat Anfang 2016 verabschiedet. Während der zweijährigen Übergangsphase wird die UIMC die Unternehmen über die neuen Anforderungen informieren und bei der Umsetzung im Rahmen des speziell hierfür entwickelten UIMChange-Programms tatkräftig unterstützen.

(01.12.2015) Cookies auf der Internetpräsenz – Einwilligung erforderlich?

Kaum ein Seitenbetreiber setzt keine Cookies mehr ein. Mittels verschiedener Tools können so Nutzeraktivitäten zur „Verbesserung des Internetauftritts und der einfachen Bedienbarkeit“ ausgewertet werden. In der jüngeren Vergangenheit sollen die Besucher auf zunehmend mehr Internetseiten bestätigen, ob ein solcher Cookie auf dem Gerät abgelegt werden darf. Ein oft an die UIMC gestellte Frage ist jedoch: Ist dies zwingend erforderlich?

Cookies sind Textdateien, die auf dem Computer gespeichert werden und eine Analyse der Benutzung der Internetpräsenz ermöglichen. Da hierdurch eine Verarbeitung personenbezogener Daten ermöglicht wird, hat das Europäische Parlament die sogenannte „Cookie-Richtlinie“ verabschiedet. Die E-Privacy-Richtlinie 2009/136/EG ist in den EU-Staaten aufgrund der einzelstaatlichen Rechtslage unterschiedlich geregelt.

Viele Internetseiten-Betreiber, auch in Deutschland und Österreich, holen sich aktuell die Zustimmung des Besuchers ein. Dies ist nach deutschem Recht nicht zwingend erforderlich. Vielmehr wird mehrheitlich die Rechtsauffassung vertreten, dass durch die Browser-Einstellung („Cookies zulassen“) bereits eine Zustimmung des Betroffenen angenommen werden kann.

Beim Einsatz von Tracking-Diensten sollte grundsätzlich zumindest ein Opt-Out in der Datenschutzerklärung angeboten werden. Solche Funktionen bieten beispielsweise PIWIK oder etracker, aber auch Google Analytics an. Eine Information über die Cookies sollte aber auf jeden Fall in der Datenschutzerklärung gegeben werden.
In Österreich ist die Rechtslage ungewisser: Gemäß den erläuternden Bemerkungen zu § 96 III TKG gilt zwar das Gleiche wie in Deutschland, jedoch sollte der Nutzer früh (also an prominenter Stelle auf der Website) über die Speicherung informiert werden. Ferner gibt es auch die Rechtsauffassung, dass dies nicht ausreichend ist und vielmehr eine aktive Zustimmung erforderlich ist. Wenngleich noch keine Rechtsprechung hierzu vorliegt, sollte zumindest dann die sog. Pop-Up- oder Click-Through-Vereinbarung („Opt-In“) gewählt werden, wenn über die Basis-Funktionen hinaus Daten mittels Cookies verarbeitet werden.

In allen anderen Ländern des EU-Raumes ist eine jeweilige Zustimmung erforderlich, die je nach einzelstaatlicher Auffassung in einem unterschiedlich geregelten Opt-In realisiert werden muss. In der Regel ist das einzelstaatliche Recht der verantwortlichen Stelle, die im Impressum aufgeführt ist, anzuwenden. Die Haftung deutscher und österreichischer Unternehmen nach ausländischen Rechtsordnungen wird dennoch unterschiedlich beurteilt und bleibt eine Frage des Einzelfalls. Es kommt stets darauf an, ob das Unternehmen

  • eine Niederlassung in dem jeweiligen Land hat oder
  • mit einer eigenen Webseite gezielt Besucher in anderen Ländern ansprechen möchte (hierfür reicht es z. T. schon aus, die Internetseite in der entsprechenden Sprache anzubieten).

In diesem Falle müsste sich der Seitenbetreiber dem Recht des entsprechenden Landes unterwerfen. So ist die „deutsche Lösung“ (Information über die Cookies und Hinweis auf Browsereinstellung in der Datenschutzerklärung) nicht immer ausreichend:

  • Spanien: Einwilligung durch den Nutzer
  • Frankreich: Einwilligung durch den Nutzer, jedoch mit Ausnahmen z. B. für den virtuellen Einkaufskorb oder Cookies, die die gewünschte Sicherheit ermöglichen oder die die Sprache des Nutzers registrieren
  • Italien: Vereinfachtes Verfahren für die freie und informierte Zustimmung
  • Schweden: Einwilligungserklärung für solche Cookies nötig, die für andere Zwecke genutzt werden als den Abgleich von Einstellungen auf einer Seite oder den erneuten Aufruf vorangegangener beziehungsweise ähnlicher Anfragen des Nutzers

Daher ist zu empfehlen, dass jene Unternehmen mit einer fremdsprachigen Darstellung stets prüfen, ob auch anderes Recht anzuwenden ist. Im Übrigen ist dies nicht nur im Hinblick auf Cookies oder den Datenschutz empfehlenswert.

(20.08.2015) Ob Bundestag oder Wirtschaftsunternehmen – Reicht ein Update der IT-Sicherheitstechnik aus?

Aktuell wird das IT-System des Bundestags komplett neu aufgesetzt, um nach dem Hackerangriff die Sicherheitstechnik zu aktualisieren. Hierdurch soll der Stand der Sicherheit maßgeblich verbessert werden. Dr. Jörn Voßbein, mehrfach bestellter IT-Sicherheitsbeauftragter, weist aber darauf hin, dass dies nur ein Baustein zur Verbesserung der Sicherheit ist; vielmehr muss auch der Benutzer in die Überlegungen und Maßnahmen viel stärker einbezogen werden.

Nicht erst seit den Enthüllungen rund um die NSA oder dem Angriff auf das Netzwerk des Bundestages ist vielen (nicht nur großen) Unternehmen bewusst, dass sie sich um die Sicherheit der IT-Systeme und ihrer vertraulichen Daten kümmern müssen. Hierzu werden den IT-Abteilungen entsprechende Budgets für die Anschaffung und den Betrieb von Sicherheitssystemen zur Verfügung gestellt.

Doch wenn über IT-Sicherheit, Informationssicherheit oder auch über Datenschutz gesprochen wird, liegt der Hauptaugenmerk oftmals auf den Aktivitäten der IT-Abteilung. Es werden Firewalls, Virenscanner, Intrusion Detection Systeme oder Verschlüsselungsprogramme angeschafft und eingesetzt, so dass die IT-Systeme dadurch „gehärtet“ werden. Dass es trotzdem immer wieder zu Virenbefall, Spionagefällen oder anderen Vorfällen kommt, ist aber insbesondere auch in einem Faktor begründet: dem Menschen bzw. dem User.

Trotz der technischen Aufrüstung müssen immer wieder Sicherheitsvorfälle registriert werden, wodurch z. T. hochvertrauliche Informationen nach Außen dringen, Systeme „lahmgelegt“ oder Compliance-/Datenschutz-Probleme bekannt werden. Vertrauensverlust, Vertraulichkeitsverlust bei Betriebsgeheimnissen wie Produktionsverfahren oder Preiskalkulationen oder die Nicht-Verfügbarkeit von Systemen oder Daten: Durch solche Vorfälle ist die Wettbewerbsfähigkeit des Unternehmens gefährdet.

Doch woran liegt dies, wo doch soviel in die Sicherheit investiert wird? Grund hierfür sind nicht ausschließlich Hacker. So zeigen diverse Sicherheitsstudien, dass über zwei Drittel der Sicherheitsvorfälle im Unternehmen durch die eigenen Mitarbeiter verschuldet werden. Dabei handelt es sich oftmals nicht um bewusste oder mutwillige Verstöße. Vielmehr sind sie vielmehr die Konsequenz aus Unwissenheit oder fehlender Sensibilität der Mitarbeiter.

Die Erfahrungen der UIMC zeigen dabei, dass viele Mitarbeiter die Sicherheitsmaßnahmen umgehen, entweder weil sie sie nicht verstehen, den Sinn nicht erkennen oder von ihnen gar nicht erst wissen. Auch wiegen sich viele Mitarbeiter aufgrund der ausgefeilten Sicherheitstechnik in „falscher“ Sicherheit, schließlich „kümmert sich ja eine ganze Abteilung um die IT-Sicherheit“. Soziale Netzwerke, private Smartphones oder Cloud-Speicher-Dienste reißen indes weitere Löcher in die Sicherheitsarchitektur.

Doch sollte hierbei der User nicht als Täter oder „Feindbild“ gesehen werden. Vielmehr sollte man ihn als Teil der Sicherheitsarchitektur sehen und auch diesen Bereich – analog zu den technischen Sicherheitsmaßnahmen – „härten“.

Beginnen sollte man nach einer kurzen Risikoanalyse zunächst mit verbindlichen Regelungen, um Transparenz und einen Rahmen zu schaffen, in dem sich die Mitarbeiter sicher bewegen können. Danach sollten praxisorientierte Schulungen und Sensibilisierungsmaßnahmen gestartet werden. So muss der Mitarbeiter nicht nur auf die Richtlinien verpflichtet, sondern auch über die Gefahren informiert und auf die Notwendigkeit der Maßnahmen hingewiesen werden. Denkbar sind persönliche Schulungen, E-Learning-Plattformen und/oder Informationsmaterialien wie interne Newsletter, Blogs oder Flyer. Solche Maßnahmen sollten aber nicht als einmaliges Projekt, sondern vielmehr als ein kontinuierlicher Prozess verstanden werden, in dem laufend auch aktuelle Themen aufgegriffen werden.

(29.05.2015) Entsendung von Mitarbeitern ins Ausland: Und was sagt der Datenschutzbeauftragte?

Ob innerhalb eines Konzerns oder an Kunden: Mitarbeiter werden an andere Unternehmen „ausgeliehen“. Im Rahmen einer solchen Mitarbeiterentsendung werden an das entleihende Unternehmen entsprechende personenbezogene Daten übermittelt. Wenn der Einsatzort außerhalb der EU liegt, sind oftmals auch Einreise-Modalitäten – wie Visum, Arbeitserlaubnis etc. – zu erledigen. Auch hierzu werden wiederum Informationen an Unternehmen oder Behörden weitergeleitet. Eine solche Datenübermittlung ist datenschutzrechtlich durch den Datenschutzbeauftragten zu begleiten. Andernfalls drohen Bußgelder oder Beschwerden durch die Mitarbeiter.

„Als Datenschutzbeauftragte erhalten wir zunehmend Fragen aus dem Bereich der Mitarbeiterentsendung,“ weiß Dr. Heiko Haaz, mehrfach bestellter Datenschutzbeauftragter und Partner der UIMC, zu berichten. Im Rahmen dieser Entsendungen werden diverse, z. T. auch sehr sensible Daten an Unternehmen bzw. Behörden übermittelt. „Um eine gesetzeskonforme Weitergabe von Daten der Mitarbeiter zu gewährleisten, ist es wichtig, dass der Datenschutzbeauftragte rechtzeitig eingebunden wird. Erfahrungsgemäß erhöht dies auch die Akzeptanz bei Mitarbeitern und Betriebsrat“, so Dr. Haaz weiter.

Neben zahlreichen bereichsspezifischen Vorschriften rechtfertigt vor allem der datenschutzrechtliche Grundtatbestand des § 32 BDSG die Übermittlung von Mitarbeiterdaten. Hiernach ist die Zulässigkeit der Übermittlung an die Zweckbestimmung des Arbeitsverhältnisses geknüpft. Soweit die Datenübermittlung für die Durchführung des Arbeitsverhältnisses erforderlich ist, kann dies zur Rechtfertigung der Datenweitergabe herangezogen werden.
Dies dürfte insbesondere dann der Fall sein, wenn im Arbeitsvertrag die Entsendemöglichkeit bereits ausdrücklich vorgesehen ist oder bei sehr kurzen Entsendungen (Dienstreisecharakter). In beiden Fällen kann angenommen werden, dass die Entsendung zum Gegenstand des Arbeitsverhältnisses gemacht wurde. Der für die entsprechende Personalentscheidung erforderliche Datenfluss dient dann der Zweckbestimmung des Arbeitsverhältnisses.

Nichtsdestotrotz sollten die Mitarbeiter hierüber informiert werden.
Zu beachten ist jedoch, dass die Datenübermittlung auf die für die Zweckerreichung zwingend erforderlichen Daten beschränkt wird (Erforderlichkeit oder Need-to-Know-Prinzip). Insofern dürfen nur diejenigen Angaben übermittelt werden, die für die Ermöglichung der Entsendung unerlässlich sind. Der Umfang der Datenübermittlung kann durchaus variieren, so dass unter Umständen eine Einzelfallprüfung geboten ist.

Ferner ist ein angemessenes Datenschutzniveau beim Datenempfänger sicherzustellen, was bei Datenempfängern mit einem Sitz in einem Mitgliedstaat der Europäischen Union (EU) automatisch vorliegt.

Aber auch bei einem Firmensitz außerhalb der EU gestattet das Bundesdatenschutzgesetz eine Datenübermittlung auch ohne die ansonsten erforderlichen Maßnahmen wie Safe-Harbor-Zertifikat, Abschluss von sog. EU-Standardvertragsklauseln oder Einführung konzernweit gültiger Regelungen (Binding Corporate Rules): Sofern eine rechtsgültige Einwilligung des Betroffenen vorliegt oder die Übermittlungen im Rahmen eines Vertrages erforderlich sind, der durch den Betroffenen selbst oder durch einen Dritten in seinem Interesse geschlossen wurde, ist die Datenübermittlung im Zusammenhang mit Auslandseinsätzen von Mitarbeitern zulässig.

Demnach ist eine Datenübermittlung zur Vorbereitung und Durchführung einer Mitarbeiterentsendung datenschutzrechtlich möglich. Hierzu dürfen entsprechend dem Grundsatz der Erforderlichkeit aber nur diejenigen Daten weitergegeben werden, die hierzu zwingend erforderlich sind. Voraussetzung ist zudem, dass die Entsendung vertraglich vorgesehen ist. Für die Beurteilung im Einzelfall sollte auf jeden Fall der Datenschutzbeauftragte frühzeitig involviert werden.

(20.04.2015) Verschuldensunabhängige Haftung beim Mindestlohn führt zu Datenschutzproblemen

In kaum einem Unternehmen werden heutzutage keine externen Leistungen eingekauft. Dies hat meist Kapazitäts-, Kompetenz- oder auch Kostengründe. Doch auch hierbei gelten die Bestimmungen des Mindestlohngesetzes, egal ob IT-Support, Reinigungsdienstleistungen, Beratung oder im Rahmen der Logistik und Auslagerung von Produktionsschritten. Für die Einhaltung auch beim Auftragnehmer haften die Auftraggeber dieser Dienstleistung (verschuldensunabhängig). Dies führte in der jüngeren Vergangenheit zu umfangreichen Abfragen bei den Auftragnehmern, welche teilweise weder erforderlich noch rechtlich angemessen sind. Doch dies geht auch datenschutzkonform, so Dr. Jörn Voßbein.

Für einen Auftraggeber, welcher einen Auftragnehmer mit der Erbringung von Werk- oder Dienstleistungen beauftragt, gilt nach § 14 Satz 1 AEntG (Arbeitnehmerentsendegesetz) auch § 13 MiLoG (Mindestlohngesetz), so dass er dafür haftet, wenn die von ihm beauftragten Unternehmen sowie die von diesen beauftragten Subunternehmen ihren Beschäftigten den gesetzlichen Mindestlohn nicht zahlen sollten (verschuldensunabhängige Haftung des Auftraggebers).

In der jüngeren Vergangenheit, was sicher auch den unpräzisen gesetzlichen Vorgaben geschuldet ist, führte dies – so Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter – dazu, dass verschiedene Auftraggeber von ihren Dienstleistern umfangreiche Daten angefordert haben. So wurden Personalunterlagen wie Arbeitsverträge, Lohnnachweise und weitere umfassende Informationen verlangt.

Eine Übermittlung von personenbezogenen Daten ist gemäß § 4 BDSG dann zulässig soweit eine Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Einwilligung, die freiwillig gegeben werden muss, scheidet in diesem Falle aus. Daher wurden vielfach als „Rechtsvorschrift“ pauschal die Regelungen des AEntG und MiLoG angeführt. Doch beide Gesetze geben keine ausreichende rechtliche Basis für eine legale Datenübermittlung, so auch die Datenschutz-Aufsichtsbehörden.

Eine solch umfangreiche und pauschale Abfrage von Daten ist nicht zu rechtfertigen. So sind beispielsweise Angaben zum Familienstand, zur Schwerbehinderteneigenschaft, zum Geburtsdatum oder zur Privatanschrift des Beschäftigten weder geeignet noch erforderlich, um die Haftungssituation des Auftraggebers zu verbessern. Die verschuldensunabhängige Haftung des Auftraggebers kann ohnehin nicht vollkommen ausgeschlossen werden, unabhängig wie sorgfältig die Auswahl und die Überwachung der Nachunternehmer vorgenommen werden.

Vielmehr sollte zum Schutz der Beschäftigten – und letztlich auch des Auftragnehmers, der unberechtigt personenbezogene Daten übermitteln soll – zunächst datensparsam agiert werden. So sind zunächst andere Möglichkeiten zu nutzen, wie z. B. eine Erklärung des Auftragnehmers, die Vereinbarung von Vertragsstrafen und/oder die Einforderung anonymisierter Aufzeichnungen über die gezahlten Löhne an die für den Auftraggeber tätigen Beschäftigten. Auch weiterführende vertragliche Vereinbarungen über Haftungsausschlüsse, Zustimmungspflicht bei der Beauftragung von Subunternehmen, Bankbürgschaften usw. sind der ausufernden Datenabfrage vorzuziehen. Erst bei entsprechenden Verdachtsmomenten, dass der Auftragnehmer oder die Subunternehmen die Vorgaben des MiLoG nicht einhalten, sollten in Abstimmung des betrieblichen Datenschutzbeauftragten andere Vorgehensweisen geprüft werden.

(12.03.2015) Datenschutzbeauftragter kann Schadensersatzansprüche verhindern

Der Umfang der Videoüberwachung im Rahmen der Arbeit nimmt immer stärker zu. Neben der Motivation der Verfolgung von Diebstählen und Vandalismus, der Abschreckung, der Überführung von Straftaten, der Überwachung von Gefahrenschwerpunkten oder aufgrund von behördlichen Auflagen liegen verschiedene Zweckbestimmungen vor. Doch oftmals wird hierbei der Datenschutz nicht beachtet, was neben Bußgeldern und Imageschäden zunehmend auch zu (erfolgreichen) Schmerzensgeldverfahren führt, wie ein aktuelles Urteil des Bundesarbeitsgerichts zeigt. Die gewissenhafte Betrachtung der rechtlichen Anforderungen durch den Datenschutzbeauftragten kann dies verhindern.

In der täglichen Praxis erlebt Dr. Heiko Haaz, mehrfach bestellter Datenschutzbeauftragter, dass immer mehr Unternehmen zum Mittel der Videoüberwachung greifen. Neben den durchaus üblichen Zielsetzungen der Einbruchsbekämpfung (Überführung und Abschreckung) werden aber zunehmend Tendenzen offenkundig, die Videoüberwachung auf Arbeitsbereiche der Mitarbeiter auszuweiten. Gerade bei solchen Projekten ist der Datenschutzbeauftragte frühzeitig einzubinden, um den Persönlichkeitsrechten ausreichend Rechnung zu tragen. Andernfalls drohen nicht nur Verfahren durch die Aufsichtsbehörden, sondern auch, und das zeigt die aktuelle Rechtsprechung, entsprechend Schadensersatzforderungen.

So hat das Bundesarbeitsgericht jüngst entschieden – wie auch andere Gerichte schon –, dass eine dauerhafte und verdachtsunabhängige Videoüberwachung am Arbeitsplatz unverhältnismäßig und damit unzulässig ist. Die Schadensersatzforderungen können hierbei durchaus nennenswerte Beträge erreichen [z. B. 25.000 Euro; ArbG Iserlohn, Urteil vom 04.06.2008 – 3 Ca 2636/07). Auch ein etwaiger Imageschaden bei Kunden, Belegschaft und Betriebsrat ist sicherlich nicht zu vernachlässigen.

Zur Aufdeckung von Straftaten kann eine (verdeckte) Videoüberwachung nur dann eingesetzt werden, wenn „zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen“, dass eine Straftat begangen wurde. Dabei muss die Videoüberwachung „zur Aufdeckung erforderlich“ und nicht unverhältnismäßig sein. So sprach Dr. Haaz in einem konkreten Fall, bei dem es um rechtsradikale Schmierereien in Werkshallen ging, beispielsweise folgende Empfehlung aus:

  • Ausführliche Dokumentation des Anfangsverdachts;
  • Zeitlich beschränkte Nutzung der Videoüberwachung (ca. ein Monat);
  • Unverzügliche Löschung, sobald Aufzeichnungen nicht mehr erforderlich sind (z. B. werktäglich);
  • Sehr restriktive Zugriffsrechte (z. B. durch geteiltes Passwort geschützt);
  • Ausschließlich zweckgebundene Zugriffe.

Ohne entsprechende Regelungen und Verfahren hätten die Videoaufzeichnungen ggf. später bei einem Gerichtsverfahren nicht verwendet werden können und der bzw. die Betroffenen hätten das Unternehmen auf Schadensersatz verklagen können. Es konnte demnach durch die Einbindung des Datenschutzbeauftragten u. U. Schaden vom Unternehmen oder gar vom Geschäftsführer persönlich abgewendet werden. Dies zeigt die Bedeutung des Datenschutzes in vielen Bereichen des Unternehmens.

(09.02.2015) Wie aus dem „Like“-Button ein rechtliches „Dislike“ werden kann

Sobald auf der eigenen Internetpräsenz externe Verlinkungen eingefügt werden (also Links auf Internetpräsenzen anderer Unternehmen), so ist diese „Weitervermittlung“ gemäß § 13 Absatz 5 Telemediengesetz (TMG) entsprechend kenntlich zu machen. Diese Vorgaben werden zunehmend von Seitenbetreibern berücksichtigt; jedoch wird oft vergessen, sind eingebettete Inhalte wie beispielsweise der Facebook „Like“-Button oder die Anfahrtsbeschreibung mittels GoogleMaps, so die Erfahrung des Datenschutzfachberaters UIMC, Wuppertal.

Zur Kenntlichmachung der „Weitervermittlung zu einem anderen Diensteanbieter“ existieren verschiedene Rechtsauffassungen (hier in der Reihenfolge ihrer Rechtssicherheit), welche bei der Einbindung von Links einfach umgesetzt werden können.

  1. Externe Links werden ausschließlich innerhalb einer separaten Rubrik „Links“ inkl. Haftungsausschluss angeboten. Die Zielseite wird in einem separaten Fenster geöffnet.
  2. Externe Links werden explizit durch Nennung des Worts „extern“ gekennzeichnet. Die Zielseite wird in einem separaten Fenster geöffnet. Alternativ zur Nennung des Worts „extern“ kann ein entsprechendes Logo/Icon genutzt werden.
  3. Die externe Zielseite wird durch Nennung der URL und/oder des vollständigen Namens des anderen Diensteanbieters über eine sog. „Redirect“-Seite in einem separaten Fenster kenntlich gemacht.
  4. Externe Links werden durch Nennung der URL und/oder des Namens des anderen Diensteanbieters bei gleichzeitigem Öffnen der Zielseite in einem separaten Fenster kenntlich gemacht.

„Dies wird erfahrungsgemäß zunehmend umgesetzt“, so Dr. Jörn Voßbein (Geschäftsführer der UIMC, Wuppertal, und mehrfach bestellter Datenschutzbeauftragter). „Teilweise wird aber die rechtliche Erfordernis vergessen, dass diese Anforderung bei Verlinkungen verschiedener Internetpräsenzen von (rechtlich selbstständigen) Konzerngesellschaften ebenfalls betrachtet werden muss.“

Auf vielen Internetpräsenzen sind aber zudem auch sog. „Social Plugins“ eingefügt, mit deren Hilfe der Besucher die Möglichkeit erhält, die Inhalte mit anderen Nutzern in sozialen Netzwerken zu teilen (beispielsweise Facebook oder Twitter). Auch wenn dies oftmals so dargestellt wird, so handelt es sich hierbei nicht um einen Button, sondern quasi um einen kleinen Ausschnitt aus der entsprechenden Internetseite (z. B. Facebook). Ähnlich ist dies auch bei der Anfahrtsbeschreibung/Routenplanung mittels Google Maps.

Die Social Plugins übertragen die User-Daten bei jedem Seitenaufruf an Facebook & Co. und geben den sozialen Netzwerken genaue Auskunft über das Surfverhalten der Nutzer (User Tracking). Dies stellt letztlich auch eine Weitervermittlung zu einem anderen Diensteanbieter dar. Das diesbezügliche Vorgehen wurde durch die Aufsichtsbehörden durchweg kritisiert, weil bereits beim Laden der Social Plugins persönliche Daten wie die IP-Adresse oder lokal abgelegte Cookies an die sozialen Dienste gesendet werden – unabhängig selbst von einem Konto bei Facebook, Twitter etc.

Abhilfe kann hierbei die Nutzung der sog. „Zwei-Klick-Lösung“ oder des „Shariff“-Buttons bieten. Hierbei findet erst bei aktivem Eingreifen und dadurch Zustimmung des Besuchers der Datentransfer statt. Dies sollte auch innerhalb der Datenschutzerklärung dargestellt werden. Bei der Nutzung von Google Maps ist ein rechtssicherer praktikabler Weg eine entsprechende Unterseite bzw. interne Verlinkung, bei dem der Besucher entsprechend informiert wird: „Anreise und Routenplanung mit Google Maps“.

(15.01.2015) Plötzlich im Konzern: Was tun mit Kundendaten, wenn die Geschäftsbereiche zusammengelegt werden?

Zunehmend werden auch mittelständische Unternehmen Teil eines Konzerns oder eines Unternehmensverbunds. Ziel der Zukäufe bzw. der Zusammenschlüsse sind oftmals Synergien, sei es in den sog. „Shared Services“ (wie z. B. Personalabrechnung, IT-Abteilung oder Hotline) oder in den Geschäftsbereichen. Hierbei werden dann zum Teil Produktbereiche zusammengefasst, was zur Folge hat, dass Kundendaten in eine andere Gesellschaft überführt werden müssen. Dr. Jörn Voßbein, vielfach bestellter betrieblicher Datenschutzbeauftragter, weist darauf hin, dass diese Datenübermittlung datenschutzrechtlich zu prüfen ist.

Wenn ein anderes Konzernunternehmen einen gesamten Geschäftsbereich übernimmt, liegt eine eigenverantwortliche Übernahme auch der zugrunde liegenden Funktionen mit der Folge einer Datenübermittlung vor. Bekanntermaßen kennt das Datenschutzrecht kein Konzernprivileg. Somit ist eine Datenweitergabe an ein anderes Konzernunternehmen genauso wie an einen beliebigen Dritten zu bewerten. Erforderlich ist – anders als bei den Shared Services, die oftmals als Auftragsdatenverarbeitung gelten – insbesondere das Vorliegen einer entsprechenden Rechtsgrundlage. Teilweise wird versucht, die Einwilligung der Betroffenen im Rahmen des Vertragsabschlusses bzw. der Vertragsabwicklung einzuholen. Dies ist jedoch oftmals weder möglich noch opportun. Gemäß § 28 Absatz 1 Satz 1 Nr. 2 BDSG ist die Übermittlung personenbezogener Daten auch zulässig, soweit sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt. Die zweckgebundene Datenübermittlung muss zur Wahrung der berechtigten Interessen nicht nur dienlich, sondern erforderlich sein. Die Erforderlichkeit ist nicht gegeben, wenn die Interessen auch ohne Kenntnis der Daten gewahrt werden können. Die Übermittlung steht aber unter dem Vorbehalt einer Abwägung mit den Betroffeneninteressen. Die Grenze liegt dort, wo die Betroffenen mit Rücksicht auf die Daten, dem Zweck und der Intensität der Verarbeitung Folgen ausgesetzt sind, die nicht mehr akzeptabel sind. Sofern beispielsweise allein berufliche Kontaktdaten von Ansprechpartnern bei Geschäftskunden berührt werden (B2B), ist eine Risikoerhöhung zum Nachteil des Betroffenen etwa in Form einer Zweckentfremdung nicht gegeben. Eine Information des Betroffenen ist in dem Fall zwar nicht rechtlich verpflichtend, aber durchaus zu empfehlen. Das abgebende Unternehmen muss den Empfänger auf die Zweckbindung hinweisen; empfehlenswert ist auch eine Verpflichtung auf den Datenschutz. Ein Sonderproblem stellt sich im Fall des Newsletterversands dar, wenn dieser auf Grundlage einer Einwilligung der Betroffenen erfolgt. Die erforderliche Einwilligung ist eine einseitige, empfangsbedürftige Willenserklärung und muss daher gerade gegenüber dem Werbenden erklärt werden. Die Einwilligung der Betroffenen impliziert insofern nicht die Einwilligung, auch vom Empfänger der Daten im Wege des Newsletterversands kontaktiert zu werden. Wenn und soweit der Werbende wechselt, sollten demzufolge von den Empfängern neue Einwilligungen eingeholt werden, was das bisherige Unternehmen initiieren sollte, der den Betroffenen ja (noch) kontaktieren darf.

(02.12.2014) Weihnachtsbriefe können verpackte Datenschutzprobleme sein

Alle Jahre wieder nutzen Unternehmen die Möglichkeit, Ihren Kunden zu Weihnachten eine kleine Aufmerksamkeit zukommen zu lassen. Hierbei werden einige Grußworte an die Geschäftspartner gerichtet. Dies geschieht natürlich mit dem Ziel, das eigene Unternehmen positiv zu positionieren. Hieraus kann abgeleitet werden, dass es sich auch hierbei um eine werbliche Maßnahme handeln kann, so dass entsprechende datenschutzrechtliche Vorgaben – zumindest teilweise – auch bei weihnachtlichen Grüßen beachtet werden müssen.

Gerade in der Vorweihnachtszeit werden in zunehmendem Maße Werbeschreiben (auch per E-Mail) an Geschäftspartner versandt, wobei in der Regel auf bestehende Kontakte zurückgegriffen wird. Hierbei müssen verschiedene rechtliche Anforderungen berücksichtigt werden. So wurden die Daten in der Regel beim Betroffenen selbst erhoben (z. B. durch Austausch von Visitenkarten, Eintrag in Kontaktformular auf der Internetpräsenz), wobei sie oftmals zur vertraglichen oder vorvertraglichen Abwicklung mitgeteilt werden. Bei einer werblichen Nutzung liegt demnach oftmals eine Zweckänderung vor, so dass es gemäß dem datenschutzrechtlichen Prinzip der Zweckbindung einer weiteren Rechtsgrundlage bedarf. Da der Begriff der werblichen Ansprache auch nach entsprechender Rechtsprechung recht weit gefasst wird, können - je nach Gestaltung - auch die Weihnachtsgrüße als solche eingestuft werden. Dies kann z. B. gelten für Weihnachtsmails mit einem „Rückblick auf das erfolgreiche abgelaufene Jahr“.

Die werbliche Nutzung von personenbezogenen Daten ist auch gemäß Bundesdatenschutzgesetz dann zulässig, wenn sie unter Berücksichtigung des sog. „Listenprivilegs“ für die Verarbeitung oder Nutzung „[…] für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift“ erforderlich ist (§ 28 Absatz 3 Satz 2 Nr. 2 BDSG). So bestehen relativ umfassende Möglichkeiten, Geschäftspartner werblich zu kontaktieren, was auch für die postalische Weihnachtsbriefe an Geschäftspartner gilt.

Sofern die Weihnachtsgrüße per E-Mail versandt werden, ist das Gesetz gegen den unlauteren Wettbewerb (UWG) anzuwenden. Hierbei ist in aller Regel eine explizite Einwilligung des Empfängers erforderlich. Andernfalls ist der potenzielle Empfänger schon bei Erhebung seiner Daten (beispielsweise im Rahmen eines Internet-Kontaktformulars) darüber zu informieren, dass ihm werbliche Schreiben zugehen können und dem widersprochen werden kann.
In Zusammenhang der elektronischen Einwilligung hat die Rechtsprechung gezeigt, dass das werbende Unternehmen die Beweislast und das Risiko trägt, die rechtliche Auseinandersetzung um die Rechtmäßigkeit der E-Mailwerbung zu verlieren, wenn ihm der Nachweis einer zuvor erteilten Einwilligung nicht möglich ist. Daraus ergibt sich, dass das sog. Double-Opt-In als technisches Verfahren empfehlenswert – wenn auch nicht zwingend erforderlich – ist.

Diese rechtlichen Fragestellungen sollten Unternehmen jedoch nicht davon abhalten, Weihnachtsgrüße zu versenden, schließlich kann das Klagepotenzial bei einem reinen Weihnachtsgruß ohnehin als gering eingestuft werden. Jedoch ist es empfehlenswert, dass der Datenschutzbeauftragte grundsätzlich bei Mailing-Aktionen involviert wird, sofern nicht ohnehin schon verbindliche Regelungen – beispielsweise im Rahmen eines Datenschutzhandbuchs – im Hause etabliert wurden.

(31.10.2014) Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung

Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.

Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.

Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei „ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“. Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.

Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.

Andere Unternehmen greifen auf „Profis“ zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte „Autorität“ als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.

Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu „ertragen“ und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.

Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.

(30.09.2014) Wie richte ich ein WLAN-Hotspot für Gäste ein, ohne für Gesetzesverstöße zu haften?

Um Kunden, Interessenten, Wirtschaftsprüfern oder anderen Gästen die Möglichkeit eines schnellen Internet-Zugangs zu bieten, gehen viele Unternehmen dazu über, einen Hotspot einzurichten. Die Gäste können dann unabhängig von Verfügbarkeit und Bandbreite des mobilen Internetzugangs E-Mails empfangen, im Internet recherchieren und ggf. auf das eigene VPN zurückgreifen. Doch wie sieht es mit der Haftung aus, wenn der Gast illegale Dinge tut (z. B. urheberrechtlich geschützte Daten herunterlädt oder denunzierende Botschaften verbreitet) und die IP-Adresse des Betreibers ermittelt wird?

Grundsätzlich ist derjenige für illegale Aktivitäten haftbar, über dessen Internetzugang diese Vorfälle geschehen sind. So müssen Nachbarn oder Eltern für den illegalen Musik-Download haften, wenn sie keine ausreichenden Maßnahmen ergriffen haben, um dies zu verhindern. Dies gilt im Übrigen auch dann, wenn der Nutzer sich beispielsweise durch Hacking Zugang verschafft hat. Anders sieht dies aber dann aus, wenn die Eltern mit den Kindern eine „Nutzungsvereinbarung“ abgeschlossen haben, diese regelmäßig erneuern und zumutbare Sicherheitsmaßnahmen (z. B. Firewall-Einstellungen) ergriffen haben, die dies verhindern.

Ähnlich ist dies auch bei Unternehmen zu sehen, die Ihren Gästen einen Internetzugang anbieten wollen. Grundsätzlich steht das anbietende Unternehmen nicht in der Haftung, wenn ein Benutzer illegale Aktivitäten über Ihren Zugang begeht. Doch wenn „etwas schiefläuft“, wird zunächst der Betreiber (also Sie) Ziel der Anschuldigungen sein; schließlich ist nur er über die IP nach außen ersichtlich und wird daher stets erster Ansprechpartner beziehungsweise Verdächtiger sein.

Um nicht in eine „Mitstörer-Haftung“ zu geraten, empfehlen wir Ihnen Folgendes:

  • Zugang nur für Berechtigte (verkehrsübliche Sicherheitsmaßnahmen durch Verschlüsselung und Zugangsbeschränkung),
  • Aufstellung einer Nutzungsordnung, die der Nutzer bestätigt,
  • restriktive Firewall-Einstellung (Verbot des Downloads von Musik, radikalen oder pornografischen Inhalte etc.) sowie
  • Einrichtung einer DMZ zum Schutz des Unternehmensnetzwerks.

Hinsichtlich der Protokollierung gilt zu beachten, dass gemäß § 96 TKG die gespeicherten Verkehrsdaten über das Ende der Verbindung hinaus nur verwendet werden dürfen, soweit sie für andere gesetzliche Vorschriften begründeten Zwecke erforderlich sind. Ansonsten sind die Verkehrsdaten nach Beendigung der Verbindung unverzüglich zu löschen. Dies bedeutet, dass Protokolle nach der Nutzung sofort gelöscht werden müssen, es sei denn, dass sie für das Erkennen, Eingrenzen oder Beseitigen von Störungen notwendig sind. Eine Datenspeicherung für etwaige Anfragen einer Strafverfolgungsbehörde ist nicht notwendig und somit nicht zulässig. Hierbei können Sie durch die angestrebten Gesetzesanpassungen noch Änderungen ergeben.

Ferner ist festzuhalten, dass die entsprechenden Daten, die durch die Benutzung erzeugt werden (Protokolle etc.), dem Fernmeldegeheimnis gemäß § 88 TKG unterliegen und gemäß § 109 TKG entsprechend zu schützen sind.

(02.09.2014) Polizeiliche Führungszeugnisse im Betriebsalltag? Ein Problem für den Datenschutz

Zunehmend werden Unternehmen von Ihren Auftraggebern dazu aufgefordert, neben entsprechenden Qualifikationsnachweisen der eingesetzten Mitarbeiter auch ein polizeiliches Führungszeugnis nachzuweisen. Dies wirft datenschutzrechtliche Fragen der Zulässigkeit dahingehend auf, ob der Arbeitgeber dazu berechtigt ist, diese Führungszeugnisse einzufordern, und ob er ferner dazu berechtigt ist, diese dann auch weiterzuleiten.

Unabhängig von der Fragestellung einer Weitergabe des polizeilichen Führungszeugnisses stellt sich bereits das Problem der Datenerhebung durch den Arbeitgeber selbst. Gemäß § 32 BDSG dürfen „personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung (…) oder für dessen Durchführung oder Beendigung erforderlich ist.“

Ein eigener Anspruch des Arbeitgebers auf Vorlage des Führungszeugnisses gegen die zuständige Behörde besteht nicht. Ob der Arbeitgeber die Vorlage eines Führungszeugnisses verlangen kann, ist davon abhängig, ob diese Informationen für das Beschäftigungsverhältnis relevant sind. Regelmäßig bedarf es hierzu einer individuellen Betrachtungsweise. Zum Teil ersetzt aber auch die Wertung des Gesetzgebers oder Rechtsprechung der Arbeitsgerichte eine Einzelfallabwägung; Hilfe bietet hierbei in der Regel ein kompetenter Datenschutzbeauftragter.

Das Bundesarbeitsgericht (BAG) bestimmt die Zulässigkeit von Fragen in Verbindung mit dem Beschäftigungsverhältnis durch Abwägung zwischen dem berechtigten Informationsinteresse des Arbeitgebers einerseits und dem Interesse des Arbeitnehmers am Schutz seines Persönlichkeitsrechtes und an der Unverletzlichkeit seiner Individualsphäre andererseits. Für die Zulässigkeit ist es erforderlich, dass die konkrete Frage in einem sachlichen und inneren Zusammenhang mit dem Arbeitsplatz steht und deren Beantwortung für den Arbeitsplatz und die zu verrichtende Tätigkeit selbst von Bedeutung ist. Hinsichtlich des Fragerechts nach Vorstrafen hält das BAG nur solche Fragen für zulässig, die für die Art des zu besetzenden Arbeitsplatzes von Bedeutung sind. So ist z. B. die Frage nach Verkehrsdelikten für eine Kraftfahrertätigkeit zulässig, für eine Sekretariatsstelle hingegen nicht. Ferner gibt es z. T. eine gesetzliche Verpflichtung, wie beispielsweise in Einrichtungen der Kinder- und Jugendhilfe.

Bei Übertragung der Rechtsprechung des BAG auf die Frage, ob der Arbeitgeber die Vorlage eines polizeilichen Führungszeugnisses verlangen kann, gelangt man zu dem Ergebnis, dass dies grundsätzlich unzulässig ist. Hierzu haben sich bereits Datenschutz-Aufsichtsbehörden eindeutig geäußert (so z. B. auch Hamburgische Beauftragte für Datenschutz und Informationsfreiheit). Grund hierfür ist, dass in dem polizeilichen Führungszeugnis sämtliche Strafen aufgeführt sind, also auch solche, die zum Arbeitsverhältnis keinen konkreten Bezug aufweisen. Insofern könnte der Arbeitgeber die ihm durch die Rechtsprechung des BAG zum Fragerecht nach Vorstrafen gesetzten Grenzen mittels polizeilicher Führungszeugnisse umgehen.

Auch die „freiwillige“ Vorlage des polizeilichen Führungszeugnisses ist keine rechtmäßige Alternative, da ein freier Willensentschluss aufgrund der wirtschaftlichen Abhängigkeit des Arbeitnehmers grundsätzlich nicht angenommen werden kann. Ein Arbeitnehmer wird kaum eine entsprechende Bitte verneinen. Hierzu gibt es eine eindeutige Entschließung des sog. „Düsseldorfer Kreises“ (Konferenz der Datenschutzbeauftragten des Bundes und der Länder).

Die Vorlage und somit auch die Weitergabe eines polizeilichen Führungszeugnisses der Beschäftigten sind somit datenschutzrechtlich nicht zulässig. Ausnahmen bilden hierbei nur zwingende gesetzliche Vorgaben in bestimmten Branchen. Die UIMC empfiehlt in diesem Kontext, eine schriftliche Bestätigung der jeweiligen Mitarbeiter einzuholen und dem Auftraggeber zur Verfügung zu stellen, dass bestimmte, für die Tätigkeit relevante – und idealerweise vom Auftraggeber definierte – Vorstrafen nicht vorliegen.

(29.07.2014) Embargo- vs. Datenschutzverstoß: Kein Export ohne Gesetzesverstoß?

Durch EU-Verordnungen zur Terrorismusbekämpfung sind alle Unternehmen zu Prüfmaßnahmen verpflichtet, damit verbotene Geschäftskontakte erkannt und verhindert werden können. Ein Verstoß gegen die EG-Antiterrorismusverordnung wird hierbei als Embargoverstoß gemäß Außenwirtschaftsgesetz (AWG) mit der Strafandrohung von mindestens zwei Jahren Freiheitsstrafe bewertet. Ferner droht eine Umsatzabschöpfung. Dem gegenüber stehen Bußgelder aufgrund von Datenschutzverstößen gemäß Bundesdatenschutzgesetz (BDSG). Diese widerstreitenden Gesetzesanforderungen sind ein Dilemma für viele deutsche Unternehmen.

Im Zusammenhang mit dem Verfahren zur Erlangung des AEO-Status [zollrechtlicher Status eines zugelassenen Wirtschaftsbeteiligten („Authorised Economic Operator“)] ist regelmäßig ein Abgleich der Kunden-, Lieferanten- und Mitarbeiterdaten mit sog. Anti-Terrorlisten vorzunehmen. Hierbei sind dann personenbezogene Daten zu verarbeiten, so dass der Datenschutz zu betrachten ist. Eine personenbezogene Datenverarbeitung ist aber ausschließlich auf Basis einer Rechtsgrundlage zulässig.

Die EU-Verordnungen und das AWG sind laut Datenschutz-Aufsichtsbehörden aber zu unspezifisch, als dass sie als Rechtsgrundlage herangezogen werden können. So sei diesen Normen nicht zu entnehmen, dass dazu ein Datenabgleich mit den Anti-Terrorlisten zwingend erforderlich ist.

Des Weiteren ist eine Datenverarbeitung auch dann zulässig, soweit sie zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Eine Datenverarbeitung erfolgt dann zur Wahrung berechtigter Interessen, wenn sie zur Erreichung der Geschäftszwecke der verantwortlichen Stelle im weitesten Sinne erforderlich ist. Hierunter fallen auch wirtschaftliche Interessen, die zur Optimierung der satzungsgemäßen Institutionsgegenstands dienen, wie z. B. Verbesserung des Betriebsergebnisses oder Verringerung der Kosten (z. B. Aufwand bei Zollkontrollen). Diese Interessen scheinen demnach vorzuliegen.

Die Datenverarbeitung ist aber dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle überwiegt. Nicht nur allgemein, sondern auch in diesem konkreten Fall geben die Datenschutz-Aufsichtsbehörden den schutzwürdigen Interessen ein hohes Gewicht. Dieser Vorrang der schutzwürdigen Interessen der Betroffenen ist in diesem Fall diskutabel. Insbesondere wenn Mitarbeiterdaten hier geprüft werden sollten, kann dies problematisch werden. Gerade dann, wenn sich ein Fund als falsch herausstellt (z. B. Namensgleichheit), können die Persönlichkeitsrechte des Betroffenen massiv beeinträchtigt werden.

Das Verfahren ist solange unproblematisch, wie es nicht zu Meldungen – insbesondere Falschmeldungen – kommt. Denn neben der Gefahr des „Nicht-Entdeckens“ von Personen (Verstoß gegen das AWG), die auf den besagten Listen stehen, liegt datenschutzrechtlich dann ein Problem vor, wenn Personen z. B. aufgrund einer Namensgleichheit unberechtigt verdächtigt werden (möglicher Verstoß gegen das BDSG).

Hierbei ist insbesondere der Umgang mit entsprechenden Funden entscheidend. So sollten zwingend interne Regelungen, Verfahren und Prozesse etabliert werden, wie mit dem Datenabgleich und insbesondere mit „Treffern“ umgegangen wird. Ein diskretes Vorgehen mit einer sehr (!) restriktiven Anzahl an Beteiligten sowie eine Verifizierung der Meldung sind daher dringend zu empfehlen. Dies zeigt einmal mehr, dass das Erreichen von Compliance, also die Ordnungsmäßigkeit, nicht nur vielschichtig ist, sondern auch widerstreitende Rechtsnormen beachtet werden. Somit sollte nicht nur der Export-, sondern auch der Datenschutzbeauftragte einbezogen werden, um alle rechtlichen Anforderungen im Unternehmen angemessen Rechnung zu tragen.

(02.07.2014) Elektronische Bewerbungsverfahren - Risiken für die Persönlichkeitsrechte oder Chancen für den Datenschutz?

Die Personalarbeit wird heutzutage maßgeblich technisch unterstützt. So werden auch zunehmend Softwareprodukte zur Bewerber-Verwaltung und -Auswahl eingesetzt. Hierbei sind natürlich auch datenschutzrechtliche Aspekte zu beachten. So sind Fragen wie „Dürfen diese Daten überhaupt erfasst werden?“ über „Wer darf auf die Informationen zugreifen?“ oder „Welche Sicherheitsmaßnahmen sind zu ergreifen?“ zu klären.

Viele Bewerbungen gehen heutzutage per E-Mail ein; zum Teil wird dies auch gezielt gefördert. Im weiteren Verlauf des Prozesses wird dann ein simpler elektronischer Workflow eingeführt, in dem die Unterlagen intern an jene Mitarbeiter per Mail weiter verteilt werden, die an der Personalauswahl beteiligt sind (z. B. Leiter der personaleinstellenden Abteilung). Da aber E-Mails ohne besondere Schutzmaßnahmen als unsicher zu betrachten sind – schließlich können sie „mitgelesen“, fehladressiert oder unberechtigt weitergeleitet werden – ist stets zu empfehlen, dem Bewerber beide Wege der Bewerbung zu ermöglichen (E-Mail oder Postweg), um ihm so selbst die Entscheidung zu überlassen.

Am Ende des Bewerbungsverfahrens sind diese Daten sicher zu löschen. Bei einem E-Mail-basierten Workflow ist dies oftmals nicht trivial: E-Mails befinden sich nicht nur im Ein- und Ausgangs-Ordner des E-Mail-Programms, sondern werden oftmals noch lokal oder in einem persönlichen Verzeichnis gespeichert. Dadurch liegt eine „Bewerbungsmappe“ mehrfach vor, was datenschutzrechtlich sehr problematisch ist. Empfehlenswert ist in diesem Kontext, die Daten zentral abzuspeichern, das Verzeichnis mit entsprechenden Zugriffsrechten zu versehen und den Beteiligten nur den Speicherort per Mail mitzuteilen.

Immer beliebter werden hingegen auch integrierte Software-Lösungen für Bewerbungsprozesse, z. B. in Form von (firmeneigenen) Online-Plattformen. Hierbei werden online in der Regel fest vorgegebene Daten abgefragt und die Möglichkeit gegeben, Foto, Anschreiben und Lebenslauf als Datei hochzuladen. Die Online-Plattform sollte verschlüsselt werden, was als eine Verbesserung der Sicherheit gegenüber der E-Mail anzusehen ist.

Die abgefragten Datenfelder sind so zu gestalten, dass nur Daten erfragt werden, die im konkreten Fall der Stellenausschreibung erforderlich sind. Diese stellenspezifische Individualisierung stellt einen datenschutzrechtlichen Vorteil gegenüber Papierfragebögen dar. Auch können durch temporär vergebene Berechtigungen die Zugriffe auf die Prozessbeteiligten beschränkt und der Datenschutz gestärkt werden. Ferner kann eine Datenlöschung (teil-) automatisiert umgesetzt werden. Natürlich sollten hierbei entsprechende Klagefristen – beispielsweise auf Basis des Antidiskriminierungsgesetzes (AGG) – berücksichtigt werden.

Eine Abstimmung mit den betrieblichen Datenschutzbeauftragten ist dringend zum empfehlen, um positive Wirkungen auf die Persönlichkeitsrechte des Bewerbers und somit auf die Datenschutzsituation des Unternehmens zu erreichen. So ist eine Weitergabe der Unterlagen an weitere Konzerngesellschaften nur auf Basis einer Einwilligung möglich, die aber schon bei Einreichung der Bewerbung elektronisch eingeholt werden kann. Die Kennzeichnung von Datenfeldern als freiwillig ist oftmals problematisch, weil sich der Bewerber ggf. genötigt fühlt, Daten preiszugeben, um seine „Bewerbungschancen“ nicht zu gefährden. Ferner ist eine Recherche im Internet oder in sozialen Netzwerken nur in Ausnahmefällen zulässig und sollte zuvor im Einzelfall rechtlich geprüft und mit dem Datenschutzbeauftragten abgestimmt werden.

Dies zeigt, dass eine vorherige Festlegung erforderlich ist, wie mit den entsprechenden Daten umzugehen ist; idealerweise ist dies in das interne Datenschutzkonzept zu integrieren. Ferner zeigt es, dass insbesondere integrierte elektronische Bewerbungsverfahren auch Chancen für den Datenschutz bieten, sofern sie denn gemeinsam mit dem Datenschutzbeauftragten sinnvoll eingeführt werden.

(04.06.2014) Technikeinsatz im Personalbereich – Chance für den Datenschutz?

Personalarbeit findet heute nicht mehr ausschließlich in Papierform statt, sondern wird in vielen Phasen maßgeblich technisch unterstützt: ob bei der Bewerberauswahl, zur Personalverwaltung, zur Zeiterfassung, zur Personalentwicklung bis hin zu vollintegrierten Systemen inkl. elektronischer Personalakte. Darüberhinaus werden viele Aufgaben an Dienstleister weitergereicht; sei es „nur“ der Support der entsprechenden IT-Anwendung oder die nahezu vollständige Auslagerung der Personalprozesse. Doch, wo personenbezogene Daten verarbeitet werden, sind auch datenschutzrechtliche Aspekte zu beachten.

Viele Softwareprodukte zur Personalverwaltung bieten mittlerweile auch die Möglichkeit, eine elektronische Personalakte zu integrieren. So sind die wichtigen Unterlagen der Personalakte über das Programm abrufbar und können zielgruppenorientiert auch dezentral zur Verfügung gestellt werden, wie z. B. dem Vorgesetzten oder dem Mitarbeiter selbst. Hierbei ist auf Folgendes zu achten:

  • gewissenhafte und restriktive Zugriffsberechtigungsvergabe;
  • Unterscheidung zwischen Lese-, Schreib- und Änderungsrechten;
  • Unterbinden/Restriktion der Downloadmöglichkeiten;
  • Protokollierung jeglicher Änderungen (z. T. ist auch eine Protokollierung von Lesevorgängen sinnvoll).

Im Rahmen der Personalentwicklung werden weitere Daten über die Mitarbeiter gespeichert, die über die bloße Abwicklung des Arbeitsverhältnisses hinausgehen. So werden Informationen über die Qualifikationen, aber z. T. auch weitere Informationen im Rahmen von Zielvereinbarungsgesprächen verarbeitet. Neben einer gegenüber dem Mitarbeiter transparenten Verarbeitung, sollte auch auf ein sehr restriktives Zugriffsrechtemodell geachtet und Regeln aufgestellt werden, wie mit besonders vertraulichen Informationen umgegangen werden sollte (beispielsweise private oder finanzielle Probleme).

Bei Austritt eines Mitarbeiters aus dem Unternehmen sollten die erforderlichen Stellen schnellstmöglich informiert werden (IT-Abteilung und ggf. Werksschutz/Portier zur Sperrung der entsprechenden Rechte). Dies kann durch ein „intelligentes“ System automatisiert gesteuert werden. Des Weiteren sind jene Daten und Unterlagen nach dem Austritt zu vernichten bzw. zu löschen, die nun nicht mehr benötigt werden (gesetzliche Aufbewahrungsfristen sind für spezifische Daten natürlich zu beachten).

Eine Löschung bzw. Sperrung von Daten sollte aber nicht nur beim Ausscheiden eines Mitarbeiters durchgeführt werden; vielmehr sollten auch Abmahnungen, Arbeitszeitprotokolle etc. dann gelöscht werden, wenn die Speicherung nicht mehr erforderlich ist. Im Rahmen einer elektronischen Personalakte oder anderer Systeme kann dies automatisiert werden. Dies kann dadurch erreicht werden, dass Daten entweder nach einem zuvor definierten Zeitraum automatisch gelöscht oder zumindest automatisch Hinweise geniert werden, dass eine Löschung geprüft werden sollte. Somit kann eine sinnvoll konfigurierte Software den Datenschutz unterstützen.

Die genannten Beispiele zeigen, dass durch die Technisierung die Anforderungen an den Datenschutz sowohl auf der technischen als auch auf der organisatorischen Seite z. T. erheblich komplexer werden. Deshalb ist es besonders wichtig, die Datenschutzaspekte schon in die Überlegungen zur Softwareauswahl und -implementierung einzubeziehen. Sinnvoll ist es daher, den Datenschutzbeauftragten frühzeitig und in allen Phasen eines solchen Projekts umfassend einzubinden, da die Erfahrung zeigt, dass eine notwendige nachträgliche Änderung zur Sicherstellung der Compliance wesentlich aufwendiger ist.

(31.03.2014) Wenn einer eine Reise tut: Risiken für Geschäftsreisende durch die Nutzung von Hotspots

Das Hotspot-Netzwerk in Deutschland wächst stetig. Viele Mitarbeiter neigen dazu, auf Ihren Geschäftsreisen ein solches WLAN-Netzwerk zu nutzen, da diese oftmals schneller oder besser verfügbar als der firmeneigene UMTS-Zugang sind. So gehören in Bahnhöfen, Flughäfen und Cafés (kostenfreie) öffentliche Internetzugänge schon fast zum Standard. Doch hierbei bestehen auch Gefahren für die Unternehmensdaten und Informationen, auf die die UIMC schon deshalb hinweist, da der Einsatz von mobilen Geräten in Unternehmen durch Smartphones und Tablets immer größer wird, viele Nutzer aber sehr unbedarft mit den Geräten, Apps und Netzwerken umgehen.

Der Zugang ist schnell eingerichtet: WLAN-Netzwerk auswählen, verbinden und ggf. noch ein Passwort eingeben und schon ist der Mitarbeiter mit seinem dienstlichen Smartphone, Laptop oder Tablet im Internet. Doch neben den gewohnten Risiken, die jede Internetverbindung birgt, wird diese durch eine Verbindung mit einem öffentlichen Hotspot erhöht. So nutzen Angreifer zum Teil die gängigen Namen wie „Deutsche Bahn“, „Starbucks“ oder „Free-Wifi“, um „ahnungslose“ User anzulocken und die Kommunikation auszuhorchen. So können ggf. Kreditkarten- oder andere vertrauliche Daten mitgelesen werden.

Eine weitere Gefahr besteht darin, dass sich das mobile Endgerät automatisch mit bekannten Netzwerken verbindet. Wenn der Name mit einem bereits genutzten Netzwerk identisch ist, wird i. d. R. automatisch eine Verbindung aufgebaut. Somit kann auch eine Verbindung mit einem gefakten (unsicheren) anstelle mit einem „seriösen“ (sicheren) Hotspot hergestellt werden, und etwaige Manipulationen und Unregelmäßigkeiten – beispielsweise beim Abrufen der E-Mails – werden noch schlechter bemerkt.

Im betrieblichen Alltag sollte also stets darauf geachtet werden, dass die Mitarbeiter – sofern die Nutzung eines öffentlichen Hotspots beispielsweise aufgrund vom schlechten Mobilfunkempfang geboten scheint – stets eine VPN-Verbindung aufbauen. Doch auch die Nutzung einer VPN-Verbindung schützt nicht vor Man-in-the-Middle-Attacken, Malware oder anderen Schadprogrammen. Da dies erfahrungsgemäß den Benutzern aber nicht bekannt ist, kann hierdurch sogar eine gefährliche „trügerische Sicherheit“ erzeugt werden. Diese Gefährdung erfordert aber primär gezielte Angriffe. Nichtsdestotrotz sollte geprüft werden, die VPN-Verbindungen beispielsweise mit IPSec zusätzlich abzusichern.

Des Weiteren weist die UIMC darauf hin, dass Unternehmen zum einen verbindliche Vorgaben für die Mitarbeiter machen und zum anderen die Smartphone-User entsprechend sensibilisieren sollten. Nur jene Mitarbeiter, die die Gefahren und Verhaltensregeln kennen, können sich auch entsprechend schützen. Erfahrungsgemäß kommen solche Vorfälle nicht durch mutwilliges Verhalten, sondern durch Unwissenheit zustande.

Dies gilt im Übrigen auch für Mitarbeiter, die keine dienstliche Hardware (wie z. B. Laptop oder Smartphone) erhalten haben, aber beispielsweise über eine Internetseite auf Ihre E-Mails zugreifen können (z. B. Outlook Web Access/OWA). Trotz verschlüsselter Internetverbindung wie SSL/TLS, https o. ä. bestehen die o. g. Gefahren des Mitlesens etc., wenn der Mitarbeiter sich (in diesem Fall mit seinem privaten Smartphone) in einem öffentlichen Hotspot bewegt.

Doch auch bei aller technischen Vorsicht, weist Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter und Sicherheitsbeauftragter, auch darauf hin, dass – losgelöst von den dargestellten technischen Risiken – oftmals Dritte (ob nun bewusst oder unbewusst) die Möglichkeit erhalten, einfach Kenntnis von Informationen zu erlangen. So achten die Benutzer erfahrungsgemäß nicht darauf, wer in der Umgebung mitlesen kann; so können der Tischnachbar im Café, der nebenan Wartende am Flughafen oder der Sitznachbar im ICE die Inhalte des Displays einfach mit verfolgen.

Dies zeigt, dass vor dem Einsatz von neuen IT-Systemen stets eine Risiko-Analyse durchgeführt werden sollte, in der die möglichen Gefahren-Szenarien im Zusammenhang mit der Kritikalität der Informationen betrachtet werden. Das Ergebnis sollte eine Vorgehensweise sein, mit der die Risiken auf ein akzeptables Maß reduziert werden.

(12.03.2014) 30 Jahre nach Orwell: Betriebliche Kontrollmaßnahmen zwischen Big Brother und Datenschutz

Auch wenn die Veröffentlichung des Werks von George Orwell natürlich schon länger her ist (1949), so jährt sich „1984“ nunmehr zum 30. Mal. Gerade heute ist der literarische „Big Brother“ ein geflügeltes Wort geworden und scheint nicht nur staatliche Überwachungen (NSA, Vorratsdatenspeicherung oder Bundestrojaner sind nur einige Schlagworte in diesem Zusammenhang), sondern auch betriebliche Kontrollmaßnahmen zu beschreiben. Die Erfahrung zeigt, dass zunehmend mehr Videoüberwachungsanlagen installiert, Protokolle ausgewertet und Background-Checks durchgeführt werden, wobei die Motive von „gut gemeint“ bis „kriminelle Energie“ sehr fließend sind. Ohne den Datenschutzbeauftragten mit der literarischen Figur von Winston Smith aus Orwells Werk gleichsetzen zu wollen, so bedarf es stets einen, der für die Privatsphäre einstand… in Deutschland ist dieser Datenschutzbeauftragte gesetzlich vorgeschrieben.

„Vertrauen ist gut, Kontrolle ist besser“ ist eine oft genutzt Maxime, wenn es darum geht, einen Bewerber auszuwählen oder Mitarbeiter zu führen. Auch aus datenschutzrechtlicher Sicht ist dies erforderlich, schließlich muss geprüft werden, ob Datenschutz-Maßnahmen oder auch andere Richtlinien und Anweisungen tatsächlich umgesetzt werden. Nichtsdestotrotz ist es stets eine Frage der Wahl der Mittel.

Um Mitarbeiter zu kontrollieren, werden gerne automatisierte Kontrollmaßnahmen wie digitale Videoüberwachungsanlagen, Monitoring-Systeme zur Datenfluss-Analyse oder andere Auswertungen von vorliegenden Daten vorgenommen. Viele dieser Maßnahmen sind in den Augen derjenigen, die diese Maßnahmen in die Wege leiten, nachvollziehbar und zielführend. Bei der Suche nach entsprechenden Vorgehensweisen zur Erreichung der vorgegebenen Ziele werden datenschutzrechtliche Aspekte jedoch oft entweder gar nicht erst betrachtet oder vom Tisch gewischt. Aus der Erfahrung der UIMC sind die Motive für „Big Brother“ hierfür von „gut gemeint“ bis „kriminelle Energie“ sehr fließend. Oftmals ist es auch nicht die Geschäftsführung selbst, die diese Maßnahmen anordnen, sondern vielmehr die darunterliegende Managementebene.

In 1984 waren viele Überwachungstechniken technisch noch Fiktion. Heute werden viele Kontrollen schon alleine wegen ihrer technischen Machbarkeit und/oder durch das Vorliegen bestimmten Daten und Informationen schon durchgeführt. So wird ein Abgleich von Krankheitstagen und Raucherpausen im Zeiterfassungssystem zur Vermeidung suchtbedingter Fehlzeiten durchgeführt, es werden Bewerber in Facebook oder über Google zur „Team-kompatiblen“ Einstellung neuer Mitarbeiter überprüft oder GPS-Daten des Mobiltelefons zur Kontrolle der optimalen Fahrtrouten von Außendienstlern ausgewertet. All diese Maßnahmen haben in der Regel zwei Dinge gemeinsam: Die Motivation des Durchführenden ist oftmals ein (vermeintliches) Unternehmensinteresse und verstößt in den vielen Fällen gegen die Persönlichkeitsrechte des Mitarbeiters. Dies gilt zumindest dann, wenn entsprechende Rahmenbedingungen des Datenschutzes nicht eingehalten werden.

Dem ist grundsätzlich nur durch eine entsprechende Datenschutz-Kultur zu begegnen, die durch eine Sensibilisierung der Geschäftsführung, den Aufbau einer Datenschutz-Organisation in aufbau- und ablauf-organisorischer Sicht und der Installation eines betrieblichen Datenschutzbeauftragten erreicht werden kann. Innerhalb eines Unternehmens sollten solche Kontrollmaßnahmen stets mit dem Datenschutzbeauftragten diskutiert werden, um zum einen formale und zum anderen grundsätzliche Fragen zu regeln. Nur durch eine entsprechende Datenschutzkultur, die von Unternehmensleitung und Mitarbeiter gleichermaßen getragen wird, kann verhindert werden, dass „Big Brother“ innerbetrieblich zur Realität wird und Datenschutzverstöße zu Imageschäden des Unternehmens führen kann.

(30.01.2014) Was tun, wenn der Kunde nach Datenschutz fragt?

Anforderungen an Dienstleister von Unternehmen/Geschäftskunden

Nicht nur im Rahmen des Endkundengeschäfts, sondern auch bei klassischen Dienstleistungen zwischen Unternehmen wird zunehmend die tatsächliche Umsetzung des Datenschutzes beim Dienstleister kritisch hinterfragt. Dies kommt einerseits aus der gestiegenen Sensibilisierung zum Datenschutz und zur Informationssicherheit im Zuge der NSA-Affäre („Sind meine Daten sicher?“). Andererseits ist es aber auch darin begründet, dass der Gesetzgeber explizite Vorgaben zur Gestaltung dieser Zusammenarbeit vorgegeben hat und verschiedene Aufsichtsbehörden nun auch dazu übergehen, dies zu prüfen. So sind entsprechende Anforderungen vertraglich zu fixieren und regelmäßige Audits beim Auftragnehmer durchzuführen; im Zweifel auch bei der Muttergesellschaft.

Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 wurde eine Vielzahl von Unternehmen vor die Herausforderung gestellt, die Compliance-Situation ihrer Dienstleistungsverhältnisse auf Basis des § 11 BDSG neu zu gestalten. So müssen die Verträge gesetzlich vorgegebene Inhalte enthalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten); ferner müssen die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen überprüft werden. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist Pflicht.

Diese Vorgaben gelten nicht nur für das Outsourcing der Personalabrechnung, der elektronischen Archivierung und des Lettershops, sondern auch für den IT-Support beispielsweise durch Fernwartung auf dem Kunden-System, wenn dabei „ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“. Hierbei wird jedoch oftmals vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.

Auf der anderen Seite sehen sich viele Dienstleister damit konfrontiert, dass sie von einer Vielzahl ihrer Kunden auf das Thema Datenschutz angesprochen werden. Somit müssen diesbezüglich einerseits intern (revisionssichere bzw. prüfbare) Strukturen und Prozesse geschaffen werden, um eine ausreichende Qualität sicherstellen zu können. Ein Qualitätsmanagementsystem ist zwar sehr häufig umgesetzt, eine explizite Berücksichtigung von datenschutzrechtlichen Anforderungen ist nach Erfahrungen der UIMC aber nicht die Regel, sondern vielmehr die Ausnahme. Es müssen jedoch klare Regeln zu den Berechtigungen auf die Kundendaten und -systeme, zur Verpflichtung und Sensibilisierung der Mitarbeiter, aber auch zu weiteren technischen und organisatorischen Maßnahmen getroffen werden. Idealerweise sollte der Datenschutzbeauftragte hierbei eine zentrale Rolle einnehmen. Andererseits werden die Dienstleister durch die Auftraggeber auditiert, ob die vorgenannten Regeln existieren und auch umgesetzt sind.

Um nicht gänzlich unvorbereitet zu sein, sollte der Dienstleister neben den verbindlichen Regeln auch selbst einmal ein solches Audit intern durchgeführt haben. Anhand eines etablierten Fragenkatalogs kann die eigene Organisation dahingehend geprüft werden, ob die rechtlichen Anforderungen erfüllt sind oder umfassende Nachbesserungsforderungen durch den Kunden drohen. Wenn das interne Audit durch einen externen Auditor vorgenommen wird, gewinnt dies an Objektivität und Neutralität. Durch die „geliehene Autorität“ können bestimmte Vorhaben zielführender angestoßen und umgesetzt werden, schließlich hat es „der Prophet im eigenen Land“ stets schwerer. Eine solche Auditierung mit externer Unterstützung kann wiederum auch für externe Zwecke genutzt werden, indem die Ergebnisse dem (potenziellen) Kunden zur Verfügung gestellt werden. Auch eine Testierung oder Zertifizierung ist denkbar, wodurch nicht nur zeitintensive Auseinandersetzung mit vielen individuellen Audit-Anfragen entbehrlich werden, sondern auch ein Vertrauensaufbau beim (potenziellen) Kunden stattfinden kann.

(07.01.2014) Bewertung der Vorgesetzten durch die Hintertür: Wie eine Mitarbeiterbefragung zum Bumerang werden kann

Viele Unternehmen führen in Kooperation mit dem Betriebsrat, eine Befragung der Mitarbeiter durch, um deren Zufriedenheit zu ermitteln und Verbesserungspotenziale aufzudecken. Hierbei werden aber häufig datenschutzrechtliche Belange übersehen. So kann eine positiv motivierte Aktion schnell zu einem Bumerang werden.

Befragungen sind ein beliebtes Mittel, um die Mitarbeiter zu beteiligen. Auch kann gezielt herausgefunden werden, in welchen Bereichen Konflikte existieren und Prozesse optimiert werden können. Solche Mitarbeiterbefragungen werden in aller Regel, auch um dem Datenschutz entsprechend Rechnung zu tragen, anonym durchgeführt.  Im Rahmen der Auswertung, ist dann festzustellen, dass diese dann doch nicht immer anonym ist; schließlich sind oftmals zwei Personengruppen zu unterscheiden: Der befragte und ggf. der bewertete Mitarbeiter (z. B. Vorgesetzte).

Selbst bei Befragungen, die richtigerweise anonym durchgespielt werden, ist darauf zu achten, dass nicht durch weiterführende Informationen wieder ein Personenbezug entsteht. So kann über eine „spezielle“ Handschrift ein Personenbezug beim Befragten hergestellt werden. Sofern vom Befragten beispielsweise auch Geschlecht, Abteilung und/oder Betriebszugehörigkeit erhoben werden, kann die Grundgesamtheit wieder sehr klein werden, so dass die Person identifizierbar ist (z. B. durch die Kombination aus Dauer der Betriebszugehörigkeit und der Abteilung oder dem Geschlecht). Dies sollte durch entsprechende Vorkehrungen verhindert werden, indem bei der spätere Veröffentlichung bzw. Diskussion der Ergebnisse die Daten kumuliert werden. Dies kann durch eine Mindestgröße von ca. 5 Personen erreicht werden.

Auch wenn oftmals keine direkten Befragungen nach der Qualität des Abteilungsleiters gestellt werden, so zielen meist Fragen im Bereich „Unternehmensführung“ und „Betriebsklima“ zumindest auf eine mittelbare Bewertung des jeweiligen Managements ab. Somit entsteht auch hier ein Personenbezug. Desweiteren bergen die Freitextfelder zusätzliches Risikopotenzial, wenn auch subjektive Bewertungen vorgenommen werden können.
Daher findet eine personenbezogene bzw. personenbeziehbare Datenerhebung und -verarbeitung statt, für die es eine Legitimation bedarf. Eine Einwilligung kommt als Rechtsgrundlage nicht in Betracht, da der Abteilungsleiter nicht sinnvoll befragt werden kann; auch wäre die Freiwilligkeit in diesem Zusammenhang durchaus fragwürdig. Ferner ist zu bezweifeln, dass die Durchführung einer Mitarbeiterbefragung mit der primären Vertragspflicht der Erbringung der Arbeitsleistung gemäß § 32 BDSG im Zusammenhang steht; auch kann sie in der Regel nicht als Nebenpflicht des Arbeitnehmers in den Arbeitsvertrag hineininterpretiert werden.

Auch die Abwägung zwischen den berechtigten Interessen von Arbeitgeber und den schutzwürdigen Interessen des Arbeitnehmers nach § 28 BDSG ist problematisch. In einer solchen Umfrage könnte ein Profil bestimmter Eigenschaften der Abteilungsleiter erstellt werden, so dass ggf. (erhebliche) Eingriffe in das Persönlichkeitsrecht der Betroffenen stattfinden kann.

Aus datenschutzrechtlicher Sicht unbedenklich ist eine Mitarbeiterbefragung dann, wenn diese in anonymisierter Form erfolgt. Dazu muss sichergestellt sein, dass eine personenbezogene Erhebung bzw. Auswertung der Antworten nicht möglich ist sowie kein Rückschluss auf die Befragten und den Befragungsinhalten zu Grunde liegende Person (also Vorgesetzte) erfolgt. So sollte der Fragebogen so konzipiert werden, dass keine gezielte Bewertung des Vorgesetzten vorgenommen werden kann. Auch sollten dem Befragten entsprechende Vorgaben zur Ausfüllung und Ziele der Befragung transparent gemacht werden. Grundsätzlich sollte die Konzeption stets in enger Zusammenarbeit mit dem Datenschutzbeauftragten geschehen.

(26.11.2013) UIMC: Das Warten auf die EU-Datenschutz-Grundverordnung oder: Was tun, wenn der Chef plötzlich in den USA sitzt?

Nicht nur Großkonzerne, sondern auch Unternehmen des deutschen Mittelstands werden immer öfter Teil einer Unternehmensgruppe. Zur Ausnutzung von Synergieeffekten werden hierbei auch, zumindest in Teilbereichen, institutions- und länderübergreifende Teams gebildet. So ist der fachliche Vorgesetzte plötzlich nicht mehr der Linienvorgesetzte, sondern der übergeordnete Leiter eines Bereichs in der Muttergesellschaft. Hierbei werden ganz automatisch auch personenbezogene Daten des Mitarbeiters übermittelt, was datenschutzrechtlich durchaus problematisch ist und zu einem Compliance-Verstoß führen kann.

Auch wenn dies in der derzeit diskutierten EU-Datenschutz-Grundverordnung angedacht ist, so existiert derzeit kein sog. Konzernprivileg. Auch scheint diese Grundverordnung in der jetzigen Form nicht mehrheitsfähig zu sein und in naher Zukunft nicht verabschiedet zu werden, wie Dr. Jörn Voßbein auf dem diesjährigen Fachkongress „DAFTA“ mit weiteren Datenschutzexperten diskutierte.

Somit muss auch weiterhin die Übermittlung von Mitarbeiterdaten an eine andere Gesellschaft, wie bei jeder anderen Datenübermittlung, stets durch eine Rechtsvorschrift legalisiert werden. Hierbei ist beispielsweise die Einführung eines konzernweiten Telefon- oder E-Mail-Verzeichnisses noch relativ einfach umsetzbar. Diese geschäftlichen Kontaktdaten sind oftmals für die Kommunikation und die Erfüllung der Arbeitsaufgaben erforderlich, so dass ein „berechtigtes Interesse“ gegeben sein kann (§ 28 BDSG).

Dies wird im Rahmen einer sog. Matrix-Organisation zunehmend schwieriger. Im Gegensatz zum Telefonverzeichnis werden hierbei oftmals umfassendere Daten an fachliche Vorgesetzte übermittelt, wie z. B. Skill- oder Performance-Informationen, was wesentlich kritischer zu betrachten ist. Ist diese Struktur bei Eingehung des Arbeitsvertrags für den Mitarbeiter bereits erkennbar sowie durch Unterzeichnung des Arbeitsvertrags gebilligt, erhält das Arbeitsverhältnis einen Konzernbezug. Ein Datentransfer ist dann durch das Beschäftigtenverhältnis abgedeckt (§ 32 BDSG). Andernfalls ist ein 10-Punkte-Anforderungskatalog der Datenschutz-Aufsichtsbehörden umzusetzen, wozu auch ein konzernweit einheitliches Datenschutzkonzept bzw. Datenschutzhandbuch gehört.

Wenn die anderen Gesellschaften im Nicht-EU-Ausland angesiedelt sind, muss ferner geprüft werden, ob im Land des Empfängers ein ausreichendes Datenschutzniveau herrscht. Ein solches Datenschutzniveau ist beispielsweise in den USA nicht gegeben. Demnach müsste der Datentransfer, im Übrigen unerheblich ob mündlich oder elektronisch, unterbleiben.

Dem kann nur dadurch begegnet werden, dass sich der Empfänger entweder dem „Safe Harbor“-Abkommen unterwirft oder mit ihm ein Vertrag entsprechend den sog. „Standardsvertragsklauseln der EU-Kommission“ abgeschlossen wird. Die Erfahrung der UIMC zeigt jedoch, dass es teilweise schwierig ist, als Tochtergesellschaft von der Mutter einen solchen Vertrag einzufordern. Alternativ kann auch das Etablieren von „Binding Corporate Rules“ eine Herangehensweise sein, wodurch konzernweit einheitliche Datenschutzstandards eingeführt würden, die dem EU-Datenschutzniveau entsprechen. Diese Fragestellungen sollten grundsätzlich mit dem betrieblichen Datenschutzbeauftragten abgestimmt werden.

(28.10.2013) UIMC: Was deutsche Unternehmen aus der Spähaffäre der NSA lernen sollten

Die Bundesregierung hat in der Vergangenheit viel Geld in abhörsichere Smartphones investiert. Dennoch konnte die NSA über Jahre führende Politiker ausspionieren, u. a. Bundeskanzlerin Merkel. Hierbei stellen sich natürlich die Fragen, wie dies trotz des großen Aufwands passieren konnte, aber auch, wie sich deutsche Unternehmen schützen können, die oftmals weder das Know How noch die finanziellen Mittel der Bundesregierung haben. Beim genaueren hinschauen zeigt sich, dass die Schaffung (sicherheits-) technische Infrastruktur meist nicht ausreichend ist.

Der Fall um die Handy-Überwachung vieler Regierungsverantwortlicher zeigt eines ganz offensichtlich: Technische Maßnahmen können einerseits nie eine vollständige Sicherheit herstellen und andererseits sind diese oftmals auch nicht nutzerfreundlich, so dass die Nutzer aus Bequemlichkeitsgründen hierauf verzichten. Ähnlich wie bei der Verschlüsselung der Sprachkommunikation der Bundeskanzlerin besteht das Problem beispielsweise auch bei vielen Unternehmen schon in der Mail-Kommunikatution. In der Regel funktioniert die Verschlüsselung nur, wenn beide Kommunikationspartner die gleiche Verschlüsselung nutzen. Auch ist die Performance und Bedienbarkeit meist schlechter als bei nicht verschlüsselten Vorgehensweisen. Vielleicht haben die überwachten Politiker deswegen entweder auf die Nutzung der Verschlüsselungsfunktion auf dem Dienstgerät verzichtet oder auf private bzw. andere Geräte zurückgegriffen.

Die Erfahrungen der UIMC zeigen dabei auch, dass auch die Mitarbeiter in Unternehmen und Nutzer von IT-Systemen oftmals aus Bequemlichkeit auf Sicherheit verzichten. Sei es der nicht gesperrte PC im Büro, der unbewachte Laptop im Zug, der schnelle Datenaustausch über dropbox oder der Besucher im Firmengebäude, der nicht angesprochen wird, sondern frei herumlaufen kann. Verschiedene Regelungen im Unternehmen können zwar technisch begleitet werden (automatische Sperre des Rechners, kryptografische Container auf mobilen Geräten, Mail-Verschlüsselung oder elektronische Zutrittssysteme), doch wenn Mitarbeiter weder um die Regelungen wissen noch um deren Bedeutung, bleiben diese meist wirkungslos. Leider können so viele Unternehmen zum Opfer von Wirtschaftsspionage werden.

Hinzu kommt, dass sich viele Mitarbeiter auch durch die Sicherheitssoftware und -produkte in „falscher“ Sicherheit wiegen („Die IT-Abteilung ist für Sicherheit verantwortlich!“). Dem kann einerseits durch klare Richtlinien entgegen gewirkt werden – idealerweise im Rahmen eines Informationssicherheits-Managementsystems. So sollte eine IT-Sicherheits-Organisation aufgebaut werden, so dass neben Dienstanweisungen auch Prozesse und Verfahrensverweisen festgelegt, Verantwortliche und Zuständige bekanntgegeben (z. B. Datenschutzbeauftragter) sowie der Ist-Zustand regelmäßig im Rahmen eines Checkups oder Re-Audits festgestellt wird, um Verbesserungsmaßnahmen zu ergreifen.

Andererseits zeigt die Erfahrung der UIMC, dass ohne entsprechende Schulung und Sensibilisierung sowohl technische als auch organisatorische Sicherheitsmaßnahmen weit weniger effektiv sind. So muss der Mitarbeiter über Gefahren informiert, auf die Notwendigkeit von Maßnahmen hingewiesen und allgemein eine Aufmerksamkeit für das Thema Informationssicherheit und Datenschutz geschaffen werden.

Dabei sollten Schulungen kein einmaliges Projekt darstellen, sondern vielmehr ein kontinuierlicher Prozess sein, in dem laufend aktuelle Themen aufgegriffen werden. Dies kann durch die Schulung begleitende Plakate, Flyer, Mailings/Newsletter oder E-Learning-Plattformen/eCollege erreicht werden. So werden die Mitarbeiter einerseits sensibilisiert und Ihnen werden andererseits einfache Tipps zum richtigen Verhalten gegeben. Nur so kann der ungewollte Informationsabfluss im Unternehmen bekämpft werden; und das auch für „kleines“ Geld, was gerade für KMU wichtig ist.

(27.09.2013) Wer sich auf den IT-Dienstleister verlässt, kann schnell verlassen sein

Das Leasing von IT-Geräten ist heutzutage eine etablierte Form der Geschäftsausstattung. Hierbei werden die Geräte am Ende der Laufzeit an den Leasinggeber zurückgegeben und durch neue, modernere ersetzt. Wo bei klassischen Datenspeichern wie Festplatten, Laptops oder Smartphones noch an eine Löschung gedacht wird, wird dies bei Multifunktionsgeräten (Drucker, Scanner, Kopierer) oder Routern oftmals vergessen. Dies kann große Gefahren bergen, schließlich können auf den Geräten noch vertrauliche Informationen gespeichert sein.

Bei Multifunktionsgeräten ist es recht naheliegend, dass noch Daten gespeichert sind. So werden zu druckende oder kopierende Unterlagen in einem Zwischenspeicher abgelegt und dann rollierend gelöscht. Unter den kopierten Unterlagen können sich natürlich auch vertrauliche Angebote des Vertriebs, Protokolle der Geschäftsführung oder des Aufsichtsrats oder einfach „nur“ Teile aus Personalakten befinden.

Dass auch die Rückgabe eines Routers – also eine Netzwerk-Hardware ohne nennenswerten Datenspeicher – eine Gefahr darstellen kann, musste vor Kurzem ein großer deutscher Finanzdienstleistungskonzern feststellen. So wurden die Router ausgetauscht, jedoch die alten nicht vernichtet, sondern an den Händler zurückgegeben. Dieser hat sie dann bei ebay zu einem Preis von EUR 19,90 zum Sofortkauf angeboten, zuvor aber diese nicht auf Werkseinstellungen zurückgesetzt. Dadurch konnte sich der Käufer – ein klein wenig Fachkenntnis vorausgesetzt – in das Intranet des Finanzdienstleisters einwählen und sogar eine IPSec-Verbindung aufbauen sowie verschlüsselte Datenpakete mit einer Gegenstelle austauschen. Der VPN-Zugang hätte dafür genutzt werden können, im Intranet nach Hintertüren, nach unsicheren Systemen und nach „interessanten“ Daten zu suchen oder einfach Schad- und Schnüffelprogramme zu installieren. Der Finanzdienstleister hat somit quasi den Schlüssel für sein Netzwerk mit „aus der Hand gegeben“.

Was in diesem Fall schief gelaufen ist, liegt auf der Hand. Es sollte niemals IT-Sicherheits- bzw. Datenschutz-kritische Hardware nach dem eigenen Gebrauch – zumindest nicht ohne vorherige gewissenhafte Löschung der Daten – verkauft werden. Die Erfahrung der UIMC ist hierbei, dass entweder die internen Strukturen fehlen, die sicherstellen, dass vor Rückgabe sicherheitsrelevanter Hardware sämtliche Daten zu löschen sind, oder, dass das Wissen um diese Problematik nicht vorhanden ist.

Bei einer Vielzahl von IT-Sicherheitsschwachstellenanalysen oder Datenschutz-Checkups musste die UIMC feststellen, dass der Austausch von Hardware bzw. Datenträgern und die damit verbundene Entsorgung oder Rückgabe an den Dienstleister intern gar nicht oder nur unzureichend geregelt sind. Auch vertragliche Regelungen fehlten oftmals. Durch das strukturierte Prüfen der eigenen Organisation werden solche Schwachpunkte entdeckt. Diesen Mängeln kann dann durch verbindliche Regelungen begegnet werden, wie z. B. in einem IT-Sicherheits- und/oder Datenschutz-Handbuch.

(03.09.2013) Arbeiten von überall und zu jeder Zeit… aber bitte datenschutzkonform!

Unternehmerschaft Niederrhein informiert in Kooperation mit UIMC

Medienwirksame Skandale über den Umgang mit vertraulichen Informationen von Daten haben das Thema Datenschutz verstärkt ins Bewusstsein gerückt. Auf der anderen Seite schätzen viele Beschäftigte die Möglichkeit, überall und jederzeit E-Mails zu bearbeiten oder auf Unterlagen und Kontaktdaten des Arbeitsplatzes zuzugreifen. Eben mal schnell von unterwegs eine Information abrufen oder eine Nachricht schicken – das sind die Vorteile des sog. Mobile Computing. Doch nicht nur mit der schnellen und unkomplizierten Nutzung von Smartphones oder Tablet-PCs gerät die Frage nach dem Schutz sensibler unternehmens- oder personenbezogener Daten oftmals aus dem Blick.

„Die Regelungen zum betrieblichen Datenschutz gelten unabhängig von der Größe für jedes Unternehmen, das personenbezogene Daten von Beschäftigten oder Kunden nutzt. Deshalb ist es unerlässlich, dass man sich im Unternehmen rechtzeitig Gedanken um den Umgang und den Schutz von sensiblen, insbesondere personenbezogenen Daten macht“, so Hartmut Schmitz, Hauptgeschäftsführer der Unternehmerschaft Niederrhein.

Dies kann durch die Bestellung eines Datenschutzbeauftragten geschehen, der entweder aus dem eigenen Betrieb stammt oder als externer Berater eingesetzt werden kann. Verpflichtend wird ein Beauftragter, wenn mehr als 9 Personen während ihrer Arbeit mit personenbezogenen Daten arbeiten. Egal, ob man nun einen externen oder einen eigenen Beauftragten für den Schutz der Daten ernennt - verantwortlich bleibt letztendlich die Geschäftsführung.

„Wir bieten unseren Mitgliedsunternehmen seit wenigen Wochen Unterstützung bei diesem heiklen Thema an. Es geht uns hierbei aber nicht allein um die Einhaltung der Gesetze; wir denken auch an den Wert, den Daten heute haben, und wir wollen den Missbrauch mindestens erschweren“, so Hartmut Schmitz weiter.

Der niederrheinische Arbeitgeberverband informiert seine Mitgliedsunternehmen umfassend und bietet im Rahmen einer Kooperation mit dem auf Datenschutz spezialisierten Unternehmen UIMC Dr. VOSSBEIN GmbH & Co KG für seine Mitglieder auch ein besonderes Beratungsangebot an. Hierbei wird in einem dreistufigen Verfahren ein optimales Paket für Unternehmen geschnürt, welches den Datenschutz nicht nur pragmatisch, sondern auch kostengünstig umsetzt. Ausgehend von einer rechtlichen Beratung unter Berücksichtigung der jeweiligen Unternehmenssituation wird nach einem Datenschutz-Checkup ein individualisiertes Datenschutz-Konzept entwickelt und die Mitarbeiter angemessen geschult.

(27.08.2013) UIMC: Eine Freundschaftsanfrage im sozialen Netzwerk ist im Bewerberverfahren selten freundschaftlich!

oder: „Drum prüfe, wer sich ewig bindet“ gilt für Arbeitgeber und Arbeitnehmer gleichermaßen.

Bei der Personalsuche gilt: „Drum prüfe, wer sich ewig bindet“. Auch wenn Arbeitsverträge nicht auf Ewigkeit geschlossen werden, so werden Bewerber dennoch gewissenhaft geprüft. Dies führt in der Zeit von sozialen Netzwerken oftmals dazu, dass auch in diesen recherchiert wird. Die UIMC weist darauf hin, dass dies zu datenschutzrechtlichen Fragestellungen führt.

Schon die Suche im Internet, ohne Berücksichtigung der wesentlich „persönlichen“ Profile in sozialen Netzwerken, wird von vielen Aufsichtsbehörden ausgesprochen kritisch beleuchtet. Hintergrund ist das datenschutzrechtliche Prinzip der sogenannten Direkterhebung, welches hierbei in Abrede gestellt wird. Als Gegenmeinung wird – auch von der UIMC – angeführt, dass die Daten im Internet öffentlich zugänglich sind und die personenbezogenen Daten demnach auch erhoben werden dürfen. Die Daten müssen aber für eine „fundierte Personalentscheidung“ erforderlich sein.

Hiervon unterscheiden sich wiederum soziale Netzwerke maßgeblich, da diese Informationen durch etwaige Privatsphäre-Einstellungen nicht öffentlich zugänglich sind. Vielmehr sind die Profile der Nutzer in der Regel so geschützt, dass diese nur durch freigeschaltete Nutzer („Freunde“) eingesehen werden können.

Auch das Anfragen nach Freischaltung des Profils – „Freundschaftsanfrage“ – ist in diesem Kontext jedoch problematisch. Innerhalb eines Freizeit-orientierten Netzwerks wie Facebook und Google+ ist dies nicht zulässig, weil eine solche Freischaltung durch den Bewerber regelmäßig nicht freiwillig, sondern eher unter Druck geschieht, schließlich will man seinem potenziellen Arbeitgeber nicht suggerieren, man hätte „etwas zu verheimlichen“. Eine solche Informationsrecherche ginge zu Lasten des Bewerbers und würde deren schutzwürdige Interessen verletzen. Ferner sind diese Informationen im Rahmen der Personalentscheidung auch nicht erforderlich.

Anders ist dies wiederum bei beruflich orientierten Netzwerken wie Xing oder LinkedIn zu bewerten, da die Zweckbestimmung hierbei gerade auf die Anbahnung von Geschäftsbeziehungen ausgerichtet ist.

Generell gilt: Auch wenn eine Internetrecherche grundsätzlich datenschutzrechtlich vertretbar sein kann, so ist nicht jede im Internet gefundene Information im Sinne einer fundierten Personalentscheidung erforderlich und darf somit ggf. nicht genutzt werden. (Beispiele hierfür sind private oder intime Informationen z. B. über Krankheiten oder Fotos, die normalerweise durch den Betroffenen nur seinem Freundeskreis zur Verfügung gestellt werden sollen.) Dies ist häufig problematisch, schließlich kann der Mensch bei der Wahrnehmung und letztlich dem Sich-Merken („im Kopf speichern“) von Informationen schwer zwischen erforderlich und unnötig selektieren. Daher ist zu empfehlen, dass nur in Ausnahmefällen online recherchiert wird.

Diese Betrachtungen zeigen ganz deutlich: Das Nutzen von sozialen Medien im Rahmen der Personalentscheidung bedarf der Beachtung verschiedener datenschutzrechtlicher Aspekte. Hierbei ist schon während der Planung der betriebliche Datenschutzbeauftragte zu involvieren, um die Grenzen, aber auch die Möglichkeiten entsprechend zu besprechen. Es ist auch dringend zu empfehlen, die Verantwortlichen und die betroffenen Mitarbeiter entsprechend zu schulen und zu sensibilisieren sowie das Thema offen zu diskutieren, denn auch für den Bewerber gilt „Drum prüfe, wer sich ewig bindet“ und wer will schon in einem Unternehmen arbeiten, welches seine Persönlichkeitsrechte nicht allzu ernst nimmt?

(30.07.2013) UIMC: Der sichere Hafen ist gesperrt – Der konzerninterne Datentransfer ist in Folge von PRISM nun erschwert

[Wuppertal, Saarbrücken] Es ist heute allgemein üblich, dass die Datenverarbeitung globalisiert wird. Ob nun innerhalb eines Konzerns oder mit Hilfe von zunehmend weltweit organisierten Dienstleistern, die den Unternehmen Support im „follow the sun“-Prinzip anbieten. Die erforderliche Genehmigung für einen Datentransfer ins außereuropäische Ausland wollen die Datenschutz-Aufsichtsbehörden in Folge des PRISM-Skandals aber vorerst nicht mehr erteilen, was für viele Unternehmen ein z. T. massives Compliance-Risiko darstellen kann.

In vielen (globalen) Konzernen werden Matrix-Organisationen etabliert, IT-Systeme durch spezialisierte Dienstleister rund um die Uhr gewartet oder konzernweite Telefonverzeichnisse erstellt. Aber auch die Vermarktung der Produkte findet zunehmend global statt, so dass auch das Customer-Relationsship-Management (CRM) weltweit im Unternehmensverbund realisiert wird. All dies hat zur Folge, dass personenbezogene Daten auch für andere (rechtlich selbständige) Firmen zugänglich sind.

Im Rahmen des Datenschutzes ist es ausschließlich dann zulässig, personenbezogene Daten (ob über Kunden oder Mitarbeiter) zu übermitteln, wenn hierfür sowohl eine Rechtsgrundlage als auch ein „angemessenes Schutzniveau“ beim Empfänger vorliegt. Dies gilt explizit auch für die Mutter-, Tochter- oder Schwestergesellschaft eines Unternehmens, da ein solcher Datentransfer rechtlich nicht privilegiert wird (kein sog. Konzernprivileg).

Sofern ein solcher Datentransfer an ein Unternehmen außerhalb von Deutschland und der EU stattfindet (wie beispielsweise aus den USA), sind durch das datenübermittelnde Unternehmen zusätzliche Vorgaben zu beachten, da in den USA kein, im Vergleich zum deutschen oder europäischen Datenschutz, ausreichendes Niveau existiert. So musste sich beispielsweise das datenempfangende Unternehmen in den USA dem „Safe-Harvor-Abkommen“ unterwerfen oder sog. EU-Standardvertragsklauseln abgeschlossen werden. Sobald eines dieser beiden Anforderungen erfüllt wurde, konnte die zuständige Datenschutz-Aufsichtsbehörde eine Genehmigung der Datenübermittlung erteilen.

Die Datenschutzbeauftragten des Bundes und der Länder haben angesichts des Skandals um die umfassende Spionage durch die USA mittels dem Spähprogramm PRISM bekanntgegeben, vorerst keine Genehmigungen mehr für Unternehmen auf Basis des Safe-Harbor-Abkommens zu erteilen. Auch sollen sämtliche einschlägigen Datentransfers auf Grundlage der Standardklauseln geprüft und ggf. ausgesetzt werden.

Somit ist es aktuell kaum möglich, dass deutsche Unternehmen die Daten mit amerikanischen Konzern-Müttern auszutauschen (und sei es nur das Konzern-Telefonbuch), den Support im „Follow-the-Sun“-Prinzip mit ausländischen Dienstleistern zu organisieren oder günstige Cloud-Dienste von Nicht-EU-Anbietern zu nutzen. Vielmehr müssen diese Rahmenbedingungen und die damit verbundenen (prozessualen, finanziellen und personellen) Risiken entsprechend berücksichtigt werden. Dies gilt für internationale Prozesse, IT-Systeme, Vertragsverhältnisse und auch Projekte. Der betriebliche Datenschutzbeauftragte sollte hierbei stets der erste Ansprechpartner sein, um in diesem Falle eine pragmatische Lösung zu finden.

Daher ist die UIMC der Auffassung, dass der Datenschutz in die Verhandlungen zwischen der EU und den USA zum Freihandelsabkommen aufgenommen werden sollte. Andernfalls weder eine sinnvolle Lösung für Unternehmen noch eine angemessene Lösung zum Schutz der Persönlichkeitsrechte der Betroffenen gefunden werden.

(26.06.2013) UIMC: Hakenkreuz-Schmierereien können verdeckte Videoüberwachung am Arbeitsplatz rechtfertigen

[Wuppertal] Sofern es in Werks- oder Arbeitsräumen zu wiederholten Schmierereien mit fremdenfeindlichen, antisemitischen Parolen und/oder mit „Kennzeichen verfassungswidriger Organisationen“ gemäß § 86a StGB kommt, kann dies eine verdeckte Videoüberwachung rechtfertigen. Neben der unerwünschten Sachbeschädigung kann der Arbeitgeber mit Hilfe der Videoüberwachung auch jene Mitarbeiter schützen, die sich durch die Texte und Symbole beleidigt fühlen. Grundsätzlich ist der Arbeitgeber gemäß § 12 Absatz 3 Allgemeines Gleichbehandlungs-Gesetz (AGG) hierzu sogar verpflichtet, wobei dies nicht automatisch eine Videoüberwachung rechtfertigen kann.

Da es sich bei der Überwachung am Arbeitsplatz um die Beobachtung von Mitarbeitern handelt, sind die Möglichkeiten stark eingegrenzt. Nach den seit 2009 einschlägigen Regelungen zum Beschäftigtendatenschutz dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten verarbeitet werden, wenn „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht nahelegen, dass ein Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat. Es sind aber trotz des – durch die Fremdenfeindlichkeit – erheblichen Ausmaßes die schutzwürdigen Interessen des Beschäftigten zu berücksichtigen, schließlich werden durch eine Videoüberwachung auch viele „Unschuldige“ erfasst.

Sofern solche Vorkommnisse zur Kenntnis genommen werden, sollte der betriebliche Datenschutzbeauftragte involviert werden, Beweise gesichert und der Sachverhalt dokumentiert werden. Unter Umständen kann auch das Einschalten des Betriebsrats sinnvoll sein. Im Einzelfall ist zu prüfen, welche Art der Videoüberwachung durchgeführt werden sollte, wobei das Installieren einer offenen Videoüberwachung zur Verhinderung künftiger Vorkommnisse sinnvoll sein kann.

Sofern zusätzlich erreicht werden soll, dass Schadensersatz eingefordert und/oder gegen den Täter arbeitsrechtlich vorgegangen werden soll, um jene Kollegen vor weiteren Beleidigungen zu schützen, die sich hierdurch diskriminiert fühlen, scheint eine verdeckte Videoüberwachung jedoch ein probates Mittel. Bei einem erheblichen Ausmaß wiederholt fremdenfeindlicher Schmierereien kann der Eingriff in die Persönlichkeitsrechte der Beschäftigten hierbei durchaus verhältnismäßig sein.

Es sind nur sehr restriktive Zugriffsrechte auf die Aufzeichnungen zu vergeben und ein Zugriff darf nur zweckgebunden stattfinden. Dies kann durch ein zwischen Arbeitgeber und Datenschutzbeauftragten oder Betriebsrat geteiltes Passwort erreicht werden, wobei ein Zugriff ausschließlich dann stattfinden darf, wenn es erneut zu Vorkommnissen gekommen ist.

Ferner darf die Videoüberwachung nur über einen engen zeitlichen Zeitraum stattfinden. Auch ist zu prüfen, inwiefern ein eingeschränkter Zeitraum (z. B. außerhalb der Arbeitszeiten) sinnvoll ist. Sobald der Täter ermittelt wurde oder es zu keinen weiteren Vorkommnissen gekommen ist, sollte die Überwachung unverzüglich beendet werden. Auch sind die Aufzeichnungen stets dann zu löschen, wenn sie nicht mehr für den Zweck erforderlich sind. Dies ist in der Regel dann gegeben, wenn keine Vorkommnisse bemerkt wurden (z. B. werktägliche Löschung nach Begehung der beobachteten Räumlichkeiten).

(28.05.2013) Datenschutz gegen Zollvorschriften: Ein Dilemma für Exportunternehmen?

Oder: Wie mangelnde Bestimmtheit von Rechtsvorschriften Unternehmen vor Probleme stellt

Im Rahmen der sog. Terrorbekämpfung werden exportierenden Unternehmen diverse Auflagen im Rahmen der Terrorbekämpfung aufgebürdet. Hierbei sind verschiedene „Vereinfachungen“ möglich, wie z. B. die Anerkennungen als „zugelassener Wirtschaftsbeteiligter“ oder als „bekannter Versender“. Unternehmen, die diesen Status erhalten möchten, müssen besondere Anforderungen erfüllen. Als „zugelassener Wirtschaftsbeteiligter“ wird beispielsweise die jährliche Durchführung eines Abgleichs der Personaldaten mit den sog. Terrorlisten der Vereinten Nationen verlangt.

Personenbezogene Daten dürfen aber nur dann verarbeitet werden, wenn eine „Rechtsvorschrift dies erlaubt oder anordnet“. Dies stellt viele Unternehmen nun vor rechtliche Probleme, da die Voraussetzungen und Anforderungen nicht gesetzlich, sondern vielmehr nur in Dienstvorschriften des BMF bzw. eher unpräzisen EU-Verordnungen geregelt sind. Somit liegt zunächst keine ausreichende rechtliche Legitimierung eines Datenabgleichs vor, so dass dies einen datenschutzrechtlichen Verstoß für die Unternehmen bedeuten könnte. Diejenigen Unternehmen, die sich nicht zertifizieren lassen, werden sich aber auf intensivere Kontrollen durch die Zollverwaltung einstellen müssen, so dass natürlich – trotz datenschutzrechtlicher Bedenken – die Motivation steigt, eine solche Zulassung zu erhalten.

Der Bundesfinanzhof hat nun eine rechtliche Klarstellung herbeigeführt, die die Politik in der Form bislang noch nicht geschafft hatte. So sind berechtigte Interessen des Unternehmens gemäß § 28 Absatz 1 Nr. 2 BDSG erkennbar. Das Verfahren des Abgleichs ist solange unproblematisch, sofern es nicht zu Falschmeldungen kommt. Hierbei können schutzwürdige Interessen des Mitarbeiters überwiegen, so dass der Umgang mit entsprechenden Funden für die Beachtung der Persönlichkeitsrechte entscheidend ist.

Der Abgleich der Mitarbeiterstammdaten Name, Anschrift, Geburtstag und Geburtsort mit den Terrorlisten ist demnach in zulässiger Art und Weise möglich. Weitere Angaben – wie z. B. Lebenslauf oder Straffreiheitserklärung – sind jedoch für die Durchführung der Sicherheitsüberprüfung nicht erforderlich und damit nicht zu überprüfen. Da die Daten beim Arbeitgeber ohnehin vorliegen, sollte der Abgleich aus Gründen der Datensparsamkeit zudem „intern“ erfolgen. Die Zollbehörde selbst erhält nur das Ergebnis des Abgleichs und keine personenbezogenen Daten der Mitarbeiter, so dass keine weiteren Datenschutz-Probleme drohen.

Empfehlenswert ist, die Einzelheiten des Verfahrens im Rahmen einer Betriebsvereinbarung zu regeln und sie den Mitarbeitern somit transparent zu machen. In einer Betriebsvereinbarung oder Dienstanweisung sind ferner gemeinsam mit dem Datenschutzbeauftragten verbindliche Verfahren zu definieren, wie mit Übereinstimmungen zwischen Mitarbeiter- und Antiterrorlisten umgegangen werden soll. Denn gerade durch eine Falschmeldung können massive Verletzungen des Persönlichkeitsrechts entstehen, die bis hin zu Schadensersatzforderungen führen können.

(22.05.2013) Dr. Heiko Haaz wird Dozent an der UFL: Datenschutz im Gesundheitswesen

Dr. Heiko Haaz wird als Dozent an der Privaten Universität im Fürstentum Liechtenstein (UFL) tätig und lehrt hierbei zum Datenschutz im Gesundheitswesen. Dies findet im Rahmen des multidisziplinären, berufsbegleitenden Studiengangs „CAS Gesundheitsrecht“ im Juni 2013 statt.

Gerade im Gesundheitswesen kommt dem Datenschutz seit jeher einer besonderen Bedeutung zu. Dies greift die Private Universität im Fürstentum Liechtenstein (UFL) auf und vermittelt praxisrelevantes Basiswissen. Hierbei referiert Dr. Heiko Haaz, Partner der UIMC, als erfahrener Experte im Datenschutz zum Umgang mit Gesundheitsdaten.

Innerhalb des Moduls zum Umgang mit Gesundheitsdaten werden nicht nur die datenschutzrechtlichen Anforderungen von Liechtenstein, der Schweiz, von Deutschland und Österreich sowie die maßgebenden europäischen Rechtsgrundlagen vermittelt, sondern auch Basiswissen anhand praxisrelevanter Beispiele dargestellt. Die Teilnehmer erlernen Arbeitsinstrumente und Methoden der rechtlichen Problemlösung und profitieren hierbei von den jahrelangen Erfahrungen des Dozenten.

Dr. Heiko Haaz ist seit über 20 Jahren als externer Datenschutzbeauftragter insbesondere im Gesundheitswesen aktiv und kann daher von vielen praxisrelevanten Fällen berichten. Nach Beendigung der Ausbildung schloss er sein Studium der Wirtschaftswissenschaften an der Universität Essen mit dem Abschluss Diplom-Kaufmann ab. Danach war er als wissenschaftlicher Mitarbeiter am Lehrstuhl für Organisation/Planung/Wirtschaftsinformatik von Prof. Dr. Reinhard Voßbein mit dem Forschungsschwerpunkt „IT-Sicherheit und Datenschutz“ tätig und promovierte 1999 über das Tätigkeitsfeld des Datenschutzbeauftragten. 1999 wurde er auch Gesellschafter der UIMC Dr. Voßbein GmbH & Co. KG und betreut seitdem diverse Krankenhäuser und weitere Gesundheitseinrichtungen. Somit konnte die UFL einen erfahrenen Datenschutzpraktiker gewinnen, der nicht nur sein profundes Fach-, sondern auch auf sein umfassendes Branchen- und Methodenwissen weitergeben kann.

(02.05.2013) Mobile Devices und Bring Your Own Device: Wildwuchs bringt Unternehmen in Schwierigkeiten

Die Vorteile der mobilen Arbeit mit Smartphones und Laptops liegen auf der Hand: erhöhte Verfügbarkeit, schnellere Reaktionszeiten, größere Flexibilität und damit einhergehend eine größere Zufriedenheit der Mitarbeiter. Doch die Nutzung dieser Mobile Devices birgt auch Gefahren für Datenschutz und Informationssicherheit.

Viele Risiken, die hierbei existieren, sind grundsätzlich nicht neu: Neben Diebstahl und Verlust des Geräts sind es vor allem Schadprogramme und die unsachgemäße Handhabung, die zu einem Vertraulichkeitsverlust sensibler Mitarbeiterdaten führen können und damit auch datenschutzrechtlich relevant sind. Aber auch die Vermischung von privaten und dienstlichen Daten ist in diesem Zusammenhang nicht unproblematisch.

Während es für Desktop- und mobile PCs (Laptops/Notebooks) schon umfangreiche und etablierte Verfahren und Produkte gibt, um die Datensicherheit zu gewährleisten, stehen diese für Smartphones und Tablets noch aus. Denn die zurzeit verfügbaren Smartphones sind in der Regel für Konsumenten und deren Bedürfnisse entwickelt und sollen eher durch Features und Benutzerfreundlichkeit als durch Sicherheit begeistern. Auf zahlreiche sicherheitstechnische Anforderungen wie zum Beispiel die Verschlüsselung des Datenspeichers, den Einsatz von Firewall und Virenscanner sowie komplexe Beschränkungen von Zugangsrechten haben die Smartphone-Hersteller bislang noch nicht oder nur unvollständig reagiert (Blackberry bildet hierbei teilweise eine Ausnahme). Somit wurden viele Geräte an den Sicherheitsbedürfnissen der Unternehmen vorbei entwickelt.

Umso wichtiger ist es, dass Unternehmen, die mobile Personalarbeit einführen oder erlauben möchten, entsprechende Regelungen in Form von Organisationsanweisungen und Betriebsvereinbarungen sowie technische Maßnahmen zur IT-Sicherheit treffen, die die Sicherheitsrisiken mindern, wenn sie sie auch nicht eliminieren können. Dies ist auch – oder insbesondere – bei einer „Bring your own Device“-Strategie zu beachten (BYOD), bei der Mitarbeiter ihre privaten Endgeräte dienstlich nutzen dürfen. Zum Teil wird auch ein „inoffizielles“ BYOD an der IT-Abteilung und der IT-Sicherheit vorbei „eingeführt“, indem sich Mitarbeiter E-Mails auf Ihre Smartphones weiterleiten, Internetkalender zur Teamkoordination oder Cloud-Speicher für die Ablage und den Austausch von Dateien nutzen.

Mobile Devices werden demnach an den Sicherheitsanforderungen vorbei entwickelt und zum Teil in den Unternehmen ohne Beteiligung der Sicherheitsverantwortlichen eingeführt. Es ist aber unumgänglich, dass Unternehmen nicht nur verbindliche Richtlinien schaffen, sondern die Mitarbeiter auch für die sicherheitstechnisch und datenschutzrechtlich relevanten Themen sensibilisieren. Denn viele notwendige Maßnahmen sind – mangels technischer Lösungen noch stärker als bei anderen Geräten – durch den Mitarbeiter selbst umzusetzen. Neben Präsenzschulungen durch die IT-Abteilung oder den Datenschutzbeauftragten sind E-Learning-Lösungen denkbar, mit denen eine kontinuierliche Sensibilisierung erreicht werden kann, da die Informationen laufend aktualisiert werden.

Fazit: Bevor Mobile Devices und BOYD schleichend im Unternehmen Einzug halten, sollten über entsprechende Einführungskonzepte und Schulungen die Wahrung der Sicherheit und des Datenschutzes sichergestellt werden.

Weiteres unter Communic@tion

(03.04.2013) Der Mensch hebelt als Layer 8 teure Sicherheitssoftware aus

In vielen Unternehmen werden zum Teil hohe Summen für durchaus erforderliche Sicherheitssoftware investiert. Nichtsdestotrotz müssen immer wieder Sicherheitsvorfälle registriert werden, wodurch z. T. hochvertrauliche Informationen nach Außen dringen, was wiederum auch die Wettbewerbsfähigkeit gefährdet.

Neben den öffentlich sehr stark wahrgenommenen Hacking-Attacken werden unzählige Vorfälle in den Unternehmen verzeichnet, die weniger durch Kriminelle als vielmehr durch die eigenen Mitarbeiter verschuldet sind. So zeigte beispielsweise die neueste KES-Sicherheitsstudie, dass über 70 % der Sicherheitsvorfälle im Unternehmen durch die eigenen Mitarbeiter verschuldet werden. Die weitaus meisten sind jedoch keine bewussten oder mutwilligen Verstöße, sondern vielmehr Konsequenzen aus Unwissenheit oder fehlender Sensibilität. Dies legt die Vermutung nahe, dass die Mitarbeiter – also die Nutzer, die in Technikerkreisen auch scherzhaft „Layer 8“ genannt werden – im Rahmen der Sicherheitspolitik im Unternehmen vergessen werden.

Die Erfahrungen der UIMC decken sich hierbei mit den Ergebnissen der besagten KES-Studie, dass viele Mitarbeiter die Sicherheitsmaßnahmen umgehen, entweder weil sie sie nicht verstehen oder weil sie die Erfordernis einer bestimmten Maßnahme nicht erkennen. Hinzu kommt, dass sich viele Unternehmen durch die Sicherheitssoftware und -produkte in „falscher“ Sicherheit wiegen. Hinzu kommt eine modernere Form der Gefahr: Die Mitarbeiter nutzen soziale Netzwerke und geben dadurch entweder Unternehmensinterna direkt preis, indem sie geheime Informationen auf Fotos von Arbeitsplätzen einsehbar machen, oder geben in „Plauderlaune“ andere Interna indirekt einem relativ großen Empfängerkreis „versehentlich“ bekannt.

Dies zeigt, dass nicht nur die Layer 1 bis 7 des OSI-Modells durch die IT-Abteilung „gehärtet“ werden sollten, sondern auch die achte Schicht selbst. Dies kann einerseits durch klare Vorgaben im Rahmen eines Informationssicherheits-Managementsystems erreicht werden. Andererseits zeigt die Erfahrung der UIMC, dass ohne entsprechende Schulung und Sensibilisierung sowohl technische als auch organisatorische Sicherheitsmaßnahmen weit weniger effektiv sind. So muss der Mitarbeiter über Gefahren informiert, auf die Notwendigkeit von Maßnahmen hingewiesen und allgemein eine Aufmerksamkeit für das Thema Informationssicherheit geschaffen werden.

Dabei sollte eine solche Schulungsmaßnahme kein einmaliges Projekt darstellen, sondern vielmehr ein kontinuierlicher Prozess sein, in dem laufend auch aktuelle Themen aufgegriffen werden. Hierzu eignen sich insbesondere E-Learningplattformen, auf die einerseits dezentral zugegriffen werden und auf denen andererseits Inhalte kontinuierlich aktualisiert werden können, ohne großen Organisationsaufwand zu erzeugen. Innerhalb der Kurse können neben (rechtlichen) Grundlagen insbesondere praktische Themen diskutiert und Tipps zur Einhaltung gegeben werden. Die Möglichkeit, durch Tests das erlernte Wissen zu überprüfen, kann die Mitarbeiter zusätzlich motivieren.

Auch wenn der Frage, ob Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos ist, sicherlich nicht kommentarlos zugestimmt werden kann, so wird die Effektivität solcher Maßnahmen durch die Kompetenz und die Sensibilisierung der Mitarbeiter maßgeblich bestimmt.

(26.02.2013) Wenn Mitarbeiter Interna von Unternehmensdächern zwitschern

Die Nutzung von sozialen Netzwerken erfreut sich stetig steigender Beliebtheit, birgt aber bekanntermaßen auch Risiken für die Nutzer. Was in vielen Diskussionen, die derzeit öffentlich geführt werden, oftmals aber vergessen wird, sind die Risiken für die Arbeitgeber bzw. Unternehmen. Die Gefahren sind dabei unabhängig davon, ob sich das Unternehmen aktiv in den sozialen Netzwerken präsentiert oder nicht, schließlich sind viele Mitarbeiter in den sozialen Netzwerken in Ihrer Freizeit aktiv.

Hierbei wird nicht nur in Facebook, sondern auch in anderen Diensten wie Xing, Wissensforen oder Twitter, viel über das Unternehmen gezwitschert (getwittert). Dies ist sicherlich ein ganz natürliches menschliches Verhaltensmuster, schließlich nimmt die Arbeit einen großen Teil des Lebens ein, so dass auch hierüber mit Freunden, Familie und Netzbekanntschaften gesprochen wird. Dies kann aber auch dazu führen, dass Themen, die zuvor in der Kaffeeküche, am Stammtisch oder im heimischen Garten unter wenigen Augen besprochen wurden, in den sozialen Netzwerken einem größeren bzw. zu großem Publikum kommuniziert wird.

Die Erfahrungen und die Berichte in den Medien zeigen, dass einige Mitarbeiter relativ unbedarft mit sozialen Netzwerken umgehen. Somit besteht für das Unternehmen das Risiko, dass

  • Unternehmensinterna oder -geheimnisse „ausgeplaudert“ werden (ggf. auch nur als Randinformation, wenn auf einem Foto vom Arbeitsplatz Bildschirminhalte zu erkennen sind);
  • Kritik oder kritische Meinungen einem größeren Publikum bekanntgegeben werden;
  • die geschäftliche Beziehung zum Arbeitgeber vergessen wird und Meinungen vertreten werden, die dem Unternehmen einen Imageschaden zufügen können;
  • Kriminelle die sozialen Netzwerke bewusst für die eigene „Informationsrecherche“ nutzen (auch unter Vorspielen falscher Identitäten);
  • und vieles mehr, wie die UIMC durch ihre Erfahrungen im Rahmen von zahlreichen externen Datenschutzbeauftragungen stetig neu feststellen „darf“.

Die UIMC hat dabei gute Erfahrungen gemacht, soziale Netzwerke im Unternehmen offen zu thematisieren. So sollten Informationen mit Verhaltensempfehlungen verteilt oder die sozialen Netzwerke im Rahmen von allgemeinen Schulungen zum Datenschutz und zur Informationssicherheit diskutiert werden. Wenn dies innerhalb eines webbasierten E-Learnings, wie z. B. dem eCollege der UIMC, eingebunden wird, kann auch nachhaltig sensibilisiert werden, wenn kontinuierlich über entsprechende Themen informiert wird.

Zudem ist es zielführend, soziale Netzwerke auch in den jeweiligen Unternehmensbereichen oder in der Geschäftsführung durch einen Praxisworkshop zu platzieren… schließlich „zwitschert“ manchmal auch die Unternehmensleitung.

(31.01.2013) Unternehmenssicherheit in Gefahr durch Smartphones? Oder was wir aus der Causa WhatsApp im Unternehmen lernen sollten

In den vergangenen Tagen haben Datenschutz-Behörden ihre Kritik am SMS-Konkurrenten für Smartphones „WhatsApp“ für den automatisierten Adressbuchabgleich geäußert. Um diese (eine der weltweit fünf beliebtesten) App nutzen zu können, wird das gesamte Adressbuch dem Anbieter zugänglich gemacht. Die Nutzung ist freilich freiwillig, doch können sich diejenigen, die im Adressbuch des Nutzers gespeichert sind und eigentlich kein WhatsApp nutzen wollen, nicht dagegen wehren. Zudem wurde die App in der Vergangenheit schon oftmals aufgrund der grundsätzlich unzureichenden Sicherheit kritisiert. In diesem Zusammenhang entstehen nunmehr auch Risiken für Unternehmen und die Vertraulichkeit von Daten.

Nicht zuletzt aufgrund des sog. „Smartphone-Booms“ durch sehr benutzerfreundliche Geräte und Systeme wie das Apple iPhone oder den Android-Betriebssystemen, ist die Nutzung von sog. Mobile Devices auch in Unternehmen sehr verbreitet. Geräte, Systeme und Apps sind aber primär für den Konsumentenmarkt und nicht für das Geschäftsumfeld entwickelt worden, so dass die Schwerpunkte mehr auf Bedienungsfreundlichkeit als auf Sicherheit und Rechtskonformität liegen.

Die Nutzung solcher Systeme aus unternehmerischer Sicht führt zu entsprechenden Risiken, wenn beispielsweise Kalender online synchronisiert, E-Mails abgerufen oder – wie bei der Nutzung von WhatsApp – Daten aus dem Adressbuch des Nutzers (automatisch oder nach Bestätigung) mit einem fremden Anbieter (der auch noch in den USA sitzt, was datenschutzrechtlich ein zusätzliches Problem darstellt) abgeglichen werden.

Dies zeigt – und dies gilt nicht nur für WhatsApp –, dass diese Systeme oftmals datenschutzrechtlich und zum Teil mehr noch im Hinblick auf die Informationssicherheit höchst problematisch sind. Diese mobilen Systeme bieten in der Regel nicht die erforderlichen Sicherheitsfunktionalitäten (wie z. B. Verschlüsselung, zentrale Administration oder Benutzerauthentifizierung), wie es bei anderen mobilen Geräten – Laptops – heute zum aktuellen Stand der Technik gehört.

Diese Problemstellung wird durch den aktuellen Trend des „bring your own device“ (BYOD) noch verstärkt, also die Nutzung von privaten Geräten für geschäftliche Zwecke und mit Zugriff auf geschäftliche Systeme. Anders als bei rein dienstlichen Geräten, die idealerweise durch die IT zentral verwaltet und streng kontrolliert werden, bestehen bei der (auch) geschäftlichen Nutzung privater Geräte Probleme dahingehend, dass die Beschäftigten beim Nutzungsverhalten oftmals keine Unterscheidungen zwischen Privat- und Arbeitsleben vornehmen und dass auch technisch keine Trennung zwischen beiden Nutzungsarten vorgenommen werden kann. Folglich werden ungeprüfte Programme/Apps installiert, die Schadcode enthalten können oder den o. g. Datenabgleich mit z. T. sensiblen Unternehmensdaten vornehmen, was einen Datenschutzverstoß darstellen kann.

Jede IT- und Geschäftsleitung sollte sich daher fragen, ob die Nutzung von aktuellen IT-Trends (wie die Nutzung von Smartphones oder einer BYOD-Strategie) mehr Wert oder mehr Gefahr für das Unternehmen darstellt. Im Rahmen der Nutzen-Risiko-Abwägung ist es erfahrungsgemäß zielführend, dies in den jeweiligen Unternehmensbereichen und vor allem in der Geschäftsführung durch einen Praxis-Workshop zu diskutieren… schließlich ist oftmals auch die Unternehmensleitung die treibende Kraft bei der Umsetzung „mobiler Strategien“.

Näheres unter Praxis-Workshops

(25.09.2012) UIMC/UIMCert auditiert erneut das Informationssicherheitssystem der Aktion Mensch

Die UIMC hat im Überwachungsaudit erneut bestätigt, dass das Informationsmanagementsystem der Aktion Mensch den strengen Anforderungen der ISO 27001 auf der Basis von IT-Grundschutz genügt. Das BSI hat aufgrund der Auditergebnisse die Aufrechterhaltung des Grundschutzzertifikats bestätigt.

Die Aktion Mensch ist die größte Soziallotterie in Deutschland mit Schwerpunkten in der Förderung von Projekten und Einrichtungen der Behindertenhilfe sowie der Kinder- und Jugendhilfe. Außerdem sensibilisiert sie die Öffentlichkeit zu Themen wie der Inklusion – dem selbstverständlichen Miteinander von Menschen mit und ohne Behinderung. Die notwendigen Mittel hierfür generiert sie aus Ihrer Lotterie. Die IT der Aktion Mensch stellt die Grundlagen für die Geschäftsbereiche Lotterie und Finanzen, Marketing, Kommunikation und Aufklärung, Förderung, Personal & Organisation sowie den Bereich IPM (Informations- und Prozessmanagement) dar. Hierzu zählt die Bereitstellung der IT-Infrastruktur, der IT-Systeme, der Anwendungen sowie deren Administration und Support. Nicht zum Verbund gehören die zum Betrieb der Internetplattform der Aktion Mensch erforderlichen IT-Systeme.

Der Untersuchungsgegenstand wurde von Dr. Jörn Voßbein, Geschäftsführer der UIMC und lizenzierter Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz, in Übereinstimmung mit dem Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik, erneut geprüft. Das Überwachungsaudit hat gezeigt, dass Aktion Mensch die Anforderungen der ISO 27001 auf der Basis von IT-Grundschutz weiterhin erfüllt. Aktion Mensch gehört somit weiterhin zu den führenden Unternehmen, die ihr Informationssicherheitssystem sicher und normenkonform betreiben.

Die UIMC und die UIMCert verfügen seit langem über erfahrene Auditoren auf dem Sektor ISO 27001 sowohl nach der nativen Norm als auch auf Basis von IT-Grundschutz. Die Auditoren sind beim Bundesamt für Sicherheit in der Informationstechnik für die Durchführung von ISO 27001-Audits auf der Basis von IT-Grundschutz lizenziert. Der Auditteamleiter und beteiligte Mitglieder des Auditteams haben gemäß den Bedingungen des Standards die Auditierung unabhängig durchgeführt.

Weitere Informationen zu den Möglichkeiten einer Auditierung gemäß ISO 27001 auf der Basis von IT-Grundschutz sowie zum gesamten UIMC-Leistungsprogramm erhalten Sie unter Informationssicherheit

Informationen über die Aktion Mensch finden Sie unter www.aktion-mensch.de (ext.).

(11.09.2012) LfDI Rheinland-Pfalz und UIMC bereiten den Weg zur Umsetzung der OH KIS

Als Fortsetzung des im Juni 2011 begonnenen Dialogs mit den Krankenhäusern im Lande hat der rheinland-pfälzische Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI RP) am 05.09.2012 einen Workshop zum datenschutzgerechten Einsatz von Krankenhausinformationssystemen (KIS) durchgeführt. Grundlage der Tagung war die im Frühjahr 2011 von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu der Thematik veröffentlichte Orientierungshilfe (OH KIS). Neben zahlreichen Vertretern der betroffenen Krankenhäuser und Träger nahmen auch die Krankenhausgesellschaft Rheinland-Pfalz sowie der Bundesverband Gesundheits-IT (bvitg) teil. Auch die UIMC war mit einem Mitarbeiter vertreten, um Ihre Erfahrungen und Kenntnisse bezüglich des Themas Datenschutz im Gesundheitswesen mit einzubringen und zu erweitern.

Einzelne Anwesende hatten zunächst im Laufe der Veranstaltung die Umsetzbarkeit der OH KIS angezweifelt. Gründe hierfür seien unter anderem der nötige finanzielle und personelle Mehraufwand zur Umsetzung der Anforderungen, als auch gewisse unpräzise Formulierungen innerhalb der OH sowie fehlende Referenzierungen zu entsprechenden Datenschutzparagraphen. Auch Michael Heusel-Weiß (LfDI RP) sieht noch punktuellen Nachbesserungsbedarf, vor allem bezüglich der Priorisierung von einzelnen Anforderungen und dem Umgang mit der Protokollierung der Lese- und Schreibzugriffe von Patientenakten. Konkrete Umsetzungsschwierigkeiten stellen unter anderem interne Widerstände (z. B. beim Entzug von Zugriffsrechten einzelner Mitarbeiter) und ein erhöhter Administrationsaufwand dar. Die UIMC kann die Kritikpunkte und den erforderlichen Nachbesserungsbedarf aufgrund der gesammelten Erfahrungen bestätigen. Um den bestehenden Klärungsbedarf abzuarbeiten, seien jedoch bereits für Oktober 2012 Gespräche auf Bundesebene sowie die Evaluierung der OH KIS durch Arbeitsgruppen der zuständigen Datenschutzbeauftragten der Länder geplant.

Neben weiteren Diskussionen, welche einzelne Anforderungspunkte der OH betrafen, wie beispielsweise die Überarbeitung von Support-Verträgen mit den Herstellern hinsichtlich der datenschutzgemäßen Gestaltung der KIS oder die Definition des Umfangs von Lösch- und Archivierungskonzepten, präsentierte Dieter Heuft vom Landeskrankenhaus Rheinland-Pfalz (AöR) ein Referenzprojekt des LfDI RP, bei dem ein Großteil der in der OH geforderten Maßnahmen bereits umgesetzt werden konnten. Auch Pierre Kaufmann, stellvertretender Arbeitsgruppenleiter der bvitg, konnte bezüglich der Aktivitäten von KIS-Herstellern erste Erfolge bei der Umsetzung der OH aufzeigen; wenngleich auch er noch gewisse Spannungsfelder sieht, vorwiegend bei den Themen Patientenschutz/-sicherheit, Schutzmaßnahmen, Arbeitseffizienz sowie technischische und organisatorische Lösungen im Allgemeinen. Zudem nannte Herr Kaufmann als Kernpunkte der OH KIS die Gebiete Protokollierung, Rollen- und Berechtigungskonzept sowie die Löschung und Sperrung von Patientenakten. Außerdem bemerkte er neben zahlreichen anderen Teilnehmern den fehlenden Ärzteaufschrei, was die Umsetzung datenschutzrechtlicher Anforderungen im Gesundheitswesen betrifft. Auch die UIMC stellt bei ihren Projekten fest, dass sich die große Mehrheit der behandelnden Ärzte bislang nicht bzw. kaum mit dem Thema auseinandergesetzt haben.

Sabine Gresch (DRK Trägergesellschaft Südwest mbH), welche 13 verschiedene Krankenhauseinrichtungen im rheinland-pfälzischen Raum datenschutzrechtlich betreut, äußerte im späteren Verlauf der Tagung einen wesentlichen Problempunkt: Wo soll man mit der Umsetzung der OH KIS anfangen? Als Antwort auf diese Frage stellte Herr Heusel-Weiß eine vom LfDI RP vorläufig erstellte Checkliste vor, welche dazu dienen soll, Einzelanforderungen der OH abzufragen, um im Zuge einer Initialisierung einen konkreten datenschutzrechtlichen IST-Zustand der jeweiligen Einrichtung zu erhalten. Daraus resultierende Maßnahmen müssten dann situationsabhängig vom betreffenden Krankenhaus beschlossen werden, zumal beispielsweise einzelne Anforderungspunkte der OH KIS begründet ausgeschlossen werden können. Diese Verfahrensweise zum strukturierten Start einer Umsetzung der OH fand bei der großen Mehrheit der Tagungsteilnehmer eindeutige Zustimmung.

Dies bestätigt die Vorgehensweise der UIMC, welche bereits seit Ende 2011 einen umfangreichen tool-gestützten Fragenkatalog zur Umsetzung der Anforderungen der OH KIS entwickelt, in welchem alle Einzelpunkte durch präzise Fragestellungen abgefragt werden, sodass für ein Krankenhaus klar ersichtlich ist, in welchen Bereichen konkreter Handlungsbedarf besteht, um letztendlich die Anforderungen des jeweiligen Datenschutzgesetzes zu erfüllen.

Weitere Informationen unter www.uimc.de/weitere_analyse-tool.html.

(05.06.2012) Datenschutz mit Best Practice: Ist Outsourcing tatsächlich ein Weg des Mittelstands zu mehr IT-Sicherheit oder doch mehr Risiko?

Gerade kleine und mittelständische Unternehmen stehen vor einem Dilemma: Zum einen haben sie oftmals nicht die Ressourcen und das Know How, eigenständig IT-Systeme sicher zu betreiben. Daher werden Services an einen externen „Profi“ ausgelagert. Auf der anderen Seite wissen sie dann nicht mehr, ob der beauftragte Dienstleister auch sicher und gesetzeskonform arbeitet.

Dann kommen auf den Auftraggeber verschiedene gesetzliche Anforderungen zu, wenn „[…] ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“. Hierbei handelt es sich um eine personenbezogene Datenverarbeitung im Auftrag gemäß § 11 BDSG (der inhaltlich in analoger Form mittlerweile auch in vielen Landes-Datenschutzgesetzen enthalten ist). Hierbei wird oft auch vergessen, dass im Datenschutzrecht kein Konzern-Privileg existiert. Daher müssen die gesetzlichen Anforderungen auch dann berücksichtigt werden, wenn beispielsweise die Muttergesellschaft oder eine Dienstleistungstochter diese Aufgaben übernimmt.

Neben klar definierten Punkten, die vertraglich geregelt sein müssen, was aus der Erfahrung der UIMC oft vergessen wird, ist auch eine (regelmäßige) Kontrolle des Dienstleisters erforderlich. Dies wird regelmäßig aus bloßer Unkenntnis, sehr häufig aber auch deswegen vergessen, weil Unklarheit über die Art und der Weise der Kontrolle besteht. Im Mittelstand fehlen zudem oft auch Know How und Ressourcen für eine solche Auditierung.

Im Rahmen des regelmäßigen Überprüfens ist seitens des Gesetzgebers keine starre Frist (wie z. B. jährlich) vorgesehen; vielmehr ist dies in Abhängigkeit der Größe, Komplexität und „Brisanz“ der Auftrags-Datenverarbeitung durchzuführen. Es muss auch nicht zwingend eine Überprüfung vor Ort und/oder in Person stattfinden, vielmehr kann es auch ein Testat eines Sachverständigen bzw. ein Zertifikat sein, um die Umsetzung der Anforderungen nachzuweisen. Beides sollte stets durch den betrieblichen oder behördlichen Datenschutzbeauftragten beurteilt werden.

Audit-Tools, wie beispielsweise das Dienstleister-Auditierungs-Tool der UIMC, bieten dem Auftraggeber nicht nur einen etablierten und standardisierten Fragenkatalog, sondern auch eine effiziente Prüf- und Dokumentationsmöglichkeit. Darüber hinaus bietet es den Dienstleistern selbst auch die Möglichkeit, dies in Form eines Selbst-Checks durchzuführen und die Ergebnisse den Kunden proaktiv (auch im Sinne einer vertrauensbildenden Maßnahme) zur Verfügung zu stellen.

Im Rahmen des „informativen Tags der offenen Tür: Datenschutz mit Best Practice“ werden seitens erfahrener Referenten der UIMC am 21.06.2012 bei Vorträgen die rechtlichen Anforderungen und typischen Schwierigkeiten, Probleme und besonderen Anforderungen dargestellt. Hierbei sollen Beispiele aus der Praxis angeführt werden, wie diese Vorgaben des Gesetzgebers pragmatisch umgesetzt werden können/sollen. Auch die Möglichkeit und die Vorteile einer etwaigen Zertifizierung und weitere Datenschutzthemen können an diesem Tage diskutiert werden. Die Veranstaltung ist kostenfrei.

Weitere Informationen unter www.uimc.de/saarbruecken

(08.03.2012) UIMC auf der IT-Trends Sicherheit: Social Media im Unternehmen – Mehr Wert oder mehr Risiko?

Die Nutzung von Social Media (also von Facebook, Twitter, Xing und Co.) wird immer populärer. Doch bieten Social-Media-Dienste nicht nur Chancen und Möglichkeiten für das Unternehmen, sondern bergen auch Risiken. Sei es im Hinblick auf die Reputation, aber auch im Hinblick auf den Datenschutz und die Informationssicherheit. So wurden in der jüngeren Vergangenheit Fälle bekannt,

  • bei denen Mitarbeiter über Facebook „ausgehorcht“ wurden (vermeintliche Freunde entpuppen sich als Mitarbeiter des Wettbewerbers) oder
  • bei denen Informationen unfreiwillig durch Mitarbeiter veröffentlicht wurden (auf einem Foto vom Arbeitsplatz sind geheime Zeichnungen oder Produkte eines Kunden zu sehen) oder
  • bei den Fotos von Kollegen ohne deren Einverständnis in einem sozialen Netzwerk veröffentlicht wurden (Schnappschüsse wurden mittels Handykamera und App noch während der Betriebsfeier „gepostet“) oder
  • bei denen die Beschäftigten „digital gemoppt“ wurden, was auch zu einem Verstoß gegen das Allgemeine Gleichbehandlungsgesetz führen kann (es wird in aller Öffentlichkeit gelästert).

Auch wenn dies alles keine neuen Phänomene sind, so werden diese Verhaltensweisen durch soziale Medien vereinfacht, gefördert und in den Auswirkungen verstärkt. So wurden Fotos schon immer gezeigt oder gelästert, doch passierte dies früher im kleinen Kreis in der Kaffeeküche oder zu Hause.

Mittlerweile kann kein Unternehmen mehr die Augen hiervor verschließen, ob man diese Dienste nun bewusst als Kanal der Unternehmenskommunikation nutzen will oder weil die Mitarbeiter sie einfach privat nutzen. Daher sollten Regelungen geschaffen und Sensibilisierungen vorgenommen werden.

So sollte sich die Unternehmensleitung demnach nicht nur über die Chancen, sondern auch über die Risiken von sozialen Netzwerken informieren. Eine Möglichkeit hierzu besteht bei dem praxisnahen Vortrag der UIMC auf der diesjährigen „IT-Trends Sicherheit“, die im rewirpower-Stadion in Bochum am 28.03.2012 zum achten Male stattfindet. Dieser Fachkongress ist hierbei nicht nur ein Ort des fachlichen Austauschs, sondern bietet auch ein außergewöhnliches Ambiente mit direktem Blick in das Stadion des VfL Bochum, um über Datenschutz und IT-Sicherheit zu fachsimpeln.

Der Clou: Bei Vorlage einer Visitenkarte und eines bei der UIMC auf der „IT-Trends Sicherheit“ erhältlichen Coupons erhalten Interessierte einen kostenfreien Zugang zur Beta-Version zum eCollege, der neuen webbasierten Lernplattform der UIMC. Hiermit kann eine sinnvolle und kompetente Schulung und Sensibilisierung der Mitarbeiter stattfinden, so dass o. g. Gefahren begegnet werden kann.

Nähere Informationen unter www.uimc.de/it-trends2012.html

(14.12.2011) Entwurf zur EU-Datenschutzverordnung – Fluch oder Segen?

Die EU-Kommission plant im Jahr 2012 eine EU-weit gültige Datenschutzverordnung, die das Datenschutzniveau in allen der EU angehörigen Staaten auf ein einheitliches Maß zusammenführen soll.

Dieser Entwurf bietet aus Sicht der UIMC neben diversen positiv zu bewertenden Ansätzen auch eine schwerwiegende und als äußerst negativ einzuschätzende Änderung in Bezug auf einen datenschutzkonformen Umgang mit personenbezogenen Daten.

Starker Persönlichkeitsschutz und starke Aufsichtsbehörden!

Interessante Neuerungen, so die UIMC, umfassen die erhöhten Anforderungen zur außereuropäischen Datenverarbeitung, die Gleichstellung von internem und externem Datenschutzbeauftragten, den Schutz vor Profilbildung und das Recht auf Datenportabilität. Weiterhin ist die Stärkung der Rolle der Aufsichtsbehörden geplant und eine damit einhergehende Erweiterung der Rechte und Pflichten bis hin zur Untersagung von Datenverarbeitungstätigkeiten oder Datenübermittlungen sowie der Information der Öffentlichkeit.

Ignoranz und Unwilligkeit wird ein teueres Vergnügen!

Die geplanten Strafen und Bußgelder können bis zu 1.000.000 € oder 5% des weltweiten Unternehmensumsatzes erreichen. Diese Neuregelung in Kombination mit den weiterführenden Rechten und Möglichkeiten der neuen Aufsichtsbehörden wird dazu führen, dass Datenschutz im Unternehmen ernst zu nehmen ist und dies auch dem letzten Unwilligen die Risiken deutlich vor Augen führen wird.

KMU = datenschutzfreie Zone?

Einen großen Wermutstropfen in diesen Änderungen stellt die geplante Absenkung der Erfordernis zur Bestellung eines betrieblichen Datenschutzbeauftragten auf mindestens 250 Mitarbeitern im gesamten Unternehmen dar. Dies würde nach Ansicht von Dr. Jörn Voßbein dazu führen, dass vor allem im Bereich der klein und mittelständischen Unternehmen, welche in Deutschland ca. 80% aller Gewerbetreibenden ausmachen, der Datenschutz möglicherweise als notwendiges Übel ohne erforderliche inhaltliche Ausgestaltung angesehen wird. Ohne einen in Fragen des Datenschutzes unabhängigen Verfechter zur Einhaltung der einschlägigen Gesetze wird sich das Gefährdungspotenzial für Verstöße gegen den Datenschutz innerhalb vieler Unternehmen exponentiell erhöhen.

Senkung des Datenschutzniveaus? UIMC sagt NEIN!

Durch die einerseits erfolgte Stärkung der Aufsichtsbehörden und die signifikante Anhebung der möglichen Sanktionen sowie die andererseits gesenkte Anforderung zur Bestellung eines betrieblichen Datenschutzbeauftragten und der damit verbundenen hohen Wahrscheinlichkeit des Verlusts der datenschutzkonformen Verarbeitung von personenbezogenen Daten in vielen kleinen und mittelständischen Unternehmen wird das potentielle Risiko, zum Ziel einer Sanktion durch die Aufsichtsbehörden zu werden, drastisch erhöht.

Darum ist die UIMC der Meinung, dass die EU-Kommission hier dringend nachbessern sollte und die Grenze für die Bestellung eines betrieblichen Datenschutzbeauftragten deutlich nach unten korrigiert werden muss. Dies stellt von Seiten der UIMC eine Notwendigkeit zur Erhaltung des erreichten hohen Datenschutzniveaus innerhalb Deutschlands dar.  

(13.09.2011) Datenschutz sicherstellen bei StVO-Verstoß mit Dienstwagen

Die Übermittlung der Fahrerdaten bei Fahrern eines Firmenfahrzeugs im Rahmen eines StVO-Verstoßes muss rechtmäßig vorgenommen werden, meint die UIMC.

Grundsätzlich ist die Datenübermittlung gemäß § 4 Absatz 1 BDSG nur dann zulässig, wenn „dieses Gesetz [BDSG] oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“ Wenn eine Einwilligung nicht gegeben ist, kann nur eine Rechtsvorschrift die Übermittlung legitimieren.

Die UIMC meint: Eine Betriebsvereinbarung kann eine solche Rechtsvorschrift darstellen. Ferner kann gemäß § 28 Absatz 1 Nr. 1 BDSG durch einen Vertrag (in diesem Fall „Dienstwagen-Überlassungsvertrag“) eine solche Legitimation herbeigeführt werden. Eine solche Regelung muss dann jedoch in dem Vertrag enthalten sein, z. B. durch einen Passus „Der Mitarbeiter ist dazu verpflichtet, behördliche Geldstrafen und Bußgelder […] zu tragen.“

Eine Datenübermittlung ist gemäß § 28 Absatz 1 Nr. 2 BDSG auch dann zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Eine Datenverarbeitung erfolgt dann zur Wahrung berechtigter Interessen, wenn sie zur Erreichung der Geschäftszwecke der verantwortlichen Stelle im weitesten Sinne erforderlich ist. Hierunter fallen auch wirtschaftliche Interessen, die zur Optimierung des satzungsgemäßen Institutionsgegenstands dienen, wie z. B. Verringerung der Kosten. Da bei einer wiederholten Nichtbeantwortung von Schreiben der Behörden die Auflage ergehen kann, Fahrtenbücher führen zu lassen, scheint die Datenübermittlung der Fahrerdaten an die Behörden ein berechtigtes Interesse des Arbeitgebers darzustellen.

Hingegen ist nach Auffassung der UIMC eine Übermittlung dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle überwiegt. Hierzu sind die Belange des Betroffenen den berechtigten Interessen der verantwortlichen Stelle gegenüberzustellen und miteinander abzuwägen.

Das schutzwürdige Interesse des Betroffenen umfasst jedoch nach dem Zweck des Gesetzes nicht jedes denkbare Interesse. Erforderlich ist vielmehr eine negative Beeinträchtigung von gewisser Intensität. Gegenstand des Verfahrens ist jedoch ein ordnungswidriges Verhalten des Mitarbeiters. Die Argumente sprechen für ein Überwiegen der berechtigten Interessen der verantwortlichen Stelle.

Fazit der UIMC: Somit erscheint die Übermittlung der Fahrerdaten bzw. der Daten des Dienstwagennutzers an die entsprechende Behörde gemäß § 28 Absatz 1 Nr. 2 BDSG zulässig. Nichtsdestoweniger könnte eine Verfahrensregel festlegen, dass bei Vorliegen z. B. des zweiten Schreibens/Ermahnungsschreiben der Behörde der Dienstwagennutzer darüber informiert wird, das – sofern er sich nicht selbst bei der Behörde meldet – seine Daten entsprechend weitergeleitet werden.

(10.08.2011) UIMC auditiert erfolgreich IT-Sicherheitssystem der Aktion Mensch

Die UIMC hatte in einem Audit zur Erlangung des BSI-Grundschutz-Zertifikats der Aktion Mensch bestätigt, dass ihr IT-System den strengen Anforderungen der ISO 27001 Grundschutz genügt. Das BSI hat aufgrund der Vorlage der Auditergebnisse das Grundschutzzertifikat erteilt.

Der Aktion Mensch e. V., Heinemannstraße 36 in 53175 Bonn, ist eine bedeutende Organisation im sozialen Bereich mit Schwerpunkten in der Förderung von Projekten und Einrichtungen der Behindertenhilfe sowie der Kinder- und Jugendhilfe und der Aufklärung. Die notwendigen Mittel hierfür generiert er aus seiner Soziallotterie. Die IT der Aktion Mensch stellt die Grundlagen für die Geschäftsbereiche Lotterie und Finanzen, Marketing, Kommunikation und Aufklärung, Förderung, Personal sowie den Bereich IT&O (Informationstechnologie und Organisation) dar. Hierzu zählt die Bereitstellung der IT-Infrastruktur, der IT-Systeme, der Anwendungen sowie deren Administration und Support. Nicht zum Verbund gehören die zum Betrieb der Internetplattform der Aktion Mensch erforderlichen IT-Systeme.

Der Untersuchungsgegenstand wurde von Dr. Jörn Voßbein, Geschäftsführer der UIMC und lizenzierter Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz, in Übereinstimmung mit dem Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik geprüft. Die im Auditbericht enthaltenen Schlussfolgerungen des Auditors sind im Einklang mit den erbrachten Nachweisen, was zur Ausstellung des Zertifikats führte.

Die UIMC verfügt seit langem über erfahrene Auditoren auf dem Sektor ISO 27001 Grundschutz. Die Auditoren sind beim Bundesamt für Sicherheit in der Informationstechnik für die Durchführung von ISO 27001-Audits auf der Basis von IT-Grundschutz unter der Lizenznummer BSI-IGL-0118-2007 und BSI-IGL-0102-2006 lizenziert. Der Auditteamleiter und beteiligte Mitglieder des Auditteams haben gemäß den Bedingungen des Standards die Auditierung unabhängig durchgeführt.

(06.07.2011) UIMC stellt fest: Gesundheitswesen wird datenschutzbewusster

Die UIMC - seit Jahren fest etabliert im Datenschutz für das Gesundheitswesen - stellt in der letzten Zeit zunehmend fest, dass der in der Vergangenheit im Gesundheitswesen eher vernachlässigte Datenschutz an Bedeutung gewonnen hat. Hierfür gibt es eine Anzahl von Indikatoren:

        die Anzahl von Tagungen und Kongressen über Datenschutz im Gesundheitswesen ist in diesem Jahr deutlich gestiegen
        Seminare, die sich mit dem Thema „Datenschutz im Gesundheitswesen" beschäftigen, sind im Verlauf des Jahres 2011 deutlich stärker nachgefragt und besser besetzt
        Institutionen des Gesundheitswesens stellen mehr Anfragen nach Datenschutz Coaching, mit der Zielsetzung, die Datenschutzsysteme zu verbessern
        die Nachfrage nach externer Betreuung im Rahmen des Datenschutzes mit dem Ziel, das vorhandene Datenschutzsystem ordnungsgemäß zu gestalten, ist größer geworden.

Lange Zeit hindurch waren Institutionen des Gesundheitswesens der Auffassung, dass die ärztliche Schweigepflicht und die damit verbundene Regelungen für medizinisches Personal ausreichend sein dürften, um den Datenschutz gewissermaßen nebenbei zu erledigen. Insbesondere das Vordringen des Qualitätsmanagementgedankens sowie die stärkere Konzentration auf Zertifizierungen dürften mit dazu beigetragen haben, das Bewusstsein für einen ordnungsgemäßen und den gesetzlichen Vorschriften entsprechenden Datenschutz zu schärfen. Hierbei ist den Beobachtungen der UIMC zufolge festzustellen, dass die Qualität der angebotenen Seminare sowie die Themenzentriertheit von Tagungen und Kongressen häufig verbesserungswürdig ist. Die Seminare der UIMC zum Datenschutz im Gesundheitswesen sind grundsätzlich hoch themenzentriert und bieten als Kompaktseminare ein Maximum an qualifizierter und spezialisierter Information.

Das nächste Seminar zum Datenschutz im Gesundheitswesen, welches die UIMC durchführt, findet am 23.09.2011 statt. Informationen zum Seminarprogramm können unter Termine abgerufen werden. Auch weitere Informationen zum Leistungsprogramm der UIMC sind unter der Adresse www.uimc.de erhältlich.

(27.06.2011) UIMC fragt: Heißt Social-Media- bzw. Instant-Messenger-Dienste zu gestatten, Datenschutzprobleme zu ignorieren?

Die UIMC meint: In Unternehmen und Behörden stellt sich oft die Frage, ob es aus Sicht des Datenschutzes Bedenken gibt, spezielle Social-Media- bzw. Instant-Messenger-Dienste wie zum Beispiel Twitter oder den Googledienst „google talk“ für die dienstliche Nutzung den Mitarbeitern zur Verfügung zu stellen.

Grundsätzlich muss es das Ziel der Institution sein – unter Berücksichtigung der gesetzlichen Vorgaben – die verschiedenen Möglichkeiten, die das Internet bietet, zu einer möglichst guten Informationsversorgung sowie einer umfassenden Unterstützung der täglichen Arbeit in Produktion, im Marketing sowie der Verwaltung zu nutzen. Gleichzeitig führt die Sensibilität der personenbezogenen Daten des Unternehmens zu einem besonders hohen Sicherheitsanspruch. Dies gilt selbstverständlich auch für Behörden.

Nach den Bundes- und verschiedenen Landesdatenschutzgesetzen sind im Umgang mit personenbezogenen Daten und besonderen Arten von personenbezogenen Daten technische und organisatorische Maßnahmen sicherzustellen, welche gewährleisten sollen, dass

 

  • nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit)
  • personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
  • personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
  • jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität)- festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit)
  • die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz)

Dies bedeutet nach den gesetzlichen Grundlagen, dass die Sicherstellung der Vertraulichkeit und der Integrität der personenbezogenen Daten sowie auch die Gewährleistung der Verfügbarkeit allen anderen mit der Nutzung des Internets angestrebten Zielen überzuordnen ist. Im Regelfall wird nach Feststellungen der UIMC für andere hoch vertrauliche/vertrauliche Daten der Institution ähnliches gelten. Die Forderungen des gesetzlichen Datenschutzes werden sich damit kaum von denen der Forderung nach Vertraulichkeit unternehmerischer/sonstiger institutioneller Daten unterscheiden, so dass der Einsatz solcher – oftmals für Konsumenten und nicht für Institutionen konzipierten – Dienste zumindest kritisch hinterfragt werden sollte.

Ferner haben Social-Media- bzw. Instant-Messenger-Dienste die Besonderheit, dass eine schnelle Kommunikation und rasche Reaktion auf aktuelle Begebenheiten möglich sind. Hierdurch entfällt eine redaktionelle Kontrolle, wie sie bei klassischen PR-Medien in der Regel vorgenommen wird. Dies kann dazu führen, dass nicht mit der gebotenen Sorgfalt kommuniziert wird, was die aktuellen Meldungen von ungewollten Facebook-Partys oder Skandalen um US-Politiker zeigen.

Institutionen sollten demnach den Mitarbeitern nur diejenigen Internet- und Intranetdienste zur Verfügung stellen, welche zum einen für die tägliche Arbeit zwingend notwendig sind, und die zum anderen die notwendigen Sicherheitsfunktionen beinhalten, um eine datenschutzkonforme Nutzung von vertraulichen Daten sicherzustellen. Jegliche Nutzung von Diensten, welche nicht durch die Institution freigegeben wurden, sollte untersagt werden. Institutionen, die anders verfahren, handeln leichtfertig.

Vor der Klärung dieser Fragestellungen empfiehlt die UIMC, die Nutzung von solchen Diensten zu verbieten, zumindest aber zu reglementieren.

(07.06.2011) UIMC fragt: Ist Ihr Salesinformationssystem datenschutzordnungsgemäss?

Der Einsatz von Salestools mit dem Zweck Salesinformationen multinational zu nutzen und eine einheitliche Toolunterstützung zu erreichen, ist grundsätzlich datenschutzkonform gestaltbar, meint die UIMC. Um diese Rechtskonformität sicherzustellen, sind jedoch einige gravierende Herausforderungen zu lösen.

Grundsätzlich werden in solchen Systemen sowohl Kundendaten als auch Daten der Mitarbeiter verarbeitet. Hierbei sind auf Seiten der Mitarbeiterdaten zwei grundsätzliche Datenkategorien zu unterscheiden, die Inhaltsdaten der Vertriebsmitarbeiter, die zum Zwecke der Vertriebs-steuerung und -potenzialsnutzung verarbeitet werden, sowie die im Rahmen der Nutzung des Systems anfallenden Protokollierungsdaten über die Nutzer.

Bei den Kundendaten handelt es sich primär um Informationen über Ansprechpartner spezifischer institutioneller Kunden, die oft aus allgemein zugänglichen Quellen beschafft werden können. Darüber hinaus sind aber auch eigene Informationen wie Telefon-Durchwahlen oder E-Mail-Adressen, gegebenenfalls auch Endkundenadressen mit einem stärker vertraulichen Charakter zu betrachten.

Nach den Erfahrungen der UIMC ist bei den Lösungsansätzen zur Herstellung einer datenschutzgerechten Lösung von Bedeutung, dass ein Großteil der Anforderungen nicht grundsätzlich auf spezifisch deutschen Datenschutzregelungen basieren sollte, sondern eine Rechtssituation widerzuspiegeln hat, wie sie in allen Ländern der EU gilt. Wenn vorgesehen ist, Länder außerhalb der EU einzubinden - besonders häufig dürfte dies bei den USA der Fall sein, insbesondere wenn die Muttergesellschaft eines internationalen Konzerns dort ihren Sitz hat - hat dieses weitere rechtliche Folgen für die Konstruktion einer datenschutzgerechten Lösung.

Folgende datenschutzrechtliche Fragestellungen sollen im Focus einer Betrachtung stehen:

  • Zulässigkeit der Datenerhebung/-verarbeitung
  • Zulässigkeit des Datentransfers
  • Aspekte der technischen und organisatorischen Maßnahmen, insbesondere des Berechtigungskonzeptes.

Diese Fragestellungen sind für beide der genannten Datenkategorien von Bedeutung.

Mit diesen drei Punkten werden die wichtigsten Fragestellungen betrachtet, wobei es dabei nicht Ziel ist, alle datenschutzrechtlichen Fragestellungen umfassend abzuhandeln.

Als Empfehlung lässt sich festhalten, dass insbesondere die folgenden Punkte einer unternehmensspezifischen Regelung bedürfen, um ein salesunterstützendes System ordnungsgemäß betreiben zu können:

 

  • Es sind gegebenenfalls Vereinbarungen mit der Mitarbeitervertretung zu treffen, die die Rechtmäßigkeit der notwendigen Datenerhebung, -verarbeitung und des vorgesehenen Datentransfers sicherstellen.
  • Es ist notwendig, konzernübergreifende Lösungen zu entwickeln, die einen Datentransfer von personenbezogenen Daten aus Europa in die USA gestatten.
  • Es sind vertragliche Lösungen für die Datenverarbeitungsbestandteile mit Auftragsdatenverarbeitungscharakter zu gestalten. (§ 11 BDSG)
  • Es sind organisatorische Regelungen zu erarbeiten, die den Ausgleich von verbleibenden technischen Schwachstellen ermöglichen. Hierzu gehört auch die Entwicklung von Organisationsanweisungen zur Durchsetzung der Ordnungsmäßigkeitsanforderungen in verschiedenen europäischen Ländern.

(04.05.2011) UIMC und UIMCert auf dem 12. IT-Sicherheitskongress des BSI topaktuell mit „Risikobeherrschung und Datenschutz-Konformität beim Cloud Computing“

Auf dem 12. Deutschen IT-Sicherheitskongress des BSI „Sicher in die digitale Welt von morgen“ vom 10.-12. Mai 2011 in der Stadthalle Bonn-Bad Godesberg sind UIMC und

UIMCert wieder mit einem Ausstellungsstand vertreten. UIMC/UIMCert laden recht herzlich zu einem Besuch zu fachlichen Gesprächen in ungezwungener Atmosphäre ein. Gleichzeitig können auch tiefere Einblicke in das gesamte Leistungsprogramm gewonnen werden.

In diesem Jahr setzen sich UIMC/UIMCert mit dem aktuellen IT-Trendthema: „Risikobeherrschung und Datenschutz-Konformität beim Cloud Computing“ auseinander. So wird den Besuchern die aktuelle Studie der UIMCert vorgestellt (Ergebnisse der Anbieterbefragung auf der CeBIT 2011). UIMC/UIMCert haben darüber hinaus auch Lösungshilfen für Entscheider entwickelt, die Ansätze enthalten, das Risiko und den Datenschutz beim Cloud Computing besser zu beherrschen. Dies und weitere Themen zum Datenschutz und zur IT-Sicher-heit/Informationssicherheit können am Ausstellungsstand kompetent in persönlichen Gesprächen diskutiert werden.

Als kleines „Bonbon“ erhalten die Besucher des Ausstellungsstands der UIMC/UIMCert

  • die UIMCert-Studie zum Cloud Computing (unter Verzicht auf die sonst übliche Schutzgebühr) kostenfrei in Verbindung mit der Checkliste „Entscheidungshilfen beim Cloud Computing“ und
  • einen Gutschein zur kostenfreien Teilnahme am Ganztages-Seminar des UIMCollege „Auditierung und Zertifizierung gemäß ISO/IEC 27001“.

Eine Kurzfassung der Studie steht zum Download unter www.uimcert.de bereit.

Der BSI IT-Sicherheitskongress selbst bietet neben interessanten Fachvorträgen auch ausreichend Möglichkeiten, im Rahmen der Begleitausstellung generell Fachgespräche mit Herstellern zu führen. Besucher finden eine vielfältige Auswahl an Ausstellern und eine komprimierte, breite Auswahl an Anbietern in der IT-Sicherheit. Datenschutz als Teil der IT-Sicherheit wird allerdings vor allem von UIMC/UIMCert vertreten.

(02.05.2011) UIMC empfiehlt: Arbeitgeber sollten Risiken der Privatnutzung von Kommunikationsdiensten vermeiden

Nach den Beobachtungen der UIMC wird immer mehr Mitarbeitern der Zugang zu Kommunikationsdiensten als ein Arbeitsmittel zur Verfügung gestellt. Um diese Dienste technisch zu ermöglichen, darf der Arbeitgeber die hierfür erforderlichen personenbezogenen Daten der Mitarbeiter verarbeiten. Bei der Beurteilung, ob und inwieweit der Arbeitgeber die Mitarbeiter darüber hinaus anhand der Verbindungs- und Nutzungsdaten kontrollieren und überwachen darf, ist es von Bedeutung, ob den Mitarbeitern neben der dienstlichen auch die private Nutzung der Kommunikationsdienste am Arbeitsplatz gestattet wird.

Hat der Arbeitgeber die private Nutzung der Kommunikationsdienste erlaubt oder nicht explizit verboten und kontrolliert, so gelten die Vorschriften des Telekommunikationsgesetzes bzw. die Regelungen des Telemediengesetzes, da der Arbeitgeber in diesem Fall seinen Mitarbeitern gegenüber die Funktion eines Telekommunikations- bzw. Telemedienanbieters wahrnimmt. Als solcher hat er das Fernmeldegeheimnis nach § 88 TKG zu beachten. Ohne weitergehende Regelung sind hier etwa bereits die Durchführung der technischen und organisatorischen Maßnahmen, die Sicherstellung bestehender Dokumentations- und Aufbewahrungspflichten, eine Kontrolle und Verhinderung rechtswidriger Nutzung oder gar der Einsatz von Spam-Filtern nicht bzw. nur problematisch möglich. Auch Vertretungs- und Nutzungsregeln im Rahmen der E-Mail-Nutzung bergen Gefahren.

Die UIMC meint hierzu: Die sich aus der Rechtslage ergebenden unterschiedlichen Konsequenzen für die Durchführung von Kontrollmaßnahmen stellen den Arbeitgebern – will er die private Nutzung der Kommunikationsdienste grundsätzlich erlauben – in der Praxis vor das Problem, die dienstliche von der privaten Nutzung abgrenzen zu müssen. Der Arbeitgeber ist allerdings nicht verpflichtet, die private Nutzung der Kommunikationsdienste zu gestatten.

Für die Praxis sind grundsätzlich drei Lösungsmöglichkeiten denkbar:

  • Erlaubnis bzw. (ggf. stillschweigende) Duldung der privaten Nutzung;
  • Verbot der privaten Nutzung der Kommunikationsdienste;
  • Eingeschränkte Erlaubnis zur Privatnutzung unter Gleichstellung privater und dienstlicher Nutzung.

Eine ungeregelte Nutzung ist im Hinblick auf die gesetzlichen Rahmenbedingungen nicht praktikabel zu handhaben. Mit dem umfassenden Verbot der privaten Nutzung hat folglich jede Nutzung dienstlichen Charakter. Nach Auffassung der UIMC ist das generelle Verbot der Kommunikationsdienste ist aus Sicht des Datenschutzes die einfachste und klarste Lösung.

Eine praktikable und aus Datenschutzsicht vertretbare Lösung geht davon aus, lediglich eine beschränkte Erlaubnis zur Privatnutzung unter der Bedingung der Gleichbehandlung zur dienstlichen Nutzung zu erteilen. In diesem Fall ist keine technische Trennung nach dienstlicher und privater Nutzung vorzunehmen; die bei der privaten Nutzung anfallenden Daten werden in die Kontrollmaßnahmen für den Bereich der dienstlichen Nutzung einbezogen. Dies kann durch die Einholung einer individuellen Einwilligung in die Verarbeitung der bei der privaten Nutzung anfallenden Daten erfolgen. Insbesondere für große Unternehmen ist dieser Weg jedoch häufig wenig praktikabel. Besteht insofern Bedarf nach einer einheitlichen Regelung, so kommt hier der Abschluss einer Betriebsvereinbarung in Betracht. In dieser kann die private Nutzung und deren Einschränkung umfassend geregelt werden.

(11.04.2011) UIMC zeigt auf der „IT-Trends Sicherheit“ den Weg zur Risikobeherrschung beim Mobile Computing

Der Trend zur stärkeren Mobilität in Unternehmen (also die Nutzung von Smartphones, Laptops oder Tablett-PCs) bringt viele Vorzüge, Chancen und neue Arbeitsplatzmodelle mit sich. Doch auch Risiken im Rahmen der IT-Sicherheit sowie rechtliche Aspekte müssen im Rahmen der Planung und Umsetzung von Mobile Computing betrachtet werden. Dies hat die UIMC im Rahmen ihres Vortrags „IT-Trends, aber sicher und datenschutzkonform!? Risikobeherrschung bei Mobile Computing“ auf der diesjährigen „IT-Trends Sicherheit“ näher beleuchtet.

Als führendes Beratungsunternehmen im Bereich Datenschutz mit hohen Kompetenzen im Rahmen der Auditierung, der IT-Sicherheit und des Managements kann die UIMC von langjährigen Erfahrungen in diesen Bereich berichten. Die „IT-Trends Sicherheit“, die im rewirpower-Stadion Bochum am 30.03.2011 stattgefunden hat, ist hierbei nicht nur ein Ort des fachlichen Austauschs, sondern bietet auch ein außergewöhnliches Ambiente mit direktem Blick in das Stadion des VfL Bochum, um über Datenschutz und IT-Sicherheit zu fachsimpeln.

Der Clou: Bei Vorlage von einer Visitenkarte und eines bei der UIMC erhältlichen Coupons haben die Besucher der „IT-Trends Sicherheit“ einen kostenfreien „Starter-Check“ erhalten. Mit Hilfe des Starter-Checks hat der Anwender die einmalige Möglichkeit eine Kurz-Analyse des Status Quo der IT-Sicherheit (gemäß ISO 27001-02), des Datenschutzes (insb. gemäß BDSG) und des Unbundlings (gemäß EnWG) durchzuführen. Doch auch die Maßnahmenplanung und eine quantitative Auswertung der Ergebnisse werden durch das UIMC-Tool zur Analyse und Berichterstattung (kurz UTAB) ermöglicht.

Im Rahmen der vom Veranstalter durchgeführten Tombola hatte die UIMC ebenfalls einen hochwertigen Preis ausgelobt: Für den Gewinner führt die UIMC ein Audit bei einem seiner Dienstleister (Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung gemäß § 11 BDSG) vor Ort durch und bereitet die Ergebnisse im Rahmen eines Status-Quo-Berichts sowie einer Maßnahmenliste auf. Hierzu stellt die UIMC einen kompetenten Berater, wobei auch das UIMC-Dienstleister-Auditierungstool genutzt wird. Hintergrund hierbei sind Vorgaben des novellierten Bundesdatenschutzgesetzes, wonach sich der Auftraggeber beim Auftragnehmer vor Beginn der Datenverarbeitung und „sodann regelmäßig“ von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen muss, was auch zu dokumentieren ist.

(01.03.2011) UIMC weist auf Datenschutzmängel bei Hauspostsystem hin

Der Post- bzw. Dokumentenverkehr innerhalb größerer und dezentraler Systeme ist aus datenschutzrechtlicher Sicht häufig problematisch und nicht datenschutzgesetzkonform gelöst.

Die UIMC gibt aus ihren Erfahrungen in Behörden und anderen Großinstitutionen einige Tipps, die zur Verbesserung beitragen sollen, wenn auch die konkrete Einzellösung häufig komplexer ist. Folgende Regeln sollten aber als Minimalregeln beachtet werden:

 

  1. Die Mitarbeiter müssen über die gesetzlichen Vorschriften zum Schutz personenbezogener Daten informiert sein. Hierbei ist zu beachten, dass es gem. Gesetz zwei Schutzstufen gibt. Es ist die Pflicht des DSB, entsprechende Unterrichtungen vorzunehmen.
  2. Es sollten schriftliche Regelungen über den Umgang mit Postinhalten, besonders bezüglich der Hauspost bestehen. Hierin ist vorzusehen, dass Post mit personenbezogenen Inhalten grundsätzlich in verschlossenen Umschlägen oder anderen Transportbehältern weitergegeben werden dürfen.
  3. Die Postverteilungsfächer sollten grundsätzlich nicht offen zugänglich und ohne Kontrollmöglichkeiten sein, es sei denn, es handelt sich um verschließbare Postfächer.

Nach Auffassung er UIMC ist das Problem der Postverteilung bei strenger Auslegung der gesetzlichen Anforderungen sehr aufwendig, in vielen Fällen kaum praktikabel und hinsichtlich des Aufwands auch unverhältnismäßig. Andererseits werden innerhalb einer Institution sehr viele Dokumente hin- und hergeschickt, die personenbezogene Daten enthalten. Daher ist ein praktikabler Weg zu finden, der handhabbar ist und gleichzeitig vertrauliche Daten und/oder personenbezogene Daten vor unbefugter Kenntnisnahme schützt. Aber es gilt auch, diejenigen vor dem Vorwurf der unberechtigten Kenntnisnahme zu schützen, die solche Dokumente innerhalb des Hauses bzw. zwischen den Standorten transportieren sowie generell zu verhindern, dass auch Dritten eine leichte Kenntnisnahme personenbezogener Daten ermöglicht wird.

(17.12.2010) Düsseldorfer Kreis bestätigt UIMC Mindestanforderungen an Datenschutzbeauftragte

Die UIMC wird in ihrer Unternehmenspolitik durch den Düsseldorfer Kreis, die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, bestätigt. Dieser hat in einem Beschluss „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“ festgelegt.

Prof. Dr. Reinhard Voßbein hat schon vor über 10 Jahren in einem zusammen mit Dr. Heiko Haaz - heute beide Partner der UIMC - durchgeführten Projekt die Anforderungen an Fachkunde und persönliche Vorbedingungen für einen Datenschutzbeauftragten erarbeitet. Diese wurden mehrfach veröffentlicht, unter anderem in einem Artikel sowie einer Broschüre der Gesellschaft für Datenschutz und Datensicherheit GDD mit dem Titel „Anforderungen an die Fachkunde und Zuverlässigkeit des betrieblichen Datenschutzbeauftragten gemäß Paragraph 36 Abs. 2 BDSG".

Bemerkenswerte Anforderungen - schon damals zur Diskussion gestellt und heute vom Düsseldorfer Kreis bestätigt – sind:

  • Branchenspezifische Kenntnisse (z. B. Gesundheitswesen)
  • Betriebswirtschaftliche Grundkompetenz (Personalwesen, Leistungserstellungsprozesse)
  • Kenntnisse der technischen und organisatorischen Struktur (Aufbauorganisation, Abläufe)
  • Kenntnisse im praktischen Datenschutzmanagement (spezielle betriebliche Lösungen)

zusätzlich natürlich zu den rechtlichen und technischen Kenntnissen im Datenschutz.

Der Düsseldorfer Kreis stellt weiterhin fest:

„Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt der Bestellung zum DSB im ausreichenden Maße vorliegen“ sowie müssen „DSB darüber hinaus in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden werden“.

Es ist sehr begrüßenswert, dass der Düsseldorfer Kreis endlich eine Konkretisierung der beruflichen und persönlichen Anforderungen an Datenschutzbeauftragte vornimmt. Die UIMC begrüßt nicht nur die Bestätigung ihrer Unternehmenspolitik, sondern vor allem auch die Anforderungen, die nach dem Beschluss des Düsseldorfer Kreises an Unternehmen gestellt werden, die externe Datenschutzbeauftragte ernennen und in diesem Beschluss wie folgt verpflichtet werden: „Bei Bestellung eines externen DSB muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der beauftragenden verantwortlichen Stelle selbst erbracht werden“.

(02.11.2010) Cloud Computing – Entwicklungstrend mit großen Datenschutzproblemen?

Die UIMC stellt fest, dass Cloud Computing zurzeit von namhaften Herstellern als neue Form der vernetzten Kooperation der Informationsverarbeitung nach seinem Start auf dem privaten Gebiet auch für den Unternehmenssektor propagiert wird.

Nach Auffassung der UIMC ziehen mit dem Cloud Computing größere Wolken am Datenschutzhimmel auf: Je nachdem welche Form des Cloud Computing gewählt wird, sind Probleme im Zusammenhang mit § 11 BDSG „Auftragsdatenverarbeitung“ zu erwarten, die zurzeit weder von den Protagonisten des Cloud Computing noch von den potentiellen Nutzern hinreichend deutlich gesehen werden. Vor allem bei der Public Cloud in der Form der Open Cloud zeichnen sich z. T. nicht lösbare Probleme ab, während die Privat Cloud eher unproblematisch ist. Die bisher vorliegenden Stellungnahmen zu datenschutzrechtlichen Frage zeigen das Problem zwar auf, bieten jedoch keine Lösung.

Theoretisch bietet das BDSG mit seinen Regelungen in § 11 in Verbindung mit der Anlage zum § 9 die Grundlagen für ein gesetzeskonformes Vorgehen. Da jedoch in vielen Fällen auch beim normalen Computing zurzeit noch in vielen Unternehmen ein Bedarf an Herstellung der Ordnungsmäßigkeit bei der Auftragsdatenverarbeitung und Datenübertragung gegeben ist, kann nicht angenommen werden, dass die wesentlich komplexeren Formen des Cloud Computing in den entsprechenden SLAs so geregelt sind, dass die Ordnungsmäßigkeitsbedingungen vom Start an erfüllt sind.

Die UIMC liefert mit ihrem Prüftool zur Auftragsdatenverarbeitung eine Grundlage für eine sachgemäße Gestaltung der vertraglichen Grundlagen sowie ihrer Prüfung bei bestehenden Systemen. Die UIMC weist jedoch deutlich darauf hin, dass insbesondere die Form des Public Cloud spezieller vertraglicher Regelungen bedarf, um ordnungsgemäß gestaltet werden zu können. Wenn dann noch zusätzlich das Problem der Datenverarbeitung im Ausland mit den hiermit zusammenhängenden Problemen der Datenübermittlung zu lösen ist, weil sich der verarbeitende/speichernde Rechner in einem Nicht-EU-Land befindet, sind außer den genannten §§ 11 und 9 (Anlage zu § 9) noch die §§ 4d und 28 zu berücksichtigen. Dies bedarf einer sorgfältigen, im Zweifelsfall beratergestützten Vertragsgestaltung.

Zum Leistungsspektrum der UIMC gehört auch die Beratung in Fragen der Auftragsdatenverarbeitung.

(18.10.2010) Fach-Know-how gewinnen und Geld sparen: Informationstage von UIMC und UIMCert

Auch in diesem Jahr werden UIMC und UIMCert zeitgleich mit der DAFTA, 34. Datenschutzfachtagung der GDD, in Köln im Maternushaus, ihren Informationstag am 17. und 18. November abhalten. Wie jedes Jahr dienen auch dieses Mal die zwei Tage dazu, fachkundigen Besuchern interessante Gespräche, Anregungen und fachlichen Informationsaustausch zu bieten. Allerdings gibt es dieses Jahr etwas Besonderes:

Es wird auf dem Informationstag ein Tool zur Verfügung stehen, mit welchem das Gebiet der Auftragsdatenverarbeitung gem. § 11 Bundesdatenschutzgesetz BDSG sowohl auf der Seite der Auftraggeber als auch der Auftragnehmer in Form eines Selbstchecks geprüft werden kann.

Interessenten erhalten auf Wunsch kostenlos eine Analyse-CD, mit deren Hilfe sie in der Lage sind, ihr Datenschutzsystem auf Gesetzeskonformität zu überprüfen. Der Datenschutzbeauftragte wird mit diesem Tool in die Lage versetzt, seinen ihm vom Gesetz auferlegten Prüfungsauftrag gem. § 11 BDSG gerecht zu werden.

Auch der Dienstleister kann das Analyse-Tool zum Selbstcheck oder zur Vorbereitung auf eine Testierung nutzen.

Funktionen des UIMC-Auditierung-Tools sind:

  • Umfassender Fragen-/Prüfkatalog
  • Maßnahmenkatalog und automatische Berichterstellung
  • Quantitative Auswertung mit Gewichtung
  • Management-Summary-Funktion für schnellen Überblick

Das auf dem Informationstag dem Besuchern zur Verfügung gestellte Tool hatte einen Wert von Euro 750,00 und wird an Kunden/Interessenten bei Vorlage der Visitenkarte ausgehändigt. Falls der Dienstleister eine Testierung/Ordnungsmäßigkeitsbestätigung wünscht, kann diese durch die UIMCert vorgenommen werden.

(29.09.2010) UIMC: Viele Unternehmen kennen die Archivierungspflichten bei E-Mails nicht gut genug.

Häufig kommen Anfragen an die UIMC, ob und in welchem Umfang Unternehmen verpflichtet sind, E-Mails zu archivieren, konkret, ob ein- und ausgehende E-Mails lückenlos archiviert werden müssen. Die schnelle und ungenaue Antwort: Nein, lückenlos nicht!

Die grobe Kategorisierung der UIMC führt zu vier unterschiedlich zu bewertenden Dokument-Kategorien, und zwar E-Mail-Dokumente:

  • mit rein unternehmensinterner Bedeutung
  • ohne rechtsverbindliche Inhalte, aber unternehmensübergeordneter Bedeutung
  • nach dem Handelsgesetzbuch relevant
  • mit Bedeutung für die Besteuerung

Grundsätzlich stellt eine elektronisch übersandte E-Mail ein digitales Dokument dar, das ggf. für den Datenzugriff der Steuerbehörden im Originalformat nach neuerer Gesetzeslage maschinell auswertbar vorgehalten werden muss.

Speziell E-Mails, die für die Besteuerung von Bedeutung sind, sind nach den allgemeinen Vorschriften des § 147 AO „Ordnungsvorschriften für die Aufbewahrung von Unterlagen der Abgabenordnung (AO)“ rechtssicher zu archivieren. Auch E-Mails, die Dokumente nach dem Handelsgesetzbuch darstellen, sind gem. § 257 HGB zu archivieren. Dies sind außer rechnungslegungsrelevanten Unterlagen, bei denen sich Handels- und Steuerrecht überschneiden, so genannte Handelsbriefe. Hierbei sollte das Unternehmen wissen, dass ein Handelsbrief ein Schriftstück ist, das der Vorbereitung, Durchführung und dem Abschluss oder der Rückgängigmachung eines Geschäfts dient. Diese nur handelsrechtlich relevanten E-Mails unterliegen jedoch nicht allen aufgeführten Vorgaben an die Form der Archivierung.

E-Mails der Kategorien 1. und 2. in der obigen Aufzählung müssen nach den gesetzlichen Vorschriften nicht archiviert werden, obwohl es häufig aus unternehmensinternen Gründen sinnvoll ist, sie zumindest eine gewisse Zeit hindurch vorzuhalten und damit temporär retrievalfähig aufzubewahren. Auszusortieren sind hierbei selbstverständlich nichtdienstliche E-Mails der Mitarbeiter bei erlaubter, aber ungeregelter Privatnutzung.

Außer den Archivierungsvorschriften sollte aber jedes Unternehmen auch mit den Löschungsvorschriften vertraut sein, da es bestimmte Unterlagen gibt - zum Beispiel solche aus dem Bereich der Datenschutzgesetzgebung - deren Aufbewahrungsfrist gesetzlich vorgegebene einer gewissen Zeit abläuft und die dann gelöscht werden müssen. Hierzu sollten dann die spezifischen Löschungsvorschriften den Mitarbeitern mitgeteilt werden/bekannt sein.

(23.08.2010) UIMC: Datenschutz bei der Weitergabe von Mitarbeiter-Privatanschriften - (k)ein Problem?

Ob Mitarbeiter Privatanschriften durch ein Unternehmen weitergegeben werden dürfen, ist eine datenschutzrechtlich sehr relevante Frage, meint die UIMC. Häufig veranlassen Unternehmen Dienstleister wie Verlage oder Wirtschaftsverbände dazu, Mitarbeitern für sie relevante und wichtige Informationen an deren Privatanschriften zusenden zu lassen. Dabei erhebt sich die datenschutzrechtliche Grundsatzfrage, ob die Weitergabe der Privatanschriften durch das Unternehmen zulässig ist. Hierbei kann nach herrschender Rechtsauffassung verneint werden, dass die Datennutzung zum Versand von z. B. einer Wirtschaftszeitung an die Privatanschrift für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist. Ob ein überwiegendes berechtigtes Interesse des Arbeitgebers an der Versendung besteht, ist in Rechtsprechung und Literatur umstritten, stellt die UIMC fest. So nimmt der Datenschutzbeauftragte von Schleswig-Holstein an, dass der Arbeitgeber ein berechtigtes Interesse an der Versendung der von ihm geteilten Meinungen hat. Berechtigt ist jedes Interesse, das mit der Rechtsordnung im Einklang steht. Die Meinungsbildung über politische und wirtschaftliche Fragen und die Verbreitung der Meinung der Arbeitgeber sind berechtigte Interessen. Hierfür kann die Versendung von Zeitschriften/Dokumenten sinnvoll sein. Hieran ändert sich auch nichts dadurch, dass es möglich wäre, die Information den Arbeitnehmern auch im Betrieb zugänglich zu machen. Es dürfte unstreitig sein, dass das Ziel der Meinungsbildung im häuslichen Umfeld des Arbeitnehmers besser erreicht wird, zumal überwiegende schutzwürdige Interessen der Betroffenen hierdurch nicht verletzt werden. Der Arbeitnehmer seinerseits kann die Nutzung der betreffenden Daten zur Versendung von Informationen jederzeit durch einen Widerspruch gemäß § 28 Absatz 4 BDSG unterbinden. Die Aufsichtsbehörde Baden-Württemberg teilt hingegen die Bedenken der Gegner und lehnt die Weitergabe der Mitarbeiterdaten ab. Sie sieht keinen hinreichenden Zusammenhang mit dem Arbeitsverhältnis und fordert eine Einwilligung der Betroffenen. Auf jeden Fall muss der Mitarbeiter umfassend über die Datenübermittlung sowie sein Widerspruchsrecht informiert werden. Hierbei muss sichergestellt werden, dass ein Widerspruch dem Arbeitgeber nicht zur Kenntnis gelangt und dadurch keine nachteiligen Folgen für den Arbeitnehmer entstehen.

(27.07.2010) UIMC: Compliance - Kann der Datenschutzbeauftragte für Rechtsverstöße strafrechtlich belangt werden?

In der Rechtsprechung ist in den letzten Jahren bemerkenswerterweise die Auffassung vertreten worden, dass so genannte Compliance Manager für unter anderem im Unternehmen begangene Rechtsverstöße persönlich strafrechtlich haften. Dies wird damit begründet, dass sie kraft ihres Amtes dazu verpflichtet seien, Rechtsverstöße und Straftaten im Unternehmen zu verhindern. Dies wirft die Frage auf, ob der Datenschutzbeauftragte aufgrund seines gesetzlichen Auftrages dem Compliance Manager gleich zu setzen ist.

Wenn dieses der Fall sein sollte, würde er für im Unternehmen begangene Verstöße gegen das BDSG haftbar gemacht werden können. Dieses umso mehr, als ihm schon vom Gesetz auferlegt wird, auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken. Mit seiner Ernennung wird ihm vom Unternehmen dieser Pflichtenbereich übertragen und er sollte bei seiner Bestellung schriftlich darauf verpflichtet werden. Hiermit wird er gewissermaßen organisatorisch sowie auch rechtlich einem Compliance Manager gleichzustellen sein. Das Problem der Haftung wird auch dadurch wahrscheinlicher, dass in Kommentaren das BDSG als eines der Gesetze erwähnt wird, die den Compliance-Betrachtungen unterworfen wurden.

Der DSB wurde lange Jahre hindurch in vielen Unternehmen im Hinblick auf die ihm übertragene Verpflichtung, dem BDSG zur Umsetzung zu verhelfen, nicht voll ernst genommen und als „Alibi-DSB" zwar ernannt, nicht aber mit hinreichendem Kompetenzen und entsprechenden Budgetmitteln versehen wurde. Dies trifft vor allem für eine beachtliche Anzahl von mittelständischen Unternehmen zu, da in Großunternehmen aufgrund des öffentlichen Drucks die organisatorische Stellung des DSB häufig besser war oder aber der interne DSB durch einen externen ersetzt wurde. Dieser hat sich in vielen Fällen als erheblich profilierter, durchsetzungsfähiger und im Sinne der Compliance Forderung effizienter gezeigt. Das Haftungsproblem könnte sich als persönlicher Bumerang für den Alibi-DSB erweisen.

Die UIMC hat eine starke Stellung im Markt der externen Datenschutzbeauftragung aufgebaut.

(14.07.2010) UIMC: Gedankenlosigkeit bei Internet-und E-Mail Regelungen führt zu Datenschutzproblemen

Nach den Erfahrungen der UIMC machen sich Unternehmen und Behörden in vielen Fällen zu wenig Gedanken über ihre Regelungssystemen bezüglich der Nutzung von Internet und E-Mail durch die Mitarbeiter. Häufig sind eine falsch verstandene Großzügigkeit und der vermeintliche Wunsch nach einem „guten Betriebsklima“ im Bezug auf solche Regelungen die Ursache für spätere Probleme und Unstimmigkeiten. Nach Auffassung der UIMC sollten folgende Regeln im Bezug auf die Nutzung eingehalten und – sofern vorhanden – mit der Arbeitnehmervertretung abgesprochen werden:

  • Alle Anlagen, Geräte, Anwendungssysteme/ programme, Zugänge und Anschlüsse dürfen ausschließlich zu dienstlichen Zwecken genutzt werden. Die private Nutzung betrieblicher Einrichtungen ist ausdrücklich untersagt.
  • Die Systeme sowie die hieraus gewonnenen Protokolldaten werden vom Unternehmen nicht zum Zwecke der Leistungs- und Verhaltenskontrolle der Arbeitnehmer genutzt.
  • Bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sind die einschlägigen Datenschutzvorschriften zu beachten.
  • Die Benutzer sind anzuhalten, alle Daten auf zentralen Systemen zu speichern. Gesetzliche Bestimmungen sind hierbei zu berücksichtigen.
  • Der Zugang zum Internet wird nach dienstlicher Notwendigkeit jedem Arbeitnehmer mit Netzwerkzugang als Arbeitsmittel zur Verfügung gestellt.
  • Für Abfassung, Verschlüsselung, Speicherung und Aufbewahrung von E-Mails sind spezielle Regelungen zu erlassen, die den Datenschutzvorschriften Rechnung tragen.

Gestattet der Arbeitgeber die Nutzung von E-Mail und anderen Internetdiensten ausschließlich zu dienstlichen Zwecken, ist er nicht Anbieter im Sinne des Telekommunikations- (vgl. § 3 Nr. 6 TKG) bzw. Telemediengesetzes (vgl. § 1 Abs. 1 TMG). Die Erhebung und Verarbeitung von Daten über das Nutzungsverhalten der Beschäftigten richtet sich in diesen Fällen nach den Vorschriften des Bundesdatenschutzgesetzes.

Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob die Internet-Nutzung der Beschäftigten dienstlicher Natur ist. Eine automatisierte Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig.

(24.06.2010) UIMC: E-Archivierung im Gesundheitswesen nicht ohne Datenschutz

Die Entwicklung der Informationstechnologie und ihr Vordringen in Prozesse der elektronischen Archivierung im Gesundheitssektor lassen für viele auf diesem Gebiet tätige Institutionen wie Krankenhäuser, Kliniken und medizinische Versorgungszentren die Frage aufkommen, wie die Anforderungen der Datenschutzgesetzgebung sowie die des ärztlichen Berufsrechts in Übereinstimmung mit den technologischen Lösungen gebracht werden können.

Die UIMC hat in mehreren Gutachten zu dieser Problematik Stellung genommen und hierbei einige Grundsätze aufgestellt, die gewahrt sein müssen, um die Ordnungsmäßigkeitskriterien/gesetzlichen Anforderungen sicherzustellen. Hierzu gehören - ohne Anspruch auf Vollständigkeit - folgende Forderungen:

  • Die Patienten müssen nachvollziehen können, wer auf ihre Daten tatsächlich zugegriffen hat.
  • Der Zugriff auf die Daten von Kranken darf grundsätzlich nur Krankenhausbeschäftigten möglich sein, die diese Kranken behandeln oder die Behandlung verwaltungsmäßig abwickeln.
  • Die Daten von Beschäftigten dürfen nur verarbeitet werden, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses erforderlich ist.
  • Der Arbeitgeber muss befugt sein, sich selbst präventiv vor möglichen Eingriffen seitens der Strafverfolgungsbehörden zu schützen.
  • Die Revisionsfähigkeit der gespeicherten Daten muss gewährleistet sein und die durchgeführten Prozesse müssen lückenlos nachvollzogen werden können.

Die erstellten Nutzungsprotokolle unterliegen einem weitgehenden gesetzlichen Schutz. Die Verarbeitung von Protokolldaten ist nur zulässig, wenn ein Datenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt. Es ist für die Institution selbst zweckmäßig, die Behandlung von Protokolldateien durch eine Betriebsvereinbarung zu regeln, die jedoch auf den gesetzlichen Anforderungen basieren muss.

(22.04.2010) Eckpunktepapier zum Beschäftigten-Datenschutz bestätigt UIMC-Politik

Das Eckpunktepapier des BMI vom 01.04.2010 enthält in Vorbereitung auf eine Beschäftigtendatenschutzregelung einige bemerkenswerte Vorschläge, von denen einer der schon seit Jahren von der UIMC vertretenen E-Mail-Politik im Hinblick auf die Überwachung des E-Mail-Verkehrs durch den Arbeitgeber in Bezug auf Mitarbeiter/Beschäftigte entspricht. Das Eckpunktepapier sagt hierzu folgendes:

Nutzung von Telefon, E-Mail und Internet

"Der Arbeitgeber soll - insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken der Korruptionsbekämpfung/Compliance - die Nutzung von Telekommunikationsdiensten und Telemedien am Arbeitsplatz im erforderlichen Maß kontrollieren dürfen. Dabei sind die berechtigten schutzwürdigen Interessen des Beschäftigten zu beachten. Die Inhalte von Telefonaten sollen einem besonderen Schutz unterliegen.“

Hier wird das Kontrollrecht des Arbeitgebers im Sinne einer begründeten Zweckbindung von Überwachungsmaßnahmen ausdrücklich bestätigt. Dass die berechtigten schutzwürdigen Interessen der Beschäftigten zu beachten sind, ist nach den Regeln des BDSG schon fast eine triviale Aussage, auch wenn eine Präzisierung dieser Interessen für die praktische Umsetzung hilfreich ist. Interessant ist allerdings auch die vom BMI gegebene Erläuterung in Form des Beispiels:

„Ist die Nutzung des Internets nur zu beruflichen Zwecken erlaubt, soll der Arbeitgeber das Nutzungsverhalten des Beschäftigten ohne Anlass nur stichprobenhaft kontrollieren dürfen, um etwa festzustellen, ob verbotene Inhalte aufgerufen werden. Ist die Nutzung des Internets demgegenüber auch für private Zwecke erlaubt, sollen wie bisher die Vorschriften des Telemediengesetzes gelten.“

Dieses Beispiel unterstützt die von der UIMC schon immer vertretende Nutzungspolitik für E-Mails und Internet dergestalt, dass aus ihm fast zwangsläufig abgeleitet werden kann, dass ein Arbeitgeber zur Vermeidung von Problemen prinzipiell die Nutzung des Internets und des E-Mails nur zu beruflichen Zwecken erlauben sollte. Jede andere betriebliche Lösung erweist sich im Hinblick auf diese vorgesehene Regelung als grundsätzlich problematisch, auch im Zusammenhang von Vertretungs- und Nachfolgeregelungen. Dies zeigt aber, dass es auch weiterhin interner Regelungen bedarf, die insbesondere durch einen praxisorientierten Datenschutzbeauftragten geschaffen werden sollten.

Die UIMC vertritt grundsätzlich einen qualitativ hochwertigen Datenschutz.

(25.02.2010) Helfen Schulung und Aufklärung über Datenschutz gegen kriminelle Aktivitäten?

In der letzten Zeit wurde gelegentlich die Auffassung vertreten, dass die in der Datenschutzgesetzgebung vorgeschriebene Schulung und Aufklärung über Datenschutz hilfreich bei der Bekämpfung krimineller Aktivitäten sei. Die UIMC vertritt diese Auffassung nur sehr bedingt. Zwar zeigt die Erfahrung, dass insbesondere Datenschutzschulungen häufig am Zeitbudget des Datenschutzbeauftragten scheitern und nicht in erforderlichem Umfang durchgeführt werden. Hiermit wird die Möglichkeit unterlassen, das Bewusstsein der Mitarbeiter für Datenschutzfragestellungen und insbesondere Verstöße gegen Datenschutz und IT-Sicherheitserfordernisse zu schärfen. Es ist jedoch nicht zu erwarten, dass hierdurch eine nennenswert höhere Aufklärung von kriminellen Verstößen einhergeht. Wer mit krimineller Energie - unter Umständen auch noch in Erwartung einer Belohnung durch den Staat für die Lieferung der widerrechtlich in Besitz genommenen Daten - sich absichtlich personenbezogene Daten unter bewusstem Verstoß gegen bestehende organisatorische Regelungen, Gesetze und ethische Normen beschafft, lässt sich in der Regel auch von denjenigen Kollegen, die datenschutzgesetzesbewusst handeln, nicht von seinem Tun abhalten.

Was durch Schulung und Aufklärung aber erreicht werden sollte: Schärfen des Bewusstseins kann aber trotzdem hilfreich sein, auffälliges Verhalten bei Kollegen zu entdecken, was dazu führt, dass ein potentieller Veruntreuer sich beobachtet fühlt und sich eventuell „nicht mehr traut".

Die UIMCollege bietet in ihren Datenschutzlehrgängen immer auch die Möglichkeit, diese speziellen Fragestellungen zu diskutieren und Hilfestellungen für die eigene Arbeit auch bezüglich solcher Spezialfragen zu erhalten.

(02.02.2010) Datendiebstahl die Zweite oder: Alle Jahre wieder: Der Staat als „Hehler“

Mitte 2008 schrieb die UIMC in einer Pressemitteilung: Gegen kriminelle Energien ist auch im Datenschutz kein Kraut gewachsen. Solange der Staat oder eine seiner Institutionen sich als „Hehler“ auf dem Datensektor betätigt wie bei dem Liechtensteiner Datendiebstahl und die Veruntreuung von Daten durch Ankauf prämiert, darf keine Verwunderung darüber aufkommen, dass Datendiebstahl offensichtlich als Kavaliersdelikt angesehenen wird.

So wäre zum Beispiel der groteske Fall zu betrachten, bei denen der Staat oder eine seiner Institutionen wiederum gestohlene Daten aufkauft und sie in seinem Sinne verwendet, wobei dann der Dieb wegen eines Offizialdeliktes von einer anderen Institution des Staates, nämlich der Staatsanwaltschaft und den Gerichten verfolgt und bestraft wird. Hierbei wäre es z. B. denkbar, dass das Gericht eine Strafe verhängt, die der vom Staat gezahlten Prämie entspricht, bzw. sie gegebenenfalls sogar übersteigt. Dies wäre für den Dieb ein schlechtes Geschäft, aber gerecht.

Was dringend erforderlich ist, ist ein Wandel des Bewusstseins, der Datendiebstahl gesellschaftlich und faktisch so sanktioniert, dass dem Dieb zumindest das Unrechtsbewusstsein so klar ist, dass er weiß, einem normalen Kriminellen gleichgestellt zu werden und die hiermit verbundenen gesellschaftlichen Sanktionen auf sich nehmen zu müssen.

Was ist neu an der jetzigen Situation im Vergleich 2008 zu 2010? Es ist bemerkenswert, dass bei einem Teil der beruflich oder politisch Engagierten sich ein Wandel im Bewusstsein vollzogen hat: So sind einige führende Politiker und insbesondere der Bundesdatenschutzbeauftragte jetzt der Meinung, dass der Staat sich nicht auf das Niveau eines „Hehlers“ begeben sollte. Wie kann von normalen Menschen, auch von so genannten Betroffenen, erwartet werden, dass sie den Datenschutz ernst nehmen, wenn der Staat Datendiebstahl unterstützt? Hier ist besonders die Position des Vorsitzenden der Polizeigewerkschaft zu hinterfragen, der zugibt, dass illegale Methoden mehr oder weniger gang und gäbe sind in der Beschaffung von Material, welches zur Aufklärung von Verbrechen dient. Außerdem: Es geraten auch hunderte Bürger unter Generalverdacht, da sie sich auf den Listen befinden, obwohl sie steuerehrlich sind.

Wenn Datenschutz gesellschaftlich ernst genommen werden soll, muss der Staat das Angebot ablehnen und auf andere Art und Weise versuchen, die betreffenden Informationen zu erhalten; nicht aber dadurch, dass er sich als „Hehler“ in Datendiebstahlsgeschäften betätigt.

Die UIMC vertritt einen qualitativ hochwertigen Datenschutz.

(09.12.2009) UIMC - familienfreundlich und ausbildungsstark

Nachdem die UIMC im vergangenen Jahr bereits den ersten Platz im bergischen Städtedreieck bei kleinen mittelständischen Betrieben als ausbildungsstarkes Unternehmen gemacht hat, hat sie in diesem Jahr erneut eine Urkunde, diesmal als familienfreundliches Unternehmen, erhalten. Die Anerkennung wird an Unternehmen verliehen, die sich durch ihr soziales Engagement und ihre Familienfreundlichkeit im Bezug auf die Gestaltung von Arbeitszeitgestaltung, Zurverfügungstellung von Freiraum für die Wahrnehmung von Familienaufgaben und vieles anderes mehr auszeichnen. Auch dieser Preis wird unter der Schirmherrschaft der IHK verliehen.

An dem Wettbewerb haben sich in diesem Jahr 40 Unternehmen beteiligt. Der Geschäftsführer der UIMC, Dr. Jörn Vossbein meint hierzu: „Wichtig ist nicht, immer einen ersten Platz zu machen, wohl aber die Leistungen, die das Unternehmen als mittelständischer Betrieb erbringt, so transparent zu machen, dass dieses nicht nur von den Mitarbeitern, sondern auch von der Öffentlichkeit wahrgenommen und anerkannt wird.“

Bereits im vergangenen Jahr wurde die UIMC mit einem ersten Platz auf dem Sektor „Ausbildung" ausgezeichnet und wurde so für ihre Bemühungen belohnt, qualifizierte Arbeitskräfte über den eigenen Bedarf hinaus auf dem Sektor der Informatik- und Bürokaufleute dem Arbeitsmarkt erfolgreich zur Verfügung zu stellen. „Wir freuen uns über die öffentliche Anerkennung obwohl unser soziales Engagement auch ohne diese bereits seit Jahren unsere Unternehmenspolitik kennzeichnet. Auch unseren Mitarbeitern gegenüber ist es uns wichtig, unser Bemühen von außen unabhängig bestätigt zu erhalten." Auch für das nächste Jahr ist von UIMC und UIMCert wiederum die Zurverfügungstellung von zwei Ausbildungsplätzen auf dem Sektor Informatikkaufleute geplant.

(07.12.2009) UIMC/UIMCert-Kundentag: Auftragsdatenverarbeitung gem. § 11 BDSG (k)ein Stolperstein?

Die Reaktionen der Besucher des Kundentages von UIMC und UIMCert zeigen deutlich: Auftragnehmer und Auftraggeber sehen einer Umsetzung der Vorschriften der BDSG-Novellierung in Bezug auf § 11 BDSG mit gemischten Gefühlen entgegen. So sind beide Gruppen der Auffassung, dass sie noch einiges tun müssen, um die neuen Bedingungen des § 11 zu erfüllen. Beide Seiten sind der Ansicht, dass die meisten bisher abgeschlossenen Verträge angepasst und die in ihnen enthaltenen Formulierungen insbesondere im Hinblick auf die Konkretheit der getroffenen Regelungen überarbeitet werden müssen.

Die Auftraggeber sehen sich in einer neuen Rolle, in der sie häufig erst noch lernen müssen, ihre Anforderungen an die Auftragnehmer so zu formulieren, dass sie ihnen eine hinreichende Sicherheit geben, die Pflichten der Auftragnehmer gesetzeskonform formuliert zu haben. Dies ist besonders problematisch bei Vorliegen von internen Abhängigkeitsverhältnissen.

Die Auftragnehmer fühlen sich insbesondere bei dem Gedanken an die Kontrollfunktionen, die der Auftraggeber auszuführen berechtigt ist, nicht immer ganz wohl, da sie nicht sicher sind, alles Erforderliche in Maßnahmen umgesetzt zu haben. Auch die Auftraggeber fühlen sich zum Teil vom Gesetzgeber alleine gelassen, da sie nicht wissen, wie sie ihre Kontrollfunktionen ausfüllen müssen.

Das UIMC/UIMCert-Tool, welches auf dem Kundentag vorgestellt und von vielen Besuchern genutzt wurde, leistet eine Hilfe zur Auditierung des bisher Umgesetzten. Insbesondere liefert das Tool Ergebnisanhaltspunkte dafür, was noch zu tun ist und wo für beide Partner Handlungsbedarf besteht. Die UIMC leistet Hilfen, um beiden Seiten zu gesetzeskonformen Regelungen zu verhelfen.

Wichtig ist die Feststellung, dass der Auftragnehmer sich durch die Prüfung durch einen Dritten („unabhängiger Sachverständiger“ wie in der Begründung zur Novellierung dargestellt) – zum Beispiel die UIMCert – entlasten und den Prüfbericht dem Auftraggeber zur Verfügung stellen kann. Diese Auffassung, die sich auf den Gesetzestext stützt (s. hierzu § 11 BDSG), wird allerdings nicht von allen Aufsichtsbehörden geteilt. Eine gesetzeskonforme Begründung hierfür wurde bisher noch nicht gegeben.

(20.11.2009) Stiftung Datenschutz: Heilsbringer für alle Datenschutzprobleme?

Die UIMC hat Bedenken, dass eine Stiftung Datenschutz mit Erwartungen zur Lösung der Probleme des Datenschutzes in unserer Gesellschaft überfrachtet wird.

Die Bundesregierung hat im Koalitionsvertrag festgelegt, dass eine Stiftung Datenschutz errichtet werden soll die - analog zur Stiftung Warentest - die Zielsetzung haben soll, Produkte und Dienstleistungen auf Datenschutzfreundlichkeit zu prüfen, die Bildung im Bereich des Datenschutzes zu stärken, Aufklärung zu betreiben und ein Datenschutzaudit zu entwickeln.

Es sollte von Anfang an vermieden werden, eine vom Grundsatz her gute Idee mit Erwartungen zu überfrachten, die eine derartige Institution nicht erfüllen kann: Produkte und Dienstleistungen auf dem IT-Sektor sind etwas grundsätzlich anderes als normale Produkte, die einer eindeutigen technischen Prüfung im Hinblick auf Funktionsfähigkeit und Qualität unterzogen werden können. So sind Produkte häufig Programme oder Programmsysteme, bei denen die Datenschutzfreundlichkeit im Sinne der Einhaltung der Anforderungen der Datenschutzgesetzgebung in der Grundkonzeption und -konstruktion programmtechnisch eingebaut werden muss.

Diese Selbstverständlichkeit ist jedoch nicht grundsätzlich gegeben und im Zweifelsfall nur durch aufwändige Prüfungen insgesamt sowie in Einzelpunkten festzustellen. Wesentlich ist darüber hinaus, dass insbesondere bei Programmsystemen durch die so genannte Einsatzumgebung, unterstützt durch Maßnahmen auf dem Organisations- und Regelungssektor eine Datenschutzkonformität erreicht wird oder werden kann. So sind PETs (Privacy Enhancing Technologies, datenschutzerhöhende Technologien) zwar konstitutive Bestandteile ordnungsgemäßer Systeme, reichen jedoch zur Durchführung eines ordnungsgemäßen Betriebs von datenschutzrelevanten Programmsystemen nicht aus. Außerdem belegen die "Datenschutzskandale" der letzten Zeit eindrucksvoll, in welchem Umfang der menschliche Faktor und insbesondere menschliches Fehlverhalten bis hin zum bewussten Gesetzesbruch zur Nichteinhaltung von Datenschutzvorgaben führen können. Dies ist durch Prüfungen im Sinne einer Produkt- und Dienstleistungsprüfung nicht hinreichend regelbar, selbst wenn die betreffenden Produkte und Dienstleistungen das Gütesiegel einer Prüfinstitution erhalten haben.

Außerdem werden viele Programme, die datenschutzrelevante Daten verarbeiten, völlig außerhalb von Bereichen eingesetzt, die einer Prüfung unterzogen werden könnten. Die UIMC meint: So ist das Problem nicht zu lösen, Lösungswege müssten anders aussehen.

(22.10.2009) UIMC: Selbstcheck ist besser als Unwissen: Auftragsdatenverarbeitung gemäß BDSG gestalten

Die UIMC als führendes Beratungsunternehmen auf dem Datenschutzsektor hat sich zu ihrem Kundentag etwas Neues einfallen lassen: Besucher können die Ordnungsmäßigkeit ihrer Auftragsdatenverarbeitung in einem Selbstcheck bewerten.

Auch in diesem Jahr wird die UIMC zeitgleich mit der DAFTA, 33. Datenschutzfachtagung der GDD in Köln im Maternushaus, ihren Kundentag abhalten. Der Kundentag wird in diesem Jahr im Zeichen der Datenschutznovellierung stehen und wird eine Vielzahl von Informationen speziell zu diesem Thema liefern.

Mittlerweile haben viele Unternehmen, und zwar nicht nur Großunternehmen, neben anderen Leistungen ihre Datenverarbeitung outgesourced. Hieraus ergibt sich die Konsequenz, dass entsprechende Outsourcingverträge mit genau definierten Inhalten vorhanden sein müssen, und dass die Einhaltung der von den beiden Vertragspartnern übernommenen Pflichten kontrolliert und in den Kontrolleergebnissen dokumentiert werden muss.

Der UIMC-Selbstcheck gibt die Möglichkeit, die vom Gesetz gestellten Forderungen einer schnellen Prüfung zu unterziehen und damit die Ordnungsmäßigkeit zu bewerten. Auf dem Kundentag steht ein Prüftool zur Verfügung, mit welchem die Besucher - sofern sie hinreichende Informationen über die in ihrem Unternehmen abgeschlossenen Verträge und ihre Inhalte haben - beurteilen können, inwieweit die Verträge, Regelungen und Maßnahmen gesetzeskonform sind.

Zielgruppe sind hierbei sowohl Datenschutzbeauftragte als auch Mitarbeiter der internen Revision. Vor allem die Letzteren werden den Selbstcheck als besonders hilfreich empfinden, da bei ihnen häufig die genaue Kenntnis der gesetzlichen Vorschriften nicht oder nur durch Nachlesen im Gesetzestext gegeben ist. Allerdings werden den Mitarbeitern der internen Revision häufiger die Vertragstexte und -bedingungen geläufig sein als dem Datenschutzbeauftragten, so dass für sie der Selbstcheck von unmittelbarem Nutzen ist. Der Selbstcheck wird folgende Gebiete abprüfen:

  • Vertragsabmachungen,
  • Kontrollmodalitäten und Weisungsbefugnisse sowie
  • Dokumentation der Kontrollergebnisse.

Der Kundentag findet am 18. und 19. November im Maternushaus in Köln, Raum Ursula, jeweils ab 9:00 Uhr statt.

(01.10.2009) UIMC: Kunden werden mit den BDSG-Änderungen nicht alleingelassen

UIMC Kunden und andere Besucher erhalten auf dem Kundentag klare Hilfen bei der Anpassung ihrer Datenschutzorganisation an die neue Gesetzgebung.

Auch in diesem Jahr wird die UIMC zeitgleich mit der DAFTA, 33. Datenschutzfachtagung der GDD in Köln im Maternushaus, ihren Kundentag abhalten. Der Kundentag wird in diesem Jahr im Zeichen der Datenschutznovellierung stehen und wird eine Vielzahl von Informationen speziell zu diesem Thema liefern.

Insbesondere auf dem Produktsektor werden alle von der UIMC in Datenschutzcheckups verwendeten Tools und Organisationsmittel auf die neue Gesetzeslage umgestellt sein. Auch wird ein Tool zur Verfügung stehen, mit welchem das Gebiet der Auftragsdatenverarbeitung sowohl auf der Seite der Auftraggeber als auch der Auftragnehmer geprüft werden kann.

Da in dem neuen Gesetz sowohl klare Vorschriften für die Gestaltung von Verträgen also insbesondere für die Durchführung von Kontrollen gegeben werden, bietet es sich an, ein Prüftool für diesen neuen gesetzlichen Vorgaben einzusetzen. Hierzu leistet die UIMC als eines der führenden Unternehmen auf dem Datenschutzsektor für ihre Kunden einen effizienten Beitrag. Wie schon einmal vor zwei Jahren stellt die UIMC den Besuchern – Kunden und Nicht-Kunden - auf dem Kundentag ein Tool zum Selbstcheck zur Verfügung, mit denen diese in der Lage sind die Qualität ihrer eigenen Lösung bei der Auftragsdatenverarbeitung zu überprüfen und die Ergebnisse mitzunehmen.

Der Kundentag findet statt am 18. und 19. November im Maternushaus in Köln, Raum Ursula, jeweils ab 9:00 Uhr.

(08.09.2009) Fußball: 1:0 für den Datenschutz

Die UIMC meint: Endlich geht einer in die Offensive: Aggressiv ist der 1. FSV Mainz 05 nach seinem Aufstieg in die erste Bundesliga mit der Datenschutz-Thematik umgegangen und hat hierfür lobende Anerkennung durch den Landesdatenschutzbeauftragten in Rheinland-Pfalz erhalten: Man will im Verein zukünftig auch einen Datenschutzbeauftragten bestellen und somit Vorbild für andere Vereine sein.

So sollten auch andere Vereine diesem Vorgehen folgen. Datenschutz ist keine Hexerei und eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht laut BDSG ohnehin. Darüber hinaus signalisiert ein datenschutzkonformer Umgang mit personenbezogenen Daten von Mitgliedern und Anhängern, dass die Vereine nicht nur an der finanziellen Unterstützung durch Ticketverkäufe und Mitgliederbeiträge interessiert sind, sondern im Gegenzug auch das Recht auf informationelle Selbstbestimmung respektieren.

Auch verbunden mit dem Thema Sicherheit ist Datenschutz bei nahezu jeder Art von Großveranstaltungen gegenwärtig. Hier ist insbesondere die gesetzeskonforme Videoüberwachung im Zusammenwirken mit der Polizei ein Bereich, der zwar notwendig ist, aber auch engen Grenzen unterliegt. Ferner sollten auch die Mitglieder, z. B. von Fußballvereinen, die durch ihre Kartenbestellungen oder Mitgliederbeiträge einen wesentlichen Beitrag dazu leisten, dieses Millionengeschäft als Produkt in unserer Gesellschaft zu etablieren, zumindest die Gewissheit haben, dass der Verein ihres Vertrauens auch vertrauensvoll mit ihren personenbezogenen Daten umgeht.

Für kleinere Vereine/Institutionen kann ein externer Datenschutzbeauftragter die ideale Lösung sein, da hierbei extrem geringe Kosten mit hoher Effizienz verbunden sind. Die UIMC hat auf dem Gebiet der externen Datenschutzbeauftragung große Erfahrung und kostengünstige Lösungen für kleine und mittlere Institutionen.

Datenschutz muss allerdings ganzheitlich gesehen werden und ist keinesfalls auf das Arbeitsverhältnis, gelegentliche Werbeanrufe oder ungebetene Postwurfsendungen beschränkt. Der Datenschutz sollte auch in der Freizeit und bei Hobbys zumindest im Wesentlichen gewährleistet sein. Denn für den Betroffenen ist es in der Wirkung unerheblich, ob der Arbeitgeber, ein Adressenhändler oder der Schriftführer des Sportvereins personenbezogene Daten an unbefugte Dritte übermittelt.

(28.09.2009) Datenschutzbeauftragte haben ein Recht auf Fortbildung

Die UIMC informiert: Im Absatz III des § 4f BDSG - Novelle mit Gültigkeit ab 01.09.2009 - wird der betriebliche Datenschutzbeauftragte explizit vor Kündigung geschützt. Ähnlich wie bei einem Betriebsrat kann ihm nur in den schwerwiegenden Fällen gekündigt werden, die eine fristlose Kündigung rechtfertigen.

Weiterhin hat der Arbeitgeber dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsmaßnahmen zu ermöglichen und die Kosten dafür zu tragen. Dies bedeutet, dass der bDSB nicht nur die Verpflichtung zur Fortbildung, sondern auch das Recht hierzu hat. Die Studie der UIMCert hat 2008 klar belegt, dass besser geschulte Datenschutzbeauftragte dem Datenschutz zu einer deutlich besseren Durchsetzung im Unternehmen verhelfen als diejenigen, die ein geringes Aus- und Fortbildungsniveau haben.

Die UIMCollege hat ab sofort alle ihre Seminare und Fortbildungsveranstaltungen auf das neue Datenschutzrecht umgestellt und bietet damit in der Fortbildung der Datenschutzbeauftragten die Möglichkeit, das ihnen vom Gesetz gegebene Recht unmittelbar wahrzunehmen. Im Einzelnen wurden folgende Veranstaltungen auf das neue Recht umgestellt:

  • Datenschutz-Management Teil 1
  • Datenschutz-Management Teil 2
  • Datenschutz im Gesundheitswesen
  • Datenschutz und Unbundling in Stadtwerken / EVU

Die UIMC weist weiter darauf hin, dass Unternehmen ebenfalls die von der Bundesregierung angebotene Möglichkeit nutzen sollten, auch die Mitarbeiter mit staatlicher Unterstützung auf dem Datenschutzsektor fortzubilden. Sie hat für 2009 die Bezugsdauer von Kurzarbeitergeld von zwölf auf achtzehn Monate verlängert. Die Bundesagentur für Arbeit zahlt - wie beim Arbeitslosengeld - 60 Prozent des Nettolohns, der durch die verkürzte Arbeitszeit wegfällt. Eltern erhalten sogar 67 Prozent. Die Bundesagentur für Arbeit erstattet den Arbeitgebern 2009 und 2010 die Sozialversicherungsbeiträge – bei Kurzarbeit zur Hälfte, bei Qualifizierung während der Kurzarbeit sogar ganz. Ein Unternehmen kann demnach auf Basis der bisherigen Informationen die kompletten Sozialleistungen erstattet bekommen, wenn es die Kurzarbeitszeit für Weiterqualifizierung der Mitarbeiter einsetzt – ein Zusatznutzen für das Unternehmen und die Mitarbeiter. Hierfür stehen weitere Kurse zur Verfügung, wie zum Beispiel:

  • Allgemeines Gleichbehandlungsgesetz (AGG), (Verpflichtung zur Schulung besteht gemäß § 12 Absatz 2 AGG)
  • Datenschutz im Unternehmen nach dem Bundesdatenschutzgesetz BDSG
  • Professionelles Risikomanagement – Risiken erfassen und richtig managen
  • Vorbereitung auf eine Sicherheitszertifizierung gem. ISO/IEC 27001-02

Die UIMC berät auch bei der Gestaltung von Schulungsplänen und kompletten Fortbildungsprogrammen.

(10.08.2009) UIMC- Geschäftsjahr 2009: Wachstum gegen den Trend

Für die UIMC ist das Geschäftsjahr 2009 im ersten Halbjahr trotz Wirtschaftskrise gut gelaufen. Es ist ihr gelungen, die Kundenbasis zu verbreitern und auch ihre regionale Distribution deutlich zu erhöhen. Die Kundenzuwächse waren in den neuen Bundesländern und im Süden Deutschlands besonders hoch. Die UIMC hat antizyklisch investiert und konnte insbesondere auch ihren Personalbestand konjunkturstützend ausweiten. Hier ist vor allem zu erwähnen, dass die UIMC wieder zusätzliche Ausbildungsplätze geschaffen hat und damit ihrem Ruf als prämierter Ausbildungsbetrieb erneut gerecht geworden ist.

Auf dem Gebiet des Datenschutzes waren insbesondere Datenschutzaudits gefragt. Aber auch der Sektor externe Datenschutzbeauftragung war stark expansiv. Auch der Sektor IT-Sicherheit hat eine positive Entwicklung genommen, die dazu geführt hat, dass die UIMC sich in ihrem Marktsegment gut etabliert hat.

Die UIMC arbeitet stark toolgestützt. Auf diesem Gebiet hat sie nach wie vor eine führende Rolle. Das von ihr eingesetzte Tool-System wurde im Verlaufe des letzten Jahres deutlich verbessert und mit einer Auswertungskomponente versehen, die im Rahmen der Berichtserstellung eine Management Summary erstellt. Das Tool hat sich damit in seiner Aussagefähigkeit auch für Führungsebenen verbessert.

Von der UIMC in Zusammenarbeit mit verschiedenen Partnern durchgeführte PR-Aktionen und Roadshows wurden positiv vom Markt aufgenommen. Auch für das kommende Halbjahr sehen die Perspektiven gut aus.

(28.07.2009) Kein Datenschutz in Österreich: Sparsamkeit am falschen Platz - Datenschutz ohne Datenschutzbeauftragter.

Die Novellierung des Datenschutzrechtes in Österreich bringt zahlreiche Neuerungen. Nachdem der erste Entwurf (DSG-Novelle 2008) einen Datenschutzbeauftragten vorgesehen hatte, wurde dieser im jetzt vorliegenden Entwurf (DSG-Novelle 2010) ersatzlos gestrichen. Allerdings sind die Aufgaben, die im Rahmen des Datenschutzes in Unternehmen durchzuführen sind, die gleichen geblieben. Offen ist hiermit die Frage, wer denn nun eigentlich diese Aufgaben machen soll. So gibt es auch nach dem neuen Gesetz eine Vielzahl von Aufgaben, deren Durchführung /Umsetzung notwendig ist, um den Datenschutz im Unternehmen effizient realisieren zu können. Diese Aufgaben sind u. a.:

  • Überwachung der Ordnungsmäßigkeit
  • Wahrnehmung von Meldepflichten
  • Sensibilisierung der Mitarbeiter
  • Beratung über Datensicherheitsmaßnahmen
  • Kontrolle und Wahrung der Rechte Betroffener
  • Garantieren von Datensicherheit.

Darüber hinaus gibt es noch eine Anzahl von Aufgaben/Sonderproblemen, die sich indirekt aus dem Gesetz ergeben, und die ein mit der Umsetzung des Datenschutzes Betrauter zu lösen hat. Konkrete Ausführungen für den Praktiker finden sich in dem Buch: „Datenschutzbeauftragter in Österreich“ (Linde Verlag, Wien).

Die jetzt vorliegende Gesetzesnovelle handelt vermeintlich im Interesse der Unternehmen, wenn der Datenschutzbeauftragte als Funktionsträger der wahrzunehmenden Aufgaben gestrichen wird, da so angeblich Kosten gespart werden. Faktisch aber müssen die Unternehmen alle Aufgaben wahrnehmen, die auch in der vorher vorgelegten Gesetzesnovelle enthalten waren. Nur bleibt in dem neuen Gesetz offen, wer denn eigentlich die Arbeit tun soll, wenn es keinen Datenschutzbeauftragten mehr gibt. Hier ist die Schweiz ein ungewolltes Vorbild, denn hier ist es schon seit langem so, dass die Unternehmen ohne vom Gesetz dazu gezwungen zu sein, einen Datenschutzbeauftragten bestellen. Die Schweizer haben im Verlaufe der Zeit gelernt, dass guter Datenschutz nur mit einem dafür Verantwortlichen möglich ist. Und dies kann nach den bisher vorliegenden Erfahrungen nur ein Datenschutzbeauftragter sein. So wird auch den Unternehmen in Österreich kaum etwas anderes übrig bleiben, als einen Datenschutzbeauftragten zu bestellen, wenn sie dem Datenschutz wirklich zu demjenigen Stellenwert verhelfen wollen, den er in einer modernen Informationsgesellschaft hat und den das Gesetz ihm verleiht.

(17.07.2009) UIMC stellt fest: Wirtschaftskrise führt zum Nachdenken über Datenschutzkosten

Die Wirtschaftskrise führt in vielen Unternehmen zum Nachdenken über Hauptelemente der eigenen Kostenstruktur. Hier wird besonderes Augenmerk auf versteckte Kosten und vor allem auf Kostenblöcke mit unklaren Folgekosten gerichtet. Einer der wesentlichen Punkte hierbei ist das Bestreben der Unternehmen, klare Kostenansätze und kalkulierbare Einzelkosten zu erzielen.

Die Kosten des Datenschutzes sind für viele Unternehmen nur schlecht kalkulierbar, da der Datenschutzbeauftragte lediglich in Teilzeit seine Funktion wahrnimmt. Nach einer Studie der UIMCert, einer Schwestergesellschaft der UIMC, ist das Gros der Datenschutzbeauftragten lediglich mit 20% der gesamten Arbeitszeit für den Datenschutz tätig. Damit wird sein Arbeiten als DSB entweder zu Lasten der Aufgabenerfüllung seiner Hauptfunktionen führen und/oder unkalkulierbar.

Dieses Streben nach klaren, kalkulierbaren Kosten, nachweisbaren Arbeitszeiten und effizienter Wahrnehmung der Datenschutzaufgaben führt dazu, dass Unternehmen den Datenschutz outsourcen. Hierbei werden die Kosten offengelegt, die Arbeitszeiten werden auf den externen Träger der Aufgabe ausgelagert und die Verantwortung für einen ordnungsgemäßen Datenschutz wird dem Dritten übertragen, der zur Verantwortung gezogen werden kann, wenn es nicht klappt.

Die UIMC, als führendes Unternehmen auf dem Sektor der externen Datenschutzbeauftragung, hat in diesem Jahr eine Anzahl von neuen Kunden gewinnen können, die sich Kostentransparenz, Kostenminimierung und Ordnungsmäßigkeit der Aufgabendurchführung auf dem Datenschutzsektor zum Ziel gesetzt haben. Häufig wird die Kostentransparenz auch durch ein so genanntes Datenschutzcoaching, ein wesentlicher Geschäftszweig der UIMC-Aktivitäten, erreicht. Hierbei wird der betriebliche Datenschutzbeauftragte von dem externen Coach unterstützt und insbesondere bei hoch qualifizierten Aufgaben entlastet.

(03.07.2009) Datenschutzskandale – wo Gesetze nicht weiterhelfen: UIMC und UTIMACO greifen ein brisantes Thema auf

Bei den IT-Security Foren 2009 der UTIMACO hat Dr. Jörn Voßbein, UIMC Wuppertal, in seiner Rolle als Keynote Speaker einen wegweisenden Kommentar zu den Datenschutzskandalen der letzten Zeit und ihren Zusammenhang mit Informationssicherheitsmanagement gegeben. Er führt hierzu aus, dass insbesondere die Diskussionen um Gesetzesverschärfungen sowie neue Gesetze wenig zielführend sind, da die Analyse der Datenschutzskandale klar zeigt, dass die Tatbestände gegen bestehende Gesetze verstoßen und damit die entsprechenden Sachverhalte hinreichend durch gesetzliche Regelungen abgedeckt sind. Die wesentlichen Aussagen des Vortrages lassen sich in folgenden Thesen zusammenfassen:

  • Sichere Systeme sind Voraussetzung für guten Datenschutz
  • Zur Gestaltung sicherer Systeme gibt es klare Vorgaben und Standards
  • Techniklösungen (PETs) sind Organisationsregelungen vorzuziehen
  • Organisationsregelungen sind notwendige Ergänzungen zu Techniklösungen
  • Die meisten Datenschutzskandale sind keine Skandale der Datenschutzgesetzgebung allein sondern vielmehr bewusst oder gezielt begangene Gesetzesverstöße, die sich im Regelfall auf mehrere Gesetze beziehen.
  • Nicht die Gesetze müssen primär verändert werden sondern vielmehr das IT-Sicherheits- und Datenschutzbewusstsein
  • Es lohnt sicher eher, über Verbesserung der Umsetzung bestehender Regelungen und/oder Verschärfung der Sanktionen nachzudenken

Der Vortrag selbst spricht in einem Überblick über die Datenschutzskandale der Vergangenheit noch bei dem jeweiligen Tatbestand die gesetzlichen Regelungen an, gegen die verstoßen wurde. UTIMACO Sicherheitsforen haben bereits in Berlin und Hamburg stattgefunden, weitere werden in Stuttgart, München, Köln und Frankfurt abgehalten.

Nach Abschluss der Veranstaltungen werden die Vorträge für die Teilnehmer der Veranstaltungen im Internet abrufbar sein.

(17.06.2009) Was tun, wenn das Budget für IT-Sicherheit gekürzt wird

Die Wirtschaftskrise wirkt sich auch auf die IT-Budgets aus. Nach einer Erhebung von Gartner (siehe CZ vom 15.06.09, verschiedene Beiträge) werden schwerpunktmäßig unter anderem und vor allem die Personalkosten Budgetkürzungen unterworfen. Ziel der CIOs muss es daher sein, Überlegungen darüber anzustellen, wie die Budgetkürzungen kompensiert werden können, ohne dass die Qualität der Serviceleistungen darunter leidet. Hier gibt es einige bewährte Verfahren, auf die der CIO sich insbesondere dann besinnen sollte, wenn er mit reduzierten Mitteln zurechtkommen muss.

Eines der bewährtesten ist der Einsatz von Tools in Projekten zur Überwachung der Effizienz und Wirksamkeit der IT-Sicherheit in Unternehmen. Ein hoch leistungsfähiges Tool zur IT-Sicherheitsstrategie sowie zum Risiko- und IT-Sicherheitsmanagement ist das UIMC-Tool. Dieses ist in der Lage, Unterstützung bei IT-Sicherheitsanalyse, Berichterstattung, Aufsetzen von Projekten zur Verbesserung der IT-Sicherheit und bei der Abwicklung von IT-Sicherheitsprojekten zu geben.

Das UIMC-Tool hat sich in einer Vielzahl von Projekten bewährt und zeichnet sich insbesondere dadurch aus, dass es den international gültigen Standard zum IT-Sicherheitsmanagement, die ISO/IEC 27001 -02 normengetreu abbildet, auf Wunsch aber auch weitere spezifische Vertiefungen wie zum Beispiel für Infrastruktur- oder Business Continuity-Management zur Verfügung stellt. Es stellt damit für den Anwender sicher, dass er Überprüfung, Strukturierung und Verbesserung seines IT-Sicherheitssystems in einer Form durchführt, die international anerkannt und abgesichert ist und darüber hinaus an individuelle Strukturierungsbedürfnisse angepasst ist.

(20.05.2009) Aus Kurzarbeit das Beste machen: Mitarbeiter schulen, Geld sparen

Unter www.konjunkturpaket.de sagt die Bundesregierung zum Thema „Neue Regeln für Kurzarbeit“: Die Bundesregierung hat für 2009 die Bezugsdauer von Kurzarbeitergeld von zwölf auf achtzehn Monate verlängert. Die Bundesagentur für Arbeit zahlt - wie beim Arbeitslosengeld - 60 Prozent des Nettolohns, der durch die verkürzte Arbeitszeit wegfällt. Eltern erhalten sogar 67 Prozent. Die Bundesagentur für Arbeit erstattet den Arbeitgebern 2009 und 2010 die Sozialversicherungsbeiträge – bei Kurzarbeit zur Hälfte, bei Qualifizierung während der Kurzarbeit sogar ganz.“

Das heißt im Klartext:

Ein Unternehmen kann demnach auf Basis der bisherigen Informationen die kompletten Sozialleistungen erstattet bekommen, wenn es die Kurzarbeitszeit für Weiterqualifizierung der Mitarbeiter einsetzt – ein Zusatznutzen für das Unternehmen und die Mitarbeiter.

Allerdings muss dieses Konzept von den Behörden erst noch genehmigt werden, was wohl noch ein bis zwei Monate dauern könnte.

Die UIMC rät: Machen Sie aus der Kurzarbeit das Beste: Schulen Sie Ihre Mitarbeiter und sparen Sie Geld!

Die UIMC bietet speziell hierfür folgenden Schulungsthemen an:

  • Allgemeines Gleichbehandlungsgesetz (AGG), (Verpflichtung zur Schulung besteht gemäß § 12 Absatz 2 AGG)
  • Datenschutz im Unternehmen nach dem Bundesdatenschutzgesetz BDSG
  • Professionelles Risikomanagement – Risiken erfassen und richtig managenVorbereitung auf eine Sicherheitszertifizierung gem. ISO/IEC 27001-02

Weiterhin bietet die UIMC nach vorheriger Absprache eine Anzahl von branchen- und unternehmensspezifischen Seminaren/Schulungen zu den oben genannten Themen an. Die UIMC berät auch bei der Gestaltung von Schulungsplänen und kompletten Fortbildungsprogrammen.

(29.04.2009) Informationssicherheits-Benchmarking für das Topmanagement

UIMC/UIMCert werden auf dem IT-Sicherheitskongress des BSI in Bonn vom 12. bis 14.05.2009 ihr neues Konzept zur Revision/Auditierung nach ISO/IEC 27001-02 vorstellen.

Vieldiskutierte Vorkommnisse der letzten Zeit haben gezeigt, welchen bedeutenden Stellenwert die IT-Sicherheit in unseren heutigen IT Systemen hat.

Das neue Konzept setzt insbesondere darauf, dass das Management IT-Sicherheit zur Chefsache machen will, um den Anforderungen nach Compliance zu genügen. Hierzu muss das Management präzise und übersichtliche Aussagen zum Stand der IT-Sicherheit erhalten. Grundlage hierfür ist das standardisierte Analyse- und Berichtssystem des UIMC/UIMCert-Tools auf Basis der ISO/IEC 27001 mit einer für das Management geeigneten Übersicht bezüglich der wesentlichen Feststellungen über das gesamte IT-Sicherheitssystem. Diese Übersicht baut auf einer quantifizierten Auswertung auf und erfüllt damit die Forderungen nach einem klar strukturierten Benchmarking.

Interessierten Kunden und Interessenten stellen UIMC/UIMCert Karten zum Besuch der mit dem Sicherheitskongress verbundenen Ausstellung zur Verfügung. Die personelle Besetzung stellt sicher, dass qualifizierte Gespräche geführt werden können. Da die Eintrittskarten zum Besuch der Ausstellung, nicht aber zur Teilnahme am Kongressprogramm berechtigen, ist auswärtigen Besuchern zu empfehlen, möglichst die Zeiten zwischen den Pausen des Kongressprogrammes/die Vortragszeiten für intensive Gespräche am UIMC/UIMCert-Stand zu nutzen oder einen Termin zu vereinbaren.

Aufgrund ihrer spezifischen Ausrichtung wird die UIMC auch das Thema Datenschutz und die UIMCert das Thema Compliance nach den IDW PS-Richtlinien behandeln.

(20.03.2009) IT-Trends „Sicherheit“: Compliance, ISO 27001 oder IDW-Prüfungsstandards – Mode oder Hilfe bei IT-Sicherheit und Haftungsfragen?

Die Themen Compliance und Risiko-Management werden trotz der Wirtschaftslage derzeit intensiv in den Unternehmen diskutiert, was auch den Bereich der Informationssicherheit mit einbezieht. Die Notwendigkeit zum Aufbau eines Informationssicherheits-Managementsystems wird zwar mittlerweile – zumindest in den EDV-Abteilungen – erkannt, es werden aber einerseits Probleme in der Umsetzung gesehen und andererseits ist die Sensibilisierung im Management trotz persönlicher Haftung oftmals unzureichend. Doch gerade die sichere Datenverarbeitung ist ein zentrales Element in der Verbesserung der Risikosituation und somit Teil der Senkung der Haftungsrisiken des Managements.

Nicht nur in Großunternehmen muss sich die DV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Unternehmen unterliegen einer Vielzahl von von Außen herangetragenen Anforderungen (sei es aus gesetzlicher oder marktrelevanter Sicht), die unmittelbar und mittelbar die DV-Systeme betreffen.

„Durch eine Vielzahl von Gesprächen in Unternehmen können wir feststellen, dass zunehmend erkannt wird, dass etwas getan werden muss. Auf der anderen Seite existiert aber vielfach noch Ratlosigkeit hinsichtlich dessen, was und wie etwas umgesetzt werden soll.“ so Dr. Jörn Voßbein, Geschäftsführer der UIMC und erfahrener Berater in der Informationssicherheit. Auch die allgemeine Forderung aus dem KonTraG, welches auf Nicht-AGs in Bezug auf eine Umsetzung von geeigneten Maßnahmen der Risikoüberwachung zum Fortbestand der Gesellschaft mittelbar ausstrahlt, stellt die Praktiker vor Probleme.

Trotz persönlicher Haftung der Entscheider und den Erfahrungen aus der Finanzkrise ist das Wissen um den Aufbau eines zwingend erforderlichen Informationssicherheits-Managementsystems insbe-sondere bei den Entscheidern im Mittelstand und die Umsetzung nur gering. Dabei zeigt sich zunehmend, dass die ISO 27001 (IT-Sicherheitsmanagement) und auch andere Normen geradezu prädestiniert sind, um die Situation der IT-Sicherheit im Unternehmen zu analysieren und zu verbessern, was eine wesentliche Säule für eine verbesserte Compliance- und Risikosituation darstellt.

Im Rahmen des Vortrags „Compliance, ISO 27001 oder IDW-Prüfungsstandards – Mode oder Hilfe bei IT-Sicherheit und Haftungsfragen?“ auf der IT-Trends „Sicherheit“ in der rewirpower-Lounge in Bochum am 31.03.2009 wird Tim Hoffmann, Berater für IT-Sicherheit der UIMC, Einblicke in die Hintergründe und Bedeutung des Aufbaus eines Informationssicherheits-Managementsystems bieten und darüber hinaus auch Empfehlungen für Umsetzung sowie Prüfung und Zertifizierung gegeben. „Wenn die Auditierung/Zertifizierung nicht nur als Selbstzweck verstanden wird, kann ein Mehrwert für das gesamte Unternehmen generiert werden: Die Sicherheit der IT wird verbessert und die Haftungsrisiken der Geschäftsführung werden gesenkt. Und auch die Fachbereiche profitieren davon.“

(19.02.2009) Datenschutz in Österreich - Vorbild für die Bundesrepublik Deutschland?

Die in Österreich zurzeit vorliegende Novelle zum Datenschutzgesetz enthält einige außerordentlich interessante Punkte, die auch dem deutschen Datenschutz gut anstünden. So wird z.B. in Österreich der Datenschutzbeauftragte dazu verpflichtet, sich selbst in einem bestimmten Umfang fortzubilden (im ersten Jahr seiner Tätigkeit 40, in den folgenden Jahren jeweils 20 Stunden), was für das Unternehmen bedeutet, dass ihm diese Fortbildungszeiten zur Verfügung gestellt werden müssen und das Unternehmen gegebenenfalls auch ein entsprechendes Budget zur Verfügung stellen muss.

Des Weiteren legt das österreichische Gesetz fest, dass der Datenschutzbeauftragte für Anfragen von Mitarbeitern ein bestimmtes Zeitbudgets - zur Verfügung zu stellende Zeit pro Mitarbeiter 8 Stunden im ersten, 4 Stunden in den folgenden Jahren - vorzusehen hat, was wiederum Rückschlüsse auf die ihm vom Unternehmen zur Verfügung zuzubilligende Zeit für die Ausübung seiner Funktionen zulässt. Dies bedeutet, dass die in der Bundesrepublik übliche Praxis, sein Zeitbudget so zu beschränken, dass er nur Zeit für die allernotwendigsten Aufgaben hat, zumindest auf der Gesetzesebene unmöglich gemacht wird. Die Studie, die die UIMC/UIMCert im vergangenen Jahr zur Realisierung des Datenschutzes in Deutschland vorgelegt hat, zeigt, dass die Mehrzahl von Unternehmen hier im Hinblick auf die "Teilzeitbeschäftigung“ des Datenschutzbeauftragten deutlich nachbessern müsste. In dieser UIMCert-Studie wurde festgestellt, dass der Datenschutzbeauftragte im Durchschnitt unter 20 Stunden pro Monat zur Ausübung seiner Funktionen zur Verfügung hat.

Nachteilig ist im österreichischen Datenschutzgesetz allerdings die Tatsache, dass für den öffentlichen Bereich kein Datenschutzbeauftragter vorgesehen ist. Hier zeigt insbesondere die Erfahrung aus der Bundesrepublik Deutschland, dass der Bedarf an professionellen Datenschutz in Behörden, repräsentiert die durch Person des Datenschutzbeauftragten - mindestens ebenso groß ist wie der in Wirtschaftsunternehmen.

(14.01.2009) Auch Mittelstand erkennt Notwendigkeit zum Risiko- und IT-Sicherheitsmanagement

Neben der Finanzmarktkrise, die die öffentliche Diskussion am Ende des Jahres 2008 dominiert hat, gewinnt die Frage um die persönliche Haftung von Geschäftsführern über Compliance und Risiko-Management ständig an Bedeutung. Auch die KECoS-Vortragsreihe „Brennpunkt IT-Sicherheit“ hat gezeigt, dass die Notwendigkeit zum Aufbau eines Informationssicherheits-Managementsystems mittlerweile allgemein erkannt wird, aber Probleme in der Umsetzung gesehen werden. Hierbei zeigt sich zunehmend, dass die ISO 27001(IT-Sicherheitsmanagement) geradezu prädestiniert ist, um die Situation der IT-Sicherheit im Unternehmen zu analysieren und zu verbessern, was eine wesentliche Säule für eine verbesserte Compliance -Situation darstellt.

Die Vortragsreihe „Brennpunkt IT-Sicherheit“, die vom Kompetenz-Zentrum Electronic Commerce Schwaben (KECoS) in Kooperation mit ortsansässigen IHKs in verschiedenen deutschen Städten organisiert wurde, ist bei den Geschäftsführern und EDV-Verantwortlichen des Mittelstands auf großes Interesse gestoßen. Hierbei wurde durch Tim Hoffmann von der UIMC nicht nur ein Einblick in die Hintergründe und Bedeutung des Aufbaus eines ISMS geboten, sondern auch Empfehlungen für Umsetzung sowie Prüfung und Zertifizierung gegeben.

Die ISO/IEC-Norm 27001 spielt als international anerkannte „Best Practice-Norm“ eine besondere Rolle, um ein IT-Sicherheits-Managementsystem zu etablieren, welches auch mit Qualitätsmanagementsprozessen vereinbar ist. Großes Interesse kam hierbei aus dem Mittelstand bzw. von KMUs (kleinen und mittleren Unternehmen), was eine Vielzahl von Gesprächen zeigte.

Wenn die Auditierung/Zertifizierung nicht nur als Selbstzweck verstanden wird, wird ein Mehrwert für das gesamte Unternehmen generiert.

Nicht nur in Großunternehmen muss sich die DV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Unternehmen unterliegen einer Vielzahl von Außen herangetragenen Anforderungen (sei es aus gesetzlicher oder marktrelevanter Sicht), die unmittelbar und mittelbar die DV-Systeme betreffen.

Es wird zunehmend erkannt, dass etwas getan werden muss. Auch die allgemeine Forderung aus dem KonTraG, welches auf Nicht-AGs in Bezug auf eine Umsetzung von geeigneten Maßnahmen der Risiko-Überwachung zum Fortbestand der Gesellschaft mittelbar ausstrahlt, stellt die Praktiker vor Probleme.

Somit steckt der Aufbau eines zwingend erforderlichen Informationssicherheits-Managementsystems (ISMS) zwar schon alleine aufgrund der persönlichen Haftung und der Finanzkrise zwar in den Köpfen der Entscheider, die Umsetzung aber noch in den Kinderschuhen. „Vielen EDV- und Unternehmensleitern scheint aber nicht bekannt zu sein, welche Vorgaben für sie im Einzelnen relevant sind und in welchen Bereichen entscheidende Risiken bestehen, geschweige denn, wie sie diesen begegnen können“, wie Tim Hoffmann auf der Basis seiner Erfahrungen als Datenschutz- und IT-Sicherheitsberater im Mittelstand feststellt.

(24.11.2008) Qualität in der Ausbildung ausgezeichnet: 1. Preis für die UIMC

Die UIMC hat in diesem Jahr den ersten Platz bei der Verleihung des Bergischen Ausbildungspreises (Städtedreieck Remscheid – Solingen – Wuppertal) erhalten. Die Preisverleihung war am Dienstag dem 18. November. Der Preis selbst wurde durch Oberbürgermeister Jung von der Stadt Wuppertal überreicht. Hiermit wurden die langjährigen Ausbildungsbemühungen der UIMC gewürdigt, die in den vergangenen 10 Jahren keinen Ausbildungsabbrecher zu verzeichnen hatte und alle Auszubildende haben ihre Ausbildung im „ersten Anlauf“ erfolgreich bestanden.

Dr. Jörn Voßbein, Geschäftsführer der UIMC, meint hierzu:

„Gerade vor dem stetigen Anstieg des „Akademisierungswahns“, erhält das über Jahrzehnte bewährte System der dualen Ausbildung in der gesellschaftlichen und politischen Wahrnehmung nicht die Wertschätzung, die es verdient. Dabei ist weder die akademische Ausbildung grundsätzlich als besser anzusehen, noch wird beachtet, dass im Ausland teilweise „Akademiker“ ausgebildet werden, deren Ausbildungsergebnis dem unserer dualen Ausbildung deutlich unterlegen ist.

Ich würde mich freuen, wenn dieser Preis auch dazu führt, dass in der Bildungspolitik ebenso die Stärken deutscher bewährter „Sonderwege“ Berücksichtigung finden und die duale Ausbildung nicht unnötigerweise einer übermotivierten internationalen Vereinheitlichungspolitik geopfert wird.“

Die UIMC und ihre Schwestergesellschaft UIMCert verstehen ihr Ausbildungsengagement als eine gesellschaftliche Verpflichtung, auch in Zeiten, in denen die Wirtschaft nicht so gut läuft. Die Ausbildung ist qualifiziert, fundiert und hat dazu geführt, dass selbst die nicht übernommenen Auszubildenden unmittelbar nach Beendigung ihrer Ausbildungszeit interessante Stellen gefunden haben, wobei auf die gesamte Zeit gesehen die Anzahl der übernommenen Auszubildenden deutlich höher ist als die Anzahl derjenigen, die nicht übernommen werden konnten.

Dr. Jörn Voßbein, der gleichzeitig auch als Prüfer der IHK tätig ist, meint hierzu:

„Wir werden unser Engagement auf diesem Gebiet auch künftig aufrecht erhalten und freuen uns über jeden von uns qualifizierten Auszubildenden, der von anderen Unternehmen übernommen wird. Auch im neuen Jahr hoffen wir wieder auf interessante Bewerbungen, die uns die Möglichkeit geben, qualifizierte Arbeitskräfte für die Wirtschaft auszubilden. Ausbildung ist bei uns eine Aufgabe die wir mit Engagement angehen, und die uns als Teil unserer Arbeit darüber hinaus Freude macht.“

(29.10.2008) Sinnvoll zu wissen: Wo steht unser Unternehmen im Datenschutz?

UIMC/UIMCert haben sich für ihren Kundentag am 19./20. November etwas Besonderes ausgedacht: Basierend auf der durchgeführten Studie – vgl. hierzu die Pressemitteilungen der UIMCert zum Stand des Datenschutzes in der Bundesrepublik Deutschland vom 24.09.08 und 01.10.08 - können Kunden eine eigene Bewertung ihrer Positionierung im Datenschutz vornehmen. Die Studie wurde von der UIMCert in Kooperation mit dem Lehrstuhl für Wirtschaftsinformatik und Softwaretechnik der Universität Duisburg-Essen durchgeführt.

Besucher des Kundentages geben die Daten ihres Unternehmens in ein Programm ein und erhalten als Auswertung eine Beschreibung ihrer eigenen Positionierung im Datenschutz im Vergleich zu den in der Studie festgestellten Werten. Hiermit ist leicht zu erarbeiten, wie gut der Datenschutz im Unternehmen im Verhältnis zu den in der Studie ermittelten Standards realisiert ist. Grundlage ist ein Vergleich mit den häufigsten von den Teilnehmern der Studie genannten Bewertungen. Beispielsweise, wenn die Frage gestellt wird:

"Wie bewerten die Mitarbeiter Ihres Unternehmens die Funktion des Datenschutzbeauftragten?"    

  • unverzichtbar
  • wichtig
  • notwendig
  • eher nicht notwendig
  • nicht notwendig

so ist in der Auswertung der häufigste ermittelte Wert hinterlegt und bei einer wahrheitsgemäßen Antwort kann dann abgelesen werden, wo das eigene Unternehmen im Verhältnis zu anderen Unternehmen steht. Der ursprüngliche Fragebogen wurde zum Zweck der Positionsbewertung in einigen Punkten geringfügig umfangmäßig reduziert, um beim Kundentag in einer angemessenen Zeit ein interessantes Ergebnis erzielen zu können.

Die Eingabe/Bewertung des eigenen Unternehmens kann ausgedruckt und natürlich mitgenommen werden und ist streng vertraulich. Der Datenschutzbeauftragte, der die Position des eigenen Unternehmens ermittelt hat, kann das entsprechende Untersuchungsergebnis der Geschäftsleitung vorlegen und er erhält so je nach Ergebnis entweder „Munition" für fundierte Diskussionen über den Stellenwert des Datenschutzes im Unternehmen oder er vermag der Geschäftsleitung gegenüber sein erfolgreiches Wirken in der Vergangenheit darzulegen.

(12.09.2008) Unbundling und Datenschutz – untrennbar verbunden

Energieversorger stehen durch steigende Energiepreise im Fokus der Aufmerksamkeit der Öffentlichkeit. Somit kann auch ein „Fehler“ in anderen Bereichen – wie beispielsweise dem Datenschutz – negative Auswirkungen auf das Image von Stadtwerken haben. Neben dem Bundesdatenschutzgesetz (BDSG) stellt auch das Energiewirtschaftsgesetz (EnWG) Anforderungen an interne Organisation und Datenverarbeitung. Hierdurch kommt dem Datenschutz und dem Datenschutzbeauftragten ein neuer Stellenwert zu, dem durch einen entsprechenden Erfahrungsaustausch Rechnung getragen werden muss.

Die Berücksichtigung des Rechts auf informationelle Selbstbestimmung der Kunden kann einen Beitrag dazu leisten, sich das Vertrauen zurück zu gewinnen. Andersherum kann ein Verstoß gegen datenschutzrechtliche Grundlagen ein „gefundenes Fressen“ für die lokale und überregionale Presse sein.

Daher ist es um so wichtiger, dass sich Kunden darauf verlassen können, dass mit ihren personenbezogenen Daten sensibel und den einschlägigen Datenschutzgesetzen entsprechend umgangen wird. „Hierbei sind Fragen wie ‚Darf ich der Wohnungsgesellschaft den Verbrauch der Mieter nennen?’, ‚Welche Daten darf ich den Technikern/Monteuren über die Kunden mitteilen?’ oder ‚Darf ich eine Personalausweiskopie vom Kunden erstellen?’ an der Tagesordnung“, so Tim Hoffmann von der UIMC Dr. Voßbein GmbH & Co KG, der in verschiedenen Stadtwerken für den Datenschutz zuständig ist. „Diese Fragen müssen so geklärt werden, dass nicht nur die Ordnungsmäßigkeit sichergestellt ist, sondern auch die internen Prozesse nicht unnötig verkompliziert bzw. ineffizient werden.“ Hierbei hilft die Mehrfachbestellung in verschiedenen Stadtwerken, um eine hohe Kompetenz sicherzustellen.

Es sind neuerdings auch die Entflechtungsvorgaben des EnWG zu beachten, wonach ein „vertikal integriertes Energieversorgungsunternehmen“ zur diskriminierungsfreien Ausgestaltung und Abwicklung des Netzbetriebs verpflichtet ist. Dies bedeutet, dass der interne Zugang zu Informationen reglementiert werden muss, wodurch sich eine Schnittmenge zum Datenschutz ergibt. Das heißt im Umkehrschluss jedoch auch, dass sich für die „Datenschutzorganisation“ (im Sinne des BDSG und des EnWG) eine weitere Kontrollinstanz interessiert: Nach Datenschutz-Aufsichtsbehörde, Wirtschaftsprüfer, Betriebsrat und Datenschutzbeauftragter kontrolliert nun auch die Bundesnetzagentur.

Über diese und weitere datenschutzrechtliche Fragestellungen informiert das UIMCollege bzw. kann im Rahmen des Workshops „Datenschutz in Stadtwerken“ diskutiert werden. Hierbei können Geschäftsführer und Leitungskräfte sich allgemein über die Thematik und Lösungsmöglichkeiten im branchenspezifischen Datenschutz informieren, designierte Datenschutzbeauftragte den ersten Schritt zum Aufbau der Fachkunde gemäß § 4f BDSG gehen oder Gleichstellungsbeauftragte von langjährigen Erfahrungen aus dem Randgebiet „Datenschutz“ profitieren.

(14.08.2008) Studierende denken heute anders: Datenschutz ist wichtig!

Häufig verbindet sich mit der Bezeichnung „Studierender“ das Klischee und die Meinung, dass Studierende einer Gruppe unserer Gesellschaft sind, die neben dem Studium insbesondere das Leben genießt und sich nicht um trockene Themen, wie den Datenschutz kümmert. Dabei ist es gerade diese mit dem Kommunikationsmedium Internet aufgewachsene Generation, die in Chat-Rooms oder bei der Nutzung von Portalen wie ebay oder studiVZ häufig Spuren personenbezogener Daten hinterlässt.

„Was allerdings den Datenschutz innerhalb der Hochschulen betrifft, so kann dieses Vorurteil schon längst nicht mehr aufrecht gehalten werden“, stellt Dr. Heiko Haaz fest, mehrfach bestellter externer Datenschutzbeauftragter an einer Anzahl von Hochschulen und hochschulnahen Einrichtungen und Partner der UIMC. Der Alltag an Hochschulen ist ohne moderne und hochschulweite Informationssysteme mittlerweile undenkbar. Hochschulen verwalten mehrere tausend Datensätze von Studierenden, Beschäftigten, Angehörigen und Mitgliedern. Bei größeren Institutionen kommen hier leicht 50.000 und mehr Datensätze zusammen.

Jahrelang ging die Initiative von den Datenschutzbeauftragten, der EDV oder der Leitung der Hochschulen aus, entsprechende Informationssysteme datenschutzkonform zu implementieren, Rechtevergaben stringent und restriktiv zu handhaben oder Datenflüsse nach Zweck und Rechtsgrundlage zu hinterfragen. In den letzten Jahren sind zunehmend Eingaben, Anfragen und Beschwerden von Studierenden festzustellen, die bis auf Datenfeldebene wissen möchten, wer, wann und warum Zugriff auf ihre Daten nehmen kann. „Die Studierenden regen sich schon längst nicht mehr nur über fehlerhafte Aushänge ihrer Prüfungsergebnisse auf“ so Dr. Haaz weiter. „Die Studierenden zeigen sich sensibilisiert was die Veröffentlichung ihrer personenbezogenen Daten angeht und gut informiert, was die eingesetzten Systeme betrifft. Selbst wenn diese Systeme den Studierenden häufig schon deshalb einen Nutzen bringen, weil personenbezogene Daten nicht an allen Stellen der Hochschule angegeben und insbesondere bei Änderungen nicht überall aktualisiert werden müssen, so steigt die Anzahl von Auskunftsersuchen. Die Studierenden wollen wissen, was mit ihren Daten passiert und dass nicht nur als Vorwand, wie es z. B. mit der Einführung der Studienkonten unterstellt werden musste.“

Der Einzug von Identity Management Systemen an immer mehr Hochschulen und Universitäten sowie Meldungen über geknackte Sicherheitssysteme bei Studierendenausweisen mit Zahlungsfunktion (RFID-Chip) lassen den Datenschutz Einzug in das Bewusstsein von Studierenden nehmen. Dies ist auch ein Grund, warum immer mehr Hochschulen und hochschulnahe Einrichtungen sich qualifizierte Unterstützung bei der Einführung von Informationssystemen oder bei der Datenschutzberatung holen. Die UIMC hat in den letzten Jahren insbesondere bei der datenschutzkonformen Implementierung sowie bei Ordnungsmäßigkeitsprüfungen (Vorabkontrollen) verschiedener Hochschulinformationssysteme immer wieder ihre vorhandene Fachkunde zum Nutzen ihrer Kunden einbringen können.

(08.08.2008) Statt durch Strafen den Datenschutz in Unternehmen besser pragmatisch angehen!

Nach den jüngsten Veröffentlichungen von „Datenschutz-Pannen“ (bzw. eklatanten Verstößen gegen den Datenschutz und das Persönlichkeitsrecht) bei Lidl, Deutsche Telekom oder HSH fordern verschiedene Politiker und Organisationen härtere Strafen im Rahmen des Datenschutzes. Diese (fast schon reflexartig erhobene) Forderung wird jedoch nicht zu dem Ziel eines besseren gelebten Datenschutzes führen. So wie Todesstrafen keine Morde, Gefängnisstrafen keine Steuerhinterziehung im großen Stil oder höhere Geldbußen keine Autobahnraserei abwehren, so werden auch verdoppelte oder vervielfachte Geldstrafen nicht verhindern, dass Daten unbefugt erhoben, verarbeitet oder anderweitig genutzt werden. Vielmehr sollte auf jene kriminelle Handlungen mit einer höheren Kontrolldichte geantwortet werden, schließlich ist die Gefahr des Erwischtwerdens heute eher gering. Doch ist dies wiederum politisch aufgrund der „Haushaltslage“ nicht durchsetzbar oder intensivere Kontrollen sind nicht gewünscht.

Andererseits ist auch dies zu kurzsichtig betrachtet, wie Prof. Dr. Reinhard Voßbein feststellt, denn diverse Datenschutzvergehen – gerade in kleinen und mittleren Unternehmensgrößen (KMU) – werden nicht aus Böswilligkeit, sondern aus Unwissenheit begangen. Wenn man die datenschutzrechtliche Realität in Deutschland betrachtet, wird man schnell feststellen, dass viele Unternehmen keinen Datenschutzbeauftragten bestellt haben, obwohl das Gesetz dies klar fordert. So zeigte auch eine aktuelle UIMCertStudie – ab Oktober verfügbar -, dass rund 60% der bestellungspflichtigen KMU keinen Datenschutzbeauftragten ernannt haben. Dies zeigt, dass – auch wenn der Datenschutz ein „alter Hut“ ist und derzeit öffentlich stark diskutiert wird – er weder in der betrieblichen Praxis „angekommen“ noch ein gesellschaftlich gelöstes Problem ist.

Die Gründe hierfür sind durchaus vielschichtig: Die Unwissenheit über die Anforderungen, die fehlende Motivation sich mit diesem lästigen Thema auseinandersetzen oder die mangelnden personellen und letztendlich auch finanziellen Möglichkeiten sind hierbei sicherlich nur exemplarisch. Hierzu bemerkt Dr. Jörn Voßbein, Geschäftsführer der UIMC und mehrfach bestellter Datenschutzbeauftragter, bissig „Die Durchsetzung der schon heute möglichen Strafe des Bundesdatenschutzgesetzes (BDSG) in Höhe von EUR 250.000 ist auch für größere Unternehmen sicherlich relevant und hält sie dennoch nicht davon ab, gegen das BDSG zu verstoßen.“

Dies zeigt somit, dass es wesentlich zielführender ist, eine bessere Herangehensweise an den Datenschutz zu wählen. Der Datenschutz wird nur dann intern akzeptiert und auch gelebt, wenn er angemessen umgesetzt wird. Somit kann die Mehrfachbestellung eines Externen äußerst hilfreich sein, da Erfahrungen auch aus anderen Unternehmen übertragen werden können. Diese Meinung teilt im Übrigen auch Bettina Sokol, Landesdatenschutzbeauftragte in NRW, die in einem ihrer vergangenen Tätigkeitsberichte festhielt, dass „die Bestellung externer Beauftragter... oft eine praktikable Lösung“ und oftmals auch „kostengünstiger und fachlich qualifizierter“ ist.

„Eins sollte bei den Überlegungen zum Datenschutz auch nicht vergessen werden“, stellt Dr. Jörn Voßbein ferner klar, „dass auch die allgemeine IT-Sicherheitssituation davon profitiert und der Qualitätsgedanke weiter ins Unternehmen getragen wird.“ Sofern die gesetzlichen Anforderungen im Rahmen des Datenschutzes effektiv und effizient im Unternehmen angegangen werden, kann somit auch ein Mehrwert im gesamten Unternehmen entstehen. Datenschutz sollte proaktiv betrieben werden, bevor Wirtschaftsprüfer, Betriebsräte oder Kunden danach fragen; oder sogar die Öffentlichkeit dies diskutiert. Andernfalls können Probleme entstehen, die über das eigentliche Thema „Datenschutz“ hinausgehen.

(15.04.2008) EUG und UIMC blicken auf ein erfolgreiches erstes Jahr der Kooperation zurück

Wuppertal, 14.04.2008 – Seit einem Jahr arbeiten die Interessensvertretung der Nutzer der ERP-Software (EUG) vom Hersteller ABAS Software AG und die UIMC im Bereich des Datenschutzesund der IT-Sicherheit zusammen. Sowohl die von der UIMC betreuten Mitgliedsunternehmen als auch das mittelständische Beratungsunternehmen aus Wuppertal blicken zufrieden auf das erste Jahr der Kooperation zurück, wie alle Beteiligten auf der diesjährigen EUG-Tagung in Kassel feststellten.

Vor ziemlich genau einem Jahr wurde der „offizielle Startschuss“ für die Kooperation zwischen der ERP-User-Group (EUG) und der UIMC Dr. Vossbein GmbH & Co KG gegeben. Als sich nun die Beteiligten zur mittlerweile 13. EUG-Tagung in Kassel in noch größerer Runde wieder trafen, blickten alle zufrieden auf das erste Jahr zurück.Der zunächst „nur“ als Interessensvertretung gegenüber dem Hersteller von ERP-Software ABAS Software AG gedachte Zusammenschluss von über 100Mittelstandsfirmen kann seinen Mitgliedern durch die Kooperation noch mehr Problemlösungskompetenz anbieten, schließlich arbeitet die EUG schon seit jeher nach dem simplen und zugleich bestechenden Motto „Wer allein arbeitet, addiert. Wer zusammenarbeitet, multipliziert.“

Die betreuten Mitgliedsunternehmen können auf die über zehnjährige Kompetenz der UIMC im Datenschutz und in derIT-Sicherheit zurückgreifen. Das zuvor sperrige und gerne aufgrund der„lästigen Natur“ ignorierte Thema Datenschutz wird nun mit einer nicht überbetonten, sondern angemessenen Herangehensweise gelöst. Und last but not least kann die UIMC mit einem verlässlichen Partner einen noch größeren Interessentenkreis für das für kleine und mittelgroße Unternehmen (KMU) entwickelte „Low-Budget-Konzept“ ansprechen und sichmit ähnlich strukturierten Firmen austauschen. Das Konzept hat sichbereits in der Vergangenheit zur pragmatischen Umsetzung desDatenschutzes und der IT-Sicherheit bewährt und ist ideal als Lösung eines Verbands, wie es die EUG ist.

Im Rahmen der diesjährigen EUG-Tagung am 11. und12. April in Kassel ließ Tim Hoffmann, verantwortlicher UIMC-Berater inder Kooperation, das erste Jahr Revue passieren. Schon im ersten Jahr konnten einige Geschäftsführer und Unternehmensentscheider von der Bedeutung der sicheren IT-Organisation und des Datenschutzes überzeugt werden. Hierbei zeigen auch die jüngeren Beispiele im Lebensmitteleinzelhandel, wie wichtig eine funktionierende Datenschutzorganisation ist. Und durch das Low-Budget-Konzept des Wuppertaler Unternehmens können nun auch keine „Ausreden“ mehr dahingehend bestehen, dass die Umsetzung des Datenschutzes lästig,teuer und praxisfern ist, schließlich werden wesentliche Funktionen an die UIMC ausgelagert ohne dabei das Budget übermäßig zu belasten. Durch die Konzentration auf das Wesentliche sowie den Rückgriff auf etablierte Standards und Tools können die IT-Sicherheit und der Datenschutz pragmatisch sichergestellt werden.

Darüber hinaus bestätigten die durch die UIMC betreuten Unternehmen, dass der Datenschutz bei den betreuten EUG-Mitgliedern nicht als Selbstzweck betrieben wurde: Es konnte das Vertrauen zu den Mitarbeitervertretern ausgebaut werden und auch die Sicherheitssituation der EDV verbessert werden. Auch in diesem Jahr stieß das vorgestellte Konzept auf positive Resonanz der teilnehmenden Mitglieder, da hier eine für Mittelständler bezahlbare Lösung geboten wird und nicht mit „Kanonen auf Spatzen geschossen wird“.

Es kann also festgehalten werden, dass durch die Kooperation mit der UIMC nun auch in den Bereichen IT-Sicherheit und Datenschutz bei der EUG „multipliziert“ wird. Die UIMC gibt diese Synergien in Form von Rabatten an die interessierten Mitglieder weiter und es wird bei einer entsprechenden Anzahl an interessierten Mitgliedern ein Erfahrungsaustauschkreis bzw. eine Arbeitsgruppe geschaffen.

(10.04.2008) UIMC auf der IT-Trends 2008: Datenschutz in KMU “life“

Die UIMC wird auch in diesem Jahr wieder auf der IT-Trends, die am 27.05.2008 im Zentrum für IT-Sicherheit, Bochum stattfindet, mit einem Ausstellungsstand und einem Vortrag vertreten sein.

Der Vortrag bietet „Datenschutzlife“ und beinhaltet den Erfahrungsbericht eines Datenschutzes aus dem KMU-Bereich. Er gibt einen Einblick in das Leben eines „Datenschützers“ in einem KMU, wie dieser tagtäglich die Datenschutzarbeit nicht nur effektiv, sondern auch effizient erfüllt und welche klassischen Hürden er in einem KMU bewältigen muss. Auch wenn der Vortragende aus Sicht eines externen Datenschutzbeauftragten referiert, können die Erfahrungen auf die Tätigkeiten eines intern Bestellten ohne Weiteres übertragen werden. Es werden konkrete Lösungsvorschläge und Argumentationshilfen unterbreitet, welche auch jenen Zuhörern einen Mehrwert darstellen, die sich nicht in Ihrer tagtäglichen Arbeit mit dem Thema „Datenschutz“ auseinandersetzen. Ferner hat die Unternehmensführung die Möglichkeit, sich über die Anforderungen des Datenschutzes und die besonderen Lösungsmöglichkeiten innerhalb eines KMU zu informieren, so dass das „lästige Übel“ zu einem Mehrwert im Unternehmen wird.

Die Ausstellung informiert über das Produktprogramm, welches die UIMC für Unternehmen aller Größenordnungen bereithält. Auch hier wird wiederum gezeigt, wie Tools die Arbeit des Datenschutzbeauftragten und IT-Sicherheitskoordinatoren erleichtern und dazu beitragen wie ein Unternehmen „ordnungsgemäß“ wird.

Die IT-Trends hat sich in den vergangenen Jahren im westdeutschen Raum fest etabliert als eine Ausstellung, die auf dem IT-Sicherheitssektor praxisorientierte Hilfen bietet.

(19.02.2008) Secure 2008: kein Mekka für IT-Sicherheitsfachleute mehr?

UIMC und UIMCert haben sich nach sorgfältigen Überlegungen unter Prüfung der bisher gemachten Erfahrungen entschlossen, auf der Secure 2008 keine Ausstellung ihrer Produkte und Dienstleistungen mehr vorzunehmen. Die Erfahrungen der verflossenen Jahre haben gezeigt, dass die Kongressteilnehmer in den meisten Fällen nur wenig Interesse zeigen, sich in den Pausen mit Ausstellerthemen zu beschäftigen, sondern lieber in einem kleinen Kreis der Kongressteilnehmer Fachgespräche führen oder einfach relaxen wollen. Diese Erfahrung haben nicht nur UIMC und UIMCert gemacht; sie haben sich vielmehr hierüber auch mit anderen Ausstellern ausgetauscht. Es wurde in diesem Zusammenhang festgestellt, dass die Besucherzahl sowie die Zusammensetzung der Besucher nicht zu nennenswerten Kontakten durch die Ausstellung geführt haben. Insbesondere ist festzustellen, dass auch die durchgeführte Werbung für den Kongress nicht so zielgruppenspezifisch ausgerichtet war, dass sie eine weitere Teilnahme gerechtfertigt hätte.

UIMC und UIMCert hatten in den vergangenen Jahren immer am Kongress und der begleitenden Ausstellung teilgenommen. Eine Umgestaltung des Geschäftsmodells durch den Kongressveranstalter hat jedoch dazu geführt, dass die Unternehmensgruppe UIMC/UIMCert ihre Strategie geändert hat. Besonderes Gewicht soll auch künftig auf den im November stattfindenden Kundentag gelegt werden.

(01.02.2008) Keine IT-Sicherheit ohne Risikomanagement

Nach einer Meldung der Computerzeitung vom 28. Januar sollten CIOs „weniger Aufmerksamkeit auf das Flickwerk der Security Patches“ legen als vielmehr ein umfassendes Risikomanagement einführen. Obwohl diese Erkenntnis nicht neu und auch in dieser Form nicht vollständig richtig ist – „Flickwerk“ ist nicht die Lösung, sondern viel mehr ganzheitliche IT-Sicherheitskonzepte -, sind viele Unternehmen noch nicht bereit, ein effizientes und ein an das gesamte Unternehmen erfassendes Risikomanagement zu installieren.

Die UIMC/UIMCert meinen hierzu: Es gibt mittlerweile Servicepakete, die die Unternehmen dabei unterstützen, einfunktionierendes Risikomanagement zu entwickeln und zu implementieren.UIMC/UIMCert bieten hierzu einen Risikoworkshop an, der das „Gewusst-Wie“ der Planung, Entwicklung und Durchsetzung eines Risikomanagementsystems vermittelt,auf dem Prinzip des „Befähigens zum Selbst-Tun“ beruht und auch mittelständische Unternehmen in die Lage versetzt, ein effizientes Risikomanagementsystem aufzubauen. Zu den Materialien, die ergänzend zu den Workshopunterlagen zur Verfügung gestellt werden, gehören Formularhilfen, Anleitungen und ergänzende Literatur zum Risikomanagement.

Weiterhin steht insbesondere für den Bereich der IT-Sicherheit ein Tool zur Verfügung, welches entsprechend dem internationalen Standard ISO/IEC 27001/02 eine Analyse des bestehenden Risikomanagementsystems vornimmt, bei der Erarbeitung von Risikostrategien und -maßnahmen hilft und - als Nebenfunktion - die Projektarbeit unterstützt und coacht. Zielist, das Risikomanagementsystem zu einem wirksamen Instrument der Unternehmensführung zu machen.

(28.11.2007) Bußgelder und Strafanzeigen beweisen: Aufsichtsbehörden machen ernst mit Datenschutz!

Die 31. Datenschutzfachtagung DAFTA 2007 –– hat wie immer eine Vielzahl von Anregungen und Erkenntnissen über den Datenschutz gebracht. Einer der bemerkenswertesten Vorträge war der Bericht über eine Umfrage bei Datenschutzaufsichtsbehörden zum Thema „Bußgelder und Strafanzeigen“. Die Referentin Evelyn Seiffert wies überzeugend nach, dass Vorsatz und Fahrlässigkeit die Hauptgründe für Ordnungswidrigkeitstatbestände sind. Insgesamt - so führte die Referentin aus - sind im Verlaufe der letzten fünf Jahre in 242 Fällen Bußgelder inklusive Verwarnungen verordnet worden. Im gleichen Zeitraum wurden 14 Strafanträge gestellt. Bei zirka 65 Fällen wurde als Ordnungswidrigkeitstatbestand ein Verstoß gegen Meldepflichten und/oder Bestellung eines Datenschutzbeauftragten konstatiert.

Die UIMCert meint: Insbesondere der hohe Anteil der Ordnungswidrigkeitstatbestände in Form von Verstößen gegen § 43 Abs. I, 1 und 2 ist nicht verwunderlich, da - wie in einer unserer letzten Pressemitteilungen festgestellt - die Marktstudie der UIMCert ergeben hat, dass zirka 60 % der zur Bestellung eines Datenschutzbeauftragten verpflichteten KMU´s dieser Pflicht nicht nachgekommen sind. Die Differenz zwischen den von den Aufsichtsbehörden festgestellten Verstößen gegen den genannten Paragraphen und den von der UIMCert festgestellten Tatbeständen ergibt sich daraus, dass die Aufsichtsbehörden durch Personalmangel nicht flächendeckend prüfen können, so dass ihnen das gesamte Ausmaß der Verstöße insbesondere gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten entgeht. Die meisten der anderen von Frau Seiffert festgestellten Verstöße wären dann nicht passiert, wenn ein gewissenhafter Datenschutzbeauftragter bestellt und tätig geworden wäre.

UIMC und UIMCert haben nicht nur auf ihrem Kundentag darauf hingewiesen, dass sie ein effizientes System zur Herstellung der Ordnungsmäßigkeit des Datenschutzes in KMU´s in ihrem Produktportfolio haben. Die Tatsache, dass die Aufsichtsbehörden bei ihren Prüfungen ganz offensichtlich schärfere Maßstäbe anlegen und bei entsprechenden Ordnungswidrigkeitstatbeständen Geldbußen und/oder Strafen verhängen, sollte den für die Ordnungsmäßigkeit verantwortlichen Instanzen aller Unternehmen, insbesondere aber auch KMUs, zu denken geben.

(05.11.2007) IT-Sicherheitsberatung zum Nulltarif: UIMCert-Kundentag bietet viele Neuheiten

Auf dem Kundentag zum zehnjährigem Jubiläum des Schwesterunternehmens UIMC bietet die UIMCert eine Anzahl von Produktneuheiten auf dem Toolsektor, die es in sich haben. Standardmäßig enthalten alle Tools die Analyse- und Berichterstattungsfunktion - und das für eine Vielzahl von IT-Sicherheitsproblemen. Eine hochkarätige kostenlose Beratung hierzu wird auf dem Kundentag gegeben.

Interessant ist vor allem die kennzahlen- und benchmarkingorientierte Managementauswer-tung, die in allen Tools integriert ist und die die Arbeit deutlich erleichtert.

Die vorhandene Tool-Palette erstreckt sich auf die Gebiete:

  • ISO/IEC 27001 - ISO 17799
  • IT-Sicherheits-Risikoanalysen
  • IDW PS 880
  • IDW PS 330
  • Datenschutz gemäß BDSG
  • Vorabkontrollen nach mehreren Landesgesetzen (z. B. LDSG NW oder NDSG)

Grundlage der Tool-Palette ist eine Shell, die als hoch flexibles Instrument individuel-le/unternehmensspezifische Anpassungen gestattet und z. B. auch variierenden Bedingungen (Beispiel KMU) leicht angepasst werden kann.

Wesentlich ist, dass die Tools auch in Lizenz an Kunden gegeben werden, so dass die interne Revision oder der Datenschutzbeauftragte in der Lage sind, mit Hilfe des Tools eine struktu-rierte Analyse normenkonform durchzuführen. Hiermit ist eine wesentliche Arbeitserleichte-rung verbunden. So kann beispielsweise bei der ISO/IEC 27001 - ISO 17799 ein normenkon-formes IT-Sicherheitsmanagement implementiert werden, das bei erfolgreichem Abschluss eines internen Projektes eine spätere Zertifizierung durch eine akkreditierte Zertifizierungsor-ganisation ermöglicht.

Ort und Zeit des Kundentages: Köln, Maternushaus, 14. und 15. November

(16.10.2007) Was nichts kostet, ist nichts? Hoch qualifizierte kostenlose Beratung zum zehnjährigen Bestehen der UIMC

Die UIMC hat sich in den 10 Jahren ihres Bestehens zu einem im Markt etablierten Beratungsunternehmen in Sachen IT-Sicherheit und Datenschutz entwickelt. Der jährlich stattfindende Kundentag - auch in diesem Jahr wieder im Maternushaus, Köln am 14. und 15. November - steht ganz im Zeichen „Zehn Jahre UIMC". Hiervon sollen insbesondere die Kunden/Interessenten etwas haben: Auf dem Kundentag wird fachgerechte Beratung kostenlos geboten. Die vorgehaltenen Kapazitäten an Beratern auf dem Kundentag stellen sicher, dass Kunden und Interessenten - ob vorangemeldet oder ohne Terminabsprache - die Möglichkeit haben, sich in qualifizierten Beratungsgesprächen über alle Fragen rund um IT-Sicherheit und Datenschutz zu informieren. Großer Wert wird natürlich auf die neuen Produkte gelegt, die - entsprechend der UIMC Tradition - der Rationalisierung qualitativ hochwertiger Analysen und Berichterstellungen bei IT-Sicherheit und Datenschutz dienen.

Neu ist vor allem die kennzahlen- und benchmarkingorientierte Managementauswertung, die wesentlich in den Händen der UIMCert liegt. Bei dieser Auswertung wird der Grad der Erfüllung einer vorgegebenen Norm (zum Beispiel ISO/IEC 27001 oder IDW PS 880) in übersichtlicher Form quantitativ und/oder in Grafikform dargestellt. Durch Eingabe von bestimmten Gewichtungs- oder Wertvorgaben in das Tool können darüber hinaus unternehmensindividuelle Zielvorgaben als Grundlage eines Benchmarking-Auswertungssystems dienen und z. B. den Erfüllungsgrad im Sinne einer Zielkontrolle/-revision liefern.

(25.09.2007) Recht der IT-Sicherheit – ein Rechtsgebiet nur für Juristen?

Nach einer Untersuchung der UIMCert hat sich das Rechtsgebiet „IT-Sicherheit" in den letzten Jahren drastisch ausgeweitet. Nicht nur, dass die Haftungsbedingungen der Vorstände und Leitenden sich deutlich geändert und verschärft haben, auch die insgesamt für das Unternehmen auf dem Gebiet der IT-Sicherheit relevanten Rechtsnormen haben in vielen Fällen eine Präzisierung und Verdeutlichung erfahren. Es lassen sich deutlich einige Kerngebiete herausstellen, für die jeweils eine Mehrzahl/Vielzahl von gesetzlichen Regelungen existieren. Diese Kerngebiete sind:

  • Haftungsrecht für Vorstände und Unternehmensleitungen
  • Handels- und Steuerrecht
  • Informations- und Kommunikationsrecht
  • Datenschutzrecht
  • Strafrecht. 

Des Weiteren gibt es eine Anzahl von branchen- oder wirtschaftszweigspezifischen Rechtsgebieten, wie zum Beispiel für:

  • Banken (z. B. Basel II)
  • Versicherungen (Sozialgesetzbuch)
  • Gesundheitssektor (z. B. Haftung bei mangelhafter Aufklärung)
  • bestimmte Berufszweige.

Diese einzelnen Rechtsgebiete sind nicht generell überschneidungsfrei. So ist z. B. das Datenschutzrecht ein Gebiet, welches insbesondere in den branchen- oder wirtschaftszweigspezifischen Rechtsgebieten eine übergreifende Bedeutung hat.

Wesentlich für das Recht der IT-Sicherheit ist auf jeden Fall, dass seine Bedeutung beträchtlich über den Wirkungsbereich der Juristen allein hinausgeht. Unternehmen können sich hiervor nicht länger verschließen. Zwar waren Handels- und Steuerrecht auch schon immer Gebiete, in denen zum Beispiel alle im Rechnungswesen Tätigen beträchtliche Kenntnisse haben mussten, um nicht gegen Gesetzesnormen zu verstoßen und um die Ordnungsmäßigkeit unternehmerischer Aktivitäten sicherzustellen. Bei den Rechtsfeldern der IT Sicherheit wird jedoch von einer deutlich größeren Anzahl von Mitarbeitern ein zumindest grundsätzliches Wissen erwartet. Das Wichtigste: In den meisten Fällen ist sich jedoch die Unternehmensleitung selbst nicht darüber im klaren, in welchem Umfang Rechtskenntnis im Unternehmen vorhanden sein müssen, um Ordnungsmäßigkeit auf den geforderten Gebieten sicherzustellen. Hier sollte sich die Unternehmensleitung zumindest einen groben Überblick verschaffen, damit sie ein Gefühl dafür gewinnen kann, wo die rechtlichen Fallstricke und Problemfelder liegen könnten. Die Erfahrungen der UIMCert auf diesem Gebiet zeigen, dass selbst die Kenntnis der Unternehmensleitungen von den relevanten Rechtsgebieten in denjenigen Sektoren mangelhaft sind, wo es sich um branchen- oder wirtschaftszweigspezifische Rechtsgebiete handelt. Eine Kurzübersicht über die wesentlichen Ergebnisse der UIMCert-Studie sind kostenlos abrufbar.

(12.09.2007) Zusammenarbeit bei Datenverarbeitung und Datenschutz bringt Hochschulen Synergieeffekte

Hochschulen stehen in einem immer stärkeren Wettbewerb um qualifizierte Studierende und Lehrende sowie um die Qualität ihrer Lehrveranstaltungen. Dies erfordert neben dem ohnehin steigenden Umfang der personenbezognen Datenverarbeitung z. B. durch die Vergabe von Studienkrediten oder die z. T. eingeführten Studiengebühren einen zusätzlichen Datenaustausch mit Dritten. Dadurch steigt nicht nur die Komplexität und Bedeutung des Datenschutzes an den Hochschulen, sondern auch der Aufwand, der mit der Erfüllung der zur Einhaltung der gesetzlichen Anforderungen verbunden ist. Dies kann durch den Austausch von Erfahrungen anderer Hochschulen optimiert werden.

Die Struktur der personenbezogenen Daten an Hochschulen ist weitgehend homogen, wenn man sie in die Hauptklassen Studierenden-, Alumni/Ehemalige und Beschäftigtendaten einordnet. Gesetzliche Forderungen nach Evaluierungen und Studienkonten oder die Studienkredite der KfW sowie der stark wachsende Bereich der hochschulnahen Dienstleistungen (wie beispielsweise die Kinderbetreuung von Studierenden und Lehrbeauftragten oder Studierendenaustauschprogramme) erhöhen jedoch den Umfang der personenbezogenen Datenverarbeitung und den Datenaustausch zwischen verschiedenen Institutionen, auch außerhalb des Hochschulbereichs.

Dies erfordert eine detaillierte Prüfung, inwieweit personenbezogene Daten zwischen den juristisch selbstständigen Institutionen übermittelt bzw. unter welchen Voraussetzung überhaupt verarbeitet werden dürfen. So kann bereits ein Studierendenausweis, der mit einer Zahlungsfunktion für die Mensa versehen ist oder als Fahrschein für den öffentlichen Nahverkehr verwendet wird, eine Datenübermittlung darstellen. „Viele Fragestellungen finden sich nach einer gewissen Zeit an jeder Hochschule wieder, weshalb wir als Dienstleister auf gewonnene Erfahrungen zurückgreifen können. Kombiniert mit unseren Erfahrungen aus anderen Bereichen können wir unser Know-how dem Kunden zur Verfügung stellen“, sagt Dr. Heiko Haaz, vielfach bestellter Datenschutzbeauftragter und Partner der UIMC. „Und die Angst vor zu hohen Beraterkosten sind durch den Einsatz moderner Kommunikationstechniken, die teure Vor-Ort-Leistungen optimieren und den Einsatz von Analyse-Tools dabei unbegründet.“

Hochschulen unterliegen als öffentliche Stellen dem jeweiligen Landesdatenschutzgesetz und haben in der Regel die Pflicht zur Bestellung eines Datenschutzbeauftragten. Um dieser gesetzlichen Pflicht effizient nachzukommen, entschließen sich die Institutionen immer öfter dazu, sich externer Beratungsleistungen zu bedienen, da die gesetzlich geforderte Fachkunde, vor allem auf dem Gebiet des technischen Datenschutzes häufig in den Hochschulen nicht gegeben ist. Je nach Konstrukt und gesetzlicher Forderung, kann der externe Berater zum Datenschutzbeauftragten oder dessen Stellvertreter bestellt werden bzw. die Rolle eines Coaches wahrnehmen. Denkbar ist auch die Mitwirkung in einem Datenschutzteam, um die kompetente Beratungsleistung einfließen zu lassen.

Die UIMC ist seit Jahren für Datenschutzbeauftragte sowohl an Hochschulen als auch im direkten Hochschulumfeld (wie z. B. bei verschiedenen Studierendenwerken) deutschlandweit beratend tätig. Hierbei profitieren die Institutionen kontinuierlich von Erfahrungswerten, da datenschutzrechtliche Fragestellungen – insbesondere wenn sie aus gesetzlichen Regelungen resultieren – annährend an jeder Hochschule gleich oder zumindest ähnlich sind.

Eingeflossen ist dieses Praxiswissen auch schon in die verschiedenen Vorabkontrollen u. a. der HIS-Produkte, welche durch die UIMC für die IuK NRW (Koordinierungsstelle für Informations- und Kommunikationstechnik in den Hochschulverwaltungen des Landes Nordrhein-Westfalen) erstellt wurden und deren Ergebnisse nun auch die Hochschulen in Niedersachsen nutzen. „Warum soll Arbeit, die von unterschiedlichen Stellen per Gesetz geleistet werden muss, doppelt und dreifach durchgeführt werden, wenn man sich bereits bestehender Ergebnisse bedienen kann und lediglich gewisse Anpassungen vornehmen muss?“, so noch einmal Dr. Heiko Haaz.

Die vergangenen Jahre haben gezeigt, dass der steigenden Komplexität, den erhöhten Anforderungen an die Datenverarbeitung und den damit verbundenen Aufwänden nur sinnvoll durch die Vernetzung der Aktivitäten und Erfahrungsaustausch an Hochschulen begegnet werden kann.

In diesem Sinne ist auch die 1. Fachtagung für Datenschutzbeauftragte an Hochschulen und anderen wissenschaftlichen Einrichtungen vom 13-14.9.07 in Berlin zu sehen.

(20.08.2007) Neue Audittool-Generation bietet effiziente Schwachstellenbeseitigung und Managementreports

Viele Unternehmen unterwerfen sich mittlerweile einer kaum zu überschaubaren Anzahl von Zertifizierungen, denen immer ein Audit vorangeht. Hierbei ist es das Ziel, zu prüfen, ob die Anforderungen bestimmter Normen/Standards (beispielsweise im Datenschutz, in der IT-Sicherheit oder im Qualitätsmanagement) erfüllt sind. Derzeit existieren auf dem Markt eine Reihe von Hilfsmitteln/Tools zur Auditierung. Doch viele gehen über die reine Bestimmung des Ist-Zustands nicht hinaus. Es ist jedoch viel wichtiger, zu wissen, wie den aufgedeckten Schwachstellen und Mängel adäquat begegnet werden kann. Auch eine Quantifizierung ist meist sinnvoll und nötig. Beides erfüllt das UIMC-Tool zur Analyse und Berichterstellung.

„Die Schwierigkeit eines Audits liegt oftmals nicht in der Erhebung, sondern vielmehr in der effizienten und effektiven Auswertung“, so Dr. Jörn Voßbein (UIMC), erfahrener IT-Sicherheitsberater und mehrfach bestellter Datenschutzbeauftragter. Wichtig ist es im Rahmen des Audits, nicht nur schnell und effektiv die Befragung durchzuführen. Schließlich ist es oftmals schwer genug, alle Beteiligten für einen Workshop oder Interview „an einen Tisch zu bekommen“. Vielmehr ist es auch bedeutend, nach der Auswertung neben der Darstellung des Ist-Zustands auch Möglichkeiten aufgezeigt zu erhalten, wie den aufgedeckten Schwachstellen bzw. Mängeln in angemessener Form begegnet werden sollte. „Genau dies stellt den Mehrwert eines Audits dar: Wissen, wo ich stehe und wie ich mich verbessern kann!“, so Dr. Jörn Voßbein weiter.

Einen weiteres Plus ist neben der qualitativen Aufbereitung auch die quantitative Auswertung: Die Gewichtung der einzelnen Auditpunkte sowie eine graphische Darstellung der Zielerreichung ermöglicht beispielsweise die interne Promotion der Ergebnisse, den quantitativen Vergleich zu einem Benchmark oder zum vorherigen Audit. Hierdurch sind selbst Einsatzgebiete im Rahmen des Management by Objectives denkbar, da so Zielvereinbarungen transparent und einfach gemessen werden können.

Die Lösung hierfür: Die UIMC hat ein Tool entwickelt (UIMC-Tool zur Analyse und Berichterstellung; kurz „UTAB“), welches alle Phasen in computergestützter Form unterstützt: Erhebung, Auswertung, Berichterstellung inkl. Ableitung von Vorschlägen zur Mängelbeseitigung. Somit wird nicht nur der Zeitaufwand während der Erhebung vermindert, sondern auch die Möglichkeit geboten, in kurzer Zeit neben einem Status-Quo-Bericht auch einen Katalog zur Beseitigung der aufgedeckten Schwachstellen zu erstellen. „Der besondere Clou ist unser Executive Information System als quantitatives Ergänzungsmodul“, stellt Dr. Jörn Voßbein nicht ohne Stolz fest. Somit wird neben der qualitativen auch eine quantitative Auditierung integriert durchgeführt.

Das Tool hat sich bei einer Vielzahl von Gebieten wie beispielsweise Datenschutz, IT-Sicherheit, Notfallmanagement oder Zertifizierung gemäß ISO/IEC 27001 bereits bewährt, um nur einen Ausschnitt der Anwendungsmöglichkeiten zu nennen. Spezifische Lösungen für Branchen wie Banken oder Rechenzentren, für verschiedene Unternehmensgrößen wie Großunternehmen oder Klein- und Mittelunternehmen (KMU) etc. existieren ebenso wie unternehmensspezifische Lösungen z. B. für die interne Revision.

(25.07.2007) Die Erfahrung zeigt: „Datenschutz ist keine Frage des Geldes“

Kleinen und mittelgroßen Unternehmen bereitet die Umsetzung des Datenschutzes oftmals Probleme. Ohne externe Hilfe ist dies zumeist nicht möglich. Dieser Meinung ist auch die Datenschutzbeauftragte des Landes NRW. Da externe Berater oftmals teuer sind, wird nach den Erfahrungen der UIMC auf Datenschutz oft komplett verzichtet.

Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals „praktische Schwierigkeiten“, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Bettina Sokol, schon in ihrem 17. Datenschutzbericht formulierte. Somit ist „die Möglichkeit für die Bestellung externer Beauftragter ... oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten“, so Bettina Sokol weiter.

Hintergrund sind die Anforderungen an die Bestellung eines Datenschutzbeauftragten. Hierbei muss der Datenschutzbeauftragte nach dem BDSG nicht nur „zuverlässig“, sondern auch fachkundig, sein. Er darf keiner Interessenskollision unterliegen, wodurch u. a. Personal-, EDV- und Vertriebsverantwortliche in der Regel ausgeschlossen sind. „Eine vielgestellte Frage der Geschäftsführer ist daher, wer denn dann noch als Kandidat für die Bestellung eines Datenschutzbeauftragten übrig bleibt“, so Tim Hoffmann (UIMC), der für viele kleine Unternehmen den Datenschutz „managt“. „Es bleibt oft nur die Möglichkeiten, entweder einen ungeeigneten Datenschutzbeauftragten zu bestellen oder sich externe Hilfe zu holen!“

In der Datenschutzarbeit sind Vor-Ort-Leistungen des beratenden Unternehmens kostenintensive Leistungen. „Dies ist jedoch nicht zwingend so“, meint Dr. Jörn Voßbein, mehrfach bestellter externer Datenschutzbeauftragter und Geschäftsführer der UIMC. „Mit Hilfe von Standardisierung, Tool-Unterstützung und Einsatz moderner Kommunikationsmedien können wir hoch-individuelle Beraterleistungen liefern und teure Vor-Ort-Leistungen ersetzen.“ Gerade in kleinen und mittelgroßen Unternehmen (KMU) kommt es neben dem Ziel, gesetzeskonform zu sein, auch auf eine pragmatische Umsetzung des Datenschutzes an. Das Thema wird nur auf diese Weise intern akzeptiert und auch gelebt, wofür ein größerer Erfahrungsschatz unerlässlich ist. Die Erfahrung zeigt nämlich, dass viele frisch-bestellte Datenschutzbeauftragte entweder mit der Aufgabe fachlich und zeitlich überfordert sind oder die gesetzlichen Regelungen zu eng auslegen, so dass eine pragmatische Einbindung des Datenschutzes in die innerbetrieblichen Abläufe kaum möglich ist. Somit kann die Mehrfachbestellung äußerst hilfreich sein, damit Erfahrungen auch aus anderen Unternehmen übertragen werden können. „Eins sollte bei den Überlegungen zum Datenschutz nicht vergessen werden“, stellt Tim Hoffmann ferner klar, „die Erfahrung zeigt, dass auch die allgemeine Sicherheitssituation der Informationsverarbeitung  davon profitiert, und der Qualitätsgedanke weiter ins Unternehmen getragen wird.“

(14.06.2007) Treffpunkt für Fachleute und Führungskräfte: Secure 2007 - das Diskussionsforum für IT-Sicherheit

Die Secure 2007, die auch in diesem Jahr wiederum in Bad Homburg am 26. und 27. Juni stattfindet, ist der Treffpunkt für Fachleute, die über IT-Sicherheit diskutieren wollen und darüber hinaus in der begleitenden Ausstellung eine Vielzahl von Anregungen für die Praxis der Umsetzung gewinnen können.

Auf diesem Jahreskongress für IT-Sicherheit sollten sich Fachleute, Manager und IT-Verantwortliche über die neuesten Trends der IT-Sicherheit in verschiedenen Fachforen informieren. Auch die UIMC und UIMCert beteiligen sich am Programm in Form der Moderation des Fachforums „Business Continuity Management“ durch Prof. Dr. Reinhard Voßbein sowie durch den Vortrag „IT-Sicherheit messbar machen“ im Fachforum „Wirtschaftlichkeit von IT-Sicherheit“ durch Dr. Jörn Voßbein. Die Secure setzt die Tradition fort, hochkarätige Beiträge fachkundigen Besuchern zur Diskussion vorzustellen.

Neben den Fachbeiträgen stellen UIMC und UIMCert auch in diesem Jahr eine Vielzahl an interessanten Lösungen zum Thema IT-Sicherheit auf der begleitenden Fachausstellung vor. Hierzu zählen insbesondere Tools zum Notfall-/Business-Continuity-Management und zur Risikoanalyse/Risikobewertung. Daran angelehnt präsentieren UIMC und UIMCert die neueste Version des IT-Sicherheits-Schwachstellenanalyse-Tool, analog zur ISO/IEC 27001-BS7799. Auch werden Hilfen zur Vorbereitung auf eine Zertifizierung nach anerkannten Normen und Standards angeboten. Neu ist auch das Angebot von Prüfstandards für den Datenschutzsektor, wobei diese sich nicht nur an Datenschutzbeauftragte, sondern auch an IT-Sicherheitsbeauftragte, Revisoren und andere Verantwortliche wenden.

(31.05.2007) BSI-Kongress belegt: Social Engineering ist eine Gefahr für die IT-Sicherheit

Die UIMC stellt fest: Der BSI-Kongress, der alle zwei Jahre einen Überblick über aktuelle Probleme der IT-Sicherheit vermittelt, hat in diesem Jahr einen Nebeneffekt gezeigt. Die begleitende Ausstellung, die durch die Besucherinteressen ein Spiegelbild der Sorgen und Nöte der IT-Verantwortlichen in Unternehmen und Behörden gibt, hat deutlich belegt, dass das Gefährdungspotenzial des Social Engineerings für die IT-Sicherheitsverantwortlichen nicht mehr trivial ist. Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch “Aushorchen” zu erlangen. (Definition gem. BSI-Grundschutz)

Seitens der Besucher zeigte sich eindeutiges Interesse unter anderem an Penetrationstests sowie IT-Sicherheitsschulungen. Im Hinblick auf diese Entwicklung und insbesondere das Interesse an Penetrationstests werden die Absichten der Bundesregierung, schon den Besitz von Tools zur Durchführung von Penetrationstests unter Strafe zu stellen, zunehmend fragwürdiger. Es ist offensichtlich ein Bedarf in Institutionen gegeben, die Sicherheitsvorkehrungen seriös und effizient testen zu lassen und hierbei auch Penetrationstests gezielt einzusetzen. Insbesondere ist auch das Durchführen von Social Engineering-Tests durch zuverlässige Dienstleister im Rahmen von Penetrationstests von hoher Bedeutung, um die Anfälligkeit der Mitarbeiter für diese Sicherheitsgefährdungen zu überprüfen.

Auf ein ähnliches Interesse ist das IT-Sicherheits-Schulungstool der UIMC gestoßen. IT-Sicherheitsverantwortliche sehen sich vor die Aufgabe gestellt, Mitarbeiter sowohl auf IT-Sicherheitsfragestellungen zu schulen als auch sie für die IT-Sicherheit zu motivieren. Frontalschulungen werden aufgrund ihres Aufwandes zunehmend im Hinblick auf ihre Effektivität und Effizienz hinterfragt. Schulungstools für IT-Sicherheitsprobleme stoßen auf Interesse, wenn sie realitätsnah, motivationsfördernd, von der Konzeption her überzeugend sowie preiswert sind. Das UIMC-Tool hat sich in den zurückliegenden Jahren bewährt, kann mit einer Vielzahl von Referenzen dienen und ist durch seine überzeugende Konzeption für Unternehmen aller Größenordnungen geeignet, wenn diese das Problem der Schulung der Mitarbeiter über Selbstlernsysteme angehen wollen. Das UIMC-Tool gibt es nicht nur für IT-Sicherheit, sondern auch für Datenschutz.

(11.05.2007) IT-Trends: Compliance wird zunehmend auch eine Fragestellung in der EDV des Mittelstands

Wuppertal, 11.05.2007 – Im Rahmen der elektronischen Datenverarbeitung (EDV) werden Fragestellungen der Compliance immer bedeutender. Doch nicht nur der Datenschutz stellt die EDV-Leiter vor Herausforderungen, sondern auch Aspekte der Handels- und Steuergesetzgebung sind wichtig. Darüber hinaus sind erfahrungsgemäß auch im Mittelstand die Problemstellungen der Globalisierung wie Sarbannes Oxley oder internationaler Datentransfer, aber auch die ISO 27001 angekommen – und dass, obwohl sie im Regelfall keine gesetzliche Verpflichtung darstellen. Dies wurde auf der diesjährigen „IT-Trends Sicherheit“ am 8. Mai in Bochum durch die UIMC thematisiert.

Nicht nur in Großunternehmen muss sich die EDV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Hierbei stellen schon die bereits seit Jahren bekannten Themen wie der Datenschutz insbesondere kleinere und mittelgroße Unternehmen (KMU) z. T. vor nicht gerade triviale Probleme: So müssen ein fachkundiger und zugleich interessenskonfliktfreier bzw. zuverlässiger Datenschutzbeauftragter bestellt, Zulässigkeitsfragestellungen geprüft und technisch-organisatorische Schutzmaßnahmen umgesetzt werden.

Neben diesen alt-bekannten Fragestellungen stehen Themen wie allgemeine Gleichbehandlung, handels- und steuerrechtliche Anforderungen (wie beispielsweise GoDV, GdPSU) und Auskunftsersuchen der Strafverfolgungsbehörden auf der Agenda der EDV-Abteilungen zur Diskussion. Haftungsfragen gegenüber Geschäftspartnern durch eine schlechte IT-Sicherheit werden z. T. gar nicht erst bedacht. Auch der internationale Datentransfer oder Sarbannes Oxley sind mittlerweile Themenbereiche, denen sich nicht nur Großunternehmen, sondern unter Umständen auch der deutsche Mittelstand im Zusammenhang mit ausländischen Mutter-, Tochter- oder Schwesterunternehmen widmen muss.

„Alleine diese exemplarischen Ausführungen zu möglichen Anforderungen an die EDV zeigt das Risikopotential, welches sich insbesondere KMU zunehmend aussetzen“, so Dr. Jörn Voßbein, Geschäftsführer der UIMC sowie mehrfach bestellter externer Datenschutz- und IT-Sicherheitsbeauftragter. Ferner gehen Wirtschaftsprüfer zunehmend dazu über, die Ordnungsmäßigkeit der Datenverarbeitung zu prüfen; und auch Banken und Investoren interessieren sich hierfür. Um diesen Risiken zu begegnen, müssen die o. g. Fragestellungen strukturiert angegangen, Schwachstellen aufgedeckt und mittels innerbetrieblicher Maßnahmen begegnet werden.

„Doch vielen EDV- und Unternehmensleitern scheint gar nicht bekannt zu sein, welche Vorgaben für sie einschlägig sind und welchen Risiken sie sich aussetzen, geschweige denn, wie sie diesen begegnen können“, wie Tim Hoffmann, dessen Erfahrungswerte als Datenschutz- und IT-Sicherheitsberater im Mittelstand auf der diesjährigen „IT-Trends Sicherheit“ in vielen Gesprächen diesbezüglich bestätigt wurden. „Dies ist aber auch nicht weiter verwunderlich: Wer denkt bei EDV-Vorhaben schon an BGB, HGB und UWG?“ Dies hat die UIMC zum Anlass genommen, in ihrem Vortrag „Ist meine EDV ordnungsgemäß?“ über die Anforderungen und Risiken zu informieren sowie Lösungsmöglichkeiten zu skizzieren.

Darüber hinaus zeigte sich auf dem Fachkongress, dass für die Vielzahl der anwesenden EDV-Verantwortlichen aus dem Mittelstand die ISO 27001 von steigenden Interesse ist, aber oftmals Bedenken hinsichtlich der Umsetzung bestehen. „Die Erläuterungen, dass diese durch den Einsatz von speziellen Analyse-Tools und von pragmatischen Auditoren, die einerseits erfahren sind und andererseits‚ das Rad nicht neu erfinden’ müssen, unbegründet sind, haben die Gesprächspartner aber nicht nur beruhigt, sondern vielmehr darin bestärkt, das Thema im eigenen Hause voranzutreiben“, so Tim Hoffmann weiter.

Die Aktualität dieser Themen zeigte sich auch durch das Interesse der Zuhörer sowie durch intensive Diskussionen am Ausstellungsstand. Schließlich können sowohl die ISO 27001 als auch die rechtlichen Fragestellungen – sofern sie nicht als Selbstzweck verstanden werden – nicht nur eine gute Argumentationshilfe für die Bemühungen für mehr Sicherheit der eigenen EDV sein, sondern auch als Chance und als Richtschnur genutzt werden.

(26.04.2007) Angeknackstes Ansehen der Behörden in Sachen IT-Sicherheit - wie kann noch größerer Imageschaden vermieden werden

Wuppertal 26.04.2007 - Die kürzlich bekannt gewordene Tatsache, dass die Sicherheitsbehörden schon seit 2005 Online-Durchsuchungen durchführen, wirft weitere Fragen auf. Das Bundesamt für Sicherheit in Informationstechnik (BSI) – eine dem BMI zugeordnete Institution - hat über die letzten Jahre in hohem Umfang positive Sensibilisierungstätigkeit im Hinblick auf IT-Sicherheit gerade für private Endverbraucher sowie kleine und mittelständische Unternehmen geleistet, die vorher in puncto IT-Sicherheit als deutlich untersensibilisiert anzusehen waren. Darüber hinaus hat das BSI Produkte zur Verbesserung der IT-Sicherheit entwickelt, beziehungsweise zu deren Verbreitung beigetragen. Die UIMC regt an: Um das hohe Ansehen des BSI nicht zu gefährden, sollten diese Tools möglichst einer unabhängigen Begutachtung unterzogen werden, die eine Freiheit von entsprechenden "Backdoor-Komponenten" bestätigt. Es ist interessant abzuwarten, inwieweit der Mitte des kommenden Monats stattfindende 10. Deutsche IT-Sicherheitskongress von dem Ausrichter BSI genutzt wird, zu der hier angesprochenen Problemstellung aktiv Stellung zu beziehen.

Dass diese gesamte Fragestellung nicht ein Zeichen von Paranoia ist, hat sich in der Vergangenheit schon häufiger gezeigt, da oftmals sehr preiswerte oder kostenfreie Produkte von anderen Geheimdiensten "gesponsert" wurden, um die Informationsbeschaffung zu vereinfachen.

(26.04.2007) Datenschutz und IT-Sicherheit: Kooperation zwischen der ERP-Users-Group und UIMC

Wuppertal, 26.04.2007 – Das Motto der ERP-Users-Group (EUG) ist simpel und bestechend zugleich: „Wer alleine arbeitet, addiert. Wer zusammenarbeitet, multipliziert.“ Wenn dies mit der über zehnjährigen Kompetenz der UIMC in Datenschutz und IT-Sicherheit kombiniert wird, scheinen sich die möglichen Synergieeffekte für die mittlerweile über hundert zusammengeschlossenen mittelständischen Unternehmen weiter zu multiplizieren. So können die typischen Probleme im deutschen Mittelstand mit einem Mehrwert für alle Beteiligten angegangen werden, was auf der diesjährigen EUG-Tagung in Kassel dargestellt wurde.

Der als Interessensvertretung gegenüber dem Hersteller von ERP-Software ABAS Software AG gedachte Zusammenschluss von über 100 Mittelstandsfirmen ist mittlerweile ein: Erfahrungsaustausch im Rahmen des Einsatz der Software und weiterer Projekte wie Patentverwaltung oder VoIP, Austausch von Tipps und Tricks sowie gemeinsam organisierte und somit kostengünstigere Schulungen bei der ABAS Software AG. Als in der Vergangenheit immer häufiger Fragen zum Datenschutz aufkamen wurde ein kompetenter Partner gesucht, der in der UIMC Dr. Voßbein GmbH & Co KG gefunden wurde.

Die UIMC bringt nicht nur jahrelange Erfahrungen im Rahmen der IT-Sicherheit und des Datenschutzes, sondern auch das speziell für kleine und mittelgroße Unternehmen (KMU) entwickelte Low-Budget-Konzept in die Kooperation mit ein. Das Konzept hat sich bereits in der Vergangenheit zur pragmatischen Umsetzung des Datenschutzes und der IT-Sicherheit bewährt und ist ideal als Verbandslösung für eine Institution, wie sie die EUG ist.

Im Rahmen der diesjährigen EUG-Tagung am 20. und 21. April in Kassel wurde das Konzept den Mitgliedern vorgestellt. „Dabei zeigte sich in vielen Gesprächen“, so Tim Hoffmann, verantwortlicher UIMC-Berater in der Kooperation, „dass in einer Vielzahl der Unternehmen im Rahmen des Datenschutzes noch Nachholbedarf besteht.“ Dies scheint entweder an einer unzureichend sensibilisierten Geschäftsführung und/oder an Problemen der praktischen Umsetzung des Datenschutzes zu liegen. „Es findet sich entweder intern kein fachkundig und zugleich ‚interessenskonfliktfreier’ Datenschutzbeauftragter oder das Tagesgeschäft lässt diesem keine Zeit“, so Hoffmann weiter. Hierbei stieß das vorgestellte Low-Budget-Konzept auf positive Resonanz der teilnehmenden Mitglieder, da hier eine für Mittelständler bezahlbare Lösung geboten wird und nicht mit „Kanonen auf Spatzen geschossen wird“.

Durch die Fokussierung auf Standards, auf Tool-Unterstützung und auf moderne Kommunikationstechnologien wird es den mittelständischen Unternehmen ermöglicht, die gesetzlichen Auflagen im Datenschutz und die Anforderungen an eine sichere Gestaltung der EDV zu erfüllen. Hierbei werden Datenschutz und IT-Sicherheit durch pragmatische und nicht überbetonte Lösungen umgesetzt.

Dieses Konzept wurde entsprechend des Mottos der ERP-User-Group angepasst und in Form einer EUG-Lösung modifiziert: Durch die Kooperation mit der UIMC wird nun auch in den Bereichen IT-Sicherheit und Datenschutz „multipliziert“. Die UIMC gibt diese Synergien in Form von Rabatten an die interessierten Mitglieder weiter, und es soll ein eigener Erfahrungsaustauschkreis bzw. Arbeitsgruppe geschaffen werden.

(23.03.2007) IT-Trends: Technische Fragestellungen nicht mehr ausreichend für eine ordnungsgemäße IT

Zur Sicherstellung einer ordnungsgemäßen Informationsverarbeitung ist es nicht mehr ausreichend, ausschließlich technische Fragestellungen zu betrachten. Technische Sicherheitsmaßnahmen stellen eine Grundvoraussetzung dar, doch zeigen auch rechtliche Forderungen, dass mehr zu einer ordnungsgemäßen EDV gehört. Zu diesem und weiteren Themen steht die UIMC auch in diesem Jahr wieder als Gesprächspartner auf der „IT-Trends Sicherheit“ in Bochum zur Verfügung.

„Von einer stetig steigenden Zahl an Wirtschaftsprüfern werden Fragen hinsichtlich der ordnungsgemäßen Informationsverarbeitung an unsere Kunden herangetragen.“, so Dr. Jörn Voßbein, Geschäftsführer der UIMC, mehrfach bestellter externer Datenschutz- und IT-Sicherheitsbeauftragter. Dies zeige, dass die Gebiete Datenschutz und IT-Sicherheit nicht nur Themen für „überängstliche Administratoren“ oder „überambitionierte Juristen“ sind. Der gesetzliche Datenschutz und die Sicherheit der EDV werden zunehmend ein Teil der Risikobetrachtung der Gesamtunternehmung.

Daher wird es für die Unternehmensleitung bzw. den EDV-Leiter immer wichtiger, auch juristische Fragestellungen in die Gestaltung der EDV und die damit verbundenen innerorganisatorischen Regelungen einfließen zu lassen. So sind z. B. Fragen nach der Zulässigkeit der Datenerhebung im Rahmen des AGG oder des BDSG zu klären; aber auch die Haftungsrisiken der Administratoren im Rahmen des Telemediengesetzes TMG und StGB werden oftmals vergessen.

Die steigenden Anfragen der eigenen Mandaten will die UIMC zum Anlass nehmen, interessierte Firmen bei der „IT-Trends Sicherheit“ in Bochum am 8. Mai 2007 über das Thema zu informieren. Der Fachkongress, veranstaltet u. a. von den networkern NRW und der IHK zu Bochum, widmet sich den digitalisierten Geschäftsprozessen im Mittelstand und deren Sicherheit. Bei Gesprächen am Ausstellungsstand werden durch die UIMC die Risiken für eine Vielzahl von Unternehmen und auch Lösungsansätze dazu an praktischen Beispielen für eine ordnungsgemäße innerbetriebliche und/oder kundenbezogene Informationsverarbeitung dargestellt.

(09.03.2007) Datenschutz im Mittelstand: Entlastet das Mittelstandsentlastungsgesetz wirklich? Erste Bilanz

Die Bundesregierung beschloss im vergangenen August im Rahmen des sog. „Ersten Gesetzes zum Abbau bürokratischer Hindernisse insbesondere in der mittelständischen Wirtschaft“ eine Anpassung des BDSG, insbesondere der Regelungen zum Datenschutzbeauftragten. Die UIMC zieht eine erste kritische Bilanz aus der Praxis.

Die Anforderungen des Datenschutzes durch die geplante Novellierung des Bundesdatenschutzgesetzes führten zu keiner spürbaren Entlastung im Mittelstand. Vielmehr stellt die Novellierung verschiedene Aspekte wie die Bestellungspflicht für Ärzte, Anwälte etc. sowie die Angemessenheit bei den Anforderungen an den Datenschutzbeauftragten klar. Lediglich die Betriebe, in denen zwischen 5 und 9 Personen mit personenbezogenen Daten arbeiten (was wohl nur auf kleinere Arztpraxen und Handwerksbetriebe zutrifft), werden aus der Bestellungspflicht entlassen. Jedoch gilt hier, dass der Daten-schutz auch in diesen Institutionen einzuhalten ist und die Geschäftsleitung voll in der Verantwortung steht.

Es existieren jedoch schon heute alternative Wege, den Datenschutz und die Funktion des Datenschutzbeauftragten effektiv und effizient im Unternehmen umzusetzen. So können beispielsweise die Funktion des Datenschutzbeauftragten oder einzelne Aspekte ausgelagert werden. Eine mögliche Lösung der Probleme bei der Suche eines Datenschutzbeauftragten und auch sicherlich ein Beitrag zum internen Bürokratieabbau ist hierbei die explizit – auch im vorherigen – Gesetz ermöglichte „Auslagerung des Datenschutzbeauftragten“ auf einen Externen, welche auch von den Datenschutz-Aufsichtsbehörden als eine praktikable Lösung angesehen wird, die oftmals kostengünstiger und fachlich besser ist.

Wenn der Datenschutz im Unternehmen nicht nur als Selbstzweck verstanden wird, kann sogar ein Mehrwert generiert werden: Durch Schnittmengen mit der IT-Sicherheit können in diesem Bereich Synergien genutzt werden und die gesamte EDV und deren Sicherheit wird im Unternehmen vom Datenschutz profitieren.

(12.02.2007) Erleichtert geplante Strafrechtsregelung Computerspionage

Das Bundesamt für Verfassungsschutz BfV hat in den letzten Tagen in verschiedenen Verlautbarungen darauf hingewiesen, dass die Computerspionage zugenommen hat. Insbesondere mittelständische Unternehmen sind nach Auffassung des BfV besonders gefährdet. Die UIMC als ausgewiesenes IT-Sicherheits-Beratungsunternehmen für den Mittelstand meint hierzu: Diese Auffassung des BfV dürfte darauf zurückzuführen sein, dass mittelständische Unternehmen in den meisten Fällen sowohl über geringere technische Hürden zur Abwehr von Computerspionage-Aktionen verfügen als auch insbesondere die Mitarbeiter nicht ausreichend schulen und auf Sicherheitsgefahren hinweisen. Bisher waren vor allem für mittelständische Unternehmen so genannte Penetrationstests ein probates Mittel, um die Sicherheit des eigenen Netzes nach außen unabhängig und zuverlässig überprüfen zu lassen. Auch das Bundesamt für Sicherheit in der Informationstechnologie BSI vertritt die Auffassung, dass Penetrationstests ein wesentliches Instrument zur Schaffung sicherer Systeme sind: "Um die Mindeststärke der Mechanismen zu bestätigen oder zu verwerfen sind, Penetrationstests durchzuführen. Penetrationstests sind nach allen anderen Tests durchzuführen, da sich aus diesen Tests Hinweise auf potentielle Schwachstellen ergeben können." (Grundschutzhandbuch des BSI)

Der Entwurf zur Änderung des Strafrechts beabsichtigt in § 202c. StGB schon "die Herstellung, Überlassung und Verbreitung" von Programmen unter Strafe zu stellen, die das Eindringen in andere Computersysteme ermöglichen. Dies bedeutet nach Auffassung der UIMC, dass eine der wesentlichsten Maßnahmen zur Herstellung sicherer Systeme künftig nicht mehr anwendbar sein wird. Damit wird der Gesetzesentwurf eine Vielzahl von Unternehmen, vor allem solche des Mittelstandes, daran hindern, sich effizient gegen Computerspionage vorbeugend zur Wehr zu setzen. Da dies auf diesem Sektor nicht der Sinn einer gesetzlichen Regelung sein kann, sei ausdrücklich betont, dass die UIMC sich den wesentlichen Forderungen des "Chaos Computer Clubs" hinsichtlich der Strafrechtsänderung anschließt.

(07.02.2007) Computerspionage: Kommentatoren vergessen den Datenschutz im Unternehmen

Das BGH-Urteil zum Ausspionieren von Computern beherrscht zurzeit die Diskussion von Datenschutzproblemen und dem Internet. Dass alle Datenschutzfragen aber eine hohe Relevanz für Unter-nehmen haben, wird in dieser Diskussion weitgehend übersehen.

Die Datenschutzexperten der UIMC begrüßen das Urteil aus fachlicher Sicht, da es die Bedeutung des Datenschutzes grundsätzlich stärkt und damit auch die Position des Datenschutzbeauftragten und seine Aufgabe aufwertet. Es sollte aber nach Meinung der UIMC in der Diskussion nicht vergessen werden, dass der Datenschutzbeauftragte im Unternehmen die Pflicht hat, darauf zu achten, dass die Anforderungen der Datenschutzgesetzgebung in Institutionen eingehalten werden und das gesamte Datenschutzsystem des Unternehmens ordnungsgemäß ist. Hier stößt der Datenschutzbeauftragte häufig an die gleichen Grenzen wie die Strafverfolgungsbehörden, wenn ihm Organisationslösungen - zum Beispiel die Erlaubnis zur privaten Nutzung von Computern und dem Internet - die Kontrollaufgabe, die er wahrzunehmen hat, erschweren. Datenschutz basiert gemäß deutscher Gesetzgebung in hohem Maße auf der Eigenverantwortung des Datenschutzbeauftragten und der datenverarbeitenden Stellen. Wenn Unternehmen Interventionen staatlicher Stellen zur Verfolgung von Straftatbeständen durch eigenverantwortliches Handeln verhindern/vermindern wollen, müssen sie die private Nutzung von Computern und dem Internet im dienstlichen Interesse verbieten. Hiermit eröffnen sie den Datenschutzbeauftragten die Möglichkeit, eine Kontrolle auch derjenigen Tatbestände vorzunehmen, die potenziell ein Einschreiten von Behördeninstitutionen verursachen könnten. Prof. Voßbein ist der Ansicht, dass ein Gesetz, welches Behörden in die Lage versetzt, effizient Kriminalität einschließlich Computerkriminalität zu verfolgen, den Tatbestand der Existenz von Datenschutzbeauftragten in Unternehmen sowie die Verbesserung ihrer Möglichkeiten, eigenverantwortliche Kontrollen auszuüben, nicht unberücksichtigt lassen sollte. Hiermit kann zur Vorbeugung viel getan werden, um das Einschreiten von Behörden und den Zugriff auf in Unternehmen genutzte Computer überflüssig zu machen. Dadurch würde der Stellenwert des Datenschutzes deutlich angehoben und seine Effizienz gestärkt.

Die UIMC meint: Diese Entwicklungen lassen die geplante Änderung des Strafrechtes, welche kontrolliertes Hacking in Form von Penetrationstests zum Zweck der Kontrolle der Sicherheit von Netzen unter Strafe stellen soll, noch fragwürdiger erscheinen.

(30.03.2006) UIMCollege für Datenschutz und IT-Sicherheit

Das Wuppertaler Beratungsunternehmen UIMC startet am 05.04.2006 mit UIMCollege ein Seminarprogramm für Datenschutz und IT-Sicherheit. Datenschutzbeauftragte aus Betrieben und Behörden können hier ihr Fachwissen erweitern und auf den neuesten Stand bringen.

Datenschutz-Management

Teil 1: Grundlagen

Einführung in das Datenschutzrecht
Allgemeine sowie technische und organisatorische Maßnahmen (TOMs) bei dezentraler Betrachtung zum Datenschutz (DS)

Teil 2: Managementbezogene Vertiefung

Datenschutz und IT-Sicherheit als Unternehmensziele
Der DSB als Manager des Datenschutzes im Unternehmen
Aufgaben und Anforderungen an einen Datenschutzbeauftragten
Management des Datenschutzes in verbundenen Unternehmen
Zusammenarbeit und Spannungsfeld mit Fachbereichen
Kooperation mit der IV- und internen Revision

Zielgruppe
Datenschutzbeauftragte/-verantwortliche, -Interessierte und solche, die es werden wollen

Preis
295,00 Euro pro Person und Tag

Referent
Dr. Heiko Haaz und Mitarbeiter

(25.11.2005) Deutsche BS 15000 – Ein häufig nachgefragtes Thema auf dem Kundentag der UIMC und UIMCert

Die UIMC und UIMCert, Anbieter von Lösungen und Beratungsleistungen auf den Gebieten Datenschutz, IT-Sicherheit, Auditierung und Zertifizierung, haben für ihre Kunden und Interessenten am 16. und 17. November 2005 einen Kundentag im Kölner Maternushaus veranstaltet.

Schwerpunkte der Veranstaltung waren die Themen "computergestütztes Verfahrensverzeichnis", "multimediale Lernsoftware zur Lösung des Schulungsproblems auf den Gebieten IT-Sicherheit und Datenschutz" sowie ein Tool zur Vorabkontrolle. Auf große Begeisterung stieß die von der UIMCert angebotene Übersetzung des BS 15000. Dieser weltweit erste IT-Service-Managementstandard kann als Basis für die Auditierung und Zertifizierung der IT-Service-Systeme dienen. Die UIMCert bietet Ihren Kunden als einziger offizieller deutscher Distributor den BS 15000 in einer deutschen oder englischen Fassung an.

Neben den klassischen IT-Sicherheits- und Datenschutzthemen stand unter anderem auch das Thema Sarbanes-Oxley Act auf der Tagesordnung, ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge großer Bilanzskandale. Bereits vor einigen Jahren hat die UIMC ein Tool nach dem KonTraG entwickelt, mit dessen Unterstützung die Schwachstellen und Risiken im Unternehmen dargestellt werden können. "Die aktuelle Debatte über Sarbanes-Oxlex macht deutlich, dass Unternehmen sich in Zukunft verstärkt mit dem Thema Risikomanagement bzw. Risikocontrolling auseinander setzen müssen", so Dr. Jörn Vossbein, Geschäftsführer der UIMC.

Besonders erfreut waren die Besucher über eine am Kundentag erhältliche Demoversion, welche sowohl das Datenschutz-Checkup-Tool als auch das IT-Sicherheitsschwachstellen-Analyse-Tool beinhaltete. Diese Demoversion "Self-Check" war kostenfrei erhältlich und umfasst mehr als 100 Fragestellungen.

Interessenten des "Self-Cecks" haben noch die Möglichkeit, bis zum Ende des Jahres eine der streng limitierten Demoversionen bei der UIMC zu erhalten.

(09.11.2005) Tools zur Effizienzsteigerung für Datenschutz und IT-Sicherheit

Die UIMC und UIMCert veranstalten auch in diesem Jahr parallel zum RDV-Forum und zur DAFTA im Kölner Maternushaus am 16. und 17. November 2005 ihren Kundentag. Tagungsteilnehmer und interessierte Besucher können sich über Neuerungen im Bereich des Datenschutzes und der IT-Sicherheit informieren. Der Besuch des Kundentags ist kostenfrei.

"Die Probleme bei der Umsetzung von Datenschutz und IT-Sicherheit liegen oftmals nicht am fehlenden guten Willen der Verantwortlichen, sondern vielmehr an den Schwierigkeiten, die komplexen Anforderungen auf eine effiziente Weise zu erfüllen", so Dr. Jörn Voßbein, mehrfach bestellter externer Datenschutzbeauftragter und Geschäftsführer der UIMC. "Wir wollen es den Institutionen ermöglichen, egal ob öffentliche oder nicht öffentliche Stelle, Gesetzeskonformität und IT-Sicherheit unter Beachtung der Kosten-Nutzen-Aspekte zu erreichen." Aus diesem Grund hat die UIMC mehrere Unterstützungstools entwickelt, die die Umsetzung vielfältiger gesetzlicher Anforderungen erleichtern. Besondere Berücksichtigung finden die speziellen Anforderungen von kleinen und mittelgroßen Unternehmen (KMU).

Neu entwickelte Hilfsmittel werden auch dieses Jahr auf dem UIMC/UIMCert-Kundentag vom 16. bis 17. November 2005 vorgestellt, mittlerweile traditionell am Rande des RDV-Forums und der DAFTA (veranstaltet durch die GDD) im Kölner Maternushaus (Raum Ursula).

Bei dem Kundentag können sich Tagungsbesucher und weitere Interessierte beispielsweise über das computergestützte Verfahrensverzeichnis, das UIMC-IT-Sicherheits-Risikomanagement-Tool, das UIMCert-Tool zur Vorabkontrolle oder die ITIL/BS 15000 informieren. Der Veranstaltungsort ist so gewählt, dass ein Selbstcheck mit interessanten Fachgesprächen in ruhiger Atmosphäre stattfinden kann.

Die UIMC Dr. Vossbein GmbH & Co KG, gegründet 1997, kann beachtliche Referenzen von Institutionen aus einer Vielzahl von Wirtschaftszweigen sowie Behörden aufweisen und hat eine umfangreiche Projekt- und Betreuungserfahrung, auch international.

Kerngebiete der Arbeit sind die IT-Sicherheit und der Datenschutz. Felder, auf denen die Erfahrungen der UIMC branchenführend sind. Leistungsspektrum und Produktprogramm unterscheiden sich von dem anderer Beratungsunternehmen: Es wird ein toolgestütztes Analyse- und Konzeptionierungssystem mit einer wissensbasierten Expertensystem-Komponente in Form einer Shell eingesetzt.

Die UIMCert ist mehrfach akkreditiert für die Gebiete IT-Sicherheit (BS7799) und Datenschutz und ist lizenzierter Distributor für die deutsche Fassung der BS ITIL/15000.