Tag: Datenschutz

(tw) Auf Antrag des US-Justizministeriums (DoJ) hat ein Bundesgeschworenengericht (Federal Grand Jury) in New York Anklage gegen ein ehemaliges Vorstandsmitglied der Siemens AG und sieben weitere hochrangige frühere Manager wegen Korruptionsvorwürfen erhoben. Der Fall ist auch deshalb für deutsche Entscheidungsträger von Bedeutung, weil er zeigt, dass US-Behörden weiterhin hart gegen mögliche Täter und Teilnehmer von Wirtschaftsverbrechen vorgehen. Keiner der Angeklagte ist US-Bürger, allerdings drohen ihnen im Falle einer Verurteilung und Auslieferung langjährige Haftstrafen.

Folgen für deutsche Entscheidungsträger und Compliance-Verantwortliche
Die Anklage bestätigt eine Entwicklung, die bereits in vergangenen Fällen deutlich wurde: US-Behörden gehen immer deutlicher nicht nur gegen Unternehmen, sondern auch gegen deren Verantwortliche vor. Und hierbei lassen sich die Strafverfolger gegebenenfalls auch Zeit. Einer der Angeklagten war bereits 2001 aus dem Unternehmen ausgeschieden, ein anderer 2003.

Das Unternehmen hatte sich 2008 wegen Verstößen gegen den Foreign Corrupt Practices Act (FCPA) schuldig bekannt und zur Beilegung der Vorwürfe einen Vergleich geschlossen, der unter anderem die Zahlung von 800 Millionen Dollar vorsah. Auch deutsche Behörden hatten eine hohe Geldbuße verhängt. Die Anklagen unterstreichen zudem, dass US-Behörden immer systematischer nicht nur gegen Unternehmen selbst vorgehen, sondern – teilweise auch noch nach Jahren – gegen Vorstände und Manager. Es ist anzunehmen, dass dieses Vorgehen sein Ziel erreichen wird – eine noch effektivere Abschreckung vor der Begehung von Wirtschaftsdelikten.

Ausblick
Aus der Sicht deutscher Unternehmen verdeutlicht der Fall, wie nötig eine umgehende Bestandsaufnahme der entsprechenden Risiken ist. Gefährdungsanalysen, eine optimale Verzahnung von Compliance und operativem Geschäft, anschauliche und verständliche Compliance-Trainings oder die Schaffung effektiver Hinweisgeber-Strukturen sind nur einige der möglichen Maßnahmen, um Risiken zu vermeiden oder möglicherweise bestehende Missstände zu beheben. Hierbei sollten deutsche Unternehmen allerdings auch stets die Anforderungen des Datenschutzes und des Betriebsverfassungsrechts beachten.

Von Tim Wybitul, Rechtsanwalt, Fachanwalt für Arbeitsrecht und Of Counsel bei Hogan Lovells. Mehr über Tim Wybitul bei JUVE.

Auf XING empfehlenBeitrag auf XING empfehlen

Für zwei Drittel der von Nifis befragten Unternehmen gehen die gesetzlichen Regelungen zum Datenschutz in Deutschland „in Ordnung“. Dem häufig geäußerten Wehklagen über eine vermeintliche Überreglementierung beim Datenschutz widersprechen beinahe 90 Prozent der Fach- und Führungskräfte vehement. Das berichtet das Compliancemagazin.

Die deutsche Wirtschaft geht entgegen landläufiger Meinung keineswegs sorglos mit den Daten ihrer Kunden um, sondern nimmt das Thema Datenschutz im Gegenteil sehr ernst. Dies geht aus dem aktuellen Report „IT-Sicherheit und Datenschutz 2012″ hervor, den die Nifis – Nationale Initiative für Informations- und Internet-Sicherheit – vorgelegt hat. Die Studie basiert auf einer Umfrage unter 100 Fach- und Führungskräften aus mittelständischen Firmen und aus Großunternehmen.

Für zwei Drittel der von Nifis befragten Unternehmen gehen die gesetzlichen Regelungen zum Datenschutz in Deutschland „in Ordnung“. Sie bemängeln allerdings, dass Verstöße nicht hart genug geahndet, sondern eher wie ein Kavaliersdelikt behandelt würden. Gut drei Viertel sind der Auffassung, dass die strengen deutschen Richtlinien insbesondere beim aktuellen und zukunftsträchtigen Trend zum Cloud Computing das notwendige Vertrauen bei den Kunden schaffen.

Wenn Projekte über Firmen- und Ländergrenzen reichen, ist die Sicherheit der gemeinsam genutzten Dokumente ein Problem. Die Microblogging-Site Twitter hat für sich eine Lösung gefunden.
Für die gemeinsame Arbeit an vertraulichen Dokumenten nutzt der Kurznachrichtendienst Twitter demnächt die Online-Plattform der Brainloop AG. Das berichtet die Computerwoche Brainloop zufolge hat die beliebte Mikroblogging-Site die Plattform auserkoren, damit sie firmen- und länderübergreifend kooperieren kann, ohne beim Dokumentenaustausch ein großes Sicherheitsrisiko einzugehen.
Brainloop wirbt damit, sensible Unterlagen vor unberechtigten Zugriffen schützen, zu können, auch wenn Projekte deren Austausch mit Firmenexternen erfordern. Dabei würden die vom jeweiligen Unternehmen vorgeschriebenen Sicherheitsrichtlinien automatisch angewendet, so dass sich die eigenen Mitarbeiter und externe Partner ungestört auf ihre Aufgaben konzentrieren könnten. Wie der Brainloop-CEO Peter Weger verspricht, behindern die Sicherheitsfunktionen der Software nicht die reibungslose Zusammenarbeit.

Die Gesichtserkennungsfunktion von Facebook ist eine Ansichtssache. Die einen mögen und nutzen sie gerne, andere wiederum sehen dies als datenschutzrechtlichen Verstoß.
Aus diesem Grund hat Hamburgs Datenschutzbeauftragter Johannes Caspar Facebook vorgeworfen, sie würden ihre Nutzer irreführen und fordert, die biometrischen Daten zu löschen.
Zwei Monate nach der Einführung dieser Funktion, die eigentlich nie komplett deaktiviert werden, sondern nur vor der Öffentlichkeit verborgen werden kann, behauptet Caspar, es entstehe dabei eine riesige Datenbank mit persönlichen Nutzerdaten, die gegen das deutsche Datenschutzrecht verstoße. Die einzige Möglichkeit, die Gesichtserkennung komplett zu umgehen, ist das soziale Netzwerk gar nicht zu benutzen.
Weiterhin wirft Caspar dem Unternehmen vor, der Nutzer besäße vorab keine Möglichkeit der Einwilligung oder Verweigerung des Dienstes. Deshalb sollte Facebook die Gesichtserkennung entweder entfernen oder verändern.
Facebook verteidigt seinen neuen Dienst und weist jegliche Vorwürfe von sich. Ihrer Meinung nach gäbe es keine rechtlichen Verstöße und ihre Nutzer würden die Gesichtserkennungsfunktion schätzen.

Viele Unternehmen erlauben ihren Mitarbeitern die Mitnahme und Nutzung privater mobiler Geräte. Der dadurch erhoffte Produktivitätsgewinn hat jedoch auch seine Tücken. Je mobiler die Belegschaft, desto schwieriger die Aufgabe der IT-Abteilung.

Mobiles Business braucht klare Regeln, wenn die Sicherheit nicht zu kurz kommen soll: Wer soll Zugang zum Intranet, zu webfähigen Anwendungen, zu sensiblen Dokumenten, Firmen-Messaging oder zu selbst entwickelten Applikationen erhalten? Wie steht es dabei um die Sicherheit von Daten und Informationen? Die IT-Abteilungen können sich über mangelnde Herausforderungen nicht beklagen: Sie müssen nicht nur Mittel und Wege für einen praktikablen allgemeinen Zugriff auf eine Unzahl von Applikationen finden, sondern auch die Vielzahl an unterschiedlichen Mobiltelefonen der Mitarbeiter in den Griff bekommen.

Smartphones haben sich inzwischen zu leistungsfähigen, multi-funktionalen Mini-Computern entwickelt – jedoch zu Computern mit zwei Gesichtern: Einerseits können Mitarbeiter alle wichtigen IT-Funktionen und -Tools nutzen, ohne physisch im Unternehmen anwesend zu sein. Andererseits werden Smartphones in der Regel auch privat eingesetzt und enthalten dementsprechend eine Fülle privater Daten und Accounts – selbst wenn sie vom Unternehmen gestellt werden. Die rapide Entwicklung in der Mobilfunktechnologie birgt gewaltige Chancen für das Geschäftsleben: Smarte Unternehmen können schneller und effizienter arbeiten, besser auf Kundenwünsche eingehen und damit die Ergebnisse sowohl Top-Line als auch Bottom-Line optimieren.

Wie aber können es die IT-Beauftragten schaffen, die unterschiedlichen Mobiltelefone zu unterstützen, ohne die verschiedenen »Personalisierungs« -Funktionen zu beschneiden, die sie für ihre Besitzer so wertvoll machen – und dabei dennoch die Sicherheit der Unternehmensdaten und die erforderliche Compliance gewährleisten? Mitarbeiter empfangen, bearbeiten und versenden E-Mails auf ihren privaten Accounts und unterminieren damit – oft einfach aus Unachtsamkeit oder sogar nur um Zeit zu sparen – die Unternehmens-Policy. Oder sie sorgen durch den Download von Kollaborations-Tools dafür, dass unternehmensinterne Dokumente im Internet abgelegt werden.Und schließlich kann ein Smartphone auch einmal verloren gehen oder gestohlen werden. Der erste Schritt hin zu mehr Datensicherheit bei Nutzung privater mobiler Endgeräte ist die Erkenntnis, dass es in den einzelnen Unternehmen bereits jetzt dutzende, hunderte oder gar tausende von Mitarbeitern geben kann, die die (auch) mit privaten Geräten arbeiten. Ganz besonders trifft das auf Unternehmen mit einem webbasierten Zugang zur firmeneigenen E-Mail zu, zum Beispiel mit Outlook Web Access oder Lotus iNotes. Gleiches gilt für Unternehmen, die eine Installation von herunterladbaren Applikationen auf Laptops oder Desktops zulassen. Der inzwischen allgegenwärtige mobile Browser ermöglicht einen Zugang von privaten Geräten zur Unternehmens-E-Mail oder anderen vergleichbaren Anwendungen. Dasselbe trifft auf herunterladbare Produktivitäts-Apps wie Dropbox zu, mit denen die Nutzer Dokumente von ihrem Desktop- oder Laptop zu Cloud-basierten Repository, und von dort mit ihren mobilen Geräten synchronisieren könnten.

Der zweite Schritt ist die Beantwortung der Frage, ob es klare Bestimmungen und Policies gibt oder diese zumindest in Vorbereitung sind. Wenn nicht, ist genau hier der dringendste Ansatzpunkt. Wer diese Herausforderungen allerdings meistert, profitiert jedoch in vielfacher Hinsicht: Ein bedarfsgerechtes Management privater Smartphones im Unternehmen kann die Produktivität der Mitarbeiter deutlich erhöhen, einen schnelleren und besseren Kundendialog unterstützen und sogar die Kosten senken.

Auf XING empfehlenBeitrag auf XING empfehlen

Cloud Computing ist in der Geschäftswelt angekommen. Auch Compliance-Fragen sind nur noch scheinbar eine Hürde. Aber damit sich Wolken und Regeln nicht ausschließen, ist eine richtige Planung unabdingbar. Mit dem Konfliktfeld Cloud & Compliance befasst sich ein Beitrag in der Computerwoche.

Cloud Computing schwingt sich in den kommenden Jahren zum Top-Thema der IT-Industrie auf. Viele Firme sind jedoch zurückhaltend. Die Anwendungen, die derzeit am häufigsten in die Cloud wandern, sind für die Unternehmen eher unkritisch. Dazu zählen E-Mail und Kalender, Collaboration-Lösungen, Backoffice-Applikationen und Customer Relationship Management (CRM). Unternehmenskritische Anwendungen dagegen betreiben die meisten Firmen nach wie vor bevorzugt auf der eigenen IT-Infrastruktur.

Dieser Zurückhaltung liegen Bedenken um die Sicherheit der Daten, schwammige, oft ungeklärte Compliance- und Haftungsfragen sowie Sorgen um die Ausfallsicherheit hinsichtlich der Infrastruktur des Cloud-Providers zugrunde. Dass diese Zweifel berechtigt sind, bestätigt der jüngste Störfall im Amazon-Rechenzentrum1.

Ralf Schneider, CIO der Allianz Versicherung, gibt an, wo der Knackpunkt bei den Cloud-Services für sein Unternehmen liegt: „Wir wollen unsere zentralen Anwendungen, vor allem aber unsere Daten selbst unter Kontrolle behalten“, formulierte er kürzlich in einem Interview mit der Computerwoche.

Zwar schließen sich das Arbeiten über die Cloud und das gleichzeitige Einhalten von Compliance-Vorgaben nicht per definitionem aus, allerdings gewinnen manche Compliance-Aspekte in der Cloud doch wesentlich an Bedeutung. Sollen Anwendungen und Daten in der Cloud gespeichert werden, muss daher genau überprüft werden, ob diese Speicherung nach den zugrunde liegenden Lizenzverträgen und den anwendbaren Datenschutzregelungen zulässig ist.

Dreh- und Angelpunkt für ein rechtlich abgesichertes Cloud-Szenario ist ein dedizierter Anforderungskatalog an den Cloud-Provider sowie wasserdichte Serviceverträge. Konkrete Leistungsbestandteile sollten in Einzelverträgen definiert sein, die neben dem Service Level Agreement weitere rechtliche Regelungen wie Gewährleistung und Haftung, Vertragslaufzeit, Kündigungsmöglichkeiten oder Vertraulichkeitsverpflichtungen enthalten sollte. So lässt sich auf der Ebene des Einzelvertrages die Compliance-Vorgabe für einen bestimmten Service prüfen und bei Schlechtleistung oder Nichterfüllung lassen sich entsprechende Maßnahmen in die Wege leiten.

Auf XING empfehlenBeitrag auf XING empfehlen

Gut 77% der in den USA, Großbritannien, Frankreich, Deutschland und Japan befragten Organisationen waren im vergangenen Jahr von Datenverlust betroffen – in Deutschland allein bestätigten sogar 83% der Unternehmen, in 2010 den Verlust von Informationen erfahren zu haben. Das ist das Ergebnis einer Studie von Check Point Software Technologies Ltd. und dem Marktforschungsunternehmen Ponemon Institute.
Am stärksten betroffen, so die in Deutschland Befragten, seien Kundeninformationen (52%), gefolgt von generischen Verbraucherdaten (51%), anderem, geistigem Eigentum wie z. B. Source Code (29%), Mitarbeiterdaten (28%) und Geschäftsplänen bzw. –strategien (20%). Mit der zunehmenden Nutzung von Web 2.0-Applikationen und der wachsenden Zahl mobiler Endgeräte, die auf das Netzwerk zugreifen, sehen sich die Organisationen bei der Durchsetzung von Datensicherheit, IT Governance sowie Risiko- und Compliance-Vorschriften mit hohen Anforderungen konfrontiert.
Die Hauptursache für das Verlorengehen von Daten lag nach Angaben der befragten IT-Sicherheitsexperten im Verlust bzw. Diebstahl von IT-Equipment, gefolgt von Netzwerkattacken, ungesicherten, mobilen Endgeräten, Web 2.0- und File Sharing-Anwendungen und schließlich im versehentlichen Versenden von Emails an den falschen Empfänger. Erstaunlich: Die befragten IT-Complianceverantwortlichen glauben, dass im Durchschnitt rund 49% ihrer Mitarbeiter wenig bis überhaupt kein Bewusstsein für IT-Compliance haben. In Deutschland liegt der Anteil der nicht aufgeklärten bzw. nicht sensibilisierten Angestellten bei immer noch 34% – für die Unternehmen Anlass genug, die Bewusstseinsentwicklung der Mitarbeiter stärker in den Fokus ihrer Sicherheitsstrategien zu rücken, zumal es meist der Mensch ist, der an der Security-Front der Organisation in der ersten Reihe steht.
Eine gute Nachricht ist dabei immerhin, dass der Großteil der Vorfälle offenbar ohne Absicht passiert. Es gibt also Aufklärungsbedarf. Weitere Informationen und Zugriff auf den vollständigen Report erhalten Sie hier.

Auf XING empfehlenBeitrag auf XING empfehlen

Datenklau
Deutsche Unternehmen gehen immer noch zu nachlässig mit den Themen Compliance, IT-Sicherheit und Datenmissbrauch durch die eigenen Mitarbeiter um. Zu diesem Ergebnis kommt eine neue Studie des Softwareuntertnehmens Kroll Ontrack und der Anwaltskanzlei CMS Hasche Sigle, die insbesondere den Datenklau durch eigene Mitarbeiter untersuchte. Danach kontrollieren mehr als 75 Prozent der Unternehmen nicht regelmäßig, ob die internen Regeln auch eingehalten werden.

Compliance-Programme, gibt es nicht einmal in der Hälfte der Unternehmen, 52 Prozent der befragten Unternehmen haben bisher noch keine Compliance-Programme etabliert. 46 Prozent der Unternehmen haben jedenfalls keinen Compliance-Beauftragten, der ein solches Programm – so vorhanden – auch überwacht.«Die Gefahr, Opfer von Computerkriminalität zu werden, ist für Unternehmen durchaus real», so Reinhold Kern, Director Computer Forensics bei Kroll Ontrack.

Erstaunlich ist, dass zwar 87 Prozent der befragten Unternehmen angaben, Regelungen zum Umgang mit Internet und E-Mail aufgestellt zu haben, bemerkenswerterweise die große Mehrheit der Unternehmen (77 Prozent) aber nicht kontrolliert, ob die aufgestellten Regeln auch wirklich eingehalten werden.
Für den Fall, dass Mitarbeiter sich tatsächlich illegal verhalten, sind die befragten Unternehmen ebenfalls schlecht vorbereitet: Eine «Whistleblowing-Hotline», gibt es nur in 37 Prozent der Unternehmen. Einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen hat weniger als die Hälfte der Unternehmen eingerichtet, nämlich nur 44 Prozent.

Zusammenfassend stellt die Studie erhebliche Lücken beim Schutz vor Datenmissbrauch fest. Unternehmen unterschätzen die Risiken aus der privaten Internetnutzung, der Möglichkeit zum Datendiebstahl oder dem einfachen Zugriff der Mitarbeiter auf Unternehmensnetzwerke. Um das Unternehmen effektiv gegen diese Risiken zu schützen, sollten Unternehmen eine Reihe von Maßnahmen ergreifen. An erster Stelle stehen laut Studie dabei Richtlinien und Betriebsvereinbarungen für Internetnutzung und den Umgang mit sensiblen Daten – und vor allem deren regelmäßige Kontrolle. Zudem sollten sich Unternehmen auch mit Compliance stärker auseinandersetzen. Ein Compliance-Programm müsse dabei jeweils auf die sensiblen Bereiche des Unternehmens zugeschnitten sein. Die genaue Kenntnis der technischen und juristischen Voraussetzungen helfe Unternehmen dann entscheidend bei der Umsetzung effektiver Maßnahmen.

Auf XING empfehlenBeitrag auf XING empfehlen

Interaktive Web-Anwendungen bergen erhebliche Compliance-Risiken. Die Frage nach einer „Compliance 2.0“, bei der Internetapplikationen aktiv in die Compliance-Strategie des Unternehmens integriert werden, ist dabei nicht neu. Gegenwärtig hat die Frage vor allem aufgrund des zunehmenden Cloud Computings aber wieder neue Brisanz bekommen.
Der kollaborative Charakter des Internets ermöglicht es jedem Netzteilnehmer, Dienste und Inhalte zusammenzustellen und zu veröffentlichen. Unternehmen erkennen den „User Generated Content“ zunehmend als Bereicherung und Aufwertung ihrer Internet-Strategie. Doch über den Vorteilen – beispielsweise einer höheren Nutzerbindung und kostenlosem Inhalt – dürfen die Risiken nicht vernachlässigt werden. Unter dem Rechtsaspekt betrachtet, stellt das Web 2.0 alle Beteiligten vor neue Herausforderungen. Sie betreffen keineswegs nur die Unternehmen, die in ihrem Kerngeschäft mit interaktiven Web-Anwendungen zu tun haben. Der Umgang mit den Nutzern richtet sich hier sowohl an nationalen als auch nach internationalen Rechtsgrundlagen aus. Deshalb müssen alle Unternehmen im Zug von Web-2.0-Anwendungen Lösungen für eine ganzheitliche und nachhaltige Compliance-Strategie entwickeln.
Interaktive Anwendungen wie Diskussionsforen oder Feedback-Plattformen stellen auf der einen Seite eine kostenneutrale Bereicherung für Unternehmen dar, auf der anderen Seite aber auch ein unmittelbares Risiko. Im schlimmsten Fall gelangen auf diese Weise unerwünschte, zum Teil rechtswidrige Inhalte in den Internet-Auftritt des Unternehmens.

Risikofaktor „User Generated Content“

Darüber hinaus können Spannungen zwischen dem Datenschutz und dem Wunsch nach Anonymität einerseits sowie der Notwendigkeit zur Erfassung von Daten des Content-Erstellers andererseits auftreten. In diesem Sinn spielt die der Historisierung der Inhalte eine bedeutende Rolle: Veröffentlichungszeitpunkt sowie nachträgliche Veränderungen User Generated Content (UGC) müssen sich eindeutig erkennen und chronologisch zuordnen lassen.
Um Konflikten in diesem Bereich vorzubeugen, hat es sich in der Praxis bewährt, klare Regeln für den UGC zu kommunizieren. Mit Hilfe einer „Content Policy“ lassen sich unerwünschte Verhaltensweisen oder Themen im Vorfeld benennen und Verstöße nach Möglichkeit verhindern. Die wichtigsten zu berücksichtigenden Compliance-Aspekte bei UGC ist daher die automatisierte Filterung bei zusätzlichen manuellen Stichproben, das Aufstellen einer Content-Policy sowie der Abgleich des Datenschutzes und Identitäts-Managements auf Web-2.0-Anforderungen.Implementierung von Eskalationsszenarien (Verantwortlichkeiten, Monitoring, Dokumentation). Hinsichtlich der Umsetzung ist es ratsam, klare Verantwortlichkeiten festzulegen, Eskalationsszenarien zu erarbeiten und kontinuierliche Monitoring-Prozesse zu etablieren. Dazu gehört auch eine nachvollziehbare Dokumentation der bereits erfolgten Präventivmaßnahmen.

Cloud Computing als Chance?

Unternehmen, die Dienste in einer Cloud nutzen oder in diese verlagern möchten, müssen zuvor genau prüfen, ob Compliance und Sicherheit der Cloud-Infrastruktur auf jeder relevanten Service-Schicht den eigenen Anforderungen genügen.
Die technologischen Security-Ansätze im Cloud Computing ähneln denen herkömmlicher Infrastrukturen. Die eigentliche Schwierigkeit besteht daher vor allem darin, das Cloud-Konzept mit den diversen Compliance-Anforderungen in Einklang zu bringen.
Hiermit befassen sich auch Jan-Frank Müller und Dror-John Röcher in ihrem Beitrag „Mit sicheren Schritten in die Cloud“ in der Computerwoche. Sie empfehlen Kunden vom Provider ein etabliertes Sicherheits-Management, eine angepasste Sicherheitsarchitektur, ein funktionierendes Notfall-Management und Angaben zu seiner Mitarbeitersicherheit zu verlangen. Auf der anderen Seite seien Provider gut beraten, diese Informationen offensiv zu publizieren, um sich gegenüber dem Wettbewerb positiv zu differenzieren. Die Realität sieht jedoch häufig anders aus.Aussagen zur Verfügbarkeit oder der Security der Cloud-Dienste und ihrer zugrundeliegenden Infrastruktur finden sich nur in Produkt-Datenblättern und Whitepapers, die aber nicht Vertragsbestandteil sind. In diesem Punkt unterscheidet sich Cloud-Computing signifikant vom klassischen Outsourcing, bei dem Auftraggeber und Auftragnehmer im Due-Diligence-Prozess Parameter mit bindendem Charakter für SLAs und Security aushandeln können.
Kritische Stimmen zum Cloud Computing argumentieren oft mit einem zwangsläufigen Kontrollverlust bei der Verlagerung von Informationen oder Diensten in eine fremdbetriebene Cloud. Aber sieht die Gegenwart so viel besser aus? Tatsächlich zeigt die Erfahrung, dass kaum ein Unternehmern weiß, welche Applikationen es denn tatsächlich nutzt, und wenn doch, wie kritisch die jeweiligen Anwendungen in Bezug auf Datenschutz und die eigenen Compliancerichtlinien sind. Die Dispersion der Daten in den Unternehmen, die Webifizierung auch herkönmmlicher Software und die Verfügbarkeit großer und günstiger Speicher haben zu einem schleichenden Kontrollverlust über die Informationen und Applikationslandschaft geführt. Allein das legendäre Verschwinden von unternehmenseigenen oder mitgebrachten USB-Sticks dürfte so manchem Datenschutzbeauftragten und Complianceexperten die Tränen in die Augen treiben.
Wenn man sich diesen Zustand als Realität vergegenwärtigt, könnte man ein sauber geregeltes Cloud Computing auch als echte Chance sehen. Cloud-interessierte Unternehmen sollten sich dabei zunächst einen Überblick über die eigenen Daten und Anwendungen, sowie den anwendbaren Compliance- und Datenschutzanforderungen verschaffen. Aus den gewonnenen Erkenntnissen lässt sich dann ableiten, welche Daten oder Applikationen unter welchen Voraussetzungen Public-Cloud-tauglich sind, und welche innerhalb der eigenen Umgebung bleiben sollten.
Besonderes Augenmerk ist auf die nachweisliche Einhaltung spezifischer Compliance-Anforderungen in Public-Cloud-Diensten zu legen. Werden Compliance-relevante Informationen in die Infrastruktur eines externen Anbieters verlagert, übernimmt dieser bislang nur die Betriebsverantwortung für die Dienste. Der Kunde trägt die Kontrollverantwortung, die üblicherweise eine Auditpflicht mit sich bringt. Der Kunde muss den Provider entsprechend den Vorgaben der jeweiligen Compliance-Regel auditieren. Aktuell gelten für Cloud-Dienste die gleichen Compliance-Anforderungen wie für konventionelle Infrastrukturen. Das Bundesdatenschutzgesetz, das Aktiengesetz oder KonTraG differenzieren nicht zwischen Cloud- und „konventionellem“ Betrieb. Die Herausforderung liegt darin, die geltenden Compliance-Vorgaben nicht nur umzusetzen, sondern auch entsprechend zu dokumentieren. Solange der Provider den Nachweis nicht erbringt, ist der Kunde in der Pflicht. Am Beispiel von internationaler Public-Cloud-Anbietern wird die Problematik besonders deutlich: Sie bedienen Kunden in der ganzen Welt und jedes Land hat eigene Compliance-Richtlinien, die natürlich auch noch von Branche zu Branche stark variieren. Wie soll ein Cloud-Provider diese Fülle an Audits umsetzen, ohne die Kosten für die Dienste massiv anzupassen? Die Arbeitsgruppe CloudAudit/A6 in der sich viele namhafte Anbieter engagieren, entwickelt derzeit eine automatische Audit-Schnittstelle. Neben den Cloud-Anbietern sind jedoch auch die Gesetzgeber gefordert, die aktuelle Rechtslage der technologischen Entwicklung anzupassen.

Fazit

Der Nutzen von Web 2.0 Anwendungen wie Foren, Blogs, Wikis und Clouds ist vielgestaltig. Letztlich bietet Web 2.0 der gesamten Wirtschaft viele Chancen durch die integralen und direkten Kommunikationsmöglichkeiten. Doch eng damit verbunden sind eben auch Herausforderungen wie Compliance, Datenschutz und Risikomanagement. Deshalb muss das Thema Web 2.0 und die entsprechenden Anwendungen des Unternehmens und seiner Mitarbeiter und Kunden in entsprechende strategische Überlegungen und schließlich auch die entsprechenden Regularien und die unternehmensweite Compliance-Strategie eingebunden werden. Die User, also sowohl Mitarbeiter als auch Kunden sollten im Umgang mit den jeweiligen digitalen Daten sensibilisiert werden. Das ebnet den Weg, um aus dem Web 2.0 wertvolle Erkenntnisse zu filtern und entsprechende Anwendungen gewinnbringend im Unternehmen einzusetzen.

Auf XING empfehlenBeitrag auf XING empfehlen

Auf den Tag genau vor einem Jahr legte die Deutsche Telekom mit Ihrem Datenschutzbericht auch einen Zehn-Punkte-Plan vor, um damit eine neue Ära in Sachen Datenschutz einzuläuten.
Die Deutsche Telekom, die 2008 durch eine Reihe von Datenschutzskandalen gebeutelt wurde, wollte sich damit als Vorreiter im Datenschutz profilieren und das Vertrauen der Kunden zurückgewinnen Diese 10-Punkte-Sofortmaßnahmen erfordern für die Umsetzung in ihrer Gesamtheit sicherlich eine gewisse Größe des Unternehmens. Außerdem ist sicherlich auch die besondere Angreifbarkeit eines Telekommunikationsunternehmens zu bedenken. Dennoch kann nach einem Jahr festgestellt werden, dass die Telekom in Sachen Datenschutz auf einem guten Weg ist und der 10-Punkte-Plan dazu beigetragen hat und daher auch für andere Unternehmen ein geeigneter Denkanstoß sein sollte. Der 10-Punkte-Plan der Telekom

1. Verstärkter Schutz der Aufsichtsräte
Die Aufsichtsräte sollen durch ein neues Konsultationsverfahren stärker vor unberechtigten internen Ermittlungen geschützt werden

2. Schutz der Betriebsräte
Ein strikter Freigabeprozess, ähnlich wie bei den Aufsichtsräten, bei Ermittlungen soll verhindern, dass Topmanager willkürlich unliebsamen Betriebsräten nachspionieren können.

3. Schutz von Journalisten
Interne Ermittlungen gegen Medienvertreter sind grundsätzlich ausgeschlossen und damit nur bei konkreten Verdachtsfällen möglich.

4. Vorstand Datenschutz kontrolliert externe Ermittler
Der Vorstand Datenschutz, Recht und Compliance muss die Beauftragung externer Ermittlungsdienstleistungen prüfen und gegenzeichnen.

5. Schutz von Verkehrsdaten
Dieser Punkt bringt eigentlich nichts Neues, denn das Telekommunikationsgesetz fordert die Wahrung des Fernmeldegeheimnisses. Die Telekom will sicherstellen, dass jeder Datenzugriff auf Verkehrsdaten regelkonform erfolgt, streng kontrolliert wird und nachverfolgbar ist.

6. Datenschutz-Paten
Für die zentralen IT-Systeme bei der Telekom wird jeweils ein technischer oder rechtlicher Datenschutzexperte als Pate gestellt. Er soll beispielsweise die IT-Systeme unangekündigt überprüfen können.

7. Erhöhung der Kontrolldichte
Die Kontrolle von Prozessen und IT-Systeme soll intensiviert werden. Dazu wurde beim Konzerndatenschutzbeauftragten ein neuer, technisch ausgerichteter Fachbereich etabliert, der sich auf Kontrollen von Prozessen, IT-Systemen und Organisationseinheiten konzentriert.

8. Freigabe von IT-Systemen
Bei neuen technischen Entwicklungen wird die datenschutzrechtliche Freigabe der IT-Systeme genauer geregelt.

9. Datenschutz-Brückenköpfe
Spezielle Ansprechpartner für das Thema Datenschutz wurden auf Ebene der Geschäftsleitung sowie den IT-Abteilungen benannt.

10. Datenschutzbeirat
Der bereits im Februar 2009 gegründete Beirat soll den Vorstand in allen datenschutzrelevanten Themen beraten.

Auf XING empfehlenBeitrag auf XING empfehlen


Kontakt

Wir freuen uns über Ihre Nachricht. Ein Mandatsverhältnis kommt hierdurch noch nicht zustande.

Name
Email
Message

Ja! Ihre Nachricht wurde versandt.
Eingabefehler! Etwas scheint mit Ihren Einträgen nicht zu stimmen.
Impressum

©Rechtsanwaltskanzlei Niko Härig