Der Entwurf der EU-Datenschutzverordnung, der Ende Januar durch die EU-Kommission vorgelegt wurde, hat zum Ziel, das europäische Datenschutzrecht zu vereinheitlichen und zu modernisieren. Für deutsche Unternehmen der Online-Branche würde sich dem Entwurf gemäß erst einmal sehr wenig ändern.
Einer Expertenanalyse zufolge besitzen 90 Prozent der deutschen Unternehmen kein angemessenes Datenschutz-Managementsystem und gehen mit dem Thema Datenschutz eher reaktiv um. Der Entwurf der EU-Datenschutzverordnung sieht jedoch vor, Unternehmen, welche die datenschutzrechtlichen Vorgaben nur unzureichend umsetzen, mit harten Geldstrafen zu besetzen. Die Geldstrafen richten sich nach dem weltweiten Umsatz des Unternehmens. Unterrichtet das Unternehmen bei einem Vorfall den Betroffenen nicht rechtzeitig, werden 0,5 Prozent fällig, bei nicht fristgerechter Datenlöschung wird 1 Prozent fällig und bei Verarbeitung personenbezogener Daten ohne ausreichende Rechtsgrundlage werden 2 Prozent des weltweiten Umsatzes des Unternehmens fällig. Wird die EU-Datenschutz-Grundverordnung verabschiedet, wird kein zeitlicher oder inhaltlicher Spielraum gewährt. Es gilt, ein angemessenes Datenschutz-Managementsystem im Unternehmen zu etablieren und zu führen.

Unternehmer – Websites auf dem Prüfstand
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine größere Anzahl von Firmen - Homepages auf den datenschutzkonformen Einsatz von Google Analytics überprüft. Dieses Google Tool sowie auch andere Auswertungsprogramme (Tracking-Tools) erlauben den Webseitenbetreibern das Surfverhalten ihrer Webseitenbesucher auszuwerten. Diese Analyse des Nutzerverhaltens, welche zum Beispiel erkennen lässt wie viele Nutzer eine Website besucht haben und wo ihr Standort ist, geht bei vielen Webseitenbetreibern zu weit da sich Sicherstellung des Schutzes des allgemeinen Persönlichkeitsrechts der Nutzer nicht gewährleistet ist.
Die Webseitenbetreiber in Bayern, welche noch Defizite bei der Umsetzung der datenschutzrechtlichen Vorgaben im Einsatz dieser Tracking-Tools aufweisen, werden von dem Bayerischen Landesamt für Datenschutzaufsicht aufgefordert, diese zu beheben. Die von dem BayLDA angeschriebenen Webseitenbetreibern soll ein Bußgeldverfahren drohen, falls sie der Aufforderung zur Anpassung ihrer Auswertungsprogramme nicht Folge leisten.
-ck-

Datensicherheit im Unternehmen
Datenschutz wird in vielen Unternehmen noch immer nicht wichtig genommen – unzähligen Unternehmen fehlt eine effektive Datenschutzkultur. Arbeitnehmer werden nicht im Umgang mit personenbezogenen Daten sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein. Ist es Unwissenheit oder Unachtsamkeit das der Datenschutz und die Datensicherheit in der Wirtschaft immer wieder zu neuen Datenskandalen führt?
Unternehmerdaten sind ein wichtiges Wirtschaftsgut und mittlerweile haben kleine und mittelständische Unternehmen die Notwendigkeit einer umfassenden Datensicherung erkannt, doch sie müssen wohl noch besser über die Sicherheitsvorkehrungen informiert werden.
Viele Unternehmen unterschätzen auch die Gefahren welche durch gestohlene oder verlorene mobilen Endgeräte, wie zum Beispiel Handy, USB-Stick oder Laptop mit vertraulichen Firmendaten entstehen können. Der durch diese abhanden gekommene Hardware entstandene Datenverlust birgt für die betroffenen Unternehmen nicht nur durch die EU-Datenschutzverordnung eine hohe Geldstrafe auch das Risiko eines erheblichen Imageverlustes ist von hoher Bedeutung.
Auch die Gefahren durch einen Angriff auf das Firmennetzwerk des Unternehmens sind nicht zu unterschätzen. Geübte Hacker durchbrechen sämtliche Sicherheitsmechanismen und sind in der Lage durch diese Sabotagemöglichkeit betriebsinterne Informationen abzufischen. Meist bleibt der Schaden durch den Verlust der vertraulichen Daten lange unbemerkt.
Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung, kann nach der aktuellen EU-Datenschutzverordnung hohe Strafzahlungen nach sich ziehen. Deshalb erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen welche die sensiblen Unternehmensdaten schützen und um jegliche Art von Datenschutzvorfällen vorzubeugen.
-ck-

Während Cloud-Anbieter Sicherheit als Prozess begreifen müssen, so Tim Griese vom Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI), müssen Unternehmer sich gut überlegen, ob sie vertrauliche Mitarbeiterdaten in die Cloud legen. Daten auszulagern bedeutet, Verantwortung aus der Hand zu geben. Darüber hinaus gibt es jedoch noch eine weitere bedenkliche Komponente.
Software von Cloud-Anbietern, mit der Personaldaten entsprechend so verarbeitet werden können, das Mitarbeiterleistungen gemessen, bewertet und verglichen werden können. "Human Capital Management" wird das Leistungsspektrum von solchen Dienstleistern betitelt. Einer dieser Dienstleister ist zum Beispiel das amerikanische Unternehmen "Success Factors", das letztes Jahr von SAP aufgekauft wurde. Mitarbeiterkontrolle wird hier zunehmend leichter und günstiger.
Die rechtlichen Aspekte müssen dabei jedoch Beachtung finden. So sollte in jedem Nutzungsvertrag mit dem Cloud-Anbieter der § 11 des Bundesdatenschutzgesetzes (BDSG) berücksichtigt werden. Dieser zeigt zehn Punkte auf, die in jedem Fall zwischen Auftragnehmer und Auftraggeber geregelt sein müssen. Auch der Schutz der Persönlichkeitsrechte der Mitarbeiter muss sichergestellt sein.
- mb -

Arbeitnehmerdaten
FAZ - "In der Wolke gibt es Grenzen"
http://www.faz.net/aktuell/beruf-chance/recht-und-gehalt/
arbeitnehmerdaten-in-der-wolke-gibt-es-grenzen-11747264.html

Dieter Kempf über Flexibilität, Vertrauen und rechtliche Grauzonen
WELT - "Cloud Computing ist eine Revolution"
http://www.welt.de/print/die_welt/article106319663/
Cloud-Computing-ist-eine-Revolution.html

Ernüchternde Bilanz
COM -Magazin - "Schwere Sicherheitsmängel bei Dropbox & Co"
http://www.com-magazin.de/sicherheit/news/detail/artikel/schwere-sicherheitsmaengel-
bei-dropbox-co.html?no_cache=1&cHash=611c313d1887b8e4d47d2b7addfcd346




Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick

1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Advanced Persistent Threats - Wo verrät sich der Angreifer?"
http://www.ceilers-news.de/serendipity/231-Advanced-
Persistent-Threats-Wo-verraet-sich-der-Angreifer.html

2. Schreibrecht für Krankenkassen
FOCUS - "Kritik begleitet Organspende-Reform auf Zielgeraden"
http://www.focus.de/politik/deutschland/gesundheit-kritik-begleitet-
organspende-reform-auf-zielgeraden_aid_754642.html

3. Rezeptdatenhandel
http://www.deutsche-apotheker-zeitung.de/spektrum/news/2012/05/18/anzeige-
gegen-insight-health-staatsanwaelte-pruefen-anfangsverdacht/7277.html

Schadsoftware greift personenbezogene Daten ab
Apps – diese beliebten kleinen Helfer für den täglichen Alltag - sollen auch die Arbeit im Berufsleben erleichtern. Leider werden von Smartphone-Usern diese kleinen Helferlein zu sorglos installiert. Die Stiftung Warentest fand jetzt heraus, dass viele von den beliebten Apps für Smartphone teilweise gravierende Datenschutz- und Sicherheitslücken aufweisen. Persönliche Informationen wie zum Beispiel Adressbücher, E-Mailadressen, Passwörter, werden durch Benutzung der Apps mit übertragen, ohne dass der Nutzer seine Zustimmung gegeben hat. Malware unterscheidet nicht zwischen privaten- oder Business–Nutzern. Vorsicht ist auch geboten, wenn zur Installation der Apps sehr weitgehende Zugriffsrechte per SMS oder Telefonanrufen eingeräumt werden müssen.
Die Sicherheit der persönlichen Daten sollte an erster Stelle stehen - die Installation der Apps wohlüberlegt - denn meist ist längst nicht erkennbar inwiefern eines dieser Programme auf das persönliche Datenmaterial zugreift um ein Persönlichkeitsprofil für zugeschnittene Werbung zu erstellen oder beim Online-Banking Benutzerdaten abzugreifen. Unverschlüsselte Unternehmerdaten die per Smartphone versendet werden, stellen ein hohes Sicherheitsrisiko dar, denn es existieren keinerlei Warnungen, ob die eingebenden Daten ungeschützt übertragen werden.
Smartphones sollten hinsichtlich der Sicherheit wie ein Computer behandelt werden, so rät das Bundesamt für Sicherheit in der Informationstechnik (BSI). Sicherheitsupdates regelmäßig durchführen, sowie keine sensible Zugangsdaten auf dem Handy speichern, lindert das Sicherheitsrisiko des Datendiebstahls.
-ck-

Eine Überprüfung von 5.000 österreichischen Webseiten durch Anonymous Austria ergab, dass jede zehnte Webseite Sicherheitslücken und Mängel bei der Datensicherheit aufwies. Unbedachter Umgang mit heiklen Daten auf Homepages beschränkt sich jedoch nicht nur auf Österreich. So hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) 13.404 Webseiten hinsichtlich des datenschutzkonformen Einsatzes von Auswertungsprogrammen überprüft. Von den Webseitenbetreibern, die Google Analytics einsetzen, setzten nur 3% das Tracking-Programm datenschutzkonform ein.
Laut einer globalen Studie von InfoWatch zu Verlusten von Unternehmens- und vertraulichen Daten ist die Anzahl der Datenverluste auf konstant hohem Niveau, wobei die Datenlecks in öffentlichen Einrichtungen überwiegen. Hier wird noch unterschieden zwischen vorsätzlichen und fahrlässigen Datenverlusten. Fahrlässige Datenverluste reduzieren sich stetig, was für ein höheres Datenschutzbewusstsein spricht. Der Löwenanteil der Datenlecks betrifft Personaldaten mit 92,4 Prozent. Geschäftsgeheimnisse belaufen im Kontext auf 3,2 Prozent. Gemäß der Mittel und Wege der Datenübertragung liegen die Verlustwege mit 19,1 Prozent bei Papierunterlagen, 13,9 Prozent beim PC und 13,6 Prozent bei der Nutzung des Internets. Notebooks und Smartphones folgen mit 9,6 Prozent. Der Anteil von Vorfällen bezüglich Archivdaten und Trägern von Sicherheitskopien ist zum Vorjahr um das dreifache gestiegen.