Datenschutz beim Einsatz digitaler Kommunikation im Gesundheitswesen
Die Kommunikation über Social Medial oder WhatsApp wird für Ärzte oder Apotheker immer interessanter. Die neuen Medien als schneller Kommunikationsweg für Terminanfragen werden nicht nur von jüngeren Patienten mit Smartphone sondern durchaus auch von älteren Nutzern meist per Internet gewählt. Auch der Datenaustausch mit Kollegen über WhatsApp, um beispielsweise Röntgenbilder auch bei der Visite am Krankenbett schnellstens über ein Tablet abrufen zu können, gehört mittlerweile zum Arbeitsalltag in den Kliniken dazu.
Die professionelle Nutzung greift immer weiter um sich, doch Berufsgeheimnisträger wie beispielsweise Ärzte oder Apotheker sollten diese neuen Medien mit Vorsicht nutzen um die ärztliche Schweigepflicht zu gewahren. Denn kostenlose Apps sammeln Daten ihrer Nutzer, wie zum Beispiel das elektronische Adressbuch oder E-Mail-Postfach. Allein die Vernetzung mit Patienten reicht oft, um Behandlungsverhältnisse offen zu legen. Schnell riskieren Ärzte mit der Verwendung von WhatsApp oder Social Media die Verletzung der Schweigepflicht. Zudem können Verstöße gegen letztere können strafrechtliche Folgen haben.
Ein umfassendes Sicherheitsmanagement und gut geschulte Ärzte, Pflegekräfte und Mitarbeiter, gerade im Umgang mit sozialen Medien, ist inzwischen eine unabdingbare Voraussetzung für den wirtschaftlichen Erfolg eines Unternehmens – Datenschutz einer der wichtigsten Erfolgsfaktoren.
-ck-

Datenschutzprobleme bei Mitarbeiterentsendung ins Ausland
Die Entsendung von Mitarbeitern ins Ausland, ob innerhalb eines Konzerns oder an Kunden, gewinnt gerade im Zuge der EU-Erweiterung immer mehr an Bedeutung. Im Punkto Datenschutz sehen sich Personalverantwortliche im Grenzbereich angelangt, wenn Mittarbeiter zum Auslandeinsatz entsendet werden. Es ergeben sich datenschutzrechtliche Besonderheiten, wenn personenbezogene Daten ins Ausland weitergeleitet bzw. dort verarbeitet werden.
Von Arbeitsverträgen über die individuelle steuerliche Situation im Zielland bis hin zum Sozialversicherungsrecht und samt der sensiblen Gesundheitsdaten, es kommen viele Vorbereitungen auf die Personaler zu. Hochsensible, personenbezogene Mitarbeiterdaten werden an das entleihende Unternehmen übermittelt und müssen datenschutzrechtlich durch den Datenschutzbeauftragten begleitet werden, so die Regelung des datenschutzrechtlichen Grundtatbestandes § 32 des Bundesdatenschutzgesetzes.
Die Expatriates (Fachkräfte) ziehen meist mit ihrer Familie ins Ausland – somit übernimmt der Arbeitgeber zusätzliche Verantwortung für die Sicherheit der Daten. Meist folgt auf eine Mitarbeiterentsendung nach Jahren eine Rückkehr, dann müssen die hochsensiblen Daten der Mitarbeiter und deren Familie wieder am angestammten Arbeitsplatz und Wohnort integriert werden. Beim Datenempfänger ist ein angemessenes Datenschutzniveau sicher zu stellen und es dürfen aber nur diejenigen Daten weitergeleitet werden, die zu Durchführung einer Mitarbeiterentsendung zwingend erforderlich sind.
Daher sollte der Datenschutzbeauftragte des Unternehmens frühzeitig mit in die Entwicklung und den Einsatz der IT-Einrichtungen und der Software für die Verarbeitung personenbezogener Daten involviert werden um diese auf ihre Datenschutztauglichkeit - Datensicherheit hin überprüfen.
-ck-

Pressrelations.de - "Entsendung von Mitarbeitern ins Ausland: Und was sagt der Datenschutzbeauftragte?"

Erneute Datenschutz - Zwischenfälle in Unternehmen
In dieser Woche berichteten die Medien über eine peinliche Daten-Panne welche über die BMW-Homepage in Österreich noch geheime Unternehmensdaten veröffentlichte. Vor der offiziellen Weltpremiere konnten die ersten Infos zum neuen BMW wie Fotos, Preise und Ausstattungsdetails auf der Homepage eingesehen werden. Auslöser war scheinbar der Konfigurator. Das Datenleck wurde zwar rasch entdeckt und geschlossen, doch die Informationen wurden durch ein Magazin trotzdem genutzt.
Im Reigen der Pannen reihte sich diese Woche wohl auch das Europäische Patentamt ein: Über mehrere Wochen hinweg waren öffentlich zugänglichen Computer des Epa mittels Überwachungstechnik, welche Tastaturanschläge mitschneiden und Screenshots anfertigen kann, anhand eines internen Verfahrens (Diffamierungskampagne) ausgestattet worden. Doch in dem Zeitraum der verdeckten Überwachung haben auch viele unbeteiligte Mitarbeiter die Rechner bedient, ohne zu wissen dass die Geräte überwacht werden. Da das Europäische Patentamt übernational ist, hat es seine eigenen Gesetze in punkto Datenschutz. Der bayerische Datenschutzbeauftragte Thomas Petri fordert nun einen externen Datenschutzberater für das Europäische Patentamt einzusetzen.
Im aktuellen Zeitalter sind schützenswerte Daten Bestandteil vieler betrieblicher Abläufe. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter in Unternehmen - jeglicher Größe - durchgeführt wird.
-ck-

Süddeutsche online - "Späh-Skandal: Europäisches Patentamt überwachte Mitarbeiter mit Keyloggern"

Datenschutz - Gau
Laut Medienberichten ist es Hackern gelungen in den innersten Kern der IT-Infrastruktur des Deutschen Bundestages einzudringen. Die Auswirkungen der Cyberattacke sind weitreichend, da die Angreifer sich die Administratoren-Rechte für das gesamte IT-System des Bundestages aneignen konnten - ein Abwehrkampf somit praktisch sinnlos. Von wem die Daten gestohlen wurden, ist nach wie vor unbekannt.
Zum Schutz der kritischen Infrastrukturen (KRITS) wie zum Beispiel Kraft – und Wasserwerke, Katastrophenschutz, Produktionsanlagen usw. will der Bundestag ein Gesetzt gegen Cyber-Angriffe beschließen.
Im Kampf gegen Cyber-Kriminelle sind große Unternehmen und Behörden gut ausgestattet, doch die Angriffe sind zielgerichteter und geschickter geworden. Laut Fachleuten sind gegen solche Angriffe viele Firmen nicht ausreichend vorbereitet. Doch jeder IT-Verantwortliche weiß: Sensible Unternehmerdaten müssen in vielen Firmen nicht nur jederzeit und überall verfügbar, sondern auch gleichzeitig gut geschützt sein. Sollte doch mal eine Notfallsituation entstehen, gilt es anhand eines aktuellen Backups die sensiblen Daten einfach und komplett wiederherzustellen.
-ck-

Datenpannen durch nicht eingehaltene Sicherheitsstandards
Für einen mobilen und standortunabhängigen Datenzugriff werden in vielen Unternehmen und auch Behörden Intranets (Rechnernetze) eingesetzt, um Mitarbeiter mit sensiblen betriebsinternen Informationen zu versorgen. Dabei spielt insbesondere die Sicherheit der Daten eine große Rolle. Damit die sensiblen Unternehmensdaten nicht an Dritte gelangen, wird der Zugang zum Intranet durch ein Authentisierungsverfahren per Benutzernamen und dem dazugehörigen Passwort gesichert oder über ein komplexeres Authentisierungsverfahren mit mehreren Faktoren wie zum Beispiel anhand eines zusätzlichem Security-Token. Leider schotten viele Unternehmen und Organisationen ihre Intranets nicht richtig ab und somit gelangen vertrauliche Daten ungeschützt ins Internet.
Laut Medienberichten konnten Projekte einer Stiftung eingesehen werden, welche normalerweise in einem passwortgeschützten Intranet-Bereich hinterlegt sind. Sowie Spendenhöhe einer Stadtverwaltung und Daten der Stadtwerke wurden auffindbar. Schlimmer noch eine Excel-Tabelle mit Mitarbeiterdaten für ein Altstadtfest, welche gesundheitsbezogene Daten enthielt. Oder eine Tabelle mit persönlichen Daten von Ausbildungsinteressenten eines Vereins. Diese enthielt nicht nur Adress-Informationen der Interessenten, sondern auch den Hinweis von einer namentlich genannten Interessentin, welche Probleme mit der Kinderbetreuung hat. Auch eine Klinik in Tübingen hat das Intranet nicht geschützt. So konnte in einer Tabelle die Urlaubszeiten, Nacht – und Bereitschaftsdienst und wie viel Fehltage wegen Krankheit die Mitarbeiter hatten, öffentlich eingesehen werden.
Bei allen Funden war das Intranet nicht geschützt, somit konnten die personenbezogenen Daten von Jedermann im Internet eingesehen werden.
Diese Datenpannen sind längst kein Kavaliersdelikt mehr, wie jüngste Verfahren und Klagen belegen. Wenn personenbezogene Daten wie zum Beispiel Patienten- oder Kundendaten unbemerkt an Dritte gelangen, so müssen Unternehmen mit Bußgeldern oder anderen Maßnahmen nach dem Bundesdatenschutzgesetz (BDSG) rechnen. Der mögliche Imageschaden kann jedoch deutlich schlimmer sein.
-ck-

Einheitliches Datenschutzgesetz für mehr Datensicherheit
In dieser Woche haben die EU-Justizminister in Luxemburg eine neue europäische Datenschutzrichtlinie auf dem Weg gebracht. In allen 28 Mitgliedstaaten der EU soll endlich das gleiche Datenschutzrecht angewandt werden.
Dieser Entwurf soll für einen besseren Schutz aller europäischen Internet-Nutzer sorgen. Persönliche personenbezogene Daten, die Privatsphäre, das Recht auf Vergessen sind einige der Punkte dieser neuen Reform. Ganz egal wo ein Datenmissbrauch geschehen ist, in Zukunft soll sich die nationale Datenschutzbehörde die Beschwerden bearbeiten.
Die Reform muss noch das Europaparlament passieren, doch dieses fordert weit gravierendere Datenschutz – Bestimmungen als zurzeit geplant sind.
-ck-

Cyberangriffe: Die Gefahr für die Wirtschaft in der vernetzten Welt
Die Angreifer haben verstärkt die Wirtschaft ins Visier genommen. Ob gezielte Wirtschaftsspionage, Konkurrenzausspähung oder allgemeine Cyber-Angriffe - es entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen durch diese digitalen Attacken. Dies geht aus der neusten im Auftrag von IBM erstellten Studie "2015 Cost of Data Breach Study" des Ponemon-Instituts hervor.
Die Studie zeigt auch auf, das nicht nur Hackerangriffe, sondern auch interne Datenpannen im Unternehmen in den meisten Fällen durch Mitarbeiter oder Dienstleister mit Administratoren-Zugang entstehen und oft erst dadurch Cyber-Angriffe ermöglicht werden.
Beispiel: Wegen eines Programmierfehlers auf der BMW-Homepage wurden schon vor der offiziellen Präsentation die Leistungswerte zum neuen Flaggschiffs des Unternehmens angezeigt, oder die Datenpanne im Ratsinformationssystem der Stadtverwaltung Rheinberg. Dort wurden Unterlagen für den nicht-öffentlichen Teil frei geschaltet und somit konnten nicht nur die Ratsmitglieder und Mitarbeiter, sondern jeder im Internet Einblick in die sensiblen Unterlagen nehmen.
Zurzeit häufen sich die Medienberichte über Hackerangriffe bei denen millionenfach Kundendaten ergaunert werden und auch die Abgeordneten des Bundestages hatten vor kurzem erfahren müssen, welchen Schaden ein Cyberangriff verursachen kann. Behörden und Ämter sind ein beliebtes Angriffsziel der Cyberkriminellen. In dieser Woche berichteten die Medien über einen Cyberangriff auf die Computersysteme der Zulassungsbehörden in Rheinland-Pfalz und Hessen. Die Computer-Hacker hatten die Rechner der Kfz-Behörden so attackiert, dass scheinbar die komplette Technik lahmgelegt war.
Diese aktuellen Cyberangriffe und Skandale in den Medien zu Datenschutz, Betrug und Wirtschaftsspionage zeigen, dass nicht nur eine Sensibilisierung des Personals zum Schutz personenbezogener und unternehmensinterner Daten ausreicht. Damit Behörden und Unternehmen sich besser gegen digitale Attacken schützen, hat die Bundesregierung vor kurzem das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind.
-ck-

Datenschutz im Urlaub
Schutzmaßnahmen für IT-Geräte, die mit in die Ferien gehen, sollten gerade in der Urlaubszeit oberste Priorität haben, damit die schönste Zeit des Jahres auch so bleibt und kein böses Erwachen erfolgt.
Mitgenommen werden sollten nur IT-Geräte die dringend benötigt werden, denn Diebe werden von teuren Laptops und Handys magisch angezogen. Nicht nur der materielle Verlust entsteht bei Diebstahl, es gehen meist auch private Daten verloren. Mitgenommene Geräte sollten unbedingt vor Fremdzugriff geschützt werden. Sei es per Passwort oder PIN - Abfrage. Drahtlose Schnittstellen wie zum Beispiel Infrarot oder Bluetooth sollten nach kurzem Gebrauch sofort wieder deaktiviert werden. Weitere Informationen zur Datensicherheit im Urlaub finden Sie auf unserer Seite im linken Navigationsfeld unter: Blossey beobachtet - Datenschutz im Urlaub.
-ck-

Schadsoftware infiziert Unternehmenshardware
Apps – die kleinen Helfer für den täglichen Alltag sollen auch die Arbeit im Berufsleben erleichtern. Leider werden von Smartphone-Usern diese kleinen Helferlein zu sorglos installiert. Wie die Medien berichteten, infizierten sich in dieser Woche Android-User mit Malware, welche in kostenlosen Apps und über gefälschte Postbank-Mails die Handys infizierten.
Malware unterscheidet nicht zwischen privaten- oder Business–Nutzern. Vorsicht ist geboten, wenn zur Installation der Apps sehr weitgehende Zugriffsrechte per SMS oder Telefonanrufen eingeräumt werden müssen. Auch wenn die Angriffe per Malware für Smartphones noch recht selten sind, sollte die Sicherheit der Daten an erster Stelle stehen und die Installation der Apps wohlüberlegt sein. -ck-

Datenpannen in Unternehmen
Datenpannen und Missbrauchsfälle – Eingriffe in die informationelle Selbstbestimmung – all dies mehrfach geschehen im ersten Halbjahr 2015. Sensible beziehungsweise private Daten von Bürgern oder Kunden werden ungesichert ins Internet gestellt, soziale Netzwerke riegeln nicht ab und somit ist der Zugriff auf vertrauliche Mitgliederdaten für jedermann offen gelegt. Ärzte schmeißen hochsensible Patientendaten einfach in den Mülleimer oder stellen diese für Jedermann frei zugänglich an den Straßenrand – statt diese zu Shreddern.
Wiederholt sind auch Behörden und Ämter an den Datenpannen beteiligt, wie zum Beispiel in der vergangenen Woche die Datenpanne durch Veröffentlichung von sensiblen nicht öffentlichen Unterlagen im Ratsinformationssystem der Stadt Rheinberg. Die Datenskandale wurden in den letzten Jahren leider nicht weniger. Größtenteils werden diese "schwachen Stellen" nicht von den verursachenden Organisationen – sprich Unternehmen – aufgedeckt, sondern von den Betroffenen. So wie in dieser Woche ein Datenschutz-Skandal der Barmer GEK in Dortmund von einer Pflegefachkraft aufgedeckt wurde.
Bei den für die Pannen verantwortlichen Unternehmen scheint es an Erkenntnis zu mangeln und wird meist als einzelnes Versehen abgetan. Trotz geänderter Gesetzeslage war bisher ein transparenter Umgang mit Datenmissbrauch nicht zu registrieren. Vorfälle werden so lange wie möglich verschwiegen und als harmlos dargestellt. Datenschutz scheint für viele Unternehmen und öffentlichen Stellen erst relevant zu werden, wenn eine Panne publik wird, doch dann ist es zu spät!
Um das Vertrauen der Bürger bei den Unternehmen wieder herzustellen, die IT-Systeme in unserem Land zu stärken, hat der Bundestag vor kurzem das IT-Sicherheitsgesetz verabschiedet. Auch wurde eine neue europäische Datenschutzrichtlinie auf dem Weg gebracht. In allen 28 Mitgliederstaaten der EU sollen endlich das gleiche Datenschutzrecht angewandt werden. Die Reform muss nur noch das Europaparlament passieren.
Doch Probleme mit der Datensicherheit bestehen nicht nur durch die IT-Systeme oder die Naivität und Sorglosigkeit der Nutzer, meistens fehlt die Datenschutz - Schulung durch den Arbeitgeber um die Mitarbeiter regelmäßig für den verantwortungsbewussten Umgang mit schützenswerten Daten zu sensibilisieren.
-ck-

Router: Schwachstelle im Unternehmen
Cyberkriminelle starten zurzeit einen Massenangriff auf Router, welche Schwachstellen enthalten oder nicht hinreichend abgesichert wurden. Anhand Sicherheitslücken können sich Kriminelle in die Router einklicken und zum Beispiel auf Koster der Besitzer teure Telefondienste anrufen oder die auf dem Gerät gespeicherten Konfigurationsdaten einsehen und manipulieren. Meist sind in den Routern Zugangsdaten zum Beispiel für Mail-Konten oder andere Internet-Dienste gespeichert. Sollten Hacker sich Zugang über ein WLAN – Netz verschafft haben, können sie den gesamten Internetverkehr des gekaperten Routers heimlich überwachen – ein Desaster für jedes Unternehmen. Solche Schwachstellen wären wohl schneller zu schließen, wenn Router-Hersteller die Sicherheitsupdates direkt an die jeweiligen Router senden könnten. Denn in den meisten Unternehmen wird der genutzte Router nicht angerührt, solange er funktioniert, die Internetverbindung reibungslos läuft – eine trügerische Sicherheit. Denn Router mit veralteter Software oder mit noch vorhandener Werkseinstellung - Beispielsweise voreingestelltes Passwort - stellen eine Sicherheitslücke dar. Router-Hersteller bieten Sicherheitsupdates an.
-ck-

Videoüberwachung oft ungerechtfertigt
Die Videoüberwachung nimmt immer mehr zu. Sind Einsatzbereiche wie Restaurants, Wohnanlagen, Supermärkte oder im Auto per Dashcam wirklich sinnvoll? Videoüberwachung kommt auch immer mehr in den privaten Bereichen zum Einsatz. Wo bleibt die Privatsphäre? Mittlerweile fühlen sich immer mehr Bürger beobachtet und beschweren sich über diese Überall-Aufnahmen, denn ob am Arbeitsplatz oder im Privatleben und laut Medienberichten werden sogar die Gottesdienstbesucher ungewollt und vollautomatisch videoüberwacht.
Datenschutzbeauftragte kritisieren den zunehmenden Einsatz von Überwachungskameras durch Unternehmen und Privatpersonen.
Viele Unternehmen und Privatpersonen vergessen bei der Anbringung ihrer Videoüberwachungsanlagen die deutsche Rechtslage des allgemeinen Persönlichkeitsrechts. Dort wo nicht deutlich auf Videoüberwachung hingewiesen wird, unzulässige Videoüberwachungsanlagen Verwendung finden und Videoaufnahmen mit personenbezogenen Daten - Gesichter von Personen zu sehen sind - und der Videoüberwachung keine schlüssigen Konzepte zugrunde liegen, muss mit einem entsprechend hohen Bußgeldern gerechnet werden.
-ck-