Datenschutz-Schwachstelle Mensch im Unternehmen
Ist es Unwissenheit oder Unachtsamkeit das der Datenschutz und die Datensicherheit in der Wirtschaft immer wieder zu neuen Datenskandalen führt? Viele Arbeitnehmer sind immer noch nicht im Umgang mit personenbezogenen Daten sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein. Gefahren drohen ohne bewussten Missbrauch - Beispiel: Wenn Mitarbeiter unbeabsichtigt oder durch Unachtsamkeit zu schnell und unüberlegt Daten freigeben, noch schnell einen Empfänger in eine E-Mail hinzufügen oder ohne Prüfung einen E-Mail-Anhang öffnen. Ein Klick und schon ist die Datenpanne passiert, oder noch schlimmer, das Computersystem des gesamten Unternehmens mit Schadsoftware verseucht und still gelegt.
Wie die Medien in dieser Woche berichteten, wurden die IT-Systeme von mehreren Kliniken in Deutschland und den USA mit schädlicher Verschlüsselungssoftware verseucht. Der Virus sei wahrscheinlich über einen geöffneten E-Mail-Anhang in die IT-Systeme eingedrungen und konnte somit die digitalen Systeme übernehmen. Anhand der nicht mehr funktionalen IT mussten OPs aus Sicherheitsgründen abgesagt werden, Patienten wurden teilweise abgelehnt – die Abläufe in den Krankenhäusern waren massiv gestört.
Zum Schutz der kritischen Infrastrukturen (KRITS) beschloss im vergangenen Jahr der Bundestag das IT-Sicherheitsgesetz, worunter auch Einrichtungen wie Krankenhäuser fallen können. Das Gesetz regelt unter anderem, dass Betreiber sogenannter KRITIS ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Für Unternehmen heißt dieses – die gesetzlichen Vorgaben erfüllen und den Datenschutz nicht als lästige Pflicht zu betrachten.
Allein schon Datenschutzschulungen für Mitarbeiter und Unternehmer könnten so manchen Daten-Skandal verhindern, damit vertrauliches auch vertraulich bleibt. Beispiel Missachtung der Vorschriften über ordnungsgemäße Entsorgung von patientenbezogene Unterlagen: Röntgenfilme und Patientenakten einer Arztpraxis wurden laut Medienberichten mangelhaft geshreddert und als Faschingskonfetti eingesetzt. Der Landesdatenschutzbeauftragte von Thüringen, Lutz Hasse, will in dieser Datenaffäre ein Bußgeldverfahren gegen die Verantwortlichen einleiten. Diese aufgeführten Beispiele zeigen, Datenschutzpannen können durch Daten - Schutzmaßnahmen schon im Vorfeld vermieden werden.
-ck-

Mittlerweile ist die Computertechnik im Auto so fortgeschritten, das auch über GPS und Internet Fahrzeugdaten übertragen und ausgewertet werden können. Die Erstellung eines Bewegungsprofils ist somit möglich. Versicherungsunternehmen bieten maßgeschneiderte Tarife anhand der digital erfassten Fahrzeugdaten wie Tempo, Beschleunigung oder Risikobereitschaft an. In den USA wurde das Kennzeichen der Zukunft getestet. Digitale Nummernschilder werden per Funk mit den Behörden verbunden und zeigen für alle sichtbar an, ob das Auto gestohlen, die Versicherung nicht bezahlt oder der Führerschein eingezogen ist. Durch diese Computertechnik im Fahrzeug wird der Autofahrer immer und überall überwacht somit steigt auch das Gefahrenpotenzial des Datenmissbrauchs.
Die Erhebung und Verwendung der Fahrzeugdaten muss für Kunden transparenter werden, die Privatsphäre sowie die Datensicherheit gewährleistet sein. Denn alle Daten, die in Kraftfahrzeugen anfallen, gelten als personenbezogen sobald diese mit dem Kfz-Kennzeichen oder der Fahrzeugidentifikationsnummer verknüpft sind. Automobilhersteller, Zulieferer und Dienstleister sollten zu einer sicheren Datenverschlüsselung verpflichtet werden um gefährliche Angriffe auf vernetzte Fahrzeuge durch Cyberkriminelle zu verhindern.
-ck-

Konsequenzen für Unternehmen
Mit der Datenschutz-Vereinbarung zwischen der Europäischen Union und dem Handelsministerium der Vereinigten Staaten von Amerika, dem so genannten Safe Harbor-Abkommen, sollte ein sicherer Datenaustausch mit US Unternehmen, die sich den Vorgaben von Safe Harbor verpflichtet haben, sichergestellt werden. Am 06.10.2015 wurde durch ein Urteil des Europäischen Gerichtshofes das Safe Harbor-Abkommen für ungültig erklärt. Die Richter sahen die Daten in den Vereinigten Staaten (USA) nicht ausreichend vor dem Zugriff durch Geheimdienste geschützt, somit ist jede Weitergabe von gewerblichen Daten in diesen Staat nur unter erschwerten Bedingungen in Betracht zu ziehen.
Anfang Februar dieses Jahres wurde ein Nachfolger für das Safe Harbor-Abkommen vorgestellt: Das EU-US Privacy Shield – Abkommen. Dieses Abkommen soll strengere Datenschutz-Auflagen enthalten, um den Schutz europäischer Daten bei zertifizierten US-amerikanischen Unternehmen sicher zu stellen. In Kraft getreten ist dieses Nachfolgeabkommen noch nicht. Details zum EU-US-Datenschutzschild sollen noch ausgearbeitet werden. Zudem fehlt die Zustimmung des EU-Parlaments.
Solange kein neues Abkommen steht können betroffene Unternehmen den transatlantischen Datentransfer legitimieren, indem sie einen eigenen Rechtsrahmen mit den US-Unternehmen nach den inhaltlichen Vorgaben der EU aushandeln oder den Datentransfer in die USA aussetzen.
Obwohl die bisherige Regelung nicht mehr gültig ist, nutzen europa- und deutschlandweit noch immer zahlreiche Unternehmen das Safe-Harbor-Abkommen als rechtliche Basis für ihren Datentransfer in die USA.
Laut Medienberichten drohen nun juristische Konsequenzen für mehrere Hamburger Firmen, deren Mutterkonzerne in den USA sitzen. Der Hamburger Datenschutzbeauftragte Johannes Caspar will gegen mehrere Firmen ein Bußgeldverfahren einleiten, da diese den Datenverkehr nicht umgestellt haben. Auch in Rheinland-Pfalz wurde bei mehreren Unternehmen Verstöße gegen das geltende Recht durch die Datenschutz - Behörde festgestellt. Der Leiter für den privaten Datenschutz beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Stefan Brink, wird laut Medienberichten bei weiteren Verstößen gegen die Rechtslage nach Safe Harbor auch Bußgelder verhängen.
Bei Verstößen gegen die Datenschutz-Rechtslage kann das Bußgeld bis zu 300.000 Euro betragen.
-ck-