Überwachung mit Hindernissen
Von Sabine Philipp
Der Mitarbeiterdatenschutz, auf den Teil 2 dieser Serie bereits zu sprechen kam, soll sogar noch verschärft werden. Aktuell arbeitet die Legislative an einem Gesetz zur Regelung des Beschäftigtendatenschutzes. Vor allem die Überwachung mit Kameras soll strenger reglementiert werden. „Die Videoüberwachung soll generell verboten werden“, erläutert Pohl. „Oder sie muss vorher angekündigt werden.“ Sie dürfen nur an Sicherheitsarbeitsplätzen dauerhaft angebracht werden, um Unfälle bei der Produktion nachvollziehen zu können. Denn wenn ein Arbeiter auf der Treppe ausrutscht und in den Fleischwolf fasst, könnte man diesen Umstand ansonsten nicht mehr ermitteln.
Ein besonderes Augenmerk wirft der Gesetzgeber auch auf den Umgang mit sozialen Netzwerken in Fragen der Mitarbeitersuche und -überwachung. Der Arbeitgeber darf keine Daten daraus erheben. Ausnahmen stellen Netzwerke zur Darstellung der beruflichen Qualifikation ihrer Mitglieder dar.
Archivieren oder löschen?
Der erhöhte Datenschutz betrifft aber nicht nur die eigenen Mitarbeiter, sondern auch die Kunden. Und das schon seit der Datenschutznovelle II vom September 2009. „Die Hamburger Sparkasse musste 200.000 Euro Strafe zahlen, weil freiberufliche Anlageberater, die ausschließlich für das Institut arbeiteten, die Kundendaten zur Verfügung gestellt bekamen“, berichtet Pohl. „Das war nach § 4 Bundesdatenschutzgesetz eine unzulässige Überlassung der Daten.“
Wer also seinen Vertrieb an eine andere Firma oder an Freiberufler auslagert, muss die Einwilligung der Kunden einholen, dass die Daten weitergegeben werden dürfen. Ausgenommen sind Betriebsübernahmen, weil die Geschäftsverbindung weiter besteht und Bestandskunden kontaktiert werden dürfen, wenn sie nicht widersprechen.
Andreas Pohl von der Pohl Consulting Team GmbH ist gelernter Kommunikationselektroniker für Informationstechnik und seit über 20 Jahren in der Branche tätig. Der Spezialist für IT-bedingte Unternehmensrisiken, IT-Security und Datenschutz ist zertifizierter IT-Security Senior Consultant, geprüfter EDV-Sachverständiger, geprüfter Datenschutzbeauftragter und zertifizierter IT-Compliance-Manager.
Pohl Consulting Team GmbH, Mengeringhäuser Str. 15, 34454 Bad Arolsen, Tel.: 05691-8900501, info@pct.eu, www.pct.eu
Ein besonders heikler Punkt sind personenbezogene E-Mails, die nicht steuerrelevant sind und daher nicht archiviert werden müssen. Nach § 3a Bundesdatenschutzgesetz müssen sie nach drei Monaten gelöscht werden. Das besagt der Grundsatz der Datenvermeidung. Pohl: „Wenn ich Ihnen maile: ,Hallo lieber Kunde, ich wollte nur fragen, ob der Urlaub schön war‘ und er antwortet ,Ja‘, dann muss ich die Post löschen.“
Kritisch kann das bei Unternehmen werden, die automatisch alle Mails ins Archiv schieben und dann gar nicht mehr löschen können, weil die Lösung das nicht erlaubt. „Eigentlich ist das Unsinn, weil Sie nur eine Änderung verweigern müssen“, so Pohl. „Problematisch wird es, wenn der Kunde ein Auskunftsersuchen nach Bundesdatenschutzgesetz fordert, bei dem ich dokumentieren muss, wo ich überall Daten von ihm gespeichert habe. Solche Mails werden gerne vergessen. Wenn dann im Nachhinein herauskommt, dass ich noch mehr gespeichert habe, bin ich schadensersatzpflichtig.“
Um dieses Problem zu lösen, hat Pohl einen pragmatischen Ansatz gewählt: Er vereinbarte schriftlich mit seinen Mitarbeitern, dass sie für ihr Postfach verantwortlich sind und Sorge dafür tragen müssen, dass diese Mails innerhalb der Frist gelöscht werden können. Wenn sie das nicht tun, willigen sie in die Archivierung ein.
Systematisch durchspielen
Die IT-Sicherheit schließt also nicht nur technische Lösungen, sondern auch die IT-Organisation mit ein. „Für den normalen mittelständischen Kunden gibt ca. 180 Gesetze und Vorschriften, wenn er IT und Telekommunikation einsetzt“, gibt Pohl zu bedenken. „Das macht die Sache kompliziert.“
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risikokatalog bis hin zu den Haftungsfragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Compliance-Vorschriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.
Der Datenschutzexperte setzt daher nicht auf einzelne Produkte, um die Sicherheit zu erhöhen, sondern auf Konzepte. „Es ist ja nicht so, dass Sie sich einen Virenschutz kaufen und damit automatisch sicher sind. Sie müssen sich Ihrer Schwachstellen bewusst sein, und eine Schwachstelle kann sein, dass Sie Virenschutz brauchen.“ Die IT-Sicherheit vergleicht der Experte gerne mit einer Kette, die nur so stark sein kann wie das schwächste Glied. In deutschen Unternehmen ist man sich dieser Problematik zunehmend bewusst. Pohl selbst stellt den Trend fest, dass die Sicherheit systematisch aufbereitet wird.
Fazit: Vorsprung auf der Zielgeraden
Doch nicht nur die Kunden gehen verstärkt mit System vor – auch die Ganoven sind organisierter geworden. So hat sich inzwischen eine ganze Cybercrime-Industrie entwickelt.
Besonders populär sind Botnetze für den Versand von Viren oder Spam. Bots sind gekaperte, ferngesteuerte Rechner, die für den illegalen Massenversand von Nachrichten verwendet werden. Spams kann man längst zu festen Stückpreisen buchen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Aber auch die Auftragsarbeit blüht. „Es ist definitiv so, dass Sie sich schon für 25 Euro in Russland, im Kaukasus oder in China einen Virus schreiben lassen können,“ warnt Pohl am Ende. Zu Jahresbeginn 2011 konnte man sogar von Crackern lesen, die den Zugang zu Militär- und Regierungsseiten verkauften. Das Wettrüsten hat längst begonnen.
