Global agierend, übermitteln immer mehr Firmen personenbezogene Daten ins Ausland - oftmals werden Daten ungedanks und ganz selbstvertändlich transferiert, ohne die datenschutzrechtlichen Rahmenbedingungen des betroffenen Landes näher zu kennen oder zu hinterfragen. Was bleibt? Das Risiko eines Gesetzesverstoßes, der empfindlich geahndet wird.
Europäische Union hin, Europäische Union her - Geht es um Datentransfers ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung von Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestalten sich darüber hinaus unproblematisch (vgl. "sonstige ausländische Stellen", § 4 b Abs 2 S. 2 BDSG). Problematisch sind Datentransfers in Länder die weder der EU, noch dem EWR angehören. Sie werden als sogenannte "Drittländer" betitelt.
Geht es um den Datenschutz, sollten Unternehmen nichts dem Zufall überlassen. Das gilt insbesondere dann, wenn Datentransfers in Drittländer stattfinden. Foto: k1003mike - shutterstock
Drittländer mit angemessenem Datenschutzniveau
Was ist ein Drittland? "Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte." DasBundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.
Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere, eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen" Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Schweiz vs. Deutschland im Datenschutzvergleich
Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz. Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige, kantonale Datenschutzgesetz anwendbar. Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den "Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten". Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.
Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden. Ähnlich wie es in Deutschland und auch in Österreich definiert ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten Daten gleichgestellt.
Neun Handlungsempfehlungen für das Datenmanagement
Managementunterstützung und Kulturwandel Managementunterstützung und Kulturwandel sind wesentliche Merkmale datengetriebener Unternehmen. Die IT kann und ist nicht der Treiber, wohl aber möglicher Initiator und Wegbereiter für Business Analytics im Unternehmen.
Kultur ändern, Strukturen aufbrechen Die Notwendigkeit zur strategischen Verankerung und Schaffung der Voraussetzungen zum Arbeiten mit Daten müssen dem Management bewusst werden. Fordern und fördern Sie entsprechende Aktionen zur Schaffung von Ressourcen, Änderung der Kultur sowie zum Aufweichen von Strukturen und Prozessen.
Roadmap entwickeln Entwickeln Sie Ihre Roadmap unter Berücksichtigung der analytischen Anforderungen und bringen Sie diese zur Diskussion! Gehen Sie dabei wertorientiert vor, beginnend mit einfach umzusetzenden Use Cases (low hanging fruit).
Altlasten beseitigen Nutzen Sie die analytischen Herausforderungen, um Altlasten zu beseitigen. Auf dem Weg hin zu einem flexiblen Framework für Daten und Analytik evaluieren Sie unter Berücksichtigung alternativer Architekturvarianten und Technologien neue Lösungsansätze.
Self-Service-BI integrieren Integrieren Sie Self-Service-BI in Ihre Strategie und nutzen Sie dessen Vorteile, um clever und einfach schnelle Erfolge erzielen und Hemmnisse abbauen zu können! Machen Sie sich bewusst, in welchem Umfang und zu welchem Zweck Sie Self-Service-BI im Unternehmen nutzen wollen und berücksichtigen Sie dies entsprechend!
Mit Predictive Analytics loslegen Ermöglichen Sie erste Predictive-Analytics-Projekte und zeigen Sie deren Mehrwert auf! Dienstleister bieten einen Einstieg und vermitteln Wissen während dem Aufbau erster Applikationen! Denken Sie über den Wert Ihrer Daten nach und beginnen Sie, zeitnah Daten für derartige Auswertungen zu sammeln! Hierfür bietet sich unter Umständen Hadoop an.
Cloud für Big Data Nutzen Sie Cloud-Angebote, um erste Schritte in Richtung „Big Data“ zu machen und lernen Sie mit dem Projektfortschritt! Der Aufbau umfangreichen Wissens und einer On-premise Lösung kostet viel Zeit und Geld, die unter Umständen nicht vorhanden sind.
Heterogene Daten bändigen Die Integration heterogener Daten ist laut Studienergebnisse der Hauptkritikpunkt am Datenmanagement. Dies bestätigt auch unsere Projekterfahrung. Testen Sie, ob Sie die gewünschte Datenverfügbarkeit herstellen können, ohne gleich komplexe Integrationsszenarien in einem DWH zu nutzen!
Fachbereiche einbinden Seien Sie offen für alternative Möglichkeiten, wie die Verlagerung von Datenmanagementaufgaben in die Fachbereiche, dem Zugriff auf Quellsysteme oder einem Datenpool, wie dem Data Lake, der Daten nahe ihrem Rohdatenformat für Analysen vorhält!
Datenverarbeitung: Länderspezifische Unterschiede
Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber gilt dasSchweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten ist nach deutschem Recht immer eine "Übermittlung" an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG). Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG) nach Schweizer Recht unproblematisch und zulässig. Der Schweizer Auftragnehmer (Dienstleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 - 10 DSG konkretisiert.
Die Auftragsdatenverarbeitung nach dem deutschen BDSG (§ 11 BDSG) entspricht Art. 10 a DSG. Die Verarbeitung an Dritte darf erfolgen, wenn die personenbezogenen Daten nur so verarbeitet werden, wie der Auftraggeber es selbst tun darf. Art. 10 a Abs. 3 DSG besagt, dass der Dritte dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen kann. Art. 13 Abs. 2 DSG regelt die Rechtfertigungsgründe allerdings nicht abschließend. Er enthält vielmehr einen Beispielkatalog.
Modernes Datenmanagement für Analytics
Daten werden wichtiger In fast drei Viertel aller Unternehmen basieren Entscheidungen heute schon auf Basis von Daten und Analysen.
Höhere Erwartungen Die Erwartungen im Management und in den Fachabteilungen wachsen. Das sind die wesentlichen Treiber für die Veränderungen im Bereich Business Analytics.
Data Warehouse kommt nicht mit Fast die Hälfte der Befragten moniert, dass sich die neuen Anforderungen in Sachen Analytics mit dem klassischen Data Warehouse nicht schnell genug umsetzen lassen.
Data Warehouse verändert sich Angesichts der neuen Analytics-Anforderungen planen fast alle Unternehmen Veränderungen in ihrem Data Warehouse.
Weiter Weg zum passenden Datenmanagement Die Integration heterogener Datenquellen und die Befähigung der Fachbereiche, selbständig Daten auszuwerten, sind die wichtigsten Themen im Datenmanagement. Aber es gibt noch einiges zu tun, bis das richtig umgesetzt ist.
Data Lakes und Sandboxes im Kommen Während Data Marts und das zentrale Enterprise Data Warehouse gesetzt sind, richten sich die künftige Pläne mehr auf Data Lakes und Sandboxes - wohl um besser mit Daten experimenteiren zu können.
Vorhersagetechnik gefragt Unternehmen werden in den nächsten Monaten und Jahren ihr Hauptaugenmerk vor allem auf Techniken für Predictive Analytics, Big Data und Hadoop richten.
Self-Service-BI für die Fachbereiche Nur jedes 20. Unternehmen verbietet Self-Service-BI-Werkzeuge. Die Hälfte der Befragten gestattet den direkten Zugriff auf die operativen BI-Systeme.
Vorhersagen für bessere Geschäfte Mit Predictive Abnalytics wollen die Unternehmen in erster Linie ihr Geschäft optimieren und ihre Kunden besser verstehen.
Finanzabteilung braucht Realtime-Analysen Realtime-Analysen sind vor allem in der Finanzabteilung gefragt, aber auch in der Interaktion mit Kunden, um deren Verhalten rechtzeitig zu erkennen und schnell Maßnahmen einleiten zu können.
Hindernisse Fehlende Ressourcen und die mangelnde Bereitschaft für Veränderungen sind dir größten Hemmnisse, eine neue Datenmanagement-Strategie im Unternehmen auf den Weg zu bringen.
Fachbereiche übernehmen BI-Verantwortung Nach wie vor hat in Sachen BI meist die IT den Hut auf. Aber immerhin ist in fast jedem fünften Unternehmen BI organisatorisch in der Fachabteilung verankert.
Technische und organisatorische Maßnahmen im Ländervergleich
Bei der Bereitstellung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten kennen das Schweizer DSG und das deutsche BDSG vergleichbar gesetzliche Anforderungen:
§ 11 Abs. 1 und 2 BDSG verpflichtet die verantwortliche Stelle (Auftraggeber), seine Dienstleister sorgfältig auszuwählen und zu kontrollieren.
Das Schweizer Recht verpflichtet im Art. 10a Abs. 2 DSG den Auftraggeber sich zu vergewissern, dass der Dienstleister den Datenschutz und die Datensicherheit gewährleistet.
Die TOMs zur Gewährleistung des Datenschutzes und der Datensicherheit sind im BDSG sowie in der Verordnung zum DSG geregelt. Weitestgehend stimmen die Regularien beider Länder überein:
Ähnlich wie im DSG 2000 (österreichisches Datenschutzgesetz) gibt es in der Schweiz keine gesetzliche Verpflichtung zur Bestellung einesDatenschutzverantwortlichen. Das Schweizer Recht kennt in Art. 12a VDSG die Möglichkeit, einen betrieblichen Datenschutzverantwortlichen zu bestellen. Mit der Bestellung wird das Unternehmen von seiner Pflicht befreit, seine Datensammlungen gemäß Art. 11 Abs. 5e DSG anzumelden. Beide Gesetze kennen desweiteren die Verpflichtung für Personen, die personenbezogene Daten verarbeiten: Art. 8 Abs. 1 VDSG (Vertraulichkeit, Verfügbarkeit, Integrität) und § 5 BDSG (Datengeheimnis).
Die Schweiz hatte 2008 ein bilaterales Rahmenabkommen zur Datenübermittlung in die USA geschlossen - ein sogenanntes "Safe Harbor"-Abkommen. Diese Vereinbarung ist vom EuGH-Urteil vom 06. Oktober 2015 betroffen und wird in Frage gestellt.
Datenschutz-Tipps für IT-Abteilungen
9 Tipps für den Datenschutz Ein paar einfache Grundregeln, zusammengestellt vom Datenschutz-Anbieter Varonis, erhöhen die Online-Sicherheit.
1. Wo sind die Daten? Informieren Sie sich, wo Ihre persönlichen Daten gespeichert sind, wer Zugang dazu hat und was Service-Provider mit diesen Daten anfangen können, ohne Sie um Erlaubnis fragen zu müssen.
2. Sensible Daten nicht per Mail Schicken Sie niemals sensible Daten, wie etwa Kreditkarteninformationen, per Email. Hackern ist es ein Leichtes, an unverschlüsselte Daten heranzukommen.
3. Starke Passwörter nutzen Starke Passwörter sind der beste Schutz: Ein Mix aus Ziffern, Buchstaben und Sonderzeichen sind der beste Schutz. Und ein neues Passwort für jede Seite. Die folgenden Tipps gelten für die Unternehmensseite.
4. Authentifikation Das können Unternehmen tun: Sorgen Sie dafür, dass sich die Mitarbeiter möglichst über eine zweistufige Anmeldung in den Account einloggen. So haben Sie mehr Kontrolle. Das ist teuer, lohnt sich aber. Das gilt nur Firmen-intern, denn oft schreckt eine zweistufige Authentifizierung ab.
5. Authorisierung Jeder Mitarbeiter sollte nur so viele Zugänge haben wie nötig. Statten Sie die Kollegen nicht pauschal mit Berechtigungen aus – aber achten Sie darauf, dass das Zuweisen neuer Berechtigungen schnell und unkompliziert ist. Sie wollen die Mitarbeiter nicht durch langsame Prozesse verärgern und aufhalten.
7. Aufmerksamkeit Aktivitäten sollten ab und zu auf ungewöhnliche Verhaltensweisen analysiert werden. Starke Aktivität nachts um eins? So etwas sollte überprüft werden. Mit ein wenig Achtsamkeit kommen Sie Hackern oder Spyware schnell auf die Spur.
8. Nur auf geschützten Plattformen unterwegs Mitarbeiter sollten nur geschützte und authorisierte Plattformen verwenden. Das stellt CIOs vor große Probleme. Oft beachten Mitarbeiter die BYOD-Regeln nicht oder lagern wichtige Daten auf externen Servern. Das kann schnell zu Schaden führen. Erklären Sie Ihren Mitarbeiter wie wichtig es ist, nichts auf unauthorisierten Plattformen zu lagern.
9. Die Balance finden Schaffen Sie eine Balance zwischen Produktivität und Sicherheit. Mitarbeiter dürfen nicht durch umständliche oder unpraktische Sicherheitsmaßnahmen daran gehindert werden, effizient und modern zu arbeiten.
6. Zugänge prüfen Jeder Zugang zu verschiedenen Systemen muss überwacht werden. Achten Sie darauf, ob sich nicht vielleicht zu viele Mitarbeiter anmelden. Gleichzeitig muss die Privatsphäre der Mitarbeiter geschützt werden. Der Sicherheitsbeauftragte sollte sich daher mit dem Betriebsrat abstimmen, wie viel Kontrolle erlaubt ist. Und überprüfen Sie gelegentlich, ob alle Zugänge noch aktuell sind.
Bei der Datenübermittlung in sogenannte Drittländer gibt es viele Einzelheiten zu beachten. Es spielt eine Rolle, ob das Drittland über ein angemessenes Datenschutzniveau verfügt, in welche Richtung Daten fließen, woher diese kommen und ganz besonders: auf die individuelle Rechtslage im Drittland. Damit Unternehmen in diesem komplexen Umfeld keinen Schiffbruch erleiden und datenschutzrechtlich auf der sicheren Seite sind, empfiehlt sich eine professionelle Beratung und Betreuung durch einen Datenschutzbeauftragten. Er kennt die Notwendigkeiten und Rechtslagen der entsprechenden Länder und vermeidet auf diese Weise Wissenslücken, Rechtsbrüche und unnötigen juristischen Ärger. (fm)
BSI-Sicherheitsreport 2015
Softwareschwachstellen I Die Anzahl der vom BSI erfassten Schwachstellen in Softwareprodukten ist 2015 deutlich angestiegen.
Softwareschwachstellen II Kritische Schwachstellen der in der BSI-Schwachstellenampel erfassten Softwareprodukte bis September 2015
Windows-Schädlinge Die Anzahl bekannter Windows-Schadprogrammvarianten wächst exponenzial. Klassische AV-Lösungen und Firewalls reichen laut BSI allein nicht mehr aus.
Drive-by-Angriffe und Exploit-Kits Ausnutzung neuer Schwachstellen in Drive-by-Angriffen und Exploit-Kits in 2015
Gesamtbewertung der Gefährdungslage Die Gefährdungslage der IT-Sicherheit in Deutschland 2015 wird vom BSI in vielen Bereichen als hoch bewertet.