Aktueller Zeitplan für das DSAnpUG-EU (inkl. BDSG-neu)

Der Zeitplan des Gesetzgebungsverfahrens zur Verabschiedung des DSAnpUG-EU (inkl. des darin in Artikel 1 enthaltenen BDSG-neu) sieht nach dem Kabinettsbeschluß des Regierungsentwurfs vom 01.02.2017 wie folgt aus:

  • Bundesrat – Ausschuss Innere Angelegenheit: 23.02.2017
  • Bundesrat Plenum 1. Beratung: vsl. 10.03.2017
  • Bundestag:
    – voraussichtlich 09.03.2017: 1. Lesung (parallel zur Behandlung im Bundesrat wegen der eilbedürftigkeit)
    – voraussichtlich 26.04.2017: abschließende Behandlung im federführenden Innenausschuss
    – voraussichtlich 27.04.2017: 2. und 3. Lesung (und damit Gesetzesbeschluß im Bundestag)
  • Bundesrat Plenum: voraussichtlich12.05.2017: 2. Beratung (als zustimmungspflichtig eingestuft)
  • Anschließend: Unterschrift durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt

Wenn dieser Plan eingehalten wird, wird das deutsche Umsetzungsgesetz zur DS-GVO etwas mehr als ein Jahr vor deren Gültigwerden verabschiedet. Die Übergangsfrist von der Veröffentlichung des Gesetzes im Bundesgesetzblatt bis zu dessem Inkrafttreten wird dann etwa ein Jahr sein.

BSI-Leitfaden: Samsung Android Geräte sicher mit Knox konfigurieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsempfehlungen zur Konfiguration von Samsung Android-Geräten mittels der Sicherheitsplattform Knox veröffentlicht.
Der Leitfaden zeigt auf, wie insbesondere im gewerblichen Umfeld Samsung Android-Geräte geschützt werden können. Samsung Knox ist eine zertifizierte Sicherheitsplattform, um Daten auf Mobilgeräten zu verschlüsseln und somit zu schützen. Mit seinem Leitfaden richtet sich das BSI an Administratoren in Wirtschaft und Verwaltung, die Knox bereits nutzen oder dies planen. Zudem finden auch private Nutzer und kleinere Unternehmen Hinweise zum Schutz mobiler Endgeräte.

Daten- und Informationssicherheit hat gerade angesichts der immer stärker wachsenden Bedrohungslage durch unterschiedliche Malware und gleichzeitig vermehrtem Einsatz mobiler Geräte in unternehmerischem Umfeld einen hohen Stellenwert. Entsprechend hoch bewertet Samsung auch die Relevanz von Knox. Nach eigenen Angaben hat Samsung 2016 seine Umsätze von der Sicherheitsplattform im deutschen Markt um 200 Prozent gegenüber dem Vorjahr steigern können.

»Mit Samsung Knox haben wir eine robuste und umfangreiche Sicherheitslösung für Android geschaffen, die nicht nur in der Wirtschaft, sondern auch bei sicheren mobilen Lösungen für Behörden zum Einsatz kommen kann«, sagt Sascha Lekic, Director IM B2B Samsung Electronics GmbH. Die Sicherheitsempfehlungen des BSI bereiteten die umfassenden Funktionen von Samsung Knox praxisnah für Unternehmen und Anwender auf. Der BSI-Leitfaden »Sicherheitsempfehlungen zur Konfiguration von Samsung Knox« steht online kostenlos zum Download bereit.

BvD: Verpflichtet uns die EU-Datenschutz-Grundverordnung (DS-GVO) zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS)?

Datenschutzbeauftragte befinden sich bereits in der heißen Phase zur Umsetzung der geforderten Maßnahmen aus der neuen Europäischen Datenschutzgesetzgebung. Dabei stellt sich mitunter die Frage, welche Anforderungen sich in Bezug auf die Informationssicherheit im Unternehmen ableiten lassen. Ist die Einführung eines ISMS verpflichtend?

Definition eines ISMS nach ISO27001:

Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.

Gegenüber dem Bundesdatenschutzgesetz bekam die Informationssicherheit in der Datenschutz-Grundverordnung einen neuen Stellenwert. Dies zeigte sich mitunter daran, dass die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen als Grundsatz in Art. 5 der Datenschutz-Grundverordnung aufgenommen wurde.

Art.5 Abs. 1 lit.f DS-GVO:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Ein zusätzlicher Hinweis für eine „erweiterte Informationssicherheit“ ergibt sich aus den Begrifflichkeiten in Art.5 DS-GVO. „Integrität und Vertraulichkeit“ sind elementare Grundsätze der IT-Sicherheit. In bisherigen Gesetzen zum Schutz personenbezogener Daten waren diese nicht vorhanden.

Kriterien der technischen und organisatorischen Maßnahmen in Art.32 „Sicherheit der Verarbeitung“

Art.32 Abs.1

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Art.32 Abs.2

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

Gegenüber der Anlage zu §9 BDSG in der zumindest indirekte Maßnahmen aufgeführt wurden, wirkt Art.32 noch abstrakter. Es lassen sich aber Hauptbestandteile eines ISMS zuordnen.

Schritt 1 Feststellen des Schutzbedarfes Art.32 Abs.2

Das Schutzniveau personenbezogener Daten orientiert sich an der Schutzbedürftigkeit und dem sich ergebenden Schadenspotential bei unberechtigter Kenntniserlangung. Daraus ergibt sich

eine notwendige Schutzbedarfsanalyse. In der Regel werden Daten verschiedenen Kategorien des Schutzbedarfs zugeordnet, beispielsweise: normal, hoch und sehr hoch.

Schritt 2 Bewerten von Risiken

Art.32 Abs.1 und Abs.2 beinhalten die Risikobeurteilung. Maßnahmen die zum Schutz personenbezogener Daten getroffen werden, müssen künftig unter Berücksichtigung des Risikos für die Persönlichkeits- und Freiheitsrechte Betroffener ausgewählt werden. Dieser Risikobewertungsansatz bezieht sich jetzt nicht mehr nur auf klassische Unternehmenswerte, sondern schließt den Betroffenen und seine personenbezogenen Daten mit ein.

Schritt 3 Maßnahmenauswahl und Risikobehandlung

In Art.32 Abs.2 lit. a-c werden Maßnahmen zur Risikobehandlung aufgeführt.

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

Schritt 4 Audits, Managementbewertung, Korrektur

Schließlich fordert Art.32 Abs.1 Satz2 lit.d ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Zwischenfazit

Für mich ergibt sich somit der Auftrag an der Einführung eines ISMS zu arbeiten. Ich selbst habe noch wenig Erfahrung damit, bin aber überzeugt, bereits wichtige Vorarbeiten leisten zu können.

Da Informationssicherheit für jede verantwortliche Stelle individuell ist, kann ich aus den Erfahrungen meines Unternehmens wichtige Erkenntnisse für Empfehlungen meiner bestellten Unternehmen ableiten.

Dokumentation

„Wer schreibt der bleibt“

Sicher kennen auch Sie diesen Satz. Er stellt in wenigen Worten den Grundsatz der Nachweisbarkeit dar. Es gilt: bereits Vorüberlegungen zum Aufbau eines Managementsystems an zentraler Stelle abzulegen. Dabei ist es wichtig, auch weitere Mitarbeiter die zukünftig in das Projekt ISMS eingebunden werden, auf diese Datenablage einzuladen.

Information an die Unternehmensleitung

Informationssicherheit und somit auch Sicherheit für personenbezogene Daten ist Chefsache. Ein essentieller Punkt die Unternehmensleitung zur Mitarbeit am gemeinsamen Ziel zu motivieren. Auch die drastisch erhöhten Strafen in Art.83 DS-GVO sind ein wichtiger Hinweis für die Unternehmensleitung. Grundsätzlich sollten aber die positiven Auswirkungen eines ISMS im Vordergrund stehen:

  • Risikominimierung
  • Unternehmensstabilität steigern
  • Erwartungshaltung von Geschäftspartnern erfüllen
  • Positive Außenwirkung gegenüber Kunden und Interessenten
  • Vorgaben bei Ausschreibungen von Banken oder Versicherungen erfüllen

Im Gespräch mit der Geschäftsleitung sollten Sie sich die Freigabe zum Aufbau eines „Planungsteams ISMS“ einholen. Unabhängig davon ob künftig externe Spezialisten zur Unterstützung herangezogen werden, gilt es, die wichtigen nächsten Schritte gemeinsam zu planen.

Mögliches Team

Informationssicherheitsbeauftragter (ISB)

Die Bestellung eines ISB ist in jeden Fall eine gute Entscheidung. Damit bilden Sie eine zentrale Stelle mit direktem Focus auf IT-Sicherheit. Die notwendige Fachkunde ist aufzubauen, beispielsweise über die UDIS Akademie Ulm.

Vertreter der IT-Abteilung

Später kann ein zusätzlicher IT-Mitarbeiter notwendig sein, der die erkannten Anforderungen technisch umsetzt.

Vorhandene Managementbeauftragte

Existiert in Ihrem Unternehmen bereits ein Managementbeauftragter, beispielsweise für Qualität oder Umweltschutz, sollten Sie diese Stelle mit in das ISMS-Team aufnehmen. Das Team profitiert von vorhandenen Management-Erfahrungen.

Datenschutzbeauftragter

Durch den erkannten Auftrag aus der DS-GVO ein Management-System zu etablieren, sollten wir im eigenen Interesse das Thema ISMS vorantreiben.

Vorbereitende Aufgaben

Um eine kommende Schutzbedarfsanalyse und Risikoeinschätzung erst möglich zu machen, müssen die vorhandenen Datenverarbeitungsprozesse im Unternehmen bekannt sein. Sollte eine vorhandene Verfahrensübersicht veraltet sein oder Lücken aufweisen, müssen diese geschlossen werden.

Mein Tipp:

Die DS-GVO bietet die Chance eines Neuanfangs. Über einen einfachen Fragenkatalog an die Abteilungen, können nicht gemeldete Datenverarbeitungsvorgänge erkannt und erfasst werden.

Für den passenden Weg entscheiden

Zusammen mit dem Team gilt es mögliche Standards zu bewerten. Abhängig von der Größe und Ausrichtung Ihres Unternehmens kommen verschiedene Möglichkeiten in Frage. Die bekanntesten sind ISO27001 und IT-Grundschutz. Für kleine und mittelständische Unternehmen kommen auch ISIS12 und VdS3473 in Frage. Ein weiterer Weg führt über die in Art.40, 41 DS-GVO beschriebenen „genehmigten Verhaltensregeln“. Diese adressieren Kleinstunternehmen, werden von Verbänden und anderen Vereinigungen ausgearbeitet und über ein festgelegtes Verfahren von der Datenschutzaufsichtsbehörde genehmigt.

Fazit

Für unser Unternehmen werde ich ein ISMS auf Basis der Cyber-Richtlinie VdS3473 empfehlen. Aus meiner Sicht bietet diese Richtlinie einen idealen Mittelweg aus umzusetzenden Maßnahmen und notwendigen personellen sowie finanziellen Ressourcen. Zusätzlich stellt sie eine fundierte Grundlage für eine mögliche, spätere Zertifizierung nach ISO27001 dar.

Einen kostenlosen Quick-Check zur Feststellung des Status der Informationssicherheit in Ihrem Unternehmen können Sie über die Webseite  http://www.vds-quick-check.de durchführen.

Stefan Bachmann

BayLDA: Zwei neue Papiere zur DS-GVO veröffentlicht

In deren neusten Veröffentlichungen widmen sie sich den Themen Einwilligung eines Kindes (Art. 8 DS-GVO) und Amtshilfe bzw. Zusammenarbeit der Aufsichtsbehörden. Die beiden Dokumente können auf deren Webseite heruntergeladen werden.

vzbv: Datenschutz-Anpassungsgesetz darf deutsche Verbraucher nicht benachteiligen

Die Bundesregierung hat heute einen Gesetzesentwurf zum Datenschutz beschlossen, mit dem das nationale Recht an die europäische Datenschutzgrundverordnung (DSGVO) angepasst werden soll. Ein entsprechender Referentenentwurf des Bundesministeriums des Innern war zuvor von vielen Seiten – unter anderem vom Verbraucherzentrale Bundesverband (vzbv) – als inakzeptabel kritisiert worden.

Der vzbv begrüßt, dass die Bundesregierung die Kritik am Entwurf des Bundesministeriums des Innern aufgenommen und wesentliche Punkte nachgebessert hat. Unternehmen können den Nutzungszweck von erhobenen Daten nicht, wie ursprünglich vorgesehen, über die Vorgaben der Datenschutzgrundverordnung hinaus ändern. Außerdem wurden die bisherigen verbraucherschützenden Regelungen zum Kreditscoring in den neuen Entwurf überführt.

Gleichzeitig schränkt aber leider auch der aktuelle Entwurf Rechte von betroffenen Personen in nicht akzeptabler Art und Weise ein. Beispielsweise müssten Unternehmen Betroffene künftig nicht über eine Datenverarbeitung informieren, wenn dies einen unverhältnismäßigen Aufwand bedeuten würde. Mit dieser unklaren Definition lässt der Gesetzentwurf eine Hintertür für Unternehmen offen. Die informationelle Selbstbestimmung von Verbrauchern wird damit untergraben. Eine derartige Einschränkung der Betroffenenrechte ist aus Sicht des vzbv nicht mit der Datenschutzgrundverordnung vereinbar. Deutsche Verbraucher würden datenschutzrechtlich schlechter gestellt als Verbraucher in anderen EU-Mitgliedsstaaten.

Ob der im Kabinettsentwurf vorgesehene, neue Paragraf für private Krankenversicherungen zulässig ist, erachtet der vzbv als äußerst fraglich. Diese Regelung, die auch für die Verarbeitung von Gesundheitsdaten gelten soll, ist aus vzbv-Sicht besonders kritisch zu bewerten. Die Datenschutzgrundverordnung stellt hier nämlich besonders hohe Anforderungen.

Die Regelung für private Krankenversicherungen soll eine automatisierte Entscheidung im Einzelfall ermöglichen, wenn dem Antrag einer betroffenen Person auf Erstattung der Rechnung nicht vollständig stattgegeben wird. Bislang war in diesen Fällen eine Einzelfallprüfung vorgesehen.

Der vorliegende Entwurf ist nun Gegenstand des parlamentarischen Gesetzgebungsprozesses. Die Verhandlungen sollen bis Mai 2017 abgeschlossen sein, damit die Vorschriften gemeinsam mit der Datenschutzgrundverordnung ab Mai 2018 angewendet werden können. Der vzbv wird den Prozess kritisch begleiten.

vzbv: Klage gegen WhatsApp – Verbraucher müssen Hoheit über Daten behalten

Der Verbraucherzentrale Bundesverband (vzbv) hat vor dem Landgericht Berlin Klage gegen WhatsApp eingereicht. Aufgrund der seit vergangenem August geänderten Nutzungs- und Datenschutzbestimmungen sammelt und speichert das Unternehmen aus Sicht des vzbv von Verbrauchern teils widerrechtlich Daten und gibt diese an Facebook weiter. Das geschieht unabhängig davon, ob sie einen Facebook-Account haben oder nicht. Besonders kritisch: Auch Nummern von Verbrauchern, die lediglich im Telefonbuch der WhatsApp-Kunden gespeichert sind, gehen an die gesamte Facebook-Unternehmensgruppe. Die Marktwächterexperten des vzbv fordern auch die Löschung der an Facebook übertragenen Daten.

Wegen der geänderten Nutzungs- und Datenschutzbestimmungen hatte der vzbv WhatsApp im vergangenen September abgemahnt. Unter anderem ging es um die Weiterleitung der Account-Informationen – insbesondere von „Nicht-WhatsApp-Nutzern“ an Facebook. Die Marktwächterexperten halten das für unzulässig, jedoch gab das Unternehmen nach Aufforderung keine Unterlassungserklärung ab.

Bedingungen unzulässig

Gegenstand der nun eingereichten Klage ist nicht nur die Löschung der weitergeleiteten Daten. WhatsApp soll ebenso unterlassen, insgesamt acht beanstandete Klauseln aus den Nutzungsbedingungen und der Datenschutzrichtlinie gegenüber den Nutzern zu verwenden. Beispielsweise behält sich WhatsApp das Recht vor, seinen Nutzern ohne deren Einwilligung auch Werbematerial aus der Facebook-Unternehmensgruppe zukommen zu lassen.

„Neben dem Unterlassungsanspruch machen wir auch einen Beseitigungsanspruch geltend. WhatsApp soll dafür sorgen, dass die aus unserer Sicht unzulässig an Facebook übertragenen Daten gelöscht werden – vor allem die der Nicht-WhatsApp-Nutzer. Wir verlangen eine entsprechende Bestätigung“, so Carola Elbrecht, Rechtsreferentin im Marktwächter Digitale Welt beim vzbv.

Missbrauch des Vertrauens der Verbraucher

„Facebook hat im Jahr 2014 öffentlichkeitswirksam erklärt, die Nutzerdaten zwischen den beiden Diensten nicht auszutauschen. Darauf haben viele Verbraucher vertraut. Dieses Versprechen hat nicht lange gehalten“, so Elbrecht. Nach Ansicht der Marktwächterexperten wurde das Vertrauen der Verbraucher missbraucht, indem sich WhatsApp nun im Kleingedruckten die Weitergabe der persönlichen Informationen seiner Nutzer an Facebook vorbehält.

„Unsere Marktwächterexperten haben das Fehlverhalten des Anbieters erfolgreich sichtbar gemacht. Nun treffen wir uns vor Gericht wieder. Die Verbraucherzentralen haben auch bei anderen digitalen Großunternehmen schon häufig einen langen Atem bewiesen: Ob Facebook, Google, Amazon oder nun WhatsApp, wir verfolgen Rechtsverstöße – notfalls auch über alle Gerichtsinstanzen.

Das hohe Datenschutzniveau in Deutschland und Europa muss für Verbraucher gesichert werden, denn darauf vertrauen sie. Dafür setzt der vzbv sich aktuell bei der Umsetzung der EU-Datenschutzgrundverordnung ein. Verbraucher müssen die Hoheit über ihre Daten behalten.

Das Grundrecht auf informationelle Selbstbestimmung muss geschützt werden. Das werden die Verbraucherzentralen vor allem in Zeiten von Big Data verteidigen. Jeder Verbraucher muss selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können.“, so Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands

Oberstes US-Berufungsgericht: Microsoft darf ausländische Daten schützen

Das oberste US-Berufungsgericht hat bestätigt, dass Microsoft die in Irland gespeicherten E-Mails eines europäischen Nutzers nicht an die Regierungsbehörden herausgeben muss. Gleichzeitig forderten die Richter eine Gesetzesänderung, um dies künftig zu ermöglichen.

Microsoft hat im seit drei Jahren währenden Rechtsstreit mit der amerikanischen Regierung um die Herausgabe von E-Mails eines europäischen Nutzers einen wichtigen Sieg errungen. Als vierte und letzte Instanz hat das oberste Berufungsgericht in New York jetzt entschieden, das aktuell gültige Urteil nicht zu revidieren. Demzufolge kann die Regierung Microsoft nicht dazu zwingen, die in seinem Rechenzentrum in der irischen Hauptstadt Dublin gespeicherten E-Mails eines europäischen Nutzers herauszugeben. Anders als von zwei vorherigen Instanzen argumentiert, sei der mögliche Zugriff von Microsoft auf die Daten in seinen ausländischen Rechenzentren nicht mit deren Speicherung auf US-Hoheitsgebiet gleichzusetzen, wie es der Patriot Act und ähnliche einschlägige Vorschriften zur Wahrung der nationalen Sicherheit fordern. Allerdings war die Entscheidung des Berufungsgerichtes nicht einstimmig und könnte weitere Konsequenzen für amerikanische Cloud-Anbieter nach sich ziehen. Um künftig Risiken für die nationale Sicherheit durch die von ihnen festgestellte Rechtslage zu vermeiden, regten die Richter selbst eine Verschärfung der Gesetze an, mit der auch der Zugriff auf ausländische Rechenzentren amerikanischer Anbieter ausdrücklich möglich gemacht werden könnte. Die Chancen, dass die Trump-Administration dies umsetzt, sind hoch.

Auch Microsofts Rechtsverantwortlicher Brad Smith forderte deshalb nach dem Urteil klare Regelungen, auf die sich die Nutzer verlassen können und mit denen sichergestellt wird, dass die Gesetze anderer Länder geachtet werden. In Deutschland und Europa versucht Microsoft dem Zugriffswillen amerikanischer Behörden mit der Microsoft Cloud Deutschland vorzubauen. Bei diesem Modell werden die Daten zwar in deutschen Microsoft-Rechenzentren gespeichert, aber von T-Systems als Datentreuhändler verwaltet. Damit wird der Zugriff für die US-Behörden zusätzlich erschwert. Auch wenn das neue Urteil diese zusätzliche Absicherung, die teilweise auch mit erheblichen Zusatzkosten für die Kunden verbunden ist, unnötig erscheinen lässt, so dürfte das Modell durch die Vorschläge der Richter in Bezug auf weiterreichende Zugriffsrechte doch zusätzlichen Rückenwind bekommen.

Im vorliegenden Fall hatten die US-Behörden Microsoft bereits 2013 dazu aufgefordert, sämtliche Nutzerdaten und E-Mails des Mannes herauszugeben, da sie wegen Drogenschmuggels gegen ihn ermittelten. Das Unternehmen hatte sich mit dem Verweis auf die europäischen Datenschutzgesetze und das übliche Verfahren für internationale Rechtshilfeersuchen dagegen gewehrt und den Behörden lediglich die in den USA gespeicherten Daten zum Nutzeraccount übermittelt. Daraufhin hatte die Regierung von Barack Obama ein Gerichtsverfahren gegen Microsoft eingeleitet, um die Herausgabe zu erzwingen. Nachdem die ersten zwei Instanzen der Ansicht gewesen waren, dass Microsoft als amerikanisches Unternehmen nach dem Patriot Act unabhängig internationaler Gesetze und Vorschriften dazu verpflichtet sei, hatte die dritte Instanz diese Meinung im Sommer des vergangenen Jahres überraschend revidiert.

vzbv: Gesetzesvorschlag der EU zu Datenschutz im Internet bleibt auf halber Strecke stehen

Die Europäische Kommission hat heute einen Gesetzesvorschlag für eine Verordnung für Datenschutz in der elektronischen Kommunikation veröffentlicht. Die Verordnung soll die bisherige Datenschutzrichtlinie für elektronische Kommunikation ablösen.

Klaus Müller zur EU-Verordnung für Datenschutz in der elektronischen Kommunikation:

„Wir begrüßen, dass künftig auch Dienste wie Internettelefonie oder Instant Messaging von den schärferen Regelungen erfasst werden und nicht nur wie bisher klassische Telekommunikationsdienste. Das Auslesen von Nachrichten ist damit für alle Kommunikationsdienste ohne Einwilligung der Nutzerinnen und Nutzer verboten.

Leider sind jedoch die vorgeschlagenen Regelungen zum Tracking im Internet nicht konsequent. Für das Tracking soll künftig die Einwilligung der Nutzer notwendig sein, die diese über die Einstellungen ihrer Webbrowsers abgeben können. Damit sollen die nervigen Cookie-Banner auf Webseiten obsolet werden. Die EU-Kommission konnte sich aber nicht dazu durchringen, zu regeln, dass die Webbrowser stets datenschutzfreundlich voreingestellt sein müssen. Zwar müssen die Nutzer künftig bei der Installation aktiv eine der Einstellungen auswählen – in einer Umfrage der EU-Kommission hatten sich jedoch 89 Prozent der Befragten für datenschutzfreundliche Voreinstellungen ausgesprochen.“

Die neue EU-Verordnung soll ab Mai 2018 die europäische Datenschutz-Grundverordnung detaillieren und ergänzen, um das Recht auf Privatsphäre und Vertraulichkeit im Bereich der elektronischen Kommunikation sicherzustellen. Die Verordnung betrifft klassische Telekommunikationsanbieter, aber auch E-Mail-Dienste, Social Media-Plattformen und Internettelefonie und Messaging.

KPMG: Unternehmen unterschätzen Risiken massiv

Laut einer KPMG-Studie werden mehr als ein Drittel aller deutschen Unternehmen Opfer von Wirtschaftskriminalität. Größter Risikofaktor sind die eigenen Mitarbeiter.

  • Mehr als drei Viertel der Unternehmen in der Studie wähnen sich in trügerischer Sicherheit.
  • Größte Tätergruppe sind eigene Mitarbeiter mit 84 Prozent der Nennungen. Sie stecken sehr häufig mit Externen unter einer Decke

Über Wirtschaftskriminalität zu schreiben ist insofern etwas kompliziert, als der Begriff zwei sehr unterschiedliche Phänomene bezeichnet. Zum einen geht es dabei um Straftaten, bei denen Unternehmen die Opfer sind, also etwa um Datendiebstahl in großen Stil durch Cyberangriffe Externer. Zum anderen dreht sich Wirtschaftskriminalität um Straftaten durch Unternehmen, wobei die Opfer sowohl der eigene Laden als auch Externe sein können.

Die Meinungsforscher von TNS Emnid haben jetzt im Auftrag von KPMG eine Befragung von 500 Unternehmen durchgeführt, um die Entwicklung von Art und Umfang solcher Straftaten in den zurückliegenden zwei Jahren zu ermitteln.

Untreue vor Diebstahl und Unterschlagung

45 Prozent der befragten Firmen, so ein zentrales Ergebnis, waren in dieser Zeit von Wirtschaftskriminalität betroffen, also entweder Täter oder Opfer solcher Taten.

Die häufigsten Deliktarten sind Betrug und Untreue (45 Prozent), dicht gefolgt von Diebstahl und Unterschlagung mit 43 Prozent. Letztere beiden kommen bei Großunternehmen mit 63 Prozent überdurchschnittlich häufig vor. Hier sind darüber hinaus Korruptionsdelikte auf dem Vormarsch, 45 Prozent der Befragten Großen hatten damit bereits zu tun. Das bedeutet, dass diese Art von Delikten im Vergleich zur Situation vor zwei Jahren – dem Zeitpunkt der vorigen Befragung – um 50 Prozent zugenommen hat.

Gefahren werden massiv unterschätzt

Bemerkenswert ist diese Zahl insofern, als gerade Großunternehmen das Risiko, angegriffen zu werden, massiv unterschätzen: Lediglich 23 Prozent von ihnen befürchten einen Angriff, mehr als drei Viertel wähnen sich also in (trügerischer) Sicherheit.

Autozulieferer Leoni um 40 Millionen Euro geprellt

Wie gefährlich solche Arglosigkeit sein kann, beweist ein aktueller prominenter Fall: Der große Autozulieferer Leoni aus Nürnberg gab im August bekannt, um 40 Millionen Euro geprellt worden zu sein. Nach Unternehmensangaben nutzten die Ganoven gefälschte Dokumente und Identitäten, um über „elektronische Kommunikationswege“ an das Geld zu kommen.

Offensichtlich hatte sich jemand als Leoni-Mitarbeiter ausgegeben, behauptet, besondere Befugnisse zu haben und unter diesem Vorwand unterschiedliche Geschäftsvorgänge zum eigenen Nutzen ausführen lassen.

Die Masche erinnert ein wenig an den populären „Enkeltrick“, bei der Betrüger alte Leute anrufen, sich als Verwandte ausgeben und anschließend Geld überweisen lassen. Nur dass der Leoni-Betrüger eben behauptet hat, statt Verwandter eine Art Chef zu sein, dessen Anweisungen Folge zu leisten sei.

Ein Leser von Spiegel Online schrieb zu diesem Fall sehr passend, die Masche ziehe nur, „wenn alle Mitarbeiter einschließlich Revision einen gepflegten Schlaf haben und niemand sich traut, den ‚Chef‘ gezielt anzusprechen, woher er seine Vollmachten hat.“

Am gefährlichsten sind die eigenen Mitarbeiter

So skurril der Fall Leoni ist: Mehrheitlich entstehen die Schäden anders. Größte Tätergruppe sind laut KPMG-Studie die eigenen Mitarbeiter mit 84 Prozent der Nennungen. Diese stecken bei ihren Taten sehr häufig mit Externen unter einer Decke.

Boston Consulting Group: Deutsche fühlen sich beim Datenschutz belogen

Der Handel mit angeblich anonymisierten Daten boomt. Und die Mehrheit der deutschen Verbraucher bezweifelt, dass damit ordentlich umgegangen wird.

Datenschutz liegt den Deutschen am Herzen. Egal ob Linkedin, Twitter oder Yahoo – Verbraucher wollen ihre sensiblen Daten gesichert wissen. Doch Unternehmen scheinen dieses Bedürfnis zu unterschätzen und ahnen nicht welche weitreichenden Konsequenzen Datenmissbrauch für sie ­haben kann: 71 Prozent der Deutschen würden einem Unternehmen, dem sie nicht vertrauen, den Zugriff auf ihre Daten verweigern. Das geht aus der Verbraucherstudie »Big Data & Trust Consumer Survey« der Boston Consulting Group (BCG) hervor. Dazu befragt wurden 8.000 Konsumenten aus Deutschland, Frankreich, Italien, Spanien, Großbritannien und den USA. Des weiteren schätzt die BCG den potenziellen Umsatzrückgang im Jahr nach dem Bekanntwerden eines Missbrauchs auf bis zu acht Prozent. Im zweiten Jahr sind Einbußen von bis zu fünf Prozent denkbar.

»Datenschutz ist für Verbraucher eine ernste Angelegenheit. Mit jedem bekannt werdenden Missbrauch steigt die allgemeine Verunsicherung. Gelingt es den Unternehmen jetzt nicht, nachhaltig Vertrauen zu schaffen, wird es zunehmend schwieriger für sie, das enorme wirtschaftliche Potenzial ihrer Kundendaten zu nutzen«, erklärt Joachim Stephan, Senior Partner bei BCG und Experte für Technologie, Medien und Telekommunikation. Immerhin, so die BCG, betrage das weltweite Marktpotenzial sicherer Datennutzung etwa 940 Milliarden Euro pro Jahr bis 2020. Dass die Verbraucher verunsichert sind, zeigt sich auch darin, dass sich mehr als die Hälfte der Deutschen bei der Verwendung ihrer Daten von den Unternehmen belogen fühlen und bezweifeln, dass Unternehmen korrekt mit den überlassenen Daten umgehen.

Hälfte der Deutschen ist misstrauisch

So geht aus der Umfrage hervor, dass die Hälfte der Deutschen einen Datenmissbrauch befürchten. Noch misstrauischer sind die Franzosen mit 62 Prozent, gefolgt von Spanien (57 Prozent) und Großbritannien mit 53 Prozent. In den USA und Italien hingegen herrscht etwas weniger Skepsis. Besonders groß sind die Zweifel deutscher Kunden gegenüber sozialen Medien, Suchmaschinen und Mobilfunkanbietern. Als besonders sensible Daten gelten vor allem Finanz- und Steuerangelegenheiten sowie Kreditkarten-daten, aber auch Informationen über Ehepartner und Kinder sowie Gesundheitsdaten.

»Unternehmen unterschätzen die Bedeutung der Transparenz bei der Datennutzung. Zum Vertrauensbruch reicht es bereits, wenn Verbraucher merken, dass ihre preisgegebenen Daten für einen anderen Zweck genutzt werden als ursprünglich gedacht – also statt für einen Einkauf im Netz etwa auch für Marketingzwecke«, führt Stephan aus. Viele Verbraucher werten es beispielsweise als Vertrauensbruch, wenn die von ihnen preisgegebenen Daten für andere Zwecke als ursprünglich gedacht verwendet werden.Eine deutliche Diskrepanz zwischen Unternehmen und Verbrauchern gibt es auch bei der Einstufung elementarer Aktivi-täten. So gingen bei einer Befragung von 140 Unternehmen aus acht Branchen etwa 40 Prozent davon aus, dass es nicht ­nötig sei, die Kunden vor einer Personalisierung des Angebots um Erlaubnis zu fragen, während 88 Prozent der Verbraucher dies jedoch erwarteten.

Auch auf rechtlicher Seite müssen sich Unternehmen mit dem Thema auseinandersetzen, denn ab Mai 2018 werden Auskunftsrechte der Kunden, ihr Recht auf Datenlöschung und das Recht auf Datentransportabilität gestärkt. Dann tritt die EU-Datenschutz-Grundverordnung in Kraft und bildet die Grundlage für einen einheitlichen Datenschutz in allen 28 EU-Staaten.