Whitepaper Datenschutz Alles Wichtige im Überblick und wie Ihre ICT-Partner Ihnen helfen können
Welche Unternehmensdaten sollten vertraulich behandelt werden? Was müssen Sie über den Schutz Ihrer Daten wissen? Und welche Rolle spielen Ihre ICT-Partner dabei? Solche und ähnliche Fragen, mit denen sich mittelständische Unternehmen konfrontiert sehen, sollen in diesem Leitfaden beantwortet werden. Wir klären die Grundlagen, machen Sie mit einigen hilfreichen Prinzipien vertraut und erläutern die Rolle Ihrer ICT-Partner. Inhalte 1. Es geht nicht nur um die Gesetzeslage, sondern um einen deutlichen Trend 3 2. Welche Daten sind wichtig und wer ist dafür zuständig? 3 3. Was müssen Sie und Ihre ICT-Partner tun? 4 4. Anhang A 5 2
1. Es geht nicht nur um die Gesetzeslage, sondern um einen deutlichen Trend Heute werden mehr Unternehmensdaten gesammelt als je zuvor. Denken Sie nur an Ihr eigenes Unternehmen: Da gibt es Ihre Geschäftspläne, Ihre vertraulichen E-Mails und Dokumente und natürlich all die sensiblen Kundendaten, die keinesfalls in die Hände Dritter geraten dürfen. Die Verwendung vor allem die missbräuchliche Verwendung solcher Daten sorgt immer wieder für Schlagzeilen. Spektakuläre Sicherheitslücken, peinliche Schnitzer und grobe IT-Fehler haben weltweit schon vielen Firmen schlechte Presse und hohe Bußgelder eingebracht. Die Gesetzgeber bemühen sich um die Einrichtung wirksamer Sicherheitsvorkehrungen und Schutzmechanismen. Auf EU-Ebene wird derzeit an einem entsprechenden Gesetzesentwurf gearbeitet. Und natürlich haben die einzelnen Länder jeweils ihre eigenen Gesetze. Doch für die Behörden ist es nicht leicht, mit der schnellen Entwicklung der Technologie Schritt zu halten, da jede Innovation neue Herausforderungen birgt. Darüber hinaus müssen Gesetzgeber die richtige Balance zwischen dem Recht des Einzelnen auf Privatsphäre und den Bedürfnisse und Wünschen derselben Bürger finden und darauf achten. Hinter den derzeitigen Bestrebungen nach besserem Datenschutz innerhalb der Europäischen Union steht kein neues Gesetz. Es handelt sich vielmehr um einen Trend, der Unternehmen und Behörden erkennen lässt, dass sie selbst für ihre Daten verantwortlich sind. Unternehmen ergreifen die Initiative Viele Firmen richten ihre eigenen unternehmensweiten Datenschutzprogramme ein, die auch ihre ICT-Partner mit einschließen. Mit diesen Programmen erfüllen sie ihre gesetzlichen Verpflichtungen und schaffen verbindliche Richtlinien für Mitarbeiter und Geschäftspartner. Komplexe Datenschutzrichtlinien wären für die meisten mittelständischen Unternehmen zu viel des Guten. Dennoch ist es für Ihr Unternehmen wichtig, einen Weg zu finden, auf angemessene, gesetzeskonforme und praktische Weise mit der Thematik umzugehen. Dabei sind auch die Services Ihrer ICT-Partner relevant. Wo sollten Sie also ansetzen? 2. Welche Daten sind wichtig und wer ist dafür zuständig? Das ist von Unternehmen zu Unternehmen anders. Die folgenden Grundsätze können jedoch hilfreich sein. Mit hoher Wahrscheinlichkeit gibt es in Ihrem Unternehmen drei verschiedene Arten von Daten, die geschützt werden müssen. Wirtschaftlich sensible Information über Ihr Unternehmen Dazu gehören beispielsweise Produkt-Designs, Preisgestaltung und Verträge sowie jegliche gesetzlichen Verpflichtungen gegenüber Ihren Kunden. Personenbezogene Daten, die Sie speichern Dabei kann es sich um Ihre Kunden, Mitarbeiter, Auftragnehmer oder Zulieferer handeln. E-Mails und Aufzeichnungen von Telefonaten gehören ebenso dazu wie Informationen, die Benutzer selbst eingeben. Daten, die branchenspezifischen Vorschriften unterliegen Unternehmen sind verpflichtet, ihre Buchhaltung für eine gewisse Zeit aufzubewahren, was vielfach bereits digital geschieht. Für einige Branchen gibt es gesonderte Regeln zur Datenspeicherung. Ihr Unternehmen übt möglicherweise die Kontrolle über persönliche Daten aus. Von Zeit zu Zeit werden Ihre Mitarbeiter Daten hinzufügen, ändern oder löschen. Sie sind verantwortlich dafür, welche Daten aufbewahrt und wie diese verwendet werden. Somit übernimmt Ihr Unternehmen mit größter Wahrscheinlichkeit die Rolle des für die Verarbeitung Verantwortlichen. Die Verarbeitung der persönlichen Daten erfolgt durch verschiedene Technologien. Beispielsweise werden Dateien innerhalb von Anwendungen bearbeitet. Nach dem Speichern wandern sie möglicherweise über das unternehmensinterne Netzwerk von einem Laptop auf Ihren Server. Der Schutz der Daten muss bei der Erstellung, der Übertragung und der Speicherung gewährleistet sein. Diese Rolle des Datenverarbeiters kann von Ihrem Unternehmen, von einem ICT-Anbieter oder von beiden gemeinsam übernommen werden. 3
Rollen und Zuständigkeiten hängen von Ihrem ICT-Modell ab, also davon, ob Ihre gesamte ICT hausintern geführt und gemanagt wird oder ob diese Leistungen durch einen externen ICT-Partner erbracht werden. Die Tabelle soll verdeutlichen, wer üblicherweise welche Rolle bei der Kontrolle und der Verarbeitung von persönlichen Daten übernimmt. ICT-Service-Modell Wer tut was? Für die Datenverarbeiter Verarbeitung Anwendungen Middleware und Virtuelle Verantwortlicher Betriebssystem Systemumgebung Intern Ihr Unternehmen Ihr Unternehmen Ihr Unternehmen Ihr Unternehmen Colocation Ihr Unternehmen Ihr Unternehmen Ihr Unternehmen Ihr Unternehmen Dediziertes Managed Ihr Unternehmen Ihr Unternehmen ICT-Partner ICT-Partner Hosting Infrastructure-as-a-Service Ihr Unternehmen Ihr Unternehmen ICT-Partner ICT-Partner Software-as-a-Service Ihr Unternehmen ICT-Partner ICT-Partner ICT-Partner 3. Was müssen Sie und Ihre ICT-Partner tun? In der Richtlinie 95/46 der Europäischen Union wird ein Mindeststandard für den Schutz personenbezogener Daten innerhalb der EU festgelegt. Einige Mitgliedsstaaten haben sich in ihren Gesetzen für noch strengere Regelungen entschieden. In jedem EU-Mitgliedsstaat gibt es eine Aufsichtsbehörde, die die Einhaltung der Datenschutzgesetze in dem betreffenden Land überwacht. Wichtige Schritte für Sie Sie müssen die Daten Ihres Unternehmens in Übereinstimmung mit den Gesetzen Ihres Landes vor versehentlichem oder unrechtmäßigem Verlust sowie versehentlicher oder unrechtmäßiger Zerstörung, Änderung und Offenlegung schützen. Dies erreichen Sie durch eine Kombination mehrerer Maßnahmen: Indem Sie den Datenschutzgesetzen Ihres Landes Genüge tun (in Anhang A finden Sie weitere Informationsquellen) Indem Sie Richtlinien einführen, die Mitarbeiter zum Schutz Ihrer Daten beachten müssen Indem Sie sicherstellen, dass alle Ihre Technologien auf dieses Ziel ausgerichtet sind Indem Sie sich vergewissern, dass Ihre ICT-Partner Ihren Forderungen in puncto Datenverarbeitung nachkommen Wie Ihre ICT-Partner helfen können Es ist Ihre Aufgabe, sicherzustellen, dass Ihre Richtlinien von ICT-Partnern umgesetzt werden. Dies kann auf zweierlei Art und Weise erreicht werden: 1. Durch eine schriftliche Zusicherung Ihre ICT-Partner sichern Ihnen schriftlich zu, dass Ihre Daten durch die bereitgestellten Services ausreichend geschützt sind. Dies kann im Rahmen von Marketingmaterialien, Vertragsvereinbarungen oder Sicherheitsstandards wie ISO27001 und anderen Zertifizierungen geschehen. 2. Durch einen Datenschutzaudit Die Services Ihres ICT-Anbieters werden entweder intern oder durch einen Drittanbieter auf die Einhaltung von Compliance-Standards hin überprüft. Der Audit umfasst Organisation, Richtlinien, Prozesse und Systeme des ICT- Anbieters. Ein externer Audit wird Ihnen möglicherweise durch den ICT-Anbieter in Rechnung gestellt. Beide Wege sind akzeptabel, sofern die Gesetze Ihres Landes keine anderweitigen Bestimmungen enthalten. So verlangt beispielsweise das spanische Datenschutzgesetz alle zwei Jahre einen Audit des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters durch Drittanbieter. Spanien ist jedoch das einzige Land, in dem diese Maßnahme verpflichtend ist. In Anhang A finden Sie Informationen zu Ihrem Land Mehr erfahren Wenn Sie weitere Informationen darüber wünschen, wie die Lösungen von Colt Ihnen beim Datenschutz helfen können, wenden Sie sich bitte an Ihren Colt Account Manager. 4
4. Anhang A In der Richtlinie 95/46 der Europäischen Union wird ein Mindeststandard für den Schutz personenbezogener Daten innerhalb der EU festgelegt. Einige Mitgliedsstaaten haben sich in ihren Gesetzen für noch strengere Regelungen entschieden. Einzelheiten und hilfreiche Leitlinien finden Sie auf den offiziellen Webseiten der jeweiligen Länder, die wir nachfolgend verlinkt haben. Österreich Belgien Dänemark Frankreich Deutschland Irland Italien Portugal Spanien Schweden Schweiz Niederlande Großbritannien https://www.dsk.gv.at/ http://www.privacycommission.be/ http://www.datatilsynet.dk/ http://www.cnil.fr/ http://www.bfdi.bund.de/ http://www.dataprotection.ie/ http://www.garanteprivacy.it/web/guest/home http://www.cnpd.pt/ http://www.agpd.es/ http://www.datainspektionen.se/ http://www.edoeb.admin.ch/datenschutz/ http://www.cbpweb.nl/ http://www.ico.org.uk/ Die EU-Richtlinie 95/46 finden Sie hier: http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31995l0046 5
Was ist mit dem Safe-Harbor-Abkommen zwischen der EU und den USA? Das Safe-Harbor-Programm ermöglicht es US-amerikanischen Unternehmen, auf freiwilliger Basis bestimmte Datenschutzvorschriften anzuerkennen, die den in europäischen Gesetzen festgelegten ähneln. Die Europäische Union stuft diese Maßnahmen als ausreichend für den Schutz persönlicher Daten bei der Übertragung in die USA ein. Eine Liste US-amerikanischer Unternehmen, die am Safe-Harbor-Programm teilnehmen, finden Sie auf der Safe-Harbor-Webseite. Für die Durchsetzung der Safe-Harbor-Bestimmungen ist die Bundesbehörde zur Bekämpfung des unlauteren Wettbewerbs und zur Durchführung der Kartellgesetze (US Federal Trade Commission) verantwortlich. US-amerikanische Finanzdienstleister und Telekommunikationsanbieter sind jedoch von der Teilnahme an dem Programm ausgeschlossen. Außerdem ist eine Safe-Harbor-Zertifizierung jeweils nur ein Jahr gültig. Wenn Sie Services US-amerikanischer Unternehmen in Anspruch nehmen, sollten Sie also überprüfen, ob die Zertifizierung noch aktuell ist. Colt unterliegt als europäisches Unternehmen mit Rechenzentren in Europa nicht der Rechtshoheit der USA und damit auch nicht dem Geltungsbereich des Safe-Harbor-Programms. Wie oben beschrieben hält sich Colt an die Datenschutzgesetze der EU und ihrer Mitgliedsstaaten. Was ist mit dem USA Patriot Act von 2001? Der Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act von 2001 (kurz USA Patriot Act) wurde als direkte Reaktion auf die Ereignisse in den USA am 11. September 2001 verabschiedet. Er gibt den US-Strafverfolgungsbehörden das Recht, Daten ausländischer Nachrichten- und Spionageabwehrdienste zu sammeln und freizugeben. Gesetze wie den Patriot Act gibt es jedoch nicht nur in den USA. Die meisten EU-Mitgliedsstaaten haben durch vergleichbare oder sogar noch umfassendere Bestimmungen die Voraussetzungen für den Zugriff auf Daten durch Strafverfolgungsbehörden im Falle einer Bedrohung für die nationale Sicherheit geschaffen. Es besteht ein realistisches Risiko, dass US-Behörden Daten europäischer Unternehmen, die wie Colt über Verbindungen in die USA verfügen, anfordern könnten. Solche Forderungen sind im Rahmen des Patriot Act möglich. Allerdings müsste Colt eine solche Anfrage laut Gesetzgebung der EU ablehnen. Kontaktieren Sie uns Telefon: 0800 26584636 E-Mail www.colt.net/de Über Colt Colt ist Europas führende Information Delivery Platform und stellt für seine Kunden die Anlieferung, Verarbeitung, Speicherung und Verteilung geschäftskritischer Daten sicher. Colt ist ein führender Anbieter integrierter Computingund Netzwerk-Services für große und mittelständische Unternehmen sowie für Wholesale-Kunden. Das Unternehmen ist Betreiber eines 22 Länder und 44.000 km umfassenden Netzes, zu dem Metropolitan Area Networks von 39 bedeutenden europäischen Städten mit direkten Glasfaserverbindungen zu 19.000 Gebäuden und 20 Rechenzentren von Colt (von denen sich eines im Aufbau befindet) gehören. 2010 wurden die Colt Data Center Services eingeführt, um innovative, hochwertige Rechenzentrumslösungen an einem Colt- oder firmeneigenen Standort anzubieten. Unsere innovativen Rechenzentren können schnell bereitgestellt werden, sind flexibel und besonders effizient. Zusätzlich zum Direktvertrieb verfügt Colt über vier indirekte Vermarktungskanäle: Vertriebspartner, Franchise, Distribution und Großhandel (einschließlich Carrier, Service Provider, VAR und Voice Reseller). Colt ist an der London Stock Exchange notiert (COLT). Informationen zu Colt und den angebotenen Services finden Sie unter www.colt.net/de. 2014 Colt Technology Services Group Limited. The Colt name and logos are trade marks. All rights reserved.