Haftungsrisiko bei mangelndem Datenschutz 11. Mittelstandstag Frankfurt Rhein Main 31. Oktober 2012 Referent Rudolf Fiedler Geschäftsführer DPP Data Protection GmbH
Agenda Compliance relevante Rechtsgebiete Datenschutz Begriffsdefinition 3 BDSG Fallbeispiel datenschutzkonforme Werbung Datensicherungsmaßnahmen Begriffsdefinition IT-Sicherheit Cloud Computing Maßnahmen und Empfehlungen Soziale Netzwerke
Compliance-relevante Rechtsgebiete
Begriffsdefinition - 3 BDSG Geschützt sind nur Einzelpersonen(natürliche Personen), die durch Ihren Namen bestimmt oder z.b. durch ihre Personal-, Kunden-, Lieferanten oder sonstige Nummer oder aufgrund der gespeicherten Daten bestimmbar sind. Personenbezogene Daten (pb Daten): Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). - persönlich: Name, Anschrift, Konfession, Vereinszugehörigkeit, Krankheiten, arbeitsrechtliche Beurteilungen - sachlich: Einkommen, Besitzverhältnisse, Vertragskonditionen
Recht auf Informationelle Selbstbestimmung (BVerfG, Volkszählungsurteil vom 15.12.1983) Jeder Betroffene soll wissen und (in Grenzen) mitbestimmen können, wer sich welche seiner Daten zu welchem Zweck beschafft, wie verarbeitet und an wen weitergibt. Grundrecht auf Datenschutz (Art.2 GG, Grundrecht der allg. Handlungsfreiheit) Europäische Datenschutzrichtlinie 95/46/EG
Fallbeispiel Fallbeispiel: Heiner Müller übernimmt Firma MAXERFOLG GmbH 1. Erstellung Webseite durch Sportkamarad Bernd Kick (Kosten 3 Kisten) 2. Newsletter an alle im E-Mail Postfach, Facebook, Virale Marketingaktivitäten 3. Arbeitnehmerdaten stehen über DB in SkillPortalmit Foto zur Verfügung. Ziel Qualitätsbewusstsein aufzuzeigen. 4. Interne Orga = Langjähriger Mitarbeiter Ole Rentner erhält aus Optimierungsgründen Superuserrechte, die es ihm ermöglichen Kundenstamm, Bestellungen, Buchungen, Zahlläufe, WE, WA, etc. buchen zu können. Ebenfalls kann Herr Rentner auch Stammdaten anlegen und löschen sowohl im ERP als auch im HR. => Effekt Kostenoptimierung 5. Heiner Müller hat ein Verhältnis mit Frau de Blond. Diese lernt in ihrem Sauerland-Urlaub Herrn Gerd Aufschneider kennen. Frau de Blond überwirft sich mit Herrn Müller und verlässt das Unternehmen. Sie hat in der Abteilung Debitorenbuchhaltung gearbeitet und verfügte über Superuserrechte. Sie speichert am letzten Arbeitstag alle Kundendaten auf ihren USB-Stick. 6. Um Geld zu sparen fordert Herr Müller die Mitarbeiter auf, ihre eigenen Laptops mitzubringen und mit diesen zu arbeiten. Er kauft eine Firewall, die alle privaten Aktivitäten der Mitarbeiter unterbinden soll und lässt heimlich eine Videokamera im Großraumbüro installieren. 7. Alle Unternehmensdaten werden jetzt beim Cloudanbieter Dropbox gespeichert (kostenlos).
Risiko Mensch
Soziale Netzwerke Facebook, Xing, etc. Blogs, ICQ etc. Problematisch sind folgenden Handlungen: Mitarbeiter benutzen Firmendaten in sozialen Netzwerken Weitergabe von Firmeninternas in sozialen Netzwerken (Imageproblem) eingestellte Daten gehören dem Plattformbetreiber, die dieser verkauft! Löschen von Daten nahezu unmöglich (Verteilung auf Server in der ganzen Welt) Daten sind bis an das Ende der Welt im Internet gespeichert! Identitätsdiebstahl: Blogger hat sich bei Facebook als Google Chef Erich Schmidt angemeldet und war erfolgreich!
Werbung per Brief, Telefon, Fax, E-Mail Post Telefon Fax E-Mail Gesetzliche Ausnahme bei Listendaten; 28 Abs. 3 S. 2 BDSG Normales Regel-/Ausnahme-Prinzip 4 Abs. 1 BDSG Nutzung der postalischen Kontaktdaten auch ohne Einwilligung des Betroffenen Nutzung von Telefon-, Faxnummer und E-Mail-Adresse grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung B2C B2B Eigenwerbung 28 Abs. 3 S. 2 Nr. 1 BDSG Geschäftswerbung 28 Abs. 3 S.2 Nr. 2 BDSG vorherige ausdrückliche Einwilligung, vgl. auch 7 Abs. 2 UWG vorherige ausdrückliche Einwilligung oder mutmaßliche Einwilligung, vgl. auch 7 Abs. 2 UWG vorherige ausdrückliche Einwilligung, vgl. auch 7 Abs. 2 UWG vorherige ausdrückliche Einwilligung, Ausnahme 7 Abs. 3 UWG Im Fall der dokumentierten Daten- Lieferkette unter Angabe der Datenquelle und für Fremdwerbung 28 Abs. 3 S. 4, 5 BDSG Aufsichtsbehörden: Double Opt-in bei Nutzung für werbliche Zwecke
Datensicherungsmaßnahmen ( 9 BDSG) 8 Gebote der Datensicherheit: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot
Begriffsdefinition: IT-Sicherheit IT-Sicherheit bedeutet nichts anderes, als dass die ständige Verfügbarkeit die Vertraulichkeit und die Integrität von Daten bzw. der Informationstechnik zur Aufrechterhaltung der Geschäftsprozesse und der Abwehr von Schäden gewährleistet werden muss. IT-Sicherheit ist Chefsache! IT-Sicherheit ist kein Produkt, sondern ein Prozess!
Wirtschaftsspionage Lasst die westlichen Industrienationen ruhig alle Ihre Kühe auf unsere Weiden stellen, melken werden wir sie dann! Deng Xiaoping(1904-1997) Chinesischer Staatslenker
Pseudo-Sicherheit
Wolke 7 oder Cloud 9?
Cloud Computing Was ist das? Time Magazine: The best thing about cloud computing is that word: cloud. Telling consumers their data is in the cloud is like telling a kid his dog has gone to doggie heaven. There is no doggie heaven, and your data isn't in a cloud. It's in a windowless, fortress-like data center somewhere in the rural U.S. Steve Jobs: Some people think the cloud is just a hard disk in the sky! Dropbox: SchattenIT! Die Cloud ist die Bad Bank der IT-Infrastruktur!
Weit verbreitete Fehleinschätzungen Bei uns ist noch nie etwas passiert. - Diese Aussage ist mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt! Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht. - Diese Einschätzung ist in den meisten Fällen zu oberflächlich. Bei sorgfältiger Betrachtung von möglichen Schadensszenarien zeigt sich schnell: Es können durchaus Daten verarbeitet werden, die vielfältigen Missbrauch ermöglichen, wenn sie in die falschen Hände fallen. Unser Netz ist sicher. - Die Fähigkeiten potentieller Angreifer werden oft unterschätzt. Hinzu kommt, dass selbst ein erfahrener Netz-oder Sicherheitsspezialist nicht alles wissen und gelegentlich Fehler machen kann. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf und sind ein guter Schutz vor Betriebsblindheit. Unsere Mitarbeiter sind vertrauenswürdig. - Verschiedene Statistiken zeichnen ein anderes Bild: Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. Dabei muss nicht immer Vorsatz im Spiel sein. Auch durch Versehen, Übereifer oder Fehlbedienung entstehen Schäden. Für IT ist unser IT-Leiter verantwortlich - Nur bedingt. Vorstände und GFs sind (persönlich) haftbar für gewisse Defizite.
Maßnahmen Entscheidung der Geschäftsleitung für Datenschutz Bestellung eines Datenschutzbeauftragten Erstellung einer Datenschutz-Strategie datenschutzkonforme Webseite! Datenschutz in Werbung und Marketing Sensibilisierung und Schulung der Mitarbeiter Richtlinien für die Nutzung der IT-Infrastruktur und Social Media Auftragsdatenverarbeitung (Cloud Computing)
In eigener Sache Tätigkeiten der DPP Data Protection GmbH? Externe Datenschutzbeauftragte Datenschutzberatung IT-Sicherheit IT-Infrastrukturberatung IT-Risikomanagement IT-Notfallplanung Governance, Risk & Compliance in prozessorientierten Unternehmen
VIELEN DANK für Ihr Interesse! Sie haben Fragen? Rudolf Fiedler DPP Data Protection GmbH Salvador-Allende-Str. 1 60487 Frankfurt am Main Telefon: +49 69 175 366 960 Telefax: +49 69 175 366 969 Mobil: +49 151 12108767 rf@dataprotectionpartner.de http://www.dataprotectionpartner.de