| |||
| | | |
| |
Die Novellierung des Bundesdatenschutzgesetzes und Gesetzeskonformität durch Verschlüsselung
Im August 2008 wurde der Verbraucherzentrale in Schleswig-Holstein eine CD mit 17.000 Kundendaten und Bankverbindungen zugespielt (1). Der Skandal um den Missbrauch von Millionen sensibler Kundendaten sorgte für großes Aufsehen in der Bevölkerung. Die Politik reagierte umgehend mit der Novellierung (2) des Bundesdatenschutzgesetzes (BSDG). Die Datenschutznovelle I (Scoring) wurde bereits am 29. Mai 2009 beschlossen und soll am 1. April 2010 in Kraft treten. Inhalt der Novellierung II des BundesdatenschutzgesetzesDie Datenschutznovelle II von 2009 führt in folgenden Bereichen zu Änderungen (4):
Stärkung der Rechte des Datenschutzbeauftragten Bisher ist der interne Datenschutzbeauftragte arbeitsrechtlich allein durch ein Benachteiligungsverbot und eine erschwerte Abberufung geschützt. Mit der Novellierung II des BDSG stellt der Gesetzgeber den Kündigungsschutz des Datenschutzbeauftragten privilegierten Funktionsträgern aus anderen Bereichen (z.B. Betriebsrat) gleich. Dieser Kündigungsschutz wird auf ein Jahr nach der Abberufung des internen Datenschutzbeauftragten erweitert. Zur Wahrnehmung seiner Pflichten muss sich der interne Datenschutzbeauftragte permanent fortbilden. Das Unternehmen oder die Behörde muss die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten zu übernehmen. Auftragsdatenverarbeitung Werden personenbezogene Daten nicht durch das Unternehmen oder die Behörde sondern durch Dritte verarbeitet, wird von Auftragsdatenverarbeitung gesprochen. Beispiele sind Wartungsverträge mit Systemhäusern oder die externe Datenträgervernichtung. Der Auftraggeber hatte den Auftragnehmer bisher nach seiner Eignung in Bezug auf die erforderlichen technischen und organisatorischen Maßnahmen auszuwählen. Mit der Novellierung II des BDSG wird vom Auftraggeber vor der Erteilung eines Auftrages zur Auftragsdatenverarbeitung gefordert, die Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen zu überprüfen. Bei längerfristigen Verträgen zur Auftragsdatenverarbeitung sind diese Prüfungen in regelmäßigen Intervallen zu wiederholen. Als Nachweis gegenüber den Aufsichtsbehörden sind die Prüfungen zu dokumentieren. Die Anforderungen an einen Vertrag zur Auftragsdatenverarbeitungen werden in einem 10-Punkte-Katalog konkretisiert. Adresshandel und Werbung Unternehmen und Behörden müssen in Zukunft grundsätzlich die Einwilligung der Verbraucher einholen, bevor sie deren Daten weitergeben. Sie müssen zudem die Empfänger von Werbeschreiben auch darüber informieren, woher diese Daten ursprünglich stammen. Die Werbung zwischen Unternehmen ist davon nicht betroffen. Hierfür dürfen auch die Namen der Ansprechpartner in den Unternehmen verwendet werden, um diese direkt anschreiben zu können. Weitere Ausnahmen gelten für den Bereich der Bewerbung von Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten. Arbeitnehmerdatenschutz Als Reaktion auf verschiedene Datenschutzvorfälle der jüngsten Vergangenheit wird eine Grundregel zum Arbeitnehmerdatenschutz eingeführt, die vor allem die eigenständige Aufklärung von Straftaten durch Unternehmen behindert. So werden beispielsweise präventive Maßnahmen zur Korruptionsbekämpfung verboten. Weiterhin darf ein Arbeitgeber um etwaigen Rechtsverstößen in seinem Unternehmen oder Behörde nachzugehen nur dann aktiv werden, wenn die im Gesetz beschriebenen Voraussetzungen gegeben sind. Diese Vorgaben sind inhaltlich jedoch bereits ohnehin geltendes Recht und stellen somit keine wesentlichen Neuerungen dar. Mitteilungspflichten Nach US-amerikanischem Vorbild werden Unternehmen und Behörden künftig unter Einbeziehung des internen Datenschutzbeauftragten die Datenschutzaufsichtsbehörden und die Betroffenen über Datenschutzverstöße informieren müssen. Diese Pflicht bezieht sich auf besonders sensible, personenbezogene Daten:
Dies bedeutet, dass der Betroffene erst informiert werden darf, wenn ein etwaiger polizeilicher Ermittlungserfolg durch die Informierung nicht mehr gefährdet wird. Sofern die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen würde, kann diese alternativ auch durch Anzeigen in zwei bundesweit erscheinenden Tageszeitungen oder andere gleich geeignete Maßnahmen erfolgen. Wer seinen Pflichten nach § 42a BDSG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt, kann mit einem Bußgeld von bis zu 300.000 EUR belegt werden.
Einem Geschäftsführer eines Industrieunternehmens wird auf einer Dienstreise ein Notebook gestohlen, auf dem Kunden- und Abrechnungsdaten gespeichert sind, (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Dieser Vorfall muss unter Beteiligung des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde gemeldet werden. Sobald eine Information an die Betroffenen einen polizeilichen Ermittlungserfolg nicht mehr gefährdet, sind alle betroffenen Kunden über diesen unrechtmäßigen Datenabfluss zu informieren. Erhöhung der Bußgelder Künftig sind bei formalen Verstößen gegen das Bundesdatenschutzgesetz Bußgelder bis zu 50.000 und bei materiellen Verstößen bis zu 300.000 EUR möglich. Wenn Verstöße zu weitergehenden Gewinnen führen, kann das Bußgeld entsprechend erhöht werden. Konsequenzen für Unternehmen und BehördenAus den beschriebenen Änderungen im BDSG ergeben sich einige Konsequenzen für Unternehmen und Behörden. Da in diesem Artikel nicht zu allen Neuerungen Stellung genommen werden kann, soll vielmehr der Augenmerk auf die Bereiche gelegt werden, die direkten Einfluss auf die Informationsverarbeitung im engeren Sinne haben."Durchführung von regelmäßigen Audits erhöht den ISMS Aufwand." Eigentlich sollte jedes Unternehmen und jede Behörde im Zuge ihres Information-Sicherheits-Management-Systems (ISMS) regelmäßig Audits bei sich und Ihren Partnern, die sensitive Informationen verarbeiten durchführen. In der Praxis wird dies jedoch oft vernachlässigt. Nun wird dies zumindest bzgl. personenbezogener Daten gesetzlich gefordert. Ein derartiges Audit muss entsprechend geplant und umgesetzt werden. D.h. ein Auditplan für die Umsetzung der regelmäßigen Audits muss erstellt werden. Die technische und organisatorische Umgebung beim Dienstleister muss durch einen Auditor geprüft und das Ergebnis dokumentiert werden. Zwar werden bei derartigen Audits nur Stichprobenprüfungen durchgeführt, aber dennoch kann der Aufwand hierfür bei Beschäftigung mehrerer Dienstleister beträchtlich sein. "Wenn die Informationspflicht greift, können die damit verbundenen Kosten erheblich sein." Laut einer Studie (5) über die Kosten von Datenpannen in den USA kostete der Verlust eines Datensatzes im Jahr 2008 im Durchschnitt 202 USD (142 EUR). Die Aufwendungen für die Benachrichtigung (Benachrichtigung der betroffenen Personen über die Datenpanne) lagen im Schnitt bei 15 USD (10,60 EUR) pro gefährdeten Datensatz. Eine Veröffentlichungspflicht bei Datenpannen ist in USA schon seit Jahren gesetzlich vorgeschrieben. Eine Vergleichsstudie (6) für das Jahr 2008 über die Kosten von Datenpannen in Deutschland ergab Kosten für einen Verlust eines Datensatzes im Durchschnitt 112 EUR. Die Aufwendungen für die Benachrichtigung lagen im Schnitt bei 4 EUR pro gefährdeten Datensatz und damit um 6,60 EUR weniger als in USA.
Tabelle 1: Kosten von Datenpannen pro Datensatz in EUR Die vergleichsweise geringen Kosten für die Benachrichtigung in Deutschland führen die Autoren der genannten Studie auf die unzureichend gesetzlich verankerte Veröffentlichungspflicht bei Datenpannen in Deutschland zurück. Die Veröffentlichungspflicht bei Datenpannen wird mit in Kraft treten der Novellierung II des BDSG für Unternehmen und Behörden gesetzlich gefordert. Angenommen für die in der Einleitung erwähnte Datenpanne (17.000 Datensätze) würden nun 6,60 EUR (die Kostendifferenz zwischen USA und Deutschland für die Benachrichtigung bei Datenpannen) zusätzlich pro gefährdeten Datensatz anfallen, bedeutet das eine zusätzliche Belastung für dieses Unternehmen von 112.200,00 EUR für diesen Vorfall. Es gilt an dieser Stelle zu bedenken, dass 17.000 Datensätze bei einer Datenpanne noch vergleichsweise wenig sein können. Beispielsweise betraf die Panne bei der Telekom im Oktober 2008 17 Millionen Kundendaten (7). "Bei Bekanntwerden einer Datenpanne riskiert ein Unternehmen oder Behörde Vertrauensverlust." Die Mitteilungspflichten die sich aus der BDSG Novellierung II ergeben, zwingt jedes Unternehmen und jede Behörde bei Datenpannen Informationen über diesen Vorfall bekanntzugeben. In jedem Fall wird der Vorfall veröffentlicht und es kann ein erheblicher, finanziell nur schwer zu beziffernder Vertrauensverlust entstehen. Die Bekanntgabe von Datenpannen wird sicherlich die Presse dankend übernehmen. Aber auch im Internet verfügbare Datenbanken wie die öffentlich zugängliche DATALOSSdb wird dafür sorgen, dass Datenpannen in Deutschland künftig nicht mehr unbemerkt bleiben. "Erhöhung des Bußgeldes und stärkere Stellung des Datenschutzbeauftragen." Natürlich besteht die Verlockung die Kosten für die Benachrichtigung einer Datenpanne einzusparen, indem der Vorfall nicht gemeldet wird. Der weitgehende Kündigungsschutz und damit die Unabhängigkeit des betrieblichen bzw. behördlichen Datenschutzbeauftragten könnte dies in machen Fällen erschweren. Zudem wird die Erhöhung der Bußgelder auf bis zu 300.000 abschreckend wirken. LösungsansätzeDie Konsequenzen aufgrund der BDSG Novellierungen können wie eben beschrieben beträchtlich sein. Daher gilt es die organisatorischen und technischen Maßnahmen in Unternehmen und Behörden so anzupassen, dass die Anforderungen des neuen BDSG erfüllt bzw. gewisse Paragraphen wie z.B. §42a (Mitteilungspflicht) erst gar nicht angewendet werden müssen."Beauftragung externer Sachverständiger" Die Prüfung der Dienstleister durch den Auftraggeber muss nicht zwingend vor Ort durchgeführt werden. Ein Testat eines externen Sachverständigen kann ausreichend sein. Gerade für kleinere und mittelständische Unternehmen, die kein eigenes Sicherheitsmanagement betreiben, kann es wirtschaftlich sinnvoller sein, die Auditierung der Dienstleister durch einen externen Auditor durchführen zu lassen. "Zertifizierung der Dienstleister" Alternativ zur Prüfung des Dienstleisters kann eine schriftliche Auskunft des Auftragnehmers ausreichen. Aus Sicht des Auftraggebers ist dies selbstverständlich die einfachste Lösung. Es sollte jedoch sichergestellt werden, dass diese Auskunft auch belastbar ist. Eine derartige Auskunft ist belastbar, wenn z.B. der Auftragnehmer ein Zertifikat oder Gütesiegel (ISO 27001 Zertifikat, Datenschutz Gütesiegel, etc.) vorweisen kann. "Am besten erst gar keine Datenpanne aufkommen lassen." Um erst gar nicht die missliche Lage der Anwendung von §42a BDSG (Mitteilungspflicht bei Datenpannen) zu geraten, ist die logische Konsequenz für Unternehmen und Behörden bereits beim Schutz der datenschutzwürdigen Informationen geeignete Maßnahmen zu ergreifen. Hierbei muss der Schutz der Daten gegen Diebstahl, fahrlässigem und vorsätzlichem Datenabfluss gewährleistet werden. Sicherheitsmaßnahmen gliedern sich bekanntermaßen in organisatorische und technische Bereiche. Wichtig hierbei ist, dass die organisatorischen und technischen Sicherheitsmaßnahmen ineinander greifen und sich gegenseitig unterstützen. Neben einem funktionierenden Information-Sicherheits-Management-System (ISMS) mit den entsprechenden Prozessen und Sensibilisierungsmaßnahmen für die Mitarbeiter, können technische Hilfsmittel den Datenschutz unterstützen. Die technischen Werkzeuge müssen die Wege von möglichen Datenabflüssen versperren bzw. die abfließenden Daten unbrauchbar bzw. nicht lesbar machen. Eine wichtige Maßnahme um dieses Ziel zu erreichen ist die Datenverschlüsselung. Hier gilt es insbesondere drauf zu achten, Verschlüsselung an allen exponierten und bedrohten Stellen durchgängig einzusetzen:
FazitDie Novellierung II des BDSG hat weitreichende Konsequenzen für Unternehmen und Behörden. Die meisten Unternehmen und Behörden werden ihre Datenschutzrichtlinien und Maßnahmen überarbeiten müssen. Dies dient letztendlich auch der Informationssicherheit und wird hoffentlich das Informationssicherheitsniveau in Deutschland erhöhen.Weiterführende Links - Bundesdatenschutzgesetz - Fassung, aus der die Änderungen ersichtlich sind Quellenverzeichnis (1) Süddeutsche Zeitung, "17.000 Datensätze von Bankkunden missbraucht", 12.08.2008, http://www.sueddeutsche.de/computer/976/305941/text/ (2) Der Sächsische Datenschutzbeauftragte, "Änderungen des Bundesdatenschutzgesetzes", http://www.saechsdsb.de/aenderungen-des-bdsg (3) Deutscher Bundestag, "Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften", 18.02.2009, http://dip21.bundestag.de/dip21/btd/16/120/1612011.pdf (4) Dr. Michael Rath, "Wesentliche Inhalte der Datenschutz-Reform", 21.07.2009, http://www.compliancemagazin.de/compliancefachbeitraege/recht/luther210709.html (5) Ponemon Institue, "2008 Annual Study: Cost of a Data Breach", Februar 2009, http://www.encryptionreports.com/costofdatabreach.html (6) Ponemon Institue, "Jahresstudie 2008: Kosten von Datenpannen in Deutschland", Februar 2009, http://www.encryptionreports.com/costofdatabreach.html (7) PRESSEBOX, "Datenverlust der Telekom nur Spitze des Eisbergs", 07.10.2008, http://www.pressebox.de/pressemeldungen/workshare-inc/boxid-208571.html Dieser Artikel ist ein Auszug aus dem Whitepaper der PGP Corporation. 09/2009, PGP Corporation
| | | | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| © 1999-2010 FEiG & PARTNER | Nutzungsbedingungen | | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |  |  | |  | |  | |  | |  | |  | |  | |  | |   |
|
| ||
| | |
| ||
| ||
| ||
| ||
| ||
| ||
|
Der IT-Service-Finder
