Telekom und Datenschutz – zwei Welten treffen aufeinander

Der Telekom-Konzern zählt bedauerlicherweise zu den Unternehmen, die trotz diverser nachgewiesener Straftaten auch im Datenschutzrecht scheinbar unbelehrbar ist. Das verantwortliche Management veröffentlicht zwar großspurig Datenschutzberichte, stellt aber im sonstigen Geschäftsgebahren immer wieder deutlich zur Schau, dass die Prinzipien und Leitlinien von angemessenem Datenschutz bei der Telekom den sonstigen Geschäftsineressen untergeordnet werden.

Vom Saulus zum Paulus?

Leider nicht im Falle der Telekom.

Einen sehr aussagestarken Beitrag hat Claudia Tödtmann vor einigen Wochen inm Blog “Tödtmanns Management-Blog” auf der Site der Wirtschaftsoche (wiwo.de) veröffnetlicht:

http://www.wiwo.de/blogs/management/2011/05/12/wenn-datenschutz-den-falschen-schutzt/?comments=all#comment-2204

Lesenswert!

Datenschutz in Unternehmen – Trotz Attacken wenig Lust auf Schutz

Quelle: mittlestandsblog.de, 11.05.2011

Täglich machen Hackerangriffe Schlagzeilen in den Medien. Zig Millionen von gestohlenen Kundendaten verunsichern weltweit die Verbraucher. Zu viele Großunternehmen scheinen dennoch nicht gewillt zu sein, daraus auch die nötigen Konsequenzen zu ziehen – oder wie anders lässt es sich erklären, dass sich nach wie vor ein Drittel der Geschäftsleitungen noch keinen einzigen Datenschutz­bericht vorlegen ließ? Dabei ist die Einsicht in die Bedeutung des Datenschutzes durchaus gestiegen: Waren 2010 erst 56 % der großen Unternehmen der Meinung, dass Datenschutz wichtig oder sehr wichtig ist, so sind es heute immerhin knapp zwei Drittel. Das ergab eine Studie der TNS-Emnid für die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.

Die Meinungsforscher befragten für ihre Studie immerhin 252 der 1000 größten Unternehmen Deutschlands. Gerade deshalb ist das Ergebnis besorgniserregend: So fordern lediglich vier von zehn dieser Unternehmen regelmäßig einen Datenschutzbericht an. 25 % lassen sich einen derartigen Bericht wenigstens in unregelmäßigen Abständen vorlegen. 35 % glauben jedoch noch immer, so etwas nicht nötig zu haben.

“In vielen Unternehmen ist das Interesse an der Arbeit des Datenschutzbeauftragten nach wie vor gering. Das schlägt sich auch in der häufig unzureichenden Personal- und Ressourcenausstattung nieder”, kritisiert Birthe Görtz, bei PwC für das Thema Datenschutz verantwortlich. Der Geringschätzung verdanken viele Datenschützer wohl auch ihr Einzelkämpferschicksal. So stehen den Datenschützern selbst in großen Unternehmen im Schnitt nur zwei Vollzeitkräfte zur Verfügung (2010: 1,6). Zwei von drei Datenschützern halten ihr finanzielles Budget für generell zu klein.

Darüber hinaus plagen in jedem vierten Unternehmen die Datenschutzbeauftragten Informationsdefizite. Hinzu kommt mangelnde Schulung der Mitarbeiter im Datenschutz. Die Studie ergab, dass 65 % der Datenschutzverletzungen auf Unachtsamkeit der Mitarbeiter zurückzuführen ist. Aber nur in jedem vierten Unternehmen finden regelmäßige Schulungen zum Problembereich Datenschutz statt, 30 % der Betriebe bieten vereinzelte Schulungen an, 40 % warten darauf, dass Mitarbeiter eine Schulung aktiv wünschen oder ein Vorfall eine Schulung erfordert.

Die Studie Daten schützen – Stand des Datenschutzes in großen deutschen Großunternehmen 2010 – Studie-Daten-schuetzen

Experten-Beratung in den Fragen der Daten- und Systemsicherheit:
CIO Solutions GmbH, Berlin – Brandenburg.

Stiftung Datenschutz

Es ist deutlich: Angesichts der Berichterstattung über den Missbrauch persönlicher Daten steigt der Druck auf Unternehmen, gute Standards in Datenschutz und Datensicherheit nachzuweisen. Mittlerweile verlieren Unternehmen Aufträge, weil sie dazu nicht in der Lage sind. Dies gilt insbesondere für Unternehmen, die als Auftragnehmer von Auftragsdatenverarbeitung tätig sind – je sensibler die im Auftrag verarbeiteten Daten, desto eher. Ebenso ist meine Erfahrung, dass das Risiko des Auftragsverlustes wegen mangelhafter Datenschutzorganisation in dem Augenblick verschwindet, in dem ein Unternehmen genau jene sowie eine nachvollziehbare und glaubwürdige Dokumentation von technischen und organisatorischen Maßnahmen zum Datenschutz vorzeigen kann.

Mit dieser Entwicklung geht auch die verstärkte Nachfrage nach einem Datenschutzzertifikat einher, mit dem ein Unternehmen als Marketingargument nach außen treten kann. Bisher besteht dabei die Schwierigkeit, dass es so gut wie keine einheitlich geregelten Vorgaben hinsichtlich der Inhalte eines solchen Zertifikats gibt, keine einheitlichen Anforderungen an die Qualifikation der Sachverständigen, die eine Prüfung zum Zweck der Zertifikatserteilung vornehmen. Es gibt keine einheitlich festgelegten Inhalte, die geprüft werden und keine einheitlichen Maßstäbe der Prüfung.

Der Grund liegt in dem fehlenden Auditgesetz. § 9a BDSG verweist auf “das Nähere”, das in einem solchen Gesetz zu regeln ist – nur hat es bisher ein solches Gesetz nie gegeben.

Schleswig-Holstein ging voran und entwarf ein auf Länderebene geltendes Audit- und Zertifizierungsgesetz, das zur Erteilung eines Datenschutzgütesiegels führt.

https://www.datenschutzzentrum.de/guetesiegel/index.htm

Dieses Verfahren hat sich als so erfolgreich erwiesen, dass es – zunächst im Wege eines Modellprojekts, dann dauerhaft – auf die europäische Ebene ausgeweitet wurde.

https://www.datenschutzzentrum.de/europrise/

Das schleswig-holsteinische und auch das EuroPriSe Verfahren ist umfangreich, anspruchsvoll und gründlich. Es kostet Zeit und Geld. Beides ist aber letztlich gut eingesetzt, denn diese Siegel sind die Einzigen, die tatsächlich unabhängig sind – vergeben von einer staatlichen Behörde, auf der Grundlage eines Gesetzes, das sowohl die inhaltlichen Voraussetzungen für die Erteilung als auch die Qualifikation der Gutachter regelt.

Unternehmen, die sich diesem Prozess nicht unterziehen wollen oder die einen so gründlichen Nachweis in ihrer Praxis auch nicht brauchen, können eine Reihe von “selbstgebauten” Datenschutzgütesiegeln in Erwägung ziehen, deren Wert letztlich damit steht und fällt, dass die ausstellende Stelle für glaubwürdig gehalten wird. Dies führt dann zu der paradoxen Situation, dass auch datenschutzrechtlich so zwielichtige Stellen wie die Schufa ein eigenes Datenschutzgütesiegel anbieten.

https://www.datenschutzsiegel.de/

In Anbetracht dieser unbefriedigenden Situation wird möglicherweise die Stiftung Datenschutz Abhilfe schaffen. Vergleichbar der Stiftung Warentest soll sie dafür sorgen, dass Unternehmen ihre Produkte und Verfahren von einer unabhängigen Stelle zertifizieren lassen und somit ihre Vertrauenswürdigkeit hinsichtlich des Umgangs mit persönlichen Daten dokumentieren können.

Bereits im Jahr 2007 gab es einen Anlauf, eine solche Stiftung zu etablieren. Dieser scheiterte an einem Entwurf, der sich als viel zu bürokratisch und teuer und damit letztlich für das Ziel als nicht hilfreich erwies.

Vor einigen Wochen verkündete das zuständige Bundesinnenministerium, die Umsetzung der Stiftung stehe “ganz oben auf der Tagesordnung”. Die Stiftungssatzung werde ausgearbeitet, danach brauche es einen Kabinettsbeschluss und die staatliche Anerkennung des Projekts durch Stiftungsaufsicht. Dies solle noch in diesem Jahr passieren.

Bleibt zu hoffen, dass sich diese Pläne dieses Mal nicht wieder im Desinteresse der politisch Verantwortlichen verlieren. Und es bleibt vor allem zu hoffen, dass die Vorgaben der Datenschutzbeauftragten, wie sie im Diskussionspapier des Bundesdatenschutzbeauftragten im Februar formuliert wurden, Berücksichtigung finden.

http://www.bfdi.bund.de/SharedDocs/Publikationen/KonzeptionStiftungDatenschutz.pdf?__blob=publicationFile

Paula Coehler

Wer wird gehängt, wenn es schief geht?

Den nachfolgenden Artikel schrieb ich im letzten Sommer für einen Bekannten, der ihn in einer Zeitschrift veröffentlichen wollte. Daraus wurde dann nichts, und so kann ich ihn hier einer Zweitverwertung zuführen. Ich bitte zu beachten, dass dieser Artikel nur einen Überblick darstellt und keinesfalls eine qualifizierte Beratung im Einzelfall ersetzt!

Rechtliche Verantwortlichkeit für Datenschutz und Datensicherheit im Unternehmen

Auch für kleine und mittlere Unternehmen werden die Anforderungen rund um den Themenkomplex Datenschutz und Datensicherheit immer umfangreicher. Die sich rasant entwickelnde Technik und die in den letzten Jahren verschärften Gesetze sorgen dafür, dass kein Unternehmen es sich mehr leisten kann, diese Fragen zu vernachlässigen. Zu groß ist die Gefahr des Eintritts von Schäden, die die wirtschaftliche Situation eines Unternehmens beeinträchtigen oder gar gefährden. Diese Erkenntnis steht in scharfem Kontrast zu der Tatsache, dass im Tagesgeschäft die Beschäftigung mit Datenschutz und Datensicherheit in zahlreichen Unternehmen immer noch “unter ferner liefen” behandelt wird.

Welche Gesetze müssen beachtet werden?

Wer wissen will, wie solche für das Unternehmen nachteiligen Folgen zu vermeiden sind, muss zunächst die gesetzlichen Anforderungen kennen, aus denen sich die Pflicht zur Einhaltung bestimmter Standards hinsichtlich Datenschutz und Datensicherheit ergibt.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) trat bereits am 01.05.1998 in Kraft. Ziel war es, die verantwortungsvolle Unternehmensführung in deutschen Unternehmen zu verbessern. Das KonTraG beinhaltete eine Änderung und auch Verschärfung zahlreicher Vorschriften aus dem Handelsgesetzbuch (HGB), dem Aktiengesetz (AktG) und auch aus dem GmbH-Gesetz (GmbHG). Kern des Gesetzes ist es, die Unternehmensführung zu zwingen, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und gewissenhaft zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur im Lagebericht des Jahresabschlusses des jeweiligen Unternehmens zu veröffentlichen. Dies wird in der Formulierung des § 91 Abs. 2 AktG deutlich, wo es heißt:

“Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.

Eine entsprechende Verpflichtung trifft auch die Geschäftsführung einer GmbH, § 43 GmbHG:

“Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden”

Diese erst mal allgemein und eher harmlos klingende Formulierung bedeutet konkret u.a., dass für den Bereich der Datensicherheit in einem ersten Schritt eine umfassende Risikoanalyse erfolgen muss, um alle Risiken im Zusammenhang mit dem Einsatz von unternehmenseigenen IT-Systemen zu ermitteln. In einem zweiten Schritt gilt es ein Sicherheitskonzept zu erstellen, um durch den Einsatz geeigneter Mittel die Risiken soweit wie möglich zu reduzieren. Schließlich ist in einem dritten Schritt für die entsprechende Umsetzung und Einhaltung des Sicherheitskonzepts zu sorgen.

Darüber hinaus ergeben sich aus dem Bundesdatenschutzgesetz (BDSG) weitere Pflichten für den Umgang mit personenbezogenen Daten, aus zivilrechtlichen Vorschriften und Verträgen, oder auch aus dem Strafrecht (§ 203 StGB, Verletzung von Berufsgeheimnissen).

Die Verletzung dieser Vorschriften zieht unterschiedliche Folgen nach sich – Schadensersatzforderungen von Kunden oder Dienstleistern, Bußgelder, Geldstrafen und evtl. auch Freiheitsstrafen. Nach Bundesdatenschutzgesetz ist auch die Untersagung eines Verfahrens durch die Aufsichtsbehörde eine mögliche Folge.

Gut und schön, aber was genau muss ein Unternehmen tun?

Leider geben die Gesetze keinen Aufschluss darüber, welche Maßnahmen genau zu ergreifen sind, um die Einhaltung der Vorschriften zu gewährleisten. Müssen die Unternehmensdaten jeden Tag gesichert werden, einmal die Woche oder nur einmal im Monat – um nur ein Beispiel zu nennen? Darüber schweigen sich die Gesetze aus. Im Bundesdatenschutzgesetz heißt es dazu lediglich:

“Ein Unternehmen hat durch geeignete Maßnahmen zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)”.

Die Beantwortung der Frage, welche Maßnahmen für ein Unternehmen ergriffen werden müssen, ist einerseits abhängig von der Art der Daten, die ein Unternehmen verarbeitet, und vom Ergebnis der individuellen Risikoanalyse. Ein kleines Reisebüro muss weniger aufwändige Maßnahmen ergreifen als ein Krankenhaus. Zum anderen beantwortet sich die Frage aus den allgemeinen technischen Regelwerken, wie beispielsweise den BSI Grundschutzhandbüchern, den “Common Criteria” Normen oder auch den verschiedenen Grundlagen für ISO Zertifizierungen. Dort werden die einzuhaltenden Anforderungen im Einzelnen beschrieben.

Wer haftet für die mangelhafte oder gar fehlende Einhaltung der Vorschriften?

Grundsätzlich trägt die Unternehmensführung die volle Verantwortung und somit das gesamte Haftungsrisiko für eine mangelhafte Sorgfalt im Umgang mit Datenschutz und Datensicherheit. Für grob fahrlässiges Verhalten haftet die Unternehmensführung persönlich, auch wenn die Rechtsform des Unternehmens eine haftungsbegrenzende ist. Die Unternehmensführung ist somit verantwortlich für das “große Ganze”. Daneben besteht jedoch für den jeweiligen IT-Leiter, den Sicherheitsbeauftragten und den Datenschutzbeauftragten die Pflicht, in dem ihm jeweils übertragenen Bereich auf die Einhaltung der entsprechenden Vorschriften zu achten. Im Idealfall sorgt ein Zusammenspiel zwischen IT-Leiter, Datenschutzbeauftragten und Geschäftsführung für die reibungslose Umsetzung der Vorschriften, indem die Erstgenannten aufgrund ihrer Fachkunde Vorgaben und Vorschläge zur Einhaltung der gesetzlichen Anforderungen machen und die Geschäftsführung diese mitträgt. Geschieht dies nicht, ist zu fragen, wer seine Pflichten vernachlässigt hat: Die Geschäftsführung, weil sie die vorgeschlagenen notwendigen Maßnahmen nicht umsetzen wollte (“20.000 EUR für eine Software zur Datensicherung ist zu teuer!”)? Oder der IT-Leiter, weil er die nötigen Maßnahmen nicht einforderte oder sie unzureichend realisierte? Je nachdem wie es sich im Einzelfall verhält, kann das Unternehmen ggfls. bei Eintritt eines Schadens auch den IT-Leiter oder den Datenschutzbeauftragten im Innenverhältnis in die Haftung nehmen. Hinzu kommt die Möglichkeit einer Abmahnung und im Wiederholungsfall einer Kündigung des Beschäftigungsverhältnisses.

Studie: Datenschutz-Vorschriften in vielen Firmen verletzt

Quelle: AFP, 08.11.2010

Düsseldorf – In jedem siebten größeren Unternehmen hierzulande werden einer Umfrage unter Betriebsräten zufolge die Vorschriften für den Datenschutz verletzt. Bei der repräsentativen Befragung von 2000 Betriebsräten berichteten 14 Prozent von Verstößen gegen Datenschutz-Vorschriften, wie aus der Studie der gewerkschaftsnahen Hans-Böckler-Stiftung hervorgeht.

In Großbetrieben mit mehr als 2000 Angestellten kam es demnach sogar in jedem vierten Unternehmen zu Verstößen gegen gesetzliche Vorschriften. Offenbar verletzten große Unternehmen, die die Daten ihrer Mitarbeiter häufiger digital erfassten, häufiger die Schutzvorschriften, erklärten die Autoren der Studie. Befragt wurden Betriebsräte in Unternehmen ab 20 Beschäftigten.

Copyright 2010 AFP

EU-Konsultation zu Datenschutz-Novellierung

Quelle: heise online, 04.11.2010

Die EU-Kommission will die Meinung von Bürgern, Unternehmen und Experten zu ihrer am heutigen Donnerstag veröffentlichten Mitteilung (PDF-Datei) über einen umfassenderen Ansatz zum Datenschutz einholen. Bis zum 15. Januar 2011 können Bürger, Organisationen und öffentliche Verwaltungsstellen im Rahmen einer Konsultation ihre Meinung zu der geplanten Novellierung der allgemeinen Datenschutzrichtlinie von 1995 abgeben. Generell will die Brüsseler Behörde mit der Initiative die Rechte von Bürgern etwa zur Einsicht und Korrektur personenbezogener Informationen stärken, die Bestimmungen im Bereich der Strafverfolgung überarbeiten und ein hohes Schutzniveau bei außerhalb der EU übermittelten Daten sowie eine wirksamere Durchsetzung der Vorschriften erreichen.

Viele konkrete Vorschläge enthält die strategische Ankündigung der Kommission nicht, dafür aber zahlreiche Erwägungen. Für überlegenswert hält die Behörde etwa die Stärkung des “Rechts, vergessen zu werden”. Darunter versteht sie den Anspruch Einzelner auf Löschung ihrer Daten, wenn diese für Zwecke, zu denen sie bestimmt waren, nicht mehr benötigt werden, wenn ein Nutzer seine Einwilligung in eine Verarbeitung der Informationen zurückzieht oder wenn eine Speicherfrist ausläuft. Netzbürger sollen so etwa Profilseiten bei sozialen Netzwerken wie Facebook schneller und unkomplizierter als bisher aus dem Datenraum herausbekommen. Die Mitteilung bringt unter dem Aspekt der Erhöhung der Kontrolle über die eigenen Informationen auch eine Garantie der “Datenportabilität” ins Spiel, wonach Nutzer ihre eigenständig generierten Inhalte auch rasch von einem Plattformbetreiber zum nächsten umziehen können sollen. Insgesamt schwebt der Behörde eine Verbesserung des Prinzips der “Datenminimalisierung” vor.

Auch eine Transparenzinitiative gehört zur Brüsseler Ideensammlung. Vor allem im Online-Umfeld seien Datenschutzbestimmungen auf Webseiten häufig schwer zugänglich, unklar und nicht im Einklang mit dem geltenden Recht, monieren die Verfasser des Papiers. Vor allem bei der verhaltensgesteuerten Werbeschaltung sei die Verwendung personenbezogener Informationen für die Nutzer kaum zu überblicken. Hier könnten nach Ansicht der Kommission eventuell standardisierte Vorgaben für Datensammler, Kunden über die von ihnen genutzten Kategorien in Kenntnis zu setzen, Abhilfe schaffen. Untersuchenswert sei zudem die Möglichkeit der Einführung einer allgemeinen Verpflichtung, die Öffentlichkeit über Sicherheitsverletzungen und Datenpannen aufzuklären. Bisher enthält nur die im vergangenen Jahr überarbeitete Datenschutzrichtlinie für die elektronische Kommunikation eine entsprechende Auflage.

Ferner prüft die Kommission eine Ausweitung des Schutzes besonders sensibler personenbezogener Informationen etwa auf genetische Daten oder Angaben zu Kindern. Große Datenverarbeiter sollen möglicherweise angehalten werden, in spezifischen, etwa sensible Informationen betreffenden Fällen vorab eine Folgenabschätzung unter dem Aspekt der Sicherung der Privatsphäre der Betroffenen durchzuführen. Die Behörde liebäugelt zudem mit der Verankerung des Ansatzes “Privacy by Design”, mit dem der Datenschutz von vornherein stärker in die Entwicklung neuer Kommunikations- und Informationstechniken implementiert werden soll. Selbstkontrollmittel wie Gütesiegel oder Verhaltenskodizes der Wirtschaft sollen weiter erforscht werden. Auch schlägt die Behörde die Definition verbindlicher Datenschutzklauseln in internationalen Abkommen, Verträgen und Wirtschaftsvereinbarungen vor. Dabei sieht sie die Erreichung eines hohen und gleichmäßigen Schutzgrades in der EU selbst als beste Werbung für globale Standards in diesem Feld an.

Die Dachorganisation der europäischen Verbraucherschutzorganisationen BEUC begrüßte in einer ersten Reaktion den Willen der Kommission, die 15 Jahre alte Datenschutzrichtlinie an die neuen technischen Herausforderungen anzupassen. Viele Geschäftspraktiken im Netz ignorierten derzeit geltende Schutzbestimmungen. Es sei daher an der Zeit, das Vertrauen der Konsumenten in das digitale Umfeld auszubauen und dem Unterlaufen bestehender Regeln Einhalt zu gebieten. Die britische Bürgerrechtsorganisation Statewatch hat ebenfalls positive Aspekte in der Mitteilung ausgemacht. Sie moniert zugleich, dass Brüssel mit dem Vorstoß den “freien Datenfluss” im Binnenmarkt sicherstellen will und sich so auf einen Spagat vorbereite. Unverständlich sei, dass die Kommission noch vor der Modernisierung des Rahmenwerks ein spezielles Datenschutzabkommen mit den USA anstrebe.

Datenschutz und Datensicherheit beim neuen Personalausweis

Quelle: Der Bundesbeauftrgte für den Datenschutz und die Informationsfreiheit (bfd.bnd.de), 29.10.2010

Wie bisher dürfen Behörden und Unternehmen die Seriennummern grundsätzlich nicht zum Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien verwenden.

Fingerabdrücke dürfen nur auf freiwilliger Basis und nur auf dem Chip im Ausweis gespeichert werden. Die Benachteiligung von Personen, auf deren Ausweisen keine Fingerabdrücke gespeichert sind, ist unzulässig.

Bei Nutzung des neuen Personalausweises zur Identifikation gegenüber Internetdiensten (der sogenannten eID-Funktion) sollten nur sichere Chipkarten-Lesegeräte (mindestens der Sicherheitsklasse 2, sogenannte „Standardlesegeräte“) verwendet werden. Man erkennt die Standardgeräte  insbesondere an einer integrierten Tastatur, mit der die PIN zur Freischaltung der eID-Funktion eingegeben wird.

Die Nutzung der Signaturfunktion ist technisch nur mit Lesegeräten der höchsten Sicherheitsklasse 3 („Komfortlesegeräte“) möglich. Diese besitzen unter anderem als festen Bestandteil eine eigene Tastatur und ein Display.

Da die Chipkarten-Lesegeräte der Sicherheitsklasse 1 („Basislesegeräte“), über keine eigene Tastatur verfügen, muss bei diesen die PIN über die PC-Tastatur eingegeben werden. Dadurch könnte es Hackern möglich sein, die PIN auszuspähen, wenn der PC durch Spionagesoftware infiziert ist. Angesichts dieser Gefahr ist es insbesondere bei der Verwendung von  Basislesegeräten unbedingt erforderlich, dass der zur elektronischen Identifizierung eingesetzte PC durch aktuelle Antiviren-Software und eine Firewall gegen Trojaner und Computerviren geschützt ist.

Datenschutz als wichtiger Teil unternehmerischer Verantwortung

Wirtschafts-, Sozial-, Politik- und Kommunikationswissenschaftler messen der Corporate Responsibilty (CR) von Unternehmen weiter wachsende Bedeutung bei. Corporate Responsibility oder Unternehmensverantwortung beschreibt den Grad des Verantwortungsbewusstseins eines Unternehmens in Bezug auf die Auswirkungen seiner Geschäftstätigkeit auf die Gesellschaft, die Mitarbeiter, die Umwelt und das wirtschaftliche Umfeld.
In einer Zeit, in der Arbeitgeber sich auf stärkeren Wettbewerb um qualifizierte, engagierte Mitarbeiter einstellen, und in der Kunden und Partner immer stärker auf gelebte Verantwortung von Unternehmen achten, wird der Grad der jeweiligen Unternehmensverantwortung häufig zum entscheidenden Erfolgsfaktor.
Eine wichtige Rolle innerhalb der verschiedenen Faktoren, die insgesamt Corporate Responsibility bestimmen, spielt das Thema Datenschutz.

Immer mehr Unternehmen veröffentlichen Berichte über ihre Corporate Responsibility – und ein Abschnitt zum Thema Datenschutz ist für viele ein fester Bestandteil. Nachdem Corporate Responsibility Reports zunächst vor allem von größeren Unternehmen und Konzernen regelmäßig herausgegeben wurden, kommen mittlerweile auch immer mehr mittelständische Unternehmen dazu, CR zu einem nach innen und außen getragenen Thema zu machen. CR wird zum Unternehmenskapital, und Unternehmen, die das Gebot zu Transparenz missachten, schaden sich mittelfristig selbst.

Vom Saulus zum Paulus?
Eine ganz besonders bemerkenswerte Entwicklung ist bei der Deutschen Telekom zu beobachten: Der Dienstleistungskonzern, der in der jüngeren Vergangenheit noch durch die sog. Bespitzelungsaffäre negative Schlagzeilen machte, glänzt seit diesem Jahr mit vorbildlichem Verhalten. Ein Auszug aus dem „Corporate Responsibility Bericht 2010“ der Deutschen Telekom:
„…Transparenz: Datenschutzbericht, Datenschutz-Homepage und „Open Book“.
Für die Telekom ist es besonders wichtig, das Thema Datenschutz transparent zu gestalten. Um der Öffentlichkeit Informationen rund um die Handlungsfelder Datenschutz und Datensicherheit zugänglich zu machen, veröffentlicht sie als erstes der DAX-30-Unternehmen jährlich einen Datenschutzbericht, der sämtliche Vorgänge im Konzern dokumentiert, die das Thema betreffen. …“
http://cr-bericht.telekom.de/site10/de/strategischer-ansatz/compliance/datenschutz-und-sicherheit/index.php

Auch die Deutsche Bahn AG, die für Verletzungen des Datenschutzrechts vor Kurzem eine Geldstrafe von mehr als einer Million Euro zahlen musste, bemüht sich Konsequenzen mit Außenwirkung zu ziehen. So hat der Transportkonzern in diesem Jahr einen „Datenschutz-Beirat“ gegründet, der den Konzern-Vorstand in allen Fragestellungen von Datenschutz und Datensicherheit beraten soll.

Bedauerlicherweise sind nicht alle bereits „ertappten Sünder“ so lernfähig:
So tauchen die Begriffe Datenschutz und Datensicherheit in dem Kapitel „Verantwortung“ der elektronischen Selbstdarstellung des in die Schlagzeilen gekommenen Einzelhandelsdiscounters Lidl nicht einmal auf.

Aber wir wollen die Hoffnung nicht aufgeben, oder?

Alexander Kroll
Alexander Kroll Public Relations
http://www.alexander-kroll-online.de/

PrivCom Datenschutz GmbH – Hamburg
Datenschutzberatung
http://www.privcom.de/

Workshop zu IT-Sicherheit und Datenschutz am 1.7.2010 in Münster

01.07.2010, Workshop, Münster / Westfalen

IT-Sicherheit und Datenschutz – rechtliche Anforderungen an Geschäftsführung und IT-Leiter

Rechtsanwältin Anna Cardillo referiert über die rechtlichen Anforderungen aus den gesetzlichen Vorgaben von Datenschutz und Datensicherheit an Geschäftsführungen und IT-Verantwortliche.

Nähere Informationen und anmeldung über

Rechtsanwaltskanzlei Anna Cardillo

Rothenbaumchaussee 71

20148 Hamburg

Telefon: +49 (0) 40 – 413 56 190

Fax: +49 (0) 40 – 413 56 192

Mobile: +49 (0) 175 11 84 663

E-Mail : info@ra-cardillo.de

http://www.ra-cardillo.de

Business Lunch zu Datensicherheit und Cloud IT am 3.6.2010 in Hamburg

Datensicherheit und Cloud IT: wie passt das zusammen?

Dr. Bettina Kähler informiert am 3. Juni 2010 über die Vereinbarkeit von Datenschutz und Cloud Computing

In der jüngeren Vergangenheit wurde viel über Cloud Computing diskutiert und geschrieben. Die Chancen und Vorteile vom “Rechnen-Lassen in der digitalen Wolke” haben besonders bei sehr kostenorientierten IT-Verantwortlichen großen Eindruck hinterlassen.

Datenverarbeitung in der Wolke hat aber durchaus Merkmale, die besonders aus Datensicherheitserwägungen und aus datenschutzrechtlicher Sicht bedacht und berücksichtigt werden sollten.

Dr. Bettina Kähler, Rechtsanwältin und Geschäftsführerin der PrivCom Datenschutz GmbH, Hamburg, informiert am 3. Juni 2010 im Rahmen der Veranstaltung “4 Schritte zur Datensicherheit” über die rechtlichen Aspekte, die im Thema Cloud Computing zu beachten sind. Erfahren Sie, welche gesetzlichen Pflichten beachtet werden müssen und welche Rechte Sie als Nutzer der Cloud haben.

Wir laden Sie herzlich ein, an dieser Veranstaltung teilzunehmen:

Business Lunch

4 Schritte zur Datensicherheit

Donnerstag, 3. Juni 2010, 09:00 – ca. 13:00 Uhr

25HOURS Hotel Hamburg, Paul-Dessau-Strasse 2,

22761 Hamburg

Die Teilnahme an der Veranstaltung und dem sich anschließenden 2-Gang-Mittgessen ist bei vorheriger Anmeldung kostenlos.

Weitere Informationen und Anmeldung:

PrivCom Datenschutz GmbH

http://www.privcom.de