DSGVO – Panik?! Was Sie wirklich tun müssen.

Neu: Videos zur Kurzinformation:  Englisch  / Deutsch

Mein Kollegen von Mission 100, Michael Erner und ich* haben schon vor einer Weile beschlossen, der Panikmache rund um die DSGVO den Kampf anzusagen. Was seit rund anderthalb Jahren durch viele Berater, Anwälte und Revisionsfirmen kommuniziert und verteilt wird, schlägt jedem Fass den Boden aus. Da wird hemmungslos mit dem FUD (Fear, Uncertainty, Doubt) Prinzip argumentiert, ohne die offenen Fragen rund um die DSGVO-Umsetzung  zu kennen, geschweige denn zu adressieren.

Was auf dem Papier steht, muss noch lange nicht so umgesetzt werden!  Schon die Tatsache, dass wir es mit einem Geflecht von verschiedenen Rechtssystemen zu tun haben, die in sich weder abgestimmt noch widerspruchsfrei sind, müsste dem Praktiker sagen, dass es mit der Umsetzung ziemlich haarig werden wird. Noch viel schwieriger wird es, wenn man die Umsetzung im Hinblick auf die Konformitätsbeurteilungen betrachtet. Während heute jedes Land, Bundesland, Kanton, … eine eigene Aufsichtsbehörde hatte und diese auch autonom Prüfungen nach eigenem Ermessen durchführen, sollte nun vom Mai 2018 EU weit plötzlich alles klar und einheitlich sein! Dem ist natürlich nicht so. Die Aufsichtsbehörden versuchen derzeit, sich im Hinblick auf die Harmonisierung der Umsetzung abzustimmen, das wird mehr oder weniger erfolgreich sein. Zu einer einheitlichen Praxisauslegung der DSGVO Bestimmungen wird es kaum führen.Es ist zu erwarten, dass es wie bei anderen Regulierungen ein aktives “Forum Shopping” (Forum shopping bezeichnet die Möglichkeit, unter mehreren zur Verfügung stehenden Gerichtsständen auszuwählen.) einsetzen wird.

*Bruno Wildhaber und Michael Erner sind akkreditierte Datenschutz Sachverständige beim Unabhängigen Landeszentrum für Datenschutz, Schleswig-Holstein (ULD) und international tätige Datenschutz Experten (Europa, Südafrika).

Was bedeutet das für uns Anwender und Anbieter von IT-Lösungen?  Das haben wir in einem  Whitepaper zusammengefasst (Download) –> Link auf der KRM Website

 


Weitere Informationen zur DSGVO:

Vergleich CH DSG neu – DSGVO

DSGVO Kurz Assessment

Umfassende Informationen rund um unsere Datenschutz-Dienstleistungen finden Sie hier.

 

DSGVO/GDPR Penetration Testing

Neu: Datenschutz Pentesting und Social Engineering!

Ab September 2017 können Sie bei uns Ihre DSGVO/GDPR Bereitschaft testen lassen! Analog von Ethical Hackern testen wir Ihre Reaktionsmuster, Organisation und Infrastruktur auf ihre Konformität mit den ab Mai 2018 geltenden DSGVO/GDPR Regeln.

Haben Sie sich schon einmal gefragt, ob ihre Organisation wirklich in der Lage wäre, die Anforderungen der neuen Datenschutz Grundverordnungen (DSGVO) zu bewältigen?
Derzeit wird viel Energie in die Prävention und vor allem  in die vertragliche Absicherung gesteckt. Alle diese Massnahmen sind notwendig, doch schiessen sie oftmals auch über das Ziel hinaus oder sind ineffizient – vor allem: Niemand weiss, wie gut die Datenschutz-Massnahmen wirklich sind! Insbesondere wird vergessen, dass das Kontrollsystem ein Ganzes bildet, welches in seiner Konzeption von Prävention, Überwachung und Wiederherstellung in sich geschlossen und integer sein muss.
Seit vielen Jahren liefert das Ethik Hacking, d.h. das Hacken im Auftrag durch Sicherheitsspezialisten, wichtige Rückschlüsse für die Aufdeckung von Sicherheitslücken. Solche Angriffe im Auftrag des Betroffenen erlauben wesentliche Aufschlüsse darüber, ob er seine Vorbereitungsarbeiten richtig ausgeführt hat. Gleichzeitig wird auch die Reaktion überprüft und die Ergebnisse zeigen schonungslos auf,  wo die Organisation wirklich steht.
Genau dasselbe unternehmen wir, wenn wir Ihre Organisation auf ihre DSGVO-Reife überprüfen. Wir simulieren dabei verschiedene Angriffsmustern, die wir entweder mit Ihnen absprechen, oder diese autonom ausführen. Der Umfang dieser Aktivitäten wird mit Ihnen im Vorfeld abgesprochen und es werden Zeit, Dauer und Intensität der Überprüfung vereinbart. Ebenso werden die Rahmenbedingungen geregelt: Soll auf die rein administrativen und organisatorischen Abläufe geprüft werden? Sollen auch technische Systeme oder der Abruf von Daten geprüft werden? Tritt man als möglicher Vertragspartner auf und lässt sich den Verkauf von Personendaten anbieten? Wie geht die Organisation mit Auftragsdatenverarbeitung um? Findet die Organisation die verlangten Personendaten innerhalb der geforderten Frist? Wie gut ist Ihre Information Governance?
Wir entwickeln vor dem Einsatz verschiedene Szenarien und spielen diese dann mit Ihnen durch.
Sind Sie interessiert? Dann verlangen Sie einen unverbindlichen Informationstermin.

Datenwirtschaft, Datenpolitik und Datenregulierung in der Schweiz

Am 30. Januar 2017 fand in Bern eine Veranstaltung zu den erwähnten Themen statt, Thematisiert wurden v.a. die Rahmenbedingungen und Überlegungen, Strategien und Handlungsoptionen von Bund, Unternehmen und dem Einzelnen. Organisiert wurde die Veranstaltung von SwissHoldings, einer Interessenorganisation grosser Handels- und Industrieunternehmen, unter der Federführung des ehemaligen KRM Mitgründers Jacques Beglinger. Die Veranstaltung war ausgebucht, das Interesse entsprechend gross.

Agenda:

  • Datenbewirtschaftung als ökonomischer Motor – Herausforderung und Praxis in den Unternehmen
  • Wie die Digitalisierung und die Datennutzung international reguliert werden
  • Ansätze zur Digitalierungs- und Datenregulierung in der Schweiz

Anwesend waren sehr viele Juristen und Vertreter des Bundes sowie von Forschung und Lehre.

Vieles während dieser Veranstaltung „in the cloud“ (den Begriff nebulös wollen wir mal hier bei Seite lassen). Tatsächlich bewegten sich vor allem die Vertreter des Bundes auf einer Flughöhe, die man also normaler Schmalspurpilot wohl nie erreichen wird. Immerhin gibt es vom Bund seit 2016 ein Strategiepapier zum Thema Digitale Schweiz, welches durchaus lesenswert ist.

In einem geopolitischen Umfeld, welches primär durch Abschottung geprägt ist (der Economist hatte vor ca. 3 Jahren den Begriff der „Balkanisierung“ des Internets ins Spiel gebracht), wird es zunehmend schwieriger, eine konsistente Handlungsweise zu etablieren. Konsistent – aber womit, dass ist doch die Kernfrage. Jene, welche die Übernahme des Datenschutzrechts der EU massregelten, mussten zur Kenntnis nehmen, dass selbst das Privacy Shield Abkommen durch Hrn. Trump in Frage gestellt wird. Im übrigen wurde durch den Bund soeben die CH-Version des Privacy Shield verabschiedet.

Soll sich die Schweiz hier einfach den Datenschutz-Vorgaben der EU fügen? Hier hätte man sich eine intensivere Diskussion gewünscht. Ebenso zur Grundsatzfrage, ob Datenschutz überhaupt noch eine Menschenrecht sein soll. Fakt ist, dass sich heute vermutlich 80% aller Benutzer über den Datenschutz keine Gedanken machen. Die Europaratskonvention 108, welche eben dieses Recht stipuliert, ist der wesentliche Treiber, doch blockiert hier z.B. Russland seit 2011 die weitere Entwicklung (also doch eher eine „l‘art pour l‘art“ Diskussion?). Ansonsten war Datenschutz Bashing wie immer beliebt. Das hat vor allem damit zu tun, dass die negativen Auswirkungen auf den Einzelnen noch nicht eingetreten sind, auch das wurde leider nicht thematisiert.

Für den normalen Industrievertreter war es ein schwieriger Abend. Die Themen, die wirklich interessant gewesen wären (z.B. die Frage nach Daten im Konkurs) wurden nicht beantwortet, bzw. offenbar nicht einmal thematisiert. Ausserdem fehlt dem Bund tatsächlich eine rechtliche Landkarte, welche Themen für die Wirtschaft wirklich Handlungsbedarf besteht. Immerhin hat der Bund einen Bericht zu den Rahmenbedingungen der digitalen Wirtschaft publiziert, allerdings handelt es sich dabei bisher eher um einen Auftragskatalog. Darin gibt es einen Auftrag an das SECO, die Rahmenbedingungen der Digitalisierung zu prüfen („Digitalisierungstest“). Dazu lässt man sich bis 2018 Zeit! Würde man die Praktiker fragen, hätte man die Antwort in einer Woche. Auch nicht klar wurde die Haltung gegenüber den Monopolanbietern Uber und Co. Hier könnte man erwarten, dass es seitens des Bundes zumindest Überlegungen gibt, wie man eine Monopolisierung dieser Märkte verhindern könnte.

Fazit: Während sich der Bund in einsame Höhen schraubt, bleibt dem dem normalen Industrievertreter oder dem Praktiker nur das Staunen. Es scheint sich zu bewahrheiten, dass die Beamten in Bern je länger je mehr von der Wirtschaft entkoppelt sind. Es wird wohl langsam Zeit, dass hier wieder ein Umdenken stattfindet. Den Lobbyisten im Parlament sei geraten, das Thema einfach und klar zu kommunizieren und sich wieder auf die Grundlagen zurück zu besinnen. Vor allem ein Blick in die Wirtschaft wäre wünschenswert. Es gibt mittlerweile genügend Spezialisten, die sich tagtäglich mit diesen Themen auseinandersetzen.

PS: Die Geschäftsbücherverordnung wurde Ende der neunziger Jahre durch Industrievertreter, d.h. eine Kommission des Swico erarbeitet. Ein Vorgehen, welches heute schlicht undenkbar wäre.

PPS: Politiker waren fast keine da (ausser dem umtriebigen SR Noser, welcher die Begrüssungsrede hielt), auch dies ist keine neue Erfahrung. An der Politik geht die grösste Entwicklung seit der Erfindung des Flugzeugs vorbei. Milchzuschläge können vermutlich noch immer 100x mehr Politiker aus dem Vorruhestand bewegen als die unmittelbare Zukunft der Schweizer Wirtschaft.

Revision des Schweizerischen Datenschutzgesetzes

Worum geht es?

Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf für das neue Datenschutzgesetz der Schweiz präsentiert. Seit längerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag präsentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europäischen Gemeinschaft, die mit der neuen Datenschutz Grundverordnung (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.

Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot für EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.

Was sind die wichtigsten Inhalte und wo gibt es wesentliche Änderungen?

Die Schweiz übernimmt die wesentlichen Änderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es würde zu weit führen, hier sämtliche Änderungen aufzulisten, hierzu wird noch ausführlich Stellung genommen. Eine Arbeitsgruppe des SWICO wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).

Grundprinzipien

Voraus sei gesagt: Vom Grundsatz der „Informationellen Selbstbestimmung“ wird nicht abgewichen. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsmässige Grundrecht, dass jede Person über ihre Daten selbst entscheiden kann, weitergeführt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit persönlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Persönlichkeit noch einem gesellschaftlichen Bedürfnis entspricht,. Diese Diskussion muss zwingend geführt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europäischen Prinzipien international auf starken Widerstand stossen wird (vgl. die Lobbyarbeit der amerikanischen Anbieter im Rahmen der Verhandlungen im EU-Parlament).

Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verständnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europäischen Regelungen an.

Berücksichtigung neuer Techniken

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen).

Rechte der Betroffenen

Die Rechte der Betroffenen wurden massiv verbessert. Es gibt mehr Arbeit für den eidgenössischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen grösseren Ausbau dieser Behörde zur Folge haben wird. Hier dürften die Rückmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.

Pflichten des Verantwortlichen und des Bearbeiters

Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, Daten zu berichtigen und den Datenschutzbeauftragten zu informieren, wenn Manipulationen oder Verluste von Personendaten zu befürchten sind (Art. 17).

Der Betroffene hat ein jederzeitiges Auskunftsrecht über alle Datenbestände und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdrücklich festgehalten. Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.

Neu festgehalten wird ein explizites Recht auf Löschung, welches auch durch die Erben ausgeübt werden kann („Digitaler Tod“, Art. 12). Auch dieses gilt selbstverständlich über alle angelegten Datenbestände. Nach wie vor gilt natürlich auch das Recht auf die Datenberichtigung. Offensichtlich unrichtige Daten müssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden können. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gelöst werden müssen. Der Verantwortliche muss also Verfahren zur Verfügung stellen, die es den Betroffenen ermöglichen, unrichtige Daten so anzupassen, dass sie mit der äusseren Realität in Einklang stehen. Das ist eine Herausforderung für die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.

Neu werden die Pflichten im Rahmen der Auftragsdatenverarbeitung explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende Pflichten zur Meldung verschiedenster Tatbestände rund um den Datenschutz. Im europäischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Auslöser von vertraglichen und technischen Kontrollsystemen und wird damit auch für die Schweiz wesentlich wichtiger.

Neu aufgenommen und von grosser Bedeutung für die Unternehmen ist die Pflicht zur Dokumentation der Verfahren. Art. 19 fordert explizit eine Dokumentation aller Verfahren. Damit bewegt man sich auf einem ähnlichen Terrain, wie bei der Verfahrensdokumentation im Rahmen der Aufbewahrungspflichten der Geschäftsbücherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.

Risikoanalyse, Prüfung und Zertifizierung

Neu verlangt das Gesetz nach einer Vorprüfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gefährdet sein könnten. Diese Prüfung wird Datenschutz-Folgenabschätzung genannt (Art. 16). Auch hier handelt es sich um eine Übernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine Risikoanalyse, welche durchgeführt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabschätzung muss erstellt werden und ist dem eidgenössischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine präventive Massnahme, die aber etwas schwerfälliger ausgestaltet wurde. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabschätzung zu beurteilen. Diese Frist, wird sich höchstwahrscheinlich in der Praxis nicht durchsetzen können. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. Das Instrument der Datenschutz-Folgenabschätzung ist unbedingt zu begrüssen. Es verhindert Implementationen von Lösungen, die später mit viel Aufwand angepasst werden müssen (und unter Umständen zur strafrechtlichen Verantwortlichkeit führen).

Nach wie vor möglich ist die Zertifizierung, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europäischen Vorgaben orientiert, wird es möglich sein, auch europäische Zertifizierungen zu nutzen, die auf Produkte wie auch auf Verfahren ausgestellt wurden.

Strafandrohungen

Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die neue Strafandrohung. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich verschärft. In der EU gilt eine Strafandrohung von 2-4 % des weltweiten Konzernumsatzes bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als Höchstgrenze den absoluten Betrag von Fr. 500’000.- an (Art. 50, allerdings nur bei Vorsatz, bei Fahrlässigkeit gilt die Hälfte). In der Praxis dürfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das dürfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. Die Schweiz hat hier allerdings wenig Spielraum, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten können. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro beträgt ist für Diskussionsstoff gesorgt.

Von Safe Harbour zu Privacy Shield – wann haftet der Verwaltungsrat?

Hintergrund: Mit der informellen Aufkündigung des Safe Harbour Prinzips durch das EuGH Urteil vom 6.10.2015 wurde  die Rechtslage vor allem für die amerikanischen Unternehmen ungemütlich.Weitere Informationen und Schlussfolgerungen zur Entwicklung finden Sie hier.

Am 12. Juni 16 wurde ein neues Abkommen unter dem Titel “Privacy Shield” abgeschlossen. Ein Artikel in der Zeit beschreibt die Inhalte sowie die Kritikpunkte treffend. Es ist davon auszugehen, dass auch das neue Abkommen beim EuGH landet, Insofern besteht nach wie vor eine grosse Rechtsunsicherheit, was die datenschutzkonforme Behandlung von Personendaten in den USA angeht.

Gleichzeitig kämpft Microsoft in zweiter Instanz gegen den amerikanischen Staat. Es geht um die Herausgabe von Daten auf Servern, die in Irland stehen und auf welche die amerikanischen Strafverfolger gerne Zugriff hätten. Microsoft hat den erstinzanzlichen Entscheid weiter gezogen, der die Herausgabe forderte. Es ist damit zu rechnen, dass auch der nächste Entscheid weitergezogen wird, was bedeutet, dass die amerikanischen Unternehmen frühestens in zwei Jahren wissen, wie sich die Rechtslage tatsächlich präsentiert.

Google hat diese Probleme nicht, denn Google verweist ausdrücklich auf amerikanisches Recht. Folglich sind alle Google Daten bereits unter amerikanischer Kontrolle.

Was sind die Auswirkungen für die Schweiz? Erstens kann an davon ausgehen, dass die Schweiz das Safe Harbour Abkommen mit den USA ebenfalls aufheben muss (denn wir hängen indirekt an der EU Gesetzgebung). Würde sie dies nicht tun, würde sie von der EU als unsicheres Drittland eingestuft.

Was bedeutet diese Entwicklung für internationale Konzern oder Unternehmen, die mit den Amerikanern Daten austauschen? Was ist Ihre Verantwortung als VR oder GL-Mitglied?

  1. Privacy Shield wie auch Safe Harbour sind bzw. waren rein rechtliche Konstrukte, die es ermöglichen, mittels der Selbstdeklaration einen Freibrief zu erhalten, um Daten zu exportieren.  In jedem Fall sind  Sie direkt verantwortlich für den Umgang mit Daten aus Ihrem Unternehmen, v.a. aber von Daten Ihrer Kunden. Als VR haften Sie direkt nach OR 716, sollten Gesetzesverletzungen vorliegen.
  2. Es ist zwingend, dass Sie sofort abklären, ob sie betroffen sind. Den in dem meisten Fällen wissen sie nicht, ob sie tatsächlich Daten mit den USA austauschen. Im Zweifelsfall ist dies der Fall. Die meisten Cloud Dienste nutzen Server in den USA, meist ohne Wissen der Anbieter. Gehen Sie davon aus, dass Ihre Unternehmensdaten auch in USA gehalten werden!
  3. Sie müssen nun eine aktive  Strategie zur Behandlung dieser (und anderer Daten) entwickeln. Das Safe Harbour Prinzip hatte den Vorteil, dass eine einfache Vertragsklausel genügte, das ist jetzt vorbei.
  4. Dies ist eine Herausforderung, die nur mit einer klaren Strategie bewältigt werden kann.
  5. Sie müssen zumindest die folgenden Fragen beantworten können:
    • Wo sind unsere Daten gespeichert?
    • Wer ist dafür verantwortlich?
    • Wem gehören die Daten?
    • Nach welchen Regeln wurden diese Daten erhoben?
    • Welche Verträge haben Sie mit Ihren Kunden/Datenlieferanten/Mitarbeitern?
    • Wer hat die Daten erhoben und wurden sie weitergegeben?
    • Welche Sicherheitsmassnahmen sind aktiv?
    • Welche Neurisiken entstehen aus der aktuellen Situation?
    • Stimmen Sicherheits- und Datenschutzkonzepte überein?
    • Ergänzen sich Datenschutzmassnahmen und technische Sicherheitsmassnahmen?

Gerne unterstütze ich Sie bei diesen Herausforderungen. Als akkreditierter Datenschutz-Sachverständiger am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein kenne ich mich auch mit den Europäischen Positionen aus. Zudem können wir Sie über das Expertennetzwerk Mission 100 mit  kompetenten Datenschutzexperten verbinden.

 

Ashley Madison und die Lehren daraus

Grosse Aufregung um den Hack des Fremdgeh-Portals Ashley Madison. Es drohen Sammelklagen in Millairdenhöhe, viele sind empört (zumindest gegen aussen) und versuchen, den guten Schein zu wahren. Nun kann man mit guten Recht argumentieren, diejenigen Männer, die sich da angemeldet haben, seien selbst schuld (nach Schätzungen waren ca. 12’000 der angemeldeten User Frauen, bei total ca. 10 Millionen Accounts). Das Beispiel zeigt jedoch nicht nur die Risiken für den Anbieter, sondern vor allem für diejenigen, die ihre persönlichen Daten im Internet hinterlegen. Prominente Politiker müssen nach öffentlicher Beichte zurücktreten, CEOs werden degradiert. Was mit AM passiert ist, könnte  mit Facebook und Co. ebenfalls passieren (statt “könnte” wäre wohl “wird” passender). Leicht machen es sich jene, die glauben, es handle sich hier um ein Phänomen, welches nur im privaten Bereich existiert. Ich behaupte, in Unternehmen wird noch viel sorgloser mit Unternehmensdaten umgegangen. Im falschen Glauben, man könne Mitarbeitende an sich binden, indem man ihnen alle (technologischen) Wünsche erfüllt, werden Tür und Tor für den Missbrauch geöffnet. Eine straffere Führung der Unternehmen und ein reifer Umgang mit Daten wäre gefragt. Leider sind aber 90% der Führungskräfte nicht gewillt, unpopuläre Massnahmen zum Schutz des Unternehmens umzusetzen. Meist sind sogar GL und VR Mitglieder die ersten, welche die neusten Gadgets und Apps benötigen. Dies oftmals unter Umgehung existierender Unternehmensregeln. Eine Vorbildfunktion sieht anders aus! Diskutieren Sie mit, am 10.11.2015 wird das Information Governance Competence Centre Schweiz (KRM)  in Zürich eine Veranstaltung zu: “Big Data Chancen und Risiken für VR/GL” zu diesen und verwandten Fragen durchführen.

8 Grundsätze zur Wahrung der Privatsphäre

Wie sollen wir uns als Private, aber auch als Verantwortliche von Unternehmen verhalten, um unsere Privatsphäre zu wahren und unsere Geheimnisse zu schützen?  8 Grundsätze, die primär zum Denken anregen sollen:


Definieren Sie, was für Sie PRIVAT und GEHEIM bleiben soll.  Machen Sie keine Kompromisse und halten Sie das in ihrer persönlichen Papieragenda fest. Davon darf nichts ins Netz oder mit elektronischen Online-Mitteln bearbeitet werden.

  1. Brauchen Sie Cloud Dienste wirklich? Wieso soll die Cloud-Synchronisaton für sein als die direkte Synchronisation von Daten? Es gibt nach wie vor eine Vielzahl von  SW-Anbietern, die nicht cloudbasierte Anwendungen anbieten. Vergessen Sie Cloud Dienste, die nicht  im Inland gehostet werden und deren Betreiber Sie nicht persönlich kennen. Setzen Sie selbst einen Server auf oder machen Sie das in Gruppen, das ist nicht besonders schwierig. 
  2. Verlassen Sie sich nur auf Sicherheit von Anbietern, die vertrauenswürdig sind und die lokal tätig sind und weder US Unternehmen sind noch Ländern angehören, die bekanntweise auf aktive Spionage aus sind: “All Data Business is local”. Dies bedeutet auch, dass Sie vermehrt die lokale und europäische IT-Industrie berücksichtigen (ohne die notwendige Sorgfalt aus den Augen zu verlieren).
  3.  Machen Sie sich drauf gefasst, dass das Internet wie wir es heute kennen, auseinanderbrechen wird (schon aus militärischen Gründen unumgänglich). Wir werden zehn bis zwanzig  sichere und hundert Junk-Netzwerk bekommen (analog der heutigenTV-Landschaft). Zu welchem Sie Zugang haben, bezahlen Sie selbstverständlich. Kritische Infrastrukturen werden vom Staat über speziell geschützte Kanäle verbunden. Gehen Sie davon aus, dass Ihre Cloud-Daten von heute auf morgen nicht mehr verfügbar sein werden. 
  4. Verschleiern Sie Ihre privaten Daten und legen Sie, sofern Sie in sozialen Medien aktiv sind, eine Vielzahl von widersprechenden Profilen an. Ignorieren Sie AGBs, die solches zu verhindern suchen. Nutzen Sie keine automatischen Weiterleitungs- und Empfehlungsdienste. Prüfen Sie regelmässig, ob Daten über Se noch eine akkurat Aussage ermöglichen. Verlangen Sie Geld für Ihre Daten.
  5. Decken Sie die Überwacher und Spione mit grossen Datenmengen zu. Das Datenwachstum ist nämlich selbst heute noch so hoch (und nimmt weiter rasant zu), dass bereits ein prozentuales Wachstum im einstelligen Bereich die Überwachungssysteme zudecken wird.
  6. Bekämpfen Sie Überwachungsmittel wir Google-Glass und ähnliche Gadgets, die das Ende jeder Privatheit ermöglichen. Machen Sie sich politisch stark und stützen Sie die Bemühungen der Datenschutzbehörden (auch wenn die gegenwärtig ziemlich im Abseits stehen). Bringen Sie das Thema auf die politische Agenda und wählen Sie Politiker, die eine Ahnung von diesen Themen haben. Machen Sie sich für das “Recht auf Vergessen” stark.
  7. Und klar, beherzen Sie,was wir seit 20 Jahren  erzählen. Setzen Sie Verschlüsselungsmittel ein (es ist kein Zufall, dass es bis heute keine Verschlüsselungstools gibt, die wirklich einfach in der Anwendung sind). Denken Sie aber daran, dass die Verkehrsflussanalyse kaum unterbunden werden kann. Technik mag helfen, kann aber die aktive Prävention nie ersetzen (sonst wären wir alle sicher, denn pro Jahr werden rund 80 Mia. USD mit IT-Sicherheitsprodukten umgesetzt).