Ist ein „AGG-Archiv“ zulässig?

Will ein Unternehmen neue Leute einstellen, so muss es dabei das allgemeine Gleichstellungsgesetz (AGG) beachten. Das bedeutet konkret, dass Bewerber und Bewerberinnen nicht aufgrund von Rasse oder ethnischer Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität beim Auswahlverfahren benachteiligt werden dürfen. Man möchte das eigentlich für selbstverständlich halten, da keines dieser fünf Kriterien ins Personalbüro gehört. Schließlich geht es im Job und Beruf meist um Leistung, Können und Kompetenzen.

Nichtsdestotrotz war so ein Gesetz notwendig, da etliche Unternehmen immer noch nicht im 21. Jahrhundert angekommen waren und sich sogar die EU genötigt sah, hier beschleunigende „Entwicklungshilfe“ in Form mehrerer Richtlinien zu schaffen, aus denen dann das deutsche AGG hervorging.

Wirtschaftsverbände und rechtskonservative Kräfte schürten daraufhin nach Kräften die Angst vor sogenannten „AGG-Hoppern“. Also vor Leuten, die sich in betrügerischer Ansicht nur zum Schein bewerben, um dann einen Benachteiligungsfall zu konstruieren und das damit verbundenen Schadensersatz (immerhin drei Monatsgehälter) abgreifen zu können.

Zudem entstanden fragwürdige Angebote wie das AGG-Archiv. Hier tritt eine private Anwaltskanzlei auf und bietet verunsicherten Personalchefs einen Dienst der besonderen Art an:

„Über die E-Mail-Adresse … kann jeder Arbeitgeber, jeder Rechtsanwalt und jedes Gericht anfragen, ob ein bestimmter Bewerber in der Vergangenheit bereits mit Entschädigungsklagen wegen angeblicher Diskriminierung bei Bewerbungen aufgefallen ist.

Es reicht die Mitteilung von Name, Vorname und Anschrift des Anspruchstellers. Hat dieser schon mindestens zweimal gegenüber anderen Arbeitgebern einschlägige Entschädigungsansprüche geltend gemacht, teilt das AGG-Archiv die Anschrift derjenigen Anwälte bzw. Personalleiter mit, die die früheren Fälle gemeldet hatten. Es ist dann Sache des Anfragenden, sich mit diesen Personen in Verbindung zu setzen, um gegebenenfalls nähere Auskünfte zu erhalten. Anfragen bearbeitet das AGG-Archiv unverzüglich (üblicherweise noch am gleichen Werktag). Die Auskünfte sind kostenfrei.“

Da hält also eine Anwaltskanzlei Firmen scheinbar dazu an, gegen das Bundesdatenschutzgesetz zu verstoßen. In heutiger Zeit wohl nichts all zu Schlimmes. Auch wenn dafür auch schon mal fünfstellige Geldstrafen verhängt werden können (nicht gegen die Kanzlei, sondern gegen den, der Adressdaten aus seinem Personalbüro illegal für Anfragen dahinschickt).

Anstatt ihre personalpolitischen Prozesse endlich glattzuziehen, um so GG-Risiken kostenlos auf Null zu reduzieren, werden Personaler dazu aufgefordert, Adressdaten aus Bewerbungen, welche sie nur und ausschließlich für das Auswahlverfahren zu verwenden haben, in ein (teil)öffentliches privates Vorratsdatenspeichersystem einzuspeisen, um so eine Art „schwarze Liste“ von „AGG-Hoppern“ zu schaffen.

Die Anwaltssozietät vertritt die Auffassung, dass das Archiv datenschutzrechtlich zulässig ist. Genau die gegenteilige Ansicht vertritt der Deutsche Juristinnenbund e.V. (djb), der bereits 2007 die Datenschutzbehörden eingeschaltet hat. Offenbar ohne größere Wirkung. Der djb ist der Ansicht, dass die Archivierung in unzulässiger Weise in das informationelle Selbstbestimmungsrecht der Betroffenen eingreift, die zudem von dieser „Zweitverwertung“ ihrer Daten gar nichts erfahren. Geschweige denn wissen, was genau die Kanzlei speichert, an wen sie es weitergibt und was sonst noch mit den Daten gemacht wird. Die Diskussion um diese Art der privaten Vorratsdatenspeicherung ist wohl noch nicht abgeschlossen, da mir auch keinerlei datenschutzrechtliche Entscheidungen, Verfügungen oder Urteile dazu bekannt sind.

Betriebsräte dürften da rasch wachsam werden. Schließlich sind sie bei personellen Einzelmaßnahmen mitbestimmungsberechtigt. Und üben ein sog. „allgemeines Wächteramt“ aus (d.h. sie wachen darüber, dass ihr Arbeitgeber sich an Recht und Gesetz hält, was den Umgang mit der Belegschaft angeht). Wenn sie darüber wachen, das Bewerberdaten sorgfältig und ausschließlich zum Zwecke einer korrekten Personalentscheidung verwendet wird, bleibt das AGG-Archiv ein skurriler aber wirkungsloser Reklamegag. Aber auch betriebliche Datenschutzbeauftragte dürften hier ihre Unternehmen rasch auf die möglicherweise recht teuren Risiken einer Datenschutzverletzung durch Weitergabe und zweckfremde Nutzung von Bewerber-Adressdaten hinweisen.

Die oben gestellte Frage nach der Zulässigkeit eines solchen privaten „AGG-Archivs“ beantworte ich meiner Ansicht nach klar mit Nein. Jedoch zeigt die Bereitstellung solcher Angebote durch ausgebildete Juristen, wie unklar, vieldeutig und auslegungsfähig das deutsche Datenschutzrecht manchmal zu sein scheint. Und wie wichtig ein Arbeitnehmerdatenschutzgesetz ist, dass auch Fragen der Anbahnung eines Arbeitsverhältnisses klar regelt.

djb: Schluss mit AGG-Archiv von Gleiss Lutz

Zweiter Ver.di-Newsletter zum Allgemeinen Gleichbehandlungsgesetz (PDF)

Die Freiheitsredner

Der Widerstand gegen die Ver(un)sicherheitsstaatlichung unserer Lebenswelt und unserer Infrastruktur brodelt und gärt immer mehr. Daher bilden sich nach und nach auch Initiativen, Projekte und Organisationen, die dagegen konkret angehen. Die Bürgern zeigen, was sie für Datenschutz und Sicherheit ihrer Privatsphäre tun können. Und die gegen den wirtschaftsliberalen aber zunehmend autoritären und volksfeindlichen Schäuble-Staat vorgehen.  In lockerer Folge werde ich solche Bewegungen vorstellen. Begonnen wird mit den Freiheitsrednern.

Die Freiheitsredner stellen wichtige Fragen wie diese: Brauchen wir Geheimnisse und Privatsphäre oder haben wir „nichts zu verbergen“? Kann uns der Staat vor Kriminalität schützen und können wir ihm vertrauen? Müssen wir uns überwachen lassen, um in Sicherheit leben zu können, oder können wir Freiheit und Sicherheit gleichzeitig haben?

Darauf wollen sie Antworten geben. Sie sind nach eigener Darstellung ein Netzwerk von Bürgern, die z.B. an Schulen, Universitäten und Vereinen ehrenamtlich Vorträge über den Wert der Privatsphäre und den realen Nutzen von Überwachung halten und diese Themen mit den Teilnehmern diskutieren. Auf ihrer Webseite kann man Freiheitsredner für Veranstaltungen (z.B. für Schul-, Bürger- oder Betriebsversammlungen) buchen. Oder sich selbst aktiv als Freiheitsredner beteiligen, um so zur Aufklärung breiter Bevölkerungsschichten in Sachen Datenschutz, IT-Sicherheit und IT-Recht beitragen.

Die Freiheitsredner sehen sich selbst als Bürgerinnen und Bürger, die sich für eine bessere Balance zwischen Privatsphäre und Selbstbestimmung einerseits und den Kontrollrechten der staatlichen Sicherheitsbehörden andererseits einsetzen. Sie beobachten mit Sorge die zunehmende Einschränkung unserer Grund- und Freiheitsrechte im Namen der Sicherheit. Daher wollen sie vermitteln, welche Bedeutung beobachtungsfreie Räume für uns und unsere Gesellschaft haben. Dazu klären sie darüber auf, wie groß die „Bedrohung“ durch Kriminalität wirklich ist (insbesondere im Vergleich zu konkreten Gefahren wie Arbeitslosigkeit, Verarmung, Wirtschaftswillkür, Krankheit und Pflegebedürftigkeit) und wie viel Sicherheit Überwachung da tatsächlich bewirken kann. Sie wollen zudem konkrete Ratschläge geben, wie jeder persönlich mit der zunehmenden Datensammlung und Beobachtung durch Staat und Wirtschaft umgehen kann.

Zudem der Staat ja keine echten Bemühungen zeigt, gegen Abmahnbetrug, Bankdatensammlung, Phishing, Internetbetrug, Identitätsdiebstahl, illegalen Datenhandel, untergeschobene Verträge, DSL-Providerwillkür, die oft rechtbeugenden Aktivitäten der Verwerterlobby oder auch Wirtschaftsspionage ernsthaft etwas zu unternehmen. Obwohl es da mehr als genug zu tun gäbe.

Auf ihrer Website Freiheitsredner.de wird ein Info-Flyer (PDF, 3.3 MB) an, in dem alles Wesentliche zusammengefasst wird. Hinter der Initiative der Freiheitsredner stehen der Foebud e.V sowie der Arbeitskreis Vorratsdatenspeicherung.

Datenschutzpraktiker lehnen Schaffung eines Arbeitnehmerdatenschutzgesetzes ab

Am 19.11.2008 fand in Köln das RDV-Forum, ein jährlicher Kongress der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) statt. Hauptthema dieser Fachveranstaltung zum Datenschutz-, Informations- und Kommunikationsrecht in diesem Jahr war die Frage nach der Erforderlichkeit eines Arbeitnehmerdatenschutzgesetzes.

Michael Rahe, wissenschaftlicher Mitarbeiter von Silke Stokar von Neuforn, MdB (Bündnis 90 / Die Grünen) stellte das Eckpunktepapier der Partei zur Schaffung eines entsprechenden Gesetzes vor. Handlungsbedarf sehen Bündnis 90 / Die Grünen u.a. bezüglich des Umgangs mit Bewerberdaten, dem Umgang mit Gesundheitsdaten von Arbeitnehmern, der Videoüberwachung am Arbeitsplatz und der Kontrolle der Nutzung betrieblicher Kommunikationsmittel. Betriebsrat und Datenschutzbeauftragter sollen darüber hinaus ein Widerspruchsrecht bei der Nichteinhaltung von Regelungen des Arbeitnehmerdatenschutzes zukommen, so Rahe.

Prof. Dr. Gregor Thüsing, Direktor des Instituts für Arbeitsrecht und Recht der Sozialen Sicherheit der Universität Bonn, warnte die politisch Verantwortlichen davor, dass Thema Arbeitnehmerdatenschutzgesetz lediglich vor dem Interesse zu sehen, ein „Zeichen“ gegen Datenschutzskandale der Art Telekom, Lidl & Co. setzen zu wollen.

Ein gutes Gesetz sei nicht bereits ein solches, das keinen Schaden anrichte, so Thüsing. Gesetze müssten vielmehr einem materiellen Handlungsbedarf folgen. Für den Bereich der Videoüberwachung etwa habe das Bundesarbeitsgericht klare rechtliche Rahmenbedingungen aufgezeigt. Natürlich müssten diese Leitlinien auf den jeweiligen konkreten Einzelfall heruntergebrochen werden. Daran würde aber auch die Schaffung neuer gesetzlicher Regelungen nichts ändern, da diese stets abstrakt-generell blieben. Handlungsbedarf bestehe dagegen etwa z.B. im Hinblick auf die Datenschutzkontrolle beim Betriebsrat, so Thüsing.

Nachdem die Thesen der Referenten zum Teil kontrovers diskutiert worden waren, endete der Vormittag mit einer Plenumsabstimmung. Dabei sprach sich der weit überwiegende Teil der anwesenden Datenschutzbeauftragten und -praktiker gegen ein selbstständiges Gesetz zum Arbeitnehmerdatenschutz aus. Als sinnvoll wurde es vielmehr angesehen, regelungsbedürftige Aspekte des Beschäftigtendatenschutzes im Bundesdatenschutzgesetz (BDSG) als dem „Basisgesetz“ zum Datenschutz bzw. in bestehenden Spezialgesetzen aufzugreifen. Dies könne über ein entsprechendes Artikelgesetz geschehen.

Inhaltlicher Regelungsbedarf wurde insbesondere im Hinblick auf den Umgang mit Mitarbeiterdaten im Konzernverbund gesehen. Hier bewegten sich die Unternehmen vielfach in einer rechtlichen Grauzone, da der Datenaustausch innerhalb eines Konzerns rechtlich dem zwischen sonstigen Unternehmen gleichgestellt ist (d.h. konkret er ist verboten, sofern er nicht gesetzlich, vertraglich oder einzelfallbezogen erlaubt ist). Gesetzliche Regelungen zur Videoüberwachung, Kontrolle der E-Mail- und Internetnutzung im Unternehmen und dem Umgang mit Gendiagnostikdaten im Arbeitsverhältnis wurden von den Teilnehmern ebenfalls als notwendig angesehen.

Bei dieser Vorgehensweise dürfte sich allerdings ein gravierendes Problem ergeben. Das BDSG ist auch heute schon ein „Gesetz der letzten Instanz“. Es gilt für alles, was nicht in anderen Gesetzen anders geregelt ist. Das macht das Datenschutzrecht nicht nur unnötig kompliziert sondern sorgt ganz konkret dafür, dass es mehr Ausnahmen bzw. andere Regelungen gibt, als das BDSG Paragraphen hat. Wenn also das BDSG den Arbeitnehmerdatenschutz sicher regeln soll, muss es von einem letztinstanzliche Gesetz zu einem erstinstanzlichen Gesetz aufgewertet werden.

GDD.de: Datenschutzpraktiker lehnen die Schaffung eines eigenständigen Arbeitnehmerdatenschutzgesetzes ab

GDD.de: PDF-Download eines Vortrags zum Thema Videoüberwachung am Arbeitsplatz im Rahmen des 23. RDV-Forums

Der Pädophile als Packesel für den Bürgerechtsabbau?

Die Bundesfamilienministerin Ursula von der Leyen will im Kampf gegen Kinderpornographie im Internet deutsche Provider zur Sperre von kinderpornographischen Webseiten verpflichten. Dazu will die Ministerin eine Änderung des Telemediengesetzes durchsetzen.

Diese Absichtserklärung hat in der Welt der Netzprovider für erheblichen Wirbel gesorgt. Weiß man doch aus Erfahrung, dass Regulierungen mit Bezug zum Internet in Deutschland eher erratisch und planlos erfolgen – dass also alles einschließlich des Gegenteils möglich und fachliche Inkompetenz bei an Autismus (eine Form geistiger Behinderung) heranreichende Nichtakzeptanz fachlicher Expertise die Regel ist. Und dass sich die Regierung für gewöhnlich einen Dreck um Bürgerrechte und Grundgesetz schert. „Sollen sie uns doch verklagen“ war zumindest bisher stets die Regel, so dass regelmäßig ordentlich beschlossene und in Kraft getretene Gesetze vom Bundesverfassungsgericht einkassiert und korrigiert werden müssen.

Pädophile haben aus Sicht der Regierung einen großen Vorteil: Keiner mag sie. Sie sind so was wie die Parasiten des Internets. „Neun Millimeter für pädophile Täter“ forderten NPD-Demonstranten kürzlich in Folge des sexuellen Missbrauchs eines 5-jährigen Mädchens in Magdeburg. Eine der Forderungen der Neonazis, die große Teile der Bevölkerung teilen dürften.

Tatsächlich ist der Regierung und wohl auch „Bundesblondine“ von der Leyen der sexuelle Kindesmissbrach ziemlich egal. Das ist leicht daran zu erkennen, dass es kaum ernstzunehmende (staatlich finanzierte) Forschung dazu an deutschen Hochschulen gibt. Bis heute weiß man nicht, was Pädophilie eigentlich ist und wie sie entsteht. Das aber wäre nötig, um wirksame Präventionsverfahren zu entwickeln. Gen-Defekte als Ursache lassen sich frühzeitig screenen, Krankheiten diagnostizieren und meist auch therapieren und abweichendes Sozialverhalten ist erzieherisch oder therapeutisch formbar.

Würde man allerdings eines Tages tatsächlich herausfinden, mit was man es wirklich zu tun hat, so könnte das unabsehbare Folgen haben. Man hätte die Pädophilie dann tatsächlich mit wirksamen medizinischen Mitteln endgültig und abschließend auszurotten anstatt sie bequem und unverbindlich für alles mögliche Sonstige als Packesel nutzen zu können. Denkbar wäre auch, dass Pädophilie – ähnlich wie z.B. Schizophrenie, Neurosen, ADHS usw. – als psychische Behinderung anzuerkennen wäre. Mit allen rechtlichen Konsequenzen wie z.B. Schwerbehindertenstatus, Diskriminierungsverbote, Anspruch auf Therapieleistungen, Sozialdatenschutz etc.

Der Regierung geht es um etwas anderes, eine „hidden agenda“. Einmal mehr sollen Bürgerrechte abgebaut und relativiert werden. Einmal mehr soll der starke Staat noch stärker gemacht werden. Die Salami-Taktik der stetigen Verschlechterungen und Verschärfungen gesetzlicher Regelungen ist das Instrument hierfür.

Inzwischen akzeptieren immer weniger Bürger die Verschlechterung ihrer Rechtspositionen dem Staat gegenüber als Preis des Schutzes vor „Terrorismus“. Linke, liberale und libertäre Organisationen finden immer mehr Zustimmung. Vormals nahezu unbekannte Organisationen wie das ATTAC-Netzwerk, der Foebud e.V. der Arbeitskreis Vorratsdatenspeicherung, der Chaos Computer Club e.V. oder die Piratenpartei erhalten zunehmende mediale Aufmerksamkeit.

Daher muss jetzt wohl ein neuer Schein-Gegner her der den weiteren Abbau von Bürgerrechten, wie ihn Bundesinnenminister Schäubles Pläne vorsehen, rechtfertigt. Und da bei Schäubles Auftreten mittlerweile Bürgerrechtler, Datenschützer, staatskritische Linke und Liberale sowie Vertreter von Netzkultur und NGOs auf stark erhöhte kritische Aufmerksamkeit schalten, muss jetzt anscheinend die noch nicht „verbrannte“ Ursula von der Leyen mit ihrem „Friends & Family“-Charme das Thema Bürgerrechtsabbau und Überwachungsaufbau weiter vorantreiben. Zudem werden sich gerade linke Kinderrechtler schwer tun, Maßnahmen des Gesetzgebers abzulehnen, die sich scheinbar gegen Bedroher des Kindeswohls richten. Taktisch klug eingefädelt von der Regierung.

Den echten Kinderschändern kann’s egal sein. Das Internet ist riesig und Kinderpornografie wird schon lange nicht mehr auf öffentlichen Web-Servern mit leicht zu ermittelnden Standorten und Eignerstrukturen verbreitet. Genauso gut könnte man verlangen die Autobahn für alle Fahrzeuge zu sperren, weil hin und wieder Geisterfahrer, Temposünder und Schmuggler darauf unterwegs sind.

Heise.de: Gutachten – Netzsperren greifen in Grundrechte ein

Heise.de: Bundesfamilienministerin fordert Netzsperren gegen Kinderpornographie

Heise.de: Forderung nach Webseiten-Sperrungen entzweit die große Koalition

Nachlese zum dritten deutschen IT-Gipfel

Am 20.11. fand er in Darmstadt zum dritten Mal statt: Der deutsche IT-Gipfel. In der Vergangenheit hatte diese Veranstaltung ein eher zwiespältiges Echo in der veröffentlichten Meinung hinterlassen. War sie doch eher Plattform für Lobbying der IT-Branche und Schaulaufen für Politiker. Zudem wurden Datenschützer und Vertreter der Zivilgesellschaft erst gar nicht eingeladen (mit Ausnahme von Verbraucherschutzvertretern und des Bundesbeauftragten für den Datenschutz). Der Eindruck der ersten beiden Gipfel war daher, der dass die politischen Eliten lieber unter sich bleiben.

Dieser IT-Gipfel stand einerseits unter dem Zeichen der Finanzkrise, die allmählich immer mehr auf die Realwirtschaft übergreift und zu politischen Interventionen geradezu einlädt. Andererseits drängten sich Themen wie Datenschutzskandale, Überwachungsstaat oder öffentliches Misstrauen aufgrund bereits gescheiterter staatlicher IT-Grossprojekte geradezu auf.

Und so wurden gestern in vier Themenforen die Themen „IKT für einen starken Standort Deutschland in der Globalisierung“, „Wer ist wer im Internet – mehr Sicherheit für elektronische Identitäten“, „Durch IKT-Forschung Nr. 1 in Wachstumsfeldern“ und „Digitale Persönlichkeit“.

So soll u.a. die Forschung für mehr Sicherheit in der Informationstechnologie mit einem 30-Millionen-Euro-Förderprogramm angekurbelt werden. Die Regierung kündigte für Anfang 2009 Arbeitsprogramm an, das zunächst für fünf Jahre 30 Millionen Euro an Fördermitteln bereitstellen soll.

Der Gipfel symbolisiert, wie das Thema Internet in der Bundesregierung verwurzelt ist. Informationstechnologie wird als Standortpolitik nach dem Modell der alten Deutschland-AG verstanden. Regelmäßig werden IT-Großprojekte präsentiert, die selten auf ihre gesellschaftlichen Auswirkungen hin untersucht werden. Automatisierung von Verwaltungsprozessen steht auf der Agenda. Die Regierung sieht IT-Politik als Organisieren von Großprojekten in Zusammenarbeit mit der IT-Wirtschaft.

Dabei liegen die wirklich aktuellen und zudem auch politisch gestaltbaren Themen auf der Hand. Zugang zu (bezahlbaren!) Breitbandanschlüssen auch in den ländlichen Regionen unseres Landes. Wirksamer Schutz unserer Daten vor Staat und Wirtschaft (Vorratsdatenspeicherungen, Schnüffelskandale etc.). Mehr Open-Source-Technologien überall dort, wo öffentliche Gelder in IT-Projekte fließen. Öffnung politischer Prozesse durch konsequente Informationsfreiheit für alle vom Steuerzahler finanzierten Informationen und um so eine transparentere, inklusivere und demokratischere Politik zu ermöglichen. Und natürlich gehört auch die Medienkompetenz für politische Amts- und Mandatsträger dazu.

Das noch abzuarbeitende Programm reicht also durchaus für etliche Gipfeljahre.

BMWi.de: Dritter Nationaler IT-Gipfel

Netzpolitik.org: Kommentar zum IT-Gipfel

Netzpolitik.org: Forderungen für eine zeitgemässe Netzpolitik

Heise.de: IT-Gipfel, Mit Investitionen gegen die Krise

Bitkom.org: Hightech-Politik gegen die Wirtschaftskrise

Sicherheit vs. Flexibilität in der IT

Das Dumme an der IT-Sicherheit in Unternehmen ist, dass sie den Handlungsrahmen der Nutzer einschränkt. Sei es dass bestimmte Verhaltensweisen beschränkt oder ganz verboten werden (z.B Internetzugang, seitenlange Policies für so was triviales wie E-Mail), sei es dass Anwendungen weniger leicht zu nutzen sind (ständige Logins, Weck-klick-Abfragen oder verwirrende Zugriffsrechte, die immer dann fehlen oder falsch gesetzt sind, wenn es besonders eilt) oder weil Linienmanager in Fachabteilungen schlicht nicht nachvollziehen können, wofür sie diese oder jene Pauschale intern monatlich verrechnen müssen, wenn ihre Rechner dann doch nicht wirklich 100%ig sicher sind.

Flexibel soll alles sein. Und da sind Regeln und Vorschriften ein Hemmnis – das gilt nicht nur für das Steuer-  oder Arbeitsrecht, über das Firmen gerne klagen, sondern auch für den unternehmensinternen Overhead.

Dumm nur dass die wenigsten Manager eine konkrete Vorstellung davon haben, was sie mit „Flexibilität“ eigentlich meinen. Für die meisten scheint Flexibilität schlicht zu bedeuten, dass sie sich nicht für eine von mehreren Alternativen entscheiden müssen, weil alle Optionen gleichzeitig und dauerhaft verfügbar sind. Andere sehen in dem Begriff mittlerweile sogar ein potentielles Unwort, da er gern zur Bemäntelung von Denkfaulheit und Entscheidungsunwilligkeit missbraucht wird.

Das führt zu einem dauerhaft vor sich hin gärendem unternehmensinternen Konflikt zwischen IT-Sicherheit in IT-Risikomanagement und der allseits geforderten Flexibilität der IT.

Dem Interesse an größtmöglicher IT-Sicherheit steht das Bemühen entgegen, die Flexibilität der IT zu steigern. Sicherheit und Veränderung sind Gegensätze. Veränderung beinhaltet stets auch Ungewissheiten und Risiken.

Steht beispielsweise ein globaler Software-Rollout an, bei dem verschlüsselte Festplatten neu bespielt werden, kann das rasch sehr kompliziert werden und daher viel Geld kosten. Rasch wird daraus ein Riesenprojekt, das Ressourcen bindet, die dann für andere Geschäftsaktivitäten fehlen.

Unterschiedliche Unternehmen benötigen unterschiedliche Sicherheitsstandards. In einer großen Bank gelten andere Anforderungen als in einem Pflegeheim. In Forschung und Entwicklung spielen Sicherheitsstandards eine größere Rolle als in einer Service-Einheit (allerdings bildet die am schwächsten geschützte Einheit meist das größte Einfallstor in den Rest der Firma). Daher werden differenzierte Vorgehensweisen, Strategien und Produkte zur Abdeckung des Sicherheitsbedarfs benötigt.

Übertriebenes Sicherheitsdenken kann dazu führen, dass man Geschäftspotential verliert. Ein todsicheres Unternehmen ist dann auch bald mausetot. Abgesehen davon, dass es „totale Sicherheit“ ohnehin nur in den Marketingprospekten der Security-Anbieter gibt.

Geschäftsnah arbeitende Mittelmanager sind meist offen für Argumente hin zu mehr Flexibilität auch auf Kosten (abstrakter) IT-Sicherheit. Dagegen sehen Geschäftsführer und Vorstände inzwischen eher den Bedarf nach Risikovorsorge und Absicherung. Hier wirken sich die in den letzten Jahren mehrfach verschärften gesetzlichen Auflagen zur Managerhaftung und zum Umgang mit Unternehmensrisiken aus.

Daher ist IT-Sicherheit für viele Manager und CIOs eher eine „lästige Pflicht“, der man sich zwar nicht völlig entziehen kann, die aber auch kaum jemand hinter dem Ofen hervorholt. Aber für immer mehr Unternehmen aller Größenordnungen wird sie wichtiger. Für manche sogar existenzrelevant – wenn das Geschäftsmodell z.B. den Umgang mit sensiblen Kundendaten erforderlich macht und Vertrauen der Kunden und Partner in die eigene Sorgfalt benötigt.

Solange viele CIOs die IT-Sicherheit noch eher als notwendiges Übel sehen, werden wir daher auch weiterhin Datenschutz- und Spitzelskandale der Größenordnung Telekom, Lidl & co. erleben; werden Steuerfahnder mit Hilfe auf dem Schwarzmarkt ergaunerter Daten-DVDs spektakuläre Fälle in die Presse bringen und werden Verbraucher renommierten DAX-Konzernen und ihren Vorständen nicht weiter trauen als den Hütchenspielern in der Fußgängerzone.

Rezession erhöht das Datenrisiko in Unternehmen

Viele Unternehmen neigen zu kurzsichtigen und unüberlegten Management-Entscheidungen. Ganze Branchen leben davon, die Folgen solcher Fehler im Nachhinein zu korrigieren. Das gilt auch für Personalentscheidungen. Jetzt, da sich die Wirtschaftslage wieder zu verschlechtern scheint, denken viele Firmen wieder über den Abbau des vormals als so knapp beklagten Humankapitals nach. Und damit kommt absehbar eine kleine „Sonderkonjunktur“ für die IT-Sicherheit zustande.

Denn sobald Firman anfangen, Mitarbeiter zu entlassen oder auf schlechtere Positionen zu versetzen oder ihnen Sonderzahlungen zu streichen, steigt die Wahrscheinlichkeit des Datenmissbrauchs rapide an. Die Beschäftigten sehen ihren „psychologischen Arbeitsvertrag“ als gebrochen an und brechen dann ihrerseits häufiger firmeninterne Policies.

Dieses Problem wurde in einer vom US-Marktforschungsinstitut InsightExpress im Auftrag von Cisco durchgeführte Studie untersucht. Sie basiert auf der Befragung von mehr als 2.000 Angestellten und IT-Experten in zehn Ländern, darunter auch Deutschland. Als verbreitete Formen des Fehlverhaltens wurden vor allem diese Dinge identifiziert:

1. Geänderte Sicherheitseinstellungen auf Computern
Einer von fünf Mitarbeitern ändert Sicherheitseinstellungen an seinen Arbeitsgeräten, um die IT-Policy zu umgehen und auf unerlaubte Webseiten zuzugreifen. Am häufigsten war dies in Schwellenländern wie China und Indien zu beobachten. Als Gründe dafür gaben mehr als die Hälfte der Befragten an, dass sie einfach die Seite öffnen wollten, ein Drittel meinte, dass es niemanden etwas anginge, welche Seiten sie besuchten.

2. Benutzung von unerlaubten Anwendungen
Sieben von zehn IT-Experten gaben an, dass die Hälfte aller Datenverluste ihres Unternehmens letztlich auf den Zugriff von Mitarbeitern auf unerlaubte Applikationen und Webseiten (z.B. unerlaubte Social Media, Musik-Downloadsoftware, Online Shopping) zurückzuführen ist. Diese Meinung war vor allem in den USA (74 Prozent) und Indien (79 Prozent) verbreitet.

3. Unerlaubter Zugriff auf Netzwerke und Einrichtungen
In den letzten Jahren hatten zwei von fünf IT-Administratoren mit Mitarbeitern zu tun, die unerlaubt auf Teile des Netzwerks oder Einrichtungen zugriffen. Vor allem in China war dies weit verbreitet, dort gaben zwei von drei Verantwortlichen dieses Problem an. Von den Experten, die diese unberechtigten Zugriffe global meldeten, berichteten zwei Drittel von Zwischenfällen im letzten Jahr. 14 Prozent stoßen monatlich auf solche Schwierigkeiten.

4. Weitergeben von vertraulichen Unternehmensinformationen
Dass Geschäftsgeheimnisse nicht immer geheim sind, bestätigt einer von vier befragten Mitarbeitern (24 Prozent), der sensible Informationen mündlich an Freunde, Familie oder andere Außenstehende weitergibt. Als häufigste Gründe wurden angegeben: “Ich brauchte eine Meinung von jemand anderem”, “ich musste mal Dampf ablassen,” und “ich habe daran nichts Falsches gesehen.”

5. Weitergabe unternehmenseigener IT
Vertrauliche Daten sind nicht immer in den Händen der richtigen Leute. Das bestätigt fast die Hälfte (44 Prozent) der Befragten, die Arbeitsgeräte wie PCs oder USB-Sticks ohne Aufsicht mit Außenstehenden teilen oder sie weitergeben.

6. Verschmelzen von geschäftlichem und privatem Gebrauch von Kommunikationsmitteln
Etwa zwei von drei Mitarbeitern geben zu, ihre Arbeitscomputer auch privat zu nutzen. Die persönlichen Aktivitäten reichen von Musik-Downloads, Shopping, Onlinebanking bis hin zum Bloggen und Chatten. Die Hälfte aller Angestellten nutzen private E-Mail-Accounts, doch nur 40 Prozent gaben an, dass dies von der IT-Abteilung genehmigt ist.

7. Ungeschützte Arbeitsgeräte
Einer von drei Mitarbeitern sperrt seinen Computer nicht oder loggt sich nicht aus, wenn er seinen Arbeitsplatz verlässt. Diese Personen lassen auch Laptops mitunter über Nacht auf Ihrem Schreibtisch – teilweise ohne sich auszuloggen – und erhöhen somit das Risiko, dass Diebe an geschäftliche und private Daten kommen.

8. Aufheben von Logins und Passwörtern
Einer von fünf Befragten speichert Logins und Passwörter auf seinem Computer oder schreibt sie auf und lässt sie am Schreibtisch oder am PC kleben. In einigen Ländern wie China gaben 28 Prozent der Mitarbeiter an, Passwörter zu ihren Bank-Accounts auf Ihren Arbeits-PCs zu speichern. Zusammen mit der Tatsache, dass einige Angestellte ihre Computer unbeaufsichtigt lassen, erhöht das Risiko, dass Identitäten und Passwörter ausspioniert werden.

9. Verlust von tragbaren Speichermedien
22 Prozent des befragten Personals nehmen Unternehmensdaten auf tragbaren Speichergeräten aus dem Büro mit. Vor allem in China ist dies gang und gebe (41 Prozent). Dieses Vorgehen erhöht das Risiko, dass die Geräte verloren oder gestohlen werden.

10. Zulassen von unberechtigtem Betreten des Firmengeländes
Etwa einer von fünf deutschen Mitarbeitern erlaubt es Firmenfremden, sich unbeaufsichtigt in Büroräumen aufzuhalten – der Durchschnitt der gesamten Studie lag bei 13 Prozent. Und 18 Prozent haben es zugelassen, dass unbekannte Personen von anderen Mitarbeitern die Unternehmensräume betreten.

Der Sicherheitsberater Matt Doherty empfiehlt IT-Managern auf ungewöhnliche Verhaltensmuster von Mitarbeitern zu achten. Etwa plötzliche Überstunden ohne ersichtlichen Grund, die Forderung nach erweiterten Rechten in IT-Systemen zur Erledigung (angeblich) zusätzlicher Aufgaben oder umfangreiche Mails die jemand an sich selbst verschickt.

Auch der kritisch zu sehende Einsatz von (oft schlecht bezahlten) Zeit- und Leiharbeitskräften in Bereichen mit erhöhten Sicherheitsanforderungen bekommt so wieder Aktualität und Brisanz.

Es reicht also nicht, hübsche Richtlinien und Policies in die Welt zu setzen und dann der Dinge zu harren, die da kommen mögen. Es muss stattdessen der schwierige Spagat zwischen Autonomie der Benutzer und Überwachung der Einhaltung der Regeln gegangen werden. Ohne dass sich die IT in den Augen ihrer Nutzer vom Business-Enabler zu Business-Disabler entwickelt. Und damit bald darauf Opfer von Spardiktaten wird.

Denn das würde die Sicherheitslage nur verschlimmern. Einzelne verärgerte Mitarbeiter können im Unternehmen mehr Schaden anrichten als eine ganze Gang chinesischer Hacker im Dienste ihrer Regierung. Auch Nachlässigkeit bei Fragen der IT-Sicherheit kostet rasch bedeutend mehr als das Schaffen und Aufrechterhalten branchenüblicher Best-Practice-Standards auf aktuellem technischen Stand der Dinge.

Es lohnt sich also als Unternehmen seine Beschäftigten pfleglich zu behandeln und als ITler seine Anwender als Kunden und nicht als Störfälle mit Ohren zu betrachten.

Unabhängige Studie von Cisco beleuchtet weltweiten Umgang mit Sicherheitsrichtlinien im Unternehmen

Datenverlust: Cisco deckt die häufigsten Fehler auf

Ich nehm’ mir nur, was mir zusteht, oder: Psychologischer Vertragsbruch und kontraproduktives Verhalten

Der psychologische Arbeitsvertrag aus Sicht des Agency – Stewardship – Modells

Trackstick – Der Spion für die Hosentasche?

Seit einiger Zeit hat der Markt ein neues „Spielzeug“ hervorgebracht: den Trackstick. Das ist ein Gerät von der Größe eines USB-Sticks, dass ein GPS-Modul enthält und die Bewegungsdaten des Trägers aufzeichnet. Man kann diese dann auslesen und z.B. auf eine Karte von Google Maps projizieren, um so den genauen Weg des Trägers nachzuvollziehen. Wanderer können so selbst erlaufene Routen mit anderen teilen und dabei aufgenommene Fotos ortsgenau auf Karten positionieren und mit Zusatzinformationen versehen (Geotagging). Auch Internetprojekte wie Open Streetmap, bei denen eine herstellerunabhängige, nichtkommerzielle und aktuelle GPS-genaue Karte für Navigationssysteme entstehen soll, basieren letztlich auf zahlreichen Freiwilligen, die dem Open-Source-Gedanken teilen und mit tragbaren GPS-Geräten Straßen, Wege und andere Routen zusammen mit Zusatzinfos aufzeichnen und in die wiki-artig zu bearbeitende Karte einspeisen.

Dummerweise ist der Trackstick auch ein ideales Überwachungswerkzeug, dass für knapp 200 € für fast jeden erschwinglich ist. Er ist so klein, dass er z.B. Ehepartnern, Kindern, Arbeitnehmern ggf. auch ohne deren Wissen oder gar Einverständnis mitgegeben werden kann, um so deren Verbleib im Nachhinein gerichtsfest dokumentiert zu bekommen.

Auf der deutschen Website des Anbieters wird daraus auch kein Hehl gemacht und das Produkt wie folgt beschrieben: „Werfen Sie dank Ihm ein wachendes Auge auf Fahrzeuge, Sendungen, Angestellte und auf alles, was sich sonst noch so bewegt. Detaillierte 3D-Satellitenbilder veranschaulichen genauestens, wo sich der TrackStick in den vergangenen Tagen befunden hat. TrackStick bietet die Möglichkeit, Aktivitäten Ihrer Familienmitglieder oder Angestellten zu überwachen. Er kann aber ebenfalls zum Aufzeichnen von Reiserouten von Sportlern oder Wanderern eingesetzt werden.“

Die Werbung des US-Herstellers geht auf seiner .com-Domain noch weiter. Dort finden sich etliche Video-Tutorials, die auf die Möglichkeiten der heimlichen Überwachung als Verkaufsargument hinweisen. Und in denen sogar erklärt wird, wie man (mit etwas krimineller Energie) Fahrzeuge damit präpariert oder Ehepartnern nachspäht.

Müßig zu sagen, dass das in Deutschland und zahlreichen anderen Ländern für Privatpersonen schlicht illegal ist (Eingriff ins grundgesetzlich geschützte Persönlichkeitsrecht). Und dass auch Beschäftigte in Unternehmen nicht heimlich ausgespäht werden dürfen. Und dass die Einführung solcher Werkzeuge im Unternehmen mitbestimmungspflichtig ist und daher (bei Vorhandensein eines Betriebsrats) einer Betriebsvereinbarung sowie der Beurteilung eines betrieblichen Datenschutzbeauftragten bedarf.

Viele Unternehmen verbieten Besuchern und Angestellten heute schon die Mitnahme von privaten Fotohandys, PDAs etc. in Unternehmensbereiche mit erhöhten Sicherheitsanforderungen. So soll die Ausspähung vertraulicher Informationen erschwert werden. Auch an der Mitname von Tracksticks zur metergenauen unbemerkten Aufzeichnung der internen Gebäudestrukturen und Wege dürften solche Firmen kein gesteigertes Interesse haben.

Wir müssen uns endlich Gedanken über die Flut persönlicher Daten machen

Am 20.11.2008 wird zum drittenmal ein nationaler IT-Gipfel in Deutschland stattfinden. Dort treffen Vertreter von Staat, Regierung und Verwaltung zusammen, um über wirtschaftspolitische Themen mit IT-Bezug zu diskutieren (und natürlich um entsprechende Lobbyarbeit im Hinterzimmer betreiben zu können).

Zahlreiche IT-Fachleute bereiten sich bereits seit längerem vor, indem sie ihre Themen, Thesen und Ideen in der Fachpresse veröffentlichen. Dazu zählt auch der international bekannte IT-Security-Experte Bruce Schneier, Herausgeber des Infodienstes „Crypo-Gram“ und Anstoßgeber zahlreicher kontrovers geführter Debatten.

„Im Moment sind wir in einer einmaligen Situation“, so Schneier: „Noch nie wurden von Einzelnen derart viele, digital verwertbare Daten erzeugt, die obendrein einen kommerziellen Wert für Unternehmen haben“. Gleichzeitig werden kaum noch Daten gelöscht, da Speicherplatz und Rechenleistung zu geringen und weiter fallenden Kosten zur Verfügung steht. Der Security-Experte rechnet hoch, dass sämtliche Telefonate, die ein Einzelner pro Jahr führt, lediglich fünf Gigabyte Speicherplatz erfordern. Alle Internetaktivitäten erzeugen vier bis sechs Gigabyte und selbst ein so genannter „Live Recorder“ – eine Kamera, die rund um die Uhr das aufzeichnet, was wir sehen – würde überschaubare 700 Gigabyte Datenmaterial erzeugen. Eine Menge, die man gut auf einer handelsüblichen USB-Festplatte für etwa 100 € unterbringen kann.

Umso wichtiger ist es nach Schneiers Ansicht, dass wir alle damit beginnen, sinnvoll mit diesen Daten und ihrem Schutz umzugehen. Dazu Schneier wörtlich: „So wie wir unsere Vorgängergenerationen daran messen, wie sie mit Umweltverschmutzung umgingen, werden wir uns daran messen lassen müssen, wie wir die grundlegenden Probleme des Datenschutzes angehen“.

Diese Analogie Datenschutz und Umweltschutz deutet bereits auf eine politische Relevanz des Themas hin, die an Bedeutung in den künftigen Jahren noch zunehmen wird. Auch die Klimawandeldiskussion begann ja zunächst im Hinterkämmerchen der Nerds und Geeks und erreichte erst so nach und nach globale Bedeutung.

Schneier spricht außerdem das Problem an, dass Menschen zwar jede Menge Daten erzeugen, sie aber in den wenigsten Fällen selbst kontrollieren können. Sie stehen der Datensammelwut von Staat und Wirtschaft hilflos gegenüber. Umso wichtiger sei es daher, welche Voreinstellungen beispielsweise Online-Dienste und Soziale Netzwerke den Datenschutz betreffend wählen, da nur wenige Anwender diese Einstellungen jemals ändern, und die Dienste auch noch in Jahrzehnten aktiv sein können.

Dies bestätigt eine Umfrage der Firma Utimaco, Anbieter von Kryptosoftware, wonach Deutsche (härtere) Strafen für Datenschutz-Sünder fordern.

Danach gibt über die Hälfte zu, keinen Überblick mehr über die Speicherorte der persönlichen Daten, etwa bei Behörden, Ämtern, Arbeitgebern, Ärzten, Banken, TK-Dienstleistern oder auch im Internet zu haben. „In Wahrheit ist es nicht möglich, einen Überblick über den Verbleib der persönlichen Daten zu haben, weil solche Daten in der Praxis ungefragt weitergegeben werden, oft sogar auf der Grundlage geltender Gesetze“, erklärt Dr. Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in Kiel.

Auf Grundlage geltender Gesetze deshalb, weil das Datenschutzgesetz (BDSG) nur eine „Norm der letzten Instanz“ ist, die das regelt, was nicht in anderen Gesetzen anders (oft weniger datenschutzfreundlich) geregelt wurde. So kann gerade der Staat das BDSG jederzeit per Beschluss umgehen ohne es öffentlichkeitswirksam abschaffen zu müssen.

Auch Schneier sieht diesen legislativen Trend zur Rechtsbeugung. Er ist sich sicher, dass in den kommenden Jahren ein immer engeres Überwachungsnetz entstehen wird: „Vor fünf Jahren gab es kaum Überwachungskameras. Heute sind hängen sie überall sichtbar herum. In weiteren fünf Jahren werden sie unsichtbar sein“, so der Kryptofachmann.

Das gleiche gelte für Ausweiskontrollen: In wenigen Jahren werden sie ohne Zutun des Einzelnen automatisch ablaufen. Dazu Schneier: „Wir werden dann einen RFID-Chip im Geldbeutel haben und noch nicht mal bemerken, wenn unser Ausweis kontrolliert wird“.

Da immer mehr Unterhaltungen mit Hilfe von Digitaltechnik geführt werden bleiben gleichzeitig immer weniger Konversationen flüchtig, da sie zeitlich unbegrenzt gespeichert und analysiert werden können. Schneier fragt sich, ob aufgrund dieser Tatsache „die ganze Welt zu einer großen Flughafen-Sicherheitszone wird, in der bereits eine dumme Bemerkung gravierende Folgen haben kann“. Private können so umfängliche Rasterfahndung und Data-Mining deutlich besser und schneller betreiben als selbst Geheimdienste noch für 10 Jahren.

Laut Schneier sind die meisten weltweit existierenden Gesetze ungeeignet, den Umgang mit der Datenflut sinnvoll zu regeln: Sie wurden zu Zeiten verabschiedet, als es das Phänomen der permanenten Datenerzeugung (Ubiquitous Computing) noch nicht gab. Daher ist es unbedingt erforderlich, möglichst rasch passendere Gesetze zu verabschieden. Dabei ist es unsinnig, ständig die Frage zu stellen, wie weit mehr Sicherheit die persönliche Privatsphäre einschränkt. Die Privatsphäre ist nur gefährdet, wenn Regierungen ständig die einzelne Person identifizieren. Das ist beispielsweise im Kampf gegen den Terror gar nicht nötig, da es dafür genügt, verdächtiges Verhalten rechtzeitig aufzuspüren. Viel sinnvoller ist es daher zu fragen, wie weit mehr Kontrolle die persönlichen Freiheiten beschneidet.

Auch Schneier sieht daher in erster Linie den Staat, gleich dahinter aber auch die Wirtschaft als potentielle Bedroher der Freiheitsrechte der Bevölkerung an. Da Staat und Wirtschaft aber dem Menschen zu dienen haben und nicht umgekehrt, fordern immer mehr Leute vom Fach, dass der Staat seine Politik und Gesetzgebung entsprechend auszurichten hat.

Schneier-Blog in Deutsch

Kooperation mit GABAL e.V.

Ich bin schon seit längerem Mitglied im GABAL e.V. Die Gesellschaft zur Förderung Anwendungsorientierter Betriebswirtschaft und Aktiver Lernmethoden in Hochschule und Praxis e.V. wurde 1976 gegründet. Die GABAL-Gesellschaft versteht sich als Institution zur Förderung von ganzheitlicher Weiterbildung. Schwerpunkte ihrer Tätigkeit liegen in den Bereichen betriebswirtschaftlicher Organisation und Personalentwicklung, neue Methoden und Technologien des Lernens und der persönlichen Zukunftsfähigkeit. Mitglieder aus unterschiedlichen Fachgebieten und Bereichen der Arbeits- und Bildungswelt nutzen das GABAL-Netzwerk zur eigenen Weiterentwicklung.

Vor einiger Zeit traf ich auf dem Gautinger Sommerfest der Verbände Frau Schäfer, Leiterin der Bundesgeschäftsstelle des GABAL-Vereins. Sie schlug mir vor, monatlich einen Artikel für das GABAL-Blog zum Thema IT-Sicherheit und IT-Recht zu verfassen. Diese Artikel werden auch hier in meinem Blog veröffentlicht und sind dann neben ihrer eigentlichen fachlichen Zuordnung auch über die neue Kategorie bzw. das neue Schlagwort „GABAL“ zu finden.

Der erste Artikel wird die „12 Gesetze der sicheren Computernutzung“ beinhalten (s. Rubrik oben).