Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Datenschutzverband fordert Update für Betriebsvereinbarungen

Mit dem zum 01.09.2009 reformierten Bundesdatenschutzgesetz wurden im neuen § 32 Abs. 1 erste Ansätze eines Arbeitnehmerdatenschutzes implementiert. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur noch verwendet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Bislang mussten diese Daten für ein Vertragsverhältnis lediglich dienlich sein. In der betrieblichen Praxis gab es dazu immer wieder unterschiedliche Auffassungen. Oftmals wurde dabei die Grenze des für das Beschäftigungsverhältnis wirklich Erforderlichen überschritten, so die Erfahrung der Datenschutzpraktiker des Arbeitskreises „Datenschutz in Recht und Praxis“ im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Für Unternehmen und Behörden besteht jetzt Handlungsbedarf, um die neuen Regelungen zur Stärkung der Persönlichkeitsrechte der Beschäftigten umzusetzen und Vorwürfen nunmehr unrechtmäßiger Datenverarbeitung vorzubeugen. Der Datenschützer-Arbeitskreis empfiehlt daher, die bestehenden Betriebs- und Dienstvereinbarungen zu IT-Anwendungen bezüglich der genutzten Daten, Infotypen, Auswertungen und Zugriffsberechtigungen zu überprüfen und ggf. zu ändern.

So sind Bewerberfragebögen – sowohl in Papierform als auch in Webformularen – auf das für das jeweilige Beschäftigungsverhältnis unbedingt Notwendige zu beschränken. Problematisch sind nach neuem Recht alle Fragen, die weder für die Ausübung der beabsichtigten Tätigkeit noch für die Eingliederung im Betrieb erforderlich sind.

Neben den Personal- und IT-Verantwortlichen sind insbesondere die betrieblichen Interessenvertretungen gefordert, deren Mitbestimmungsrechte bei vielen Personalfragen tangiert werden. Für die betrieblichen und behördlichen Datenschutzbeauftragten sind Prüfungen mit den strengeren Maßstäben der Erforderlichkeit geboten. Alle bisherigen (und künftigen) Vereinbarungen müssen sich an den tatsächlichen Erfordernissen für das Beschäftigungsverhältnis orientieren. Hier sind nach Meinung des Arbeitskreises vielerorts Korrekturen notwendig.

Früher oderspäter dürften sich dann auch IT-Revisoren und Wirtschaftsprüfer für solche Dinge interessieren, da es zu ihren Aufgaben zählt, auf das Entdecken und Abstellen von berichtsrelevanten Compliance-Probleme hinzuwirken.

Die neuen Bestimmungen gelten auch für alle nicht automatisierten Datenerhebungen wie Listen, Karteikarten und sogar Notizen mit personenbezogenen Inhalten in Schubladen oder Zettelkästen. Die Reichweite des neuen Datenschutzgesetzes wurde damit auf nichtelektronische Datenverarbeitung (z.B. in Form von „Nebenakten“ und „Handapparaten“ in den Schubladen mancher Vorgesetzter) ausgedehnt.

Zur Aufdeckung von Straftaten dürfen jetzt personenbezogene Daten eines Beschäftigten nur noch dann verwendet werden, wenn der nachweisbare Verdacht auf eine Straftat im Beschäftigungsverhältnis besteht. Zudem muss die Verwendung dieser Daten zur Aufdeckung der Straftat erforderlich sein. Das schutzwürdige Interesse des Beschäftigten muss hierbei gewahrt bleiben. Insbesondere dürfen Art und Ausmaß der Überwachung im Hinblick auf den Anlass nicht unverhältnismäßig sein. Auf der Suche nach korrupten Einkäufern und gesprächsfreudigen Führungskräften per Massendatenabgleich jeden HiWi im Betrieb durchleuchten zu wollen, wäre in jedem Falle unverhältnismäßig.

Die neuen Bestimmungen zum Beschäftigtendatenschutz sind ein erster Schritt in die richtige Richtung; sie ersetzen aber nicht das dringend notwendige und überfällige Arbeitnehmerdatenschutzgesetz.

Das neue Bundesdatenschutzgesetz

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).

Neue ISO-Norm 38500 betont die Verantwortung der Geschäftsführung in der IT

Schon seit Jahren kann man es beobachten: Die technischen, organisatorischen und geschäftlich bedingten Herausforderungen in der IT steigen langsam aber kontinuierlich an. Da sind insbesondere rein managerial tätige Mitarbeiter zunehmend mit Komplexität und Umfang der Probleme überfordert.

Das ist deutlich am Drang hin zu Outsourcing, Outtasking, Offshoring, Rightsizing, Shared-Services, Virtualisierung, Cloud-Computing und allem anderen zu erkennen, dass die Auslagerung und Fremdvergabe von IT-Leistungen ermöglichen und beschleunigen soll. Weg mit den Problemen, weg mit der Verantwortung dafür und runter mit den Kosten.

Allerdings macht der Gesetzgeber zunehmend klar, dass Verantwortung und Sorgfaltspflichten nicht delegiert werden können. Was externe Dienstleister verbocken bleibt haftungsrechtlich am Auftraggeber hängen. Auf den Dienstleister verweisen und sich auf Unwissenheit, Dummheit und eine bequeme passive Kundenposition zurückzuziehen, wird im Zweifel vor Gericht nicht akzeptiert.

Das macht auch eine erst 2008 rundeerneuerte ISO-Norm, die ISO/IEC 38500:2008 „Corporate Governance of Information Technology“ deutlich. Sie definiert und beschreibt, wie Unternehmen eine auf Best Practices basierende IT-Governance aufbauen können. Gute IT-Governance ist eine Voraussetzung dafür, IT-Probleme, Komplexität und Kosten grundsätzlich in den Griff zu bekommen. Es ist absehbar, dass von IT-Dienstleistern aber auch von Auftraggebern bald entsprechende Vorleistungen in Form von zertifizierbaren Organisationsstrukturen als Vorbedingung für Aufträge gefordert werden dürften.

„Angesichts der bestehenden Frameworks wie ITIL, COBIT und anderer, die alle die Ausrichtung der IT an den Geschäftszielen zum Ziel haben, wirkt der Ruf nach einem neuen Regelwerk auf den ersten Blick verwunderlich“, erläutert so Dr. Gisela Böndgen, Business Consultant beim Beratungshaus Serview. „Was aber, wenn die Geschäftsstrategie und -ziele gar nicht bekannt sind und wenn keine klaren Vorgaben aus den Chefetagen vorliegen“, fragt sie.

Und das dürfte in vielen Unternehmen der Fall sein. Man ist schon froh die technischen Aspekte geregelt zu bekommen, ohne das die Kosten aus dem Ruder laufen.  Kommen dann aber noch organisatorische und rechtliche Themen mit hinzu, ist rasch ein Punkt erreicht, an dem den Geschäftsführungen und ihren internen „Beauftragten für alles“ das Know-how und die Ressourcen ausgehen.

Vor allem aber soll der neue Standard den vielen Auslegungen und Missverständnissen bei der Gestaltung der Corporate Governance ein Ende bereiten. „Das unterschiedliche Verständnis behindert den Erfolg vieler Unternehmungen, deshalb bedarf es verbindlicher Klarheiten, damit die Unternehmen einen höheren Mehrwert aus ihren IT-Investitionen ziehen und die Risiken besser managen können“ so Böndgen weiter.

Die ISO 38500 definiert sechs Grundprinzipien zur Gestaltung der Corporate Governance:

1. Verantwortung (Responsibility): Das Topmanagement sollte die IT-Belange des Unternehmens angemessen wahrnehmen.
2. Strategie (Strategy): Die unternehmensstrategische Planung muss mit Blick auf die IT-Potenziale erweitert und angepasst sowie die IT-Strategie aus den Unternehmensstrategien hergeleitet werden.
3. Beschaffung (Acquisition): Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am tatsächlichen Bedarf anstatt an politisch gesetzten Größen orientieren.
4. Leistung (Performance): Die IT-Services und –Produkte sind gemäß den konkreten Anforderungen der Fach- und Organisationsbereiche des Unternehmens zu gestalten.
5. Regelkonformität (Conformance): Die IT hat allen rechtlichen Vorgaben, Normen, internen Standards etc. zu entsprechen.
6. Faktor Mensch (Human behaviour): Die IT-Konzepte müssen den Bedürfnissen der internen und externen IT-Nutzern hohe Aufmerksamkeit beimessen.

Diese sechs Prinzipien sind dabei nicht als unverbindliche Leitbildfloskeln zu verstehen. Sondern als Programmüberschriften, die mit entsprechenden unternehmensspezifischen Maßnahmen realisiert werden müssen.

Jedem dieser sechs Prinzipien sind in der Norm drei Funktionen zugeordnet, die insgesamt eine Matrix mit 18 Leistungsfeldern der Unternehmens-IT bilden:

•    Bewertung: Kontinuierliche Beurteilung des IT-Einsatzes im laufenden Betrieb.
•    Leitung: Steuerung einer bedarfsgerechten Ausrichtung der IT-Maßnahmen am Geschäft des Unternehmens (business alignment).
•    Kontrolle: Systematische Überwachung von Regelkonformität (compliance) und Leistungsfähigkeit der IT mit Hilfe von geeigneten Werkzeugen und Verfahren.

Der Standard soll dabei helfen, die IT Prozesse so einzurichten, dass alle internen und externen Regelwerke – wie zum Beispiel Richtlinien, Gesetze und Verträge – eingehalten werden können. Er zielt dabei nicht auf eine bestimmte Art oder Größe von Organisationen ab, sondern soll von Unternehmen, Behörden oder Non-Profit-Organisationen gleichermaßen eingesetzt werden können. Dabei wird „Control Objectives for IT“ (COBiT) als Referenz für die Richtlinien, Prozesse und Controls, welche für Aufbau und Umsetzung eines Governance Management Systems zu implementieren sind, empfohlen – so die Unternehmensberatung Serview, einer der Treiber des Themas in Deutschland auf seiner Unternehmenshomepage.

Und das ist ein Punkt an dem insbesondere IT-Sicherheitsbeauftragte, Datenschützer und Betriebsräte ebenso wie Projektleiter und Methodenspezialisten aufmerken sollten. Denn die ISO 38500 sowie das COBiT-Framework oder auch das ITIL-System beschreiben letztlich Verfahren zur Etablierung, Ausrichtung und Steuerung von informationstechnischen Prozessen, in denen es auch um Fragen der Compliance, der IT-Sicherheit und des Datenschutzes gehen kann. Und nicht zuletzt um die eingangs erwähnte Frage, was intern mit eigenen Beschäftigten getan wird. Und was an Externe und Dienstleister abgegeben werden soll.

Neues Hoeren-Skript zum Internetrecht

Der bekannte IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münsterund Richter am Oberlandesgericht Düsseldorf, hat eine neue Fassung des Skripts Internetrecht vorgelegt. Die neue Ausgabe liegt auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster zum kostenfreien Download als PDF-Datei (3,2 MB) bereit.

Obwohl „Skript“ für dieses umfassende, gut 550 Seiten starke Standardwerk zum deutschen IT- und Internetrecht eigentlich heftig untertrieben ist.

Thomas Hoeren gab kürzlich der ZEIT ein Interview, in dem er die überkommenen Strukturen des deutschen Urheberrechts sowie die fragwürdige Praxis des sogenannten „fliegenden Gerichtsstands“ kritisierte und sich zu Ideen wie der Kulturflatrate äußerte.

Konfliktfeld Datenschutz und Cloud Computing

Cloud Computing ist nicht nur ein neuer IT-Trend. Sondern eine für viele Firmen sehr interessante Sache. Denn mit Hilfe der bedarfsgerecht ausgelagerten und zugekaufen Rechenkapazitäten oder Softwareprodukte lassen sich rasch IT-Kapazitäten aufbauen, ohne eigene Infrastrukturen betreiben und eigenes Personal beschäftigen müssen.

Dummerweise lassen sich die Verantwortung für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken nicht mit in die Cloud wegdelegieren. Schon eine – an sich harmlose – datenschutzrechtliche Auskunftsanfrage kann ein Unternehmen ins Schleudern bringen, wenn es nicht weiß, was genau von wem und wo in der Cloud mit den Daten gemacht wird. Verträge und Vereinbarungen sind da nur begrenzt hilfreich. Sie müssen auch eingehalten und die Einhaltung geprüft und dokumentiert werden. Beispielsweise durch das Monitoring von Kennzahlen und SLA’s mit Hilfe von eigenen Servicemanagern.

Gernot Keckeis, Director Identity & Security Management bei Novell gab hierzu kürzlich dem Compliance-Magazin ein Interview:

„Wenn die Cloud-basierte Verarbeitung von Personendaten außerhalb der EU stattfindet, ist dies laut dem deutschen Datenschutzrecht nicht zulässig. Das geht aus dem aktuellen Jahresbericht des Berliner Datenschutzbeauftragten Alexander Dix hervor. Diese Feststellung ist erschreckend. Im Grunde bedeutet das nämlich, dass sich über kurz oder lang länderspezifische Datenmonopole bilden werden. Das ist nicht nur politisch gefährlich. Vor allem vergrößert sich dadurch die Angriffsfläche von professionellen Hackern, die dann gezielt einzelne Länder anvisieren können.“

Er fürchtet demnach eine (datenschutz)rechtliche Territorialisierung der an sich grenzenlosen Cloud (in der es ja gerade nicht wichtig sein soll, wo und durch wen etwas stattfindet), was für die Unternehmen administrativen Mehraufwand bedeuten könnte. Die Alternative des globalen „race to the bottom“, also eines Wettlaufs um die weltweit niedrigsten Datenschutzstandards ist allerdings mehr als abzulehnen.

„Natürlich haben viele Unternehmen Sicherheitsbedenken, wenn es um Cloud Computing geht. Diese Sorgen sind berechtigt, wenn in Unternehmen keine zusätzlichen Sicherheitsmaßnahmen ergriffen werden. Besonders wenn es um den Schutz von sensiblen Daten geht, ist es unumgänglich zu wissen, wo diese gespeichert werden und wer darauf zugreifen kann. Obwohl dies natürlich keine unbekannten Herausforderungen für IT-Manager sind, rückt die Cloud sie doch noch stärker ins Bewusstsein. Die Verantwortlichen erkennen, dass ihre IT nur als Einheit funktioniert und deshalb auch einheitliche Sicherheits-Policies erfordert“.

Das bedeutet allerdings beträchtliche Investitionen in das IT-Themenfeld Governance, Risk & Compliance (GRC) sowie in Fragen der IT-Sicherheit, des Datenschutzes und der Softwarequalität.

Dazu führt Keckeis weiter aus:

„Bevor IT-Manager sich auf das Erlebnis Cloud Computing einlassen, sollten sie ein detailliertes Risk Assessment durchführen, um sämtliche Probleme und Risiken, die mit der Sicherheit ihrer Daten einhergehen, zu verstehen. Wichtig sind hier vor allem Identitäts- und Access-Management-Lösungen. Wir haben beispielsweise eine Technologie entwickelt, mit der Unternehmen einen Teil der Cloud temporär annektieren und diesen unter Einhaltung der gleichen Sicherheitskontrollen wie denen im eigenen Rechenzentrum nutzen können“.

„Lösungen wie diese sind notwendig. Einerseits, um Datenschützer zu überzeugen und andererseits, um eine länderspezifische Diskriminierung vorzubeugen, die ansonsten in einer geballte Ansiedlung von Cloud-Providern in einzelnen, wenigen Ländern mündet. Sowohl die Anbieter als auch die Nutzer der Wolke müssen verantwortungsvoll handeln, um das Prinzip der freien Cloud nicht schon im Keim zu ersticken“.

Es geht also letztlich darum, das Gleichgewicht zwischen Globalisierung der Unternehmen sowie lokalen Bedürfnissen nach Schutz und Sicherheit vor Datenklau und Wirtschaftswillkür zu finden. Keine einfache Angelegenheit.

Arbeitsgericht stellt klar: Cheffe’s E-Mails sind tabu!

Fälle wie dieser werden in der Fachliteratur regelmäßig zitiert, wenn es um die (Un)zulässigkeit des administrativen Ausspähens anderer Leute Mailboxen in der Firma geht: So wies das Landesarbeitsgericht München kürzlich die Kündigungsschutzklage eines Systemadministrators ab (Az. 11 Sa 54/09), der bereits 2007 wegen diverser dienstlicher Pflichtverletzungen gekündigt wurde. Konkret hatte er seine Admin-Rechte dazu genutzt, Dateien der Personalstelle zu lesen und in der Mailbox eines Geschäftsführers zu schnüffeln.

Erwischt wurde der Mann allerdings nicht durch wachsame Datenschützer sondern weil er auch noch so naiv war, mit den ausgedruckten Mails des einen Geschäftsführers zu einem anderen Geschäftsführer Firma zu gehen, um ihn dort anzuschwärzen.

Er brachte zu seiner Verteidigung u.a. vor, es habe zu seinen Aufgaben gehört, die Mails des betroffenen Geschäftsführers zu lesen. Die Firma bestritt dies.

Das Landesarbeitsgericht folgte dem und verwarf die Klage des Ex-Admins. Es begründete sein Urteil damit, dass nach herrschender Auffassung  der Missbrauch von Zugriffsrechten durch Systemadministratoren regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung rechtfertigt. Dies wird fast immer als schwerwiegender Verstoß gegen arbeitsvertragliche Pflichten gewertet.

Die Richter bestätigten damit die vorinstanzliche Entscheidung des Arbeitsgerichts München sowie eine vergleichbare Entscheidung des Arbeitsgerichts Aachen, die bereits 2005 erging.

Daraus folgt das eigentlich Selbstverständliche: Als Admin wird nicht in den Daten anderer Leute geschnüffelt! Denn neben den unangenehmen arbeitsrechtlichen Folgen macht man sich auch strafbar, wenn man es ohne konkrete Anweisung von Berechtigten täte.

Und falls es dazu ausdrückliche Anweisungen von Vorgesetzten gibt, es doch zu tun, lässt man sich diese schriftlich und vom dafür Zeichnungsberechtigten unterschrieben geben.  Die Anweisung wird dann im Beisein eines Zeugen (z.B. des Betriebsrats oder des Datenschutzbeauftragten) umgesetzt, um sicherzugehen, dass nichts Illegales ohne Wissen der dafür Verantwortlichen geschieht.

Unternehmen nehmen Datenschutzprobleme beim Softwaretest in Kauf

Vor wenigen Tagen trat ein  in wesentlichen Punkten verschärftes Datenschutzgesetz in Kraft. Ursache für die Novellierung des Gesetzes waren die zahlreichen Schlampereien und Datenschutzskandale in deutschen Unternehmen in den letzten zwei Jahren.

Dabei ging es meist um Dinge wie Ausspähung von Mitarbeitern, Kundendatenmissbrauch, Datendiebstahl oder illegale Krankenakten.

Ein weitaus weniger bekannter Aspekt ist der Datenschutz im Zusammenhang mit der Verwendung von Echtdaten in Testumgebungen. Oft werden der Einfachheit halber oder weil die Erzeugung von entsprechend strukturierten Testdaten aufwendig wäre, Echtdaten aus operativen Systemen unverändert zum Testen neuer Systeme in der Entwicklung oder Qualitätssicherung verwendet. Zu diesem Ergebnis kam auch eine vom Software-Anbieter Micro Focus beim Ponemon Institute in Auftrag gegebene Erhebung. Unternehmen verwenden für Softwaretests nach wie vor in großem Stil Originaldaten von Kunden, Mitarbeitern oder Kreditkarten und nehmen dabei den Missbrauch billigend in Kauf. Und etwa 80% der etwa 1.350 befragten Softwareentwickler und -tester wussten von (mindestens) einem Datenschutzproblem im vergangenen Jahr zu berichten.

„Die Verwendung von Originaldaten zu Testzwecken ist in den meisten Fällen üblich. Dieser Umstand lässt sich darauf zurückführen, dass der Aufwand für die Erstellung der Daten sowie die damit einhergehenden Kosten oftmals das Entwicklungsbudget sprengen“, erläutert Gerrit Wiegand, Softwareentwickler und Geschäftsführer der Offenbacher mainis IT-Service GmbH.

Zudem kann man im Grunde genommen nur mit Echtdaten (oder identischen Testdaten) wirklich testen, ob das System mit den im späteren Einsatz zu verarbeitenden Daten konkret das macht, was es soll. „Relativ trivial fängt dies bei der Namensgebung an. An kyrillische Buchstaben würden Europäer nie denken“, so Wiegand.

Daher ist es nicht allzu verwunderlich, dass in der Untersuchung auch nur 7% der Befragten der Ansicht waren, dass der Schutz der Informationen auch in Entwicklungs- und Testumgebungen ernst genommen wird. Man scheint sich jedoch langsam darüber klar zu werden, dass diese Daten besonders gefährdet sind. Beispielsweise durch ehemalige Mitarbeiter oder Zulieferer sowie externes Personal und zuarbeitende Dienstleister („verlängerte Werkbank“).

Dabei wäre es ohne größeren technischen Aufwand möglich, Echtdaten durch Anonymisierung, Pseudonymisierung, Maskierung sowie durch begleitende Maßnahmen des technischen und organisatorischen Datenschutzes so zu sichern, dass Datenlecks zuverlässig vermieden werden können.