Warum Sie die neue EU-DSGVO nicht auf die leichte Schulter nehmen sollten…

Warum Sie die neue EU-DSGVO nicht auf die leichte Schulter nehmen sollten…

Viele von Ihnen haben von der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) bereits gehört. Einige möglicherweise noch nicht. Bereiten Sie sich jedoch vor, denn die neue Datenschutzgrundverordnung kommt – und sie hat es in sich.

Sind Sie bereit ? Haben Sie Ihre Lagebeurteilungen und Risiko-Analysen abgeschlossen? Wurden Ihre Lösungs- und Umsetzungsstrategien entwickelt und Ihre neuen Prozesse getestet?

Haben Sie sichergestellt, dass

  • die Grundsätze der Rechtmäßigkeit,
  • Verarbeitung nach Treu und Glauben,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung,
  • Integrität,
  • Vertraulichkeit und
  • Rechenschaftspflicht

im Sinne der neuen EU-DSGVO mit Inkrafttreten am 25.05.2018 sichergestellt sind?

Die Umsetzung der EU-DSGVO ist keinesfalls nur ein Thema für Großkonzerne. Zwar wurde diese erdacht, um der unkontrollierten Datensammelwut und Datenweitergabe einiger marktbestimmender Akteure in diesem Bereich entgegen zu wirken. Betroffen sind aber grundsätzlich ALLE Akteure am Markt, die personenbezogene Daten verarbeiten: vom Mittelständler bis hin zu Kleinst- und Einzelunternehmern, Freiberufler, SME oder SBO, Stiftungen, gemeinnützige Vereine, Datenverarbeiter, Datenhändler, Versicherer, OEM, Endgerätebetreiber u.s.w.. Jeder, der im Rahmen seines Geschäftsbetriebes oder Gesellschaftszweck persönliche Daten erhebt und verarbeitet – oder über Auftragsbearbeiter (z.B. durch Outsourcing) verarbeiten lässt – ist betroffen und sollte sich dringend – soweit noch nicht geschehen – mit dieser Thematik befassen und diese neuen Normen fristgerecht rechtskonform umsetzen und anwenden.

Zwar sieht die EU-DSGVO eine Befreiung von den Rechenschaftsberichten bei weniger als 250 Mitarbeitern vor, allerdings gilt diese Ausnahme bereits dann schon nicht mehr, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt. Da die meisten Unternehmen für ihren Geschäftsbetrieb jedoch personenbezogene Daten erfassen müssen – von der Lohnbuchhaltung bis hin zu Kunden- und/oder Lieferantendaten in CRM-Systemen, Betrieb einer Webseite oder eines Onlineshops usw. – wird diese Befreiung wahrscheinlich eher selten Anwendung finden. Um Rechtssicherheit zu gewinnen und falschen Annahmen vorzubeugen, sollte hier ein/e entsprechend geschulte/r Jurist/in mit der Einschätzung beauftragt werden. Das dürfte im Zweifel preiswerter sein, als unangenehme Maßnahmen der Aufsichtsbehörden, Abmahnung und Strafzahlung zu riskieren.

Grundsätzlich sollten Sie u.a. folgende Grundsätze beachten und in Ihre Geschäftsprozesse einbeziehen:

  1. Rechtmäßigkeit (Daten nur dem Gesetz entsprechend verarbeiten)
  2. Transparenz (Die Verarbeitung personenbezogene Daten muss für die Betroffenen nachvollziehbar sein. Alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten müssen leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sein.)
  3. Verbot mit Erlaubnisvorbehalt (Sofern nicht gesetzlich erlaubt oder vom Betroffenen nicht freiwillig bewilligt, ist jegliche Verarbeitung personenbezogener Daten verboten.)
  4. Zweckbindung (Damit soll sichergestellt werden, dass personenbezogene Daten lediglich zu dem Zweck verarbeitet werden, für den sie erhoben wurden., z.B. eine Adresse zum Versand eines Artikels. Eine nachträgliche Änderung ist nur dann zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist.)
  5. Datenminimierung (Die Verarbeitung personenbezogener Daten ist auf das dem Verarbeitungszweck notwendige Maß zu beschränken.) – Hier stellen sich besonders wichtige Fragen bei Datenhändlern, Datenverarbeitern und deren Daten-Zulieferern…
  6. Richtigkeit der Datenverarbeitung (Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung veraltet und/oder unrichtig sind, sind unverzüglich zu löschen oder aber zu korrigieren, d.h., dass die Daten stets auf dem neuesten Stand zu halten sind.) Sie sollten also auch überprüfen, wie viele „Daten-Kellerleichen“ Sie möglicherweise noch in Ihrem Bestand haben bzw. auf Servern und Festplatten – auch der Ihrer Mitarbeiter – schlummern…
  7. Speicherbegrenzung (Personenbezogene Daten sollen nur in der Form gespeichert werden, die eine Identifizierung einer Person nur solange ermöglichen, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald diese Daten nicht mehr benötigt werden, sind diese zu löschen oder so zu verändern, dass eine Zuordnung und damit Identifizierung der betroffenen Person nicht mehr möglich ist.)
  8. Integrität und Vertraulichkeit (Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung, Veränderung, Zerstörung oder Verlust. Hierfür sind entsprechende technische und organisatorische Maßnahmen zu treffen.)

Die neuen Regelungen sowohl der EU-Datenschutzgrundverordnung (EU-DSGVO), der ePrivacy Richtlinie, als auch das neue Bundesdatenschutzgesetz (BDSG) werden mitunter wesentliche Auswirkungen auf Ihre Geschäftsstrategien, Geschäftsmodelle, sowie administrative und operative Geschäfts,- als auch Complianceprozesse haben und zwar unabhängig davon, ob Ihr Geschäftsmodell aus der Verabeitung und dem Verkauf, der Vermietung oder dem Austausch persönlicher Daten besteht oder ob Sie persönliche Daten im Rahmen Ihrer administrativen oder operativen Geschäftsprozesse verarbeiten.
Das klingt alles sehr abstrakt und vielen Akteuren ist daher gar nicht bewußt, dass ihre Geschäftsmodelle betroffen sind und nehmen das Ganze daher möglicherweise auf die leichte Schulter.

Zur Verdeutlichung sollen hier beispielhaft einige Anwendungsfelder erwähnt werden, welche besondere Beachtung bekommen sollten. Dazu gehören:

  • CRM Systeme
  • Datenbanken
  • Datenökosysteme und Geschäftsmodelle (z.B.stark vernetzte, virtuelle Geschäftsprozesse mit einem Fokus auf „Daten“)
  • Datenanalyse-Software
  • Tracking-Anwendungen
  • Kommunikationsanbieter
  • Softwarehersteller
  • Datennetzwerke für Marketing und Vermarkungszwecke
  • Analysesysteme
  • Bewertungsplattformen
  • RFID im Handel und in der Logistik
  • sprachgestützte Suchboxen
  • und viele mehr…

Sollten Sie ihm Rahmen Ihrer Geschäftsmodelle mit Endverbrauchern in Kontakt stehen und personenbezogene Daten sammeln, analysieren, verarbeiten, vermieten, verkaufen, verwenden, speichern, verknüpfen, tauschen sind auch Sie betroffen. (z.B. Lieferservices, Online/Versandhandel usw.)
Es gibt durch die immer tiefere Durchdringung der privaten Lebenswelten mit vernetzten, „smarten“ Endgeräten immer mehr Bereiche, bei denen im ersten Moment gar nicht an die Anwendung bzw. Anwendbarkeit der EU-DSGVO gedacht wird, die aber dennoch davon betroffen sind, denn diese Geräte sammeln eine Vielzahl persönlicher Daten und geben damit Aufschlüsse über den jeweiligen Nutzer.

Hierunter fallen z.B. Anwendungen wie:

  • Nutzung von Metadaten wie bei Datensammlungen bei Blutooth Geräten (z.B. Kopfhörern mit Speicherung der Nutzungzeiten, der gehörten Genres usw.)
  • Datensammlungen mit Analysefunktion persönlicher Daten bei IOT Geräten, wie Staubsaugern (z.B. Startzeiten, Endzeiten, Bestätigungen von Tasten, Funk-Rauchmeldern mit Meßfunktionen, Arm- Fitnesstrackern, Sprach / Suchboxen, Smart TVs, Spielekonsolen,Verbrauchs-Signalmessgeräte usw.)

Insbesondere Betreiber von Geschäftsmodellen und Start Up’s mit Businessplänen, die durch die Sammlung, die Speicherung und den Verkauf persönlicher Daten, Profile und das Profiling persönlicher Daten und Vorlieben getrieben sind, wie z.B. Content Anbieter, wie Preis-Vergleichsplattformen, Reiseplattformen, Musik und Video Plattformen, Social Media Plattformen, Intranets, u.v.a.m., sollten noch einmal sorgfältig prüfen, ob hier noch potenzielle Risiken durch die EU-DSGVO bestehen oder ob man bereits gesetzeskonform ist oder sein wird.

Haben Sie sichergestellt, dass…

  • die Rechtmäßigkeit der Verarbeitung gegeben ist?
  • Ihnen Betroffene (wie Mitarbeiter oder Kunden) eine Einwilligung zur Verarbeitung ihrer personenbezogenen Daten übermitteln können (z.B. durch setzen eines Häkchens auf Ihrer Webseite)?
  • betroffene Personen jederzeit von ihrem Widerruf Gebrauch machen können?

Ist das Widerspruchsrecht der betroffenen Personen klar geregelt?

Besondere Vorschriften betreffen insbesondere die Geschäftsprozesse in denen automatisierte Entscheidungen im Einzelfall inklusive dem Profiling zum tragen kommen.

Besondere Beachtung sollten ebenfalls die Leitlinienkompetenz des Europäischen Datenschutzes bezüglich Profiling und die Erfolderlichkeit einer Datenschutz-Folgeabschätzung finden.

Einigen Unternehmen sind bislang die Konsequenzen des Unterlassens, diesbezügich tätig zu werden, wie Strafzahlungen, Reputationsverluste, Verwaltungskosten durch Datenschutzanfragen und ggf. Klagen von Betroffenen, sowie u.a. Verbot der Datenverarbeitung u.v.a. mehr, nicht voll bewusst.

Oft fehlt schon ein ganzheitlicher, transparenter Überblick über die verarbeiteten personenbezogenen Daten und wo diese relevanten Daten gespeichert werden. Viele Firmen haben Dokumente unter der Obhut von Mitarbeitern, unkontrolliert auf Firmenservern oder bei Outsourcing-Providern ausgelagert.

Parallel einhergehende Themen zur IT Sicherheit, wie z.B. Echtzeitüberwachung interner Systeme, Datenschutzbeauftragte/r, Überprüfung von Schnittstellen bei personenbezogenen Daten, sowie Kontrolle der Auftragsbearbeiter und deren Einhaltung der gesetzlichen Erfordernisse nach der EU-DSGVO und die jeweiligen Reaktionen auf Systemauffälligkeiten bei einem Angriff auf personenbezogene Daten. Nutzen Sie diese notwendigen Arbeiten, um Ihre alte „Daten – Kellerleichen“ aufzuspüren und zu löschen, sofern hier keine anderen gesetzlichen Regelungen widersprechen (z.B. wegen handelsrechtlicher und steuerlicher Augbewahrungspflichten).

IT Security und die EU-DSGVO gehen Hand in Hand. Dieses gilt nicht nur für die Vergabe von Zugriffsrechten an relevante Personen, sondern auch für den Entzug von nicht mehr benötigten Zugriffsrechten, um einen ungewollten Abfluss personenbezogener Daten zu verhindern. Eine unkontrollierte Vervielfältigung von Daten, wie das unauthorisierte Kopieren vertraulicher Daten, ist zu verbieten und zu blockieren. Zu verhindern ist auch der nicht genehmigte Versand vertraulicher Daten per Email bzw. der unachtsame Umgang mit Daten, welche leichtsinnig weitergegeben werden.

Mit geeigneten Maßnahmen, wie z.B.

  • festen Regeln bei der Datenverarbeitung,-speicherung,-löschung
  • feste Termine zur Prüfung der Löschung nicht mehr benötigter Daten im Rahmen der gesetzlichen Anforderungen
  • Einhaltung der Datenschutzrichtlinien
  • Prozessreportings
  • speziellen Management Informationssystemen zum Datenschutz
  • Trainings und Schulungen zur Sensibilisierung Ihrer Mitarbeiter sowie betroffener Mitarbeiter von Fremdfirmen, welche Zugang zu personenbezogenen Daten haben, im Umgang mit personenbezogenen Daten, u.v.a.m.
  • Speicherverbote von personenbezogenen Daten auf privaten Speichergeräten, wie USB, Smartphone usw.

Stellen Sie sicher, dass Ihre Geschäftspartner, Kunden, Mitarbeiter und Aufsichtsbehörden jederzeit mit den nötigen Informationen versorgt werden können und Sie die nötige gesetzlich normierte Transparenz erreichen, damit Sie die notwendigen Lenkungs- und Steuerungsprozesse in der Hand behalten.

Beachten Sie, dass die EU-DSGVO keinesfalls nur Ihre IT Abteilung betrifft. Die EU-DSGVO betrifft sämtliche Bereiche eines Unternehmens, in denen personenbezogene Daten verarbeitet oder davon tangiert werden, wie z.B. die Abteilungen

  • HR
  • Vertrieb & Verkauf
  • Marketing
  • IR
  • IT Sicherheit
  • Compliance
  • Recht
  • Steuern
  • Organisation
  • Rechnungswesen & Reporting
  • uvm.

Die Leitungsfunktion dieses abteilungsübergreifenden Projektes sollte wegen der substantiellen Auswirkungen wie Haftung der Organe, auf Aktienkurs und Unternehmensbewertungen, Reputation, Mitarbeiter, Sanktionsprävention und -vermeidung etc. in jedem Fall die jeweilige oberste Führungsebene übernehmen.

Sie können damit rechnen, dass ab Inkrafttreten im Mai 2018 erste Anfragen von Betroffenen oder den Aufsichtsbehörden bei Ihnen eingehen werden. Daher sollten Sie gewappnet sein. Es wird also in vielen Betrieben, in denen nicht bereits seit vielen Monaten Projekteams aktiv an Lösungen arbeiten, noch viel Arbeit auf die neuen interdisziplinären Projektsteams zukommen.

Sollten Sie als Entscheider oder Projektleiter Unterstützung bei der Koordination, Lenkung und/oder Umsetzung benötigen, kontaktieren Sie mich gerne zu einem unverbindlichen Erstgespräch.

Thomas Landschof

Digitalisierung, Datenschutz und Datensicherheit von Unternehmen

Digitalisierung, Datenschutz und Datensicherheit von Unternehmen

(Vortrag anlässlich der Tagung zum Thema „Digitalisierung und Familienunternehmen“, 22/10/2015 der Universität Bayreuth)

Das Thema Risiko, Datensicherheit und Datenschutz begleitet mich seit vielen Jahrzehnten im In- und Ausland. Bei allen Funktion bzw. Projekten ging es oft um die Balance folgender drei Dinge: Menschen, Prozesse und Technologie.
Die Technologie schreitet unaufhaltsam voran. Die Digitalisierung führt zu massiven Veränderungen in fast allen Lebensbereichen. Ich habe allerdings den Eindruck, dass viele Menschen mit der Veränderung bei Geschäftsprozessen (insbesondere den virtuellen) sowie mit den Veränderungen durch die Technologiesprünge (insbesondere in den für die Anwender unsichtbaren Bereichen sowie den daraus entstehenden Chancen und Risiken) nicht mehr zurechtkommen und den Anschluss verlieren und zu unkritisch auf jeden HYPE aufspringen.

Durch die Digitalisierung werden die Grenzen zwischen Datensicherheit von Unternehmen und Datensicherheit im Privaten verwischt. Das Internet erlaubt jederzeit den Zugang zu allen Daten und Daten-Ökosystemen. 

„Fiktiver Tagesablauf“ unseres „fiktiven Geschäftsführers Herrn Josef Hinterhuber“. (Jegliche Übereinstimmung mit tatsächlich lebenden natürlichen Personen ist unbeabsichtigt und wäre rein zufällig)

Weiterlesen...

Herr Josef Hinterhuber, GF der Produktions GmbH, hat sich bisher nicht besonders für Datensicherheit, Datenschutz und die AGB seiner geschäftlichen und privat genutzten Telefon- und Softwareanbieter, Apps, Handyhersteller etc. interessiert.
Sein Smartphone, Pad und PC benutzt Herr Josef Hinterhuber sowohl für Geschäftliche, wie auch private Zwecke (= BYOD Bring your own device).

Die Nacht und der frühe Morgen
0.00
Uhr Nacht
Während Herr Josef Hinterhuber schläft, überträgt sein Smart Home System, sein Smartphone wie auch sein neues Wearable ohne sein Wissen  Daten wie Luftfeuchtigkeit, Schlafphasen, Atemimpulse, Herzschlag,  uvm. an diverse Server und Dienstleister im In- u. Ausland.

6.30 Uhr Weckruf durch das Smartphone
Datensammler in aller Welt kennen mittlerweile die Schlafgewohnheiten von Herrn Hinterhuber. Herr Josef Hinterhuber geht ins Bad. Gleichzeitig sendet seine Health App bereits die Roh-Daten der Nacht auf ausländische Server… an Datenvermarkter, Krankenkassen, die Personalabteilung, den Beirat etc.Blutdruck zu hoch, zu unruhig und wenig geschlafen… die Gesundheitsprognose der aktiven Algorithmen ist negativ…

– Wollen Sie das wirklich? Dass unbekannte Dritte wissen, wie Sie geschlafen haben – und möglicherweise mit wem und wie Ihre Gesundheitsprognose aussieht? Denn auch die Netzwerke, Kontaktdaten, persönlichen wie beruflichen Daten Ihrer Bekanntschaft werden möglicherweise abgefragt…

 Morgens im Haus Vorbereitung auf den Arbeitstag
7.00
Uhr Frühstück
Während des Frühstücks checkt Herr Josef Hinterhuber kurz seine Emails und surft nach den aktuellen Nachrichten im Internet.
Er bekommt Dank ausgefeilter Algorithmen jedoch leider nur individuell aufbereitete Inhalte welche sein individuelles, aktuelles Weltbild manipulieren können, wenn er nicht auch bei alternativen News Diensten sucht. Die Trackingprogramme, welche sich beim surfen im Internet auf seinem Rechner und Smartphone selbst-aktiveren freuen sich ebenfalls über zahlreiche neue wichtige Details über seine Vorlieben, Geheimnissen, Interessen etc. Da viele Informationen auf ausländischen Servern landen, in dem die Deutschen bzw. die  EU-Datenschutzbestimmungen ihn nicht schützen, freuen sich insbesondere Mitwettbewerber im Ausland über sein reges ungeschütztes Surfverhalten. Seine Emails versendet er unverschlüsselt, da ihm die Verschlüsselung zu kompliziert und umständlich ist. Er hat schon etwas von diesen Programmen gehört, aber die Bedienungsfreundlichkeit und Schnelligkeit hat für ihn Vorrang vor der Datensicherheit.

Wird schon nicht so schlimm sein…“Ich habe ja nichts zu verbergen“.

Er weiß nicht, dass in den Terms & Conditions der von ihm genutzten Anbieter alle Emails mit allen Inhalten analysiert, protokolliert, gespeichert und an Dritte zur Analyse weitergeleitet, verkauft oder vermietet werden. Das gilt auch für seine Audioaufzeichnungen, welche er gerne als Anhang diesen Emails beifügt. Über seine Spracherkennungssoftware wird er aufgrund seines Stimmenprofils sofort erkannt. Er sucht gerne nach neuen Firmen zur Übernahme in seinem Geschäftsfeld.
Allerdings hat er sich immer gewundert, dass die Preise bzw. Aktien dieser Übernahmekandidaten stiegen, nachdem er die Suche intensiviert hat.

Was er nicht weiß ist, dass seine „Stimme mit ihrem einzigartigen, unverwechselbaren Profil“  seine Suchanfragen, vom Anbieter der Spracherkennungssoftware analysiert, verkauft und sogar vermietet werden.

Dank seiner sorgfältigen, minutiösen Einträge im Handy- und synchronisiertem Online Kalender wissen viele fremde Menschen auf dem Globus, was Herr Josef Hinterhuber heute und in den nächsten Monaten machen wird, mit wem er sich treffen will, wie er verplant ist. Den Arzttermin wegen seiner Herzprobleme hat er mittels eines Messengers-Dienstes, dessen Server an einem unbekannten Ort steht, verschoben. Besonders überraschend für ihn wäre auch, wenn er wüsste, dass durch seine Spracherkennungs-software alle Anfragen ebenfalls an unbekannte Dritte weitergeleitet, analysiert und verwertet werden. Das geht so weit, dass auch Gefühlsschwankungen erfasst werden. Herr Hinterhuber wunderte sich bereits bei seiner letzten Jahreszielvereinbahrung, warum man ihn in der Personalabteilung fragte, ob er seinem Job gesundheitlich noch gewappnet ist…Die von ihm verwendeten Apps haben bereits, wie jeden Tag unsichtbar im Hintergrund, alle neuen Daten wie Kontakte, Adressen, Fotos, Kommunikation, gespeicherte Passwörter, aufgerufene Internetseiten, Standorte etc. von allen Geräten der Familie Josef Hinterhuber abgezogen und an diverse, unbekannte dritte Firmen zur weiteren Verwendung, wie Verkauf oder Vermietung, weitergeleitet.
Josef Hinterhuber ist etwas in Stress, weil er schon spät dran ist und einen wichtigen Gesprächstermin hat. Sein Herzschlag steigt. Dies wird sofort von seinem neuen Wearable registriert. Seine App empfiehlt ihm, heute lieber zu Hause zu bleiben…

– Wollen Sie das wirklich? Dass Dritte u. ggf. Mitwettbewerber wissen, wann Sie Ihr Haus verlassen, welchen Weg Sie nehmen, wen Sie kennen, mit wem Sie sich wie lange austauschen, welche Inhalte Ihre Gespräche haben, mit wem Sie sich wann treffen, wo Sie sich bewegen, in welcher Tagesform Sie heute sind?

Vielleicht nutzen Sie einfach einmal wieder das gute, alte Kalendarium. – Übrigens: Kenner der Szene machen sich ihre Notizen auf Papier mit Bleistift…die wissen, warum…und vielleicht messen Sie Ihren Puls einfach mal wieder per Hand. Old School ist ja wieder in…

7:30 Uhr  Garage
Inspiriert durch die neue, digitale Tür-Anlage in der Firma, hat Josef Hinterhuber kürzlich renoviert, sich für den letzten Schrei der Technik entschieden und ist jetzt stolzer Besitzer eines „Smart Home“. An der App gesteuerten, digitalisierten Garagentor-Anlage haben auch bereits Kriminelle Gefallen gefunden, die sich auf das auslesen solcher zum großen Teil unverschlüsselter Funkverbindungsspezialisiert haben…

Während der Abwesenheit der Nachbarn, fand unbemerkt ein Einbruch durch Vorspielen eines Umzuges statt. Zugang hatte man sich über eine ähnliche, auslesbare, ungeschützte Garagentoranlage verschafft.

8.00  Uhr  Autofahrt
Dank der vielen installierten GSM Signalgeber im Fahrzeug, incl. ihrem Handy und Notepad, wissen nun Hersteller, Telekommunikationsanbieter, App Anbieter und weitere der Sicherheit dienenden Institutionen seine Wegstrecke im täglich protokollierten Bewegungsprotokoll.

Diese Informationen können durch eine neue, ungeprüfte, schädliche App möglicherweise aber auch an Kriminelle übertragen werden.

Sollten Sie also nächste Woche Verhandlungen über eine geplante Übernahme führen, sollten Sie Ihre Funksignalgeber, wie SmartPhone, Pad, Wearable, EC/Kreditkarten (Chip) abschalten und gesichert in Alufolie oder einer alten Metalldose  aufbewahren.

Ihre Telefonate sollten Sie  nur über verschlüsselte, sichere Systeme und Leitungen führen.

Sonst könnten Sie Ihre Absicht auch gleich ans schwarze Brett hängen oder posten.

Ich werde später noch einmal darauf zurückkommen.

8:30 Uhr  Ankunft am Arbeitsplatz
Während Herr Josef Hinterhuber telefonierend durch die Rezeption läuft und mittels seines Sicherheitscodes die Türe öffnet, bedenkt er nicht, dass sein SmartPhone eine zweite, nach außen gerichtete Kamera hat, die sich zwischenzeitlich unbemerkt eingeschaltet und nun die Tastaturfolge aufgezeichnet hat und an einen nicht bekannten Server überträgt.

Insbesondere Datensammler und –Analysten freuen sich über die umfangreiche Nutzung Ihrer Handykameras, um Sie zu analysieren und zu bewerten.

Wollen Sie wirklich jedem Mitwettbewerber und Dritten Einblicke in Ihre dienstlichen oder privaten Fotoalben und sonstige Daten gewähren? Sie stellen sich doch auch nicht mit Ihren persönlichen Fotoalben und Unterlagen in die Fußgängerzone und legen es zur freien Ansicht aus.

Diese tollen Anwendungen werden ihnen als kostenlos verkauft…

– Sie zahlen aber IMMER mit Ihren kostbaren Daten!

9.00 Uhr   Einwahl in die Firmen-Systeme
Wie Millionen andere Manager weltweit wird sich nun auch Herr Josef Hinterhuber in einige ausländiche Softwareprodukte und Cloud-Dienste  einwählen. Dabei wird er wichtige Unternehmensinterna wie CRM-Daten, Textdaten, Kalkulationsdaten, Strategien, Kundendaten u.v.m. möglicherweise direkt auf ausländische Server liefern.

Ganz aktuell in diesem Zusammenhang ist das Urteil des EuGH C-362/14, wonach das „Safe Harbor“ Abkommen aufgehoben wurde, da es nicht mit europäisches Datenschutzrecht in Einklang steht.

Vertrauen sie wichtige Daten keinem Server an, den Sie nicht persönlich kennen und nicht persönlich gesehen haben! Bleiben Sie Herr Ihrer vertraulichen Daten!

10.00 Uhr   Besprechung mit einer Reisegruppe aus dem Ausland
Die Delegationsgruppe interessiert sich für die neueste Produktentwicklung der Fa. von Herrn Josef Hinterhuber. Die Gäste haben viele Geschenke mitgebracht, u. a. lustige, bunte USB Sticks in verschiedenen Formen und Farben und kleine, digitale Radios mit USB Anschluss und Blue Tooth Schnittstelle. Eines stellt er sich sofort auf seinen Schreibtisch ohne zu bedenken, dass dort, wo etwas herauskommt auch etwas hineingehen kann…
Während der gemeinsamen Betriebsbesichtigung erreicht Herrn Josef Hinterhuber ein Gespräch gerade in dem Moment, in dem er seine Gäste durch die Forschungsabteilung führt, die gerade nicht besetzt ist, da die Mitarbeiter zur Frühstückspause gegangen sind. Eine Video-Überwachungsanlage wurde aus Datenschutzgründen seitens der Mitarbeiter abgelehnt und daher nicht installiert.
Um ungestört zu sein, verlässt er nun kurz den Raum und bittet seine Gäste, ihn kurz zu entschuldigen. Diese nicken freundlich und bezeugen ihr Verständnis. – Dieser kurze Moment der Abwesenheit wird von einem der Teilnehmer genutzt, um einen USB Stick in einen der PCs zu stecken…

Herr Josef Hinterhuber bemerkt, dass die Mehrzahl der Gruppe offenbar Brillenträger mit schlecht sitzenden und gemachten Brillen sind. Warum schauen sie sonst so intensiv und müssen sich ganz nah heranbeugen? Außerdem müssen sie andauernd ihre Bügel zurückschieben…

11.00 Uhr  Schadsoftware in der Produktionsanlage
Der Leiter der IT liegt laut seinen letzten Meldungen und Bildern in sozialen Netzwerken entspannt unter Palmen und genießt gemäß Bildern Sonne & Strandbar. Dies haben auch ein paar Hacker gerne zur Kenntnis genommen und wollen nun ihrerseits ihre Urlaubskasse etwas aufbessern. So ereignet sich ausgerechnet während der Urlaubsabwesenheit des Leiters der IT ein Zwischenfall in der voll digitalisierten Produktionsstrasse. Zunächst werden mechanische Fehler, Stromausfälle, Softwarefehler in einem Produktionsroboter oder fehlerhafte Handhabung seitens eines Mitarbeiters vermutet. Nach tagelangem, vergeblichen Suchen, fordert jedoch plötzlich ein Erpresser, der die Anlage mittels eines Virus lahm gelegt hat,  200 000€, um die Produktionsstrasse wieder frei zu geben…Um einen Skandal zu vermeiden und die Reputation nicht zu gefährden, wird auf eine Anzeige verzichtet.
Nach Verabschiedung und in Kraft treten des neuen IT Sicherheitsgesetzes besteht künftig für die Fa. von Herrn Josef Hinterhuber eine Meldepflicht für solche Vorfälle.

12.00Uhr  Mittag
Da die Zeit knapp ist, erfolgt die Bestellung des Mittagessens über das Handy. Der Lieferservice ist schnell und zuverlässig und darf, da ja schon so lange bekannt, die Räumlichkeiten betreten.

Allerdings ist nur der Lieferservice an sich bekannt. Nicht die jeweiligen Auflieferer und Boten.

So hat man versäumt, bei Vertragsabschluss eine Verschwiegenheitserklärung und das Verbot mit elektrischen Geräten das Betriebsgelände zu betreten bzw. zu betreiben, unterschreiben zu lassen sowie Zugangsberechtigungen nur für ausgewählte, geprüfte Mitarbeiter zu erlassen…

13.00 Uhr Diskussion über Online-Video-Konferenzen, Kommunikationsstrecken
Da Video-Konferenz-Anbieter Gespräche über möglicherweise nicht abhörgesicherte Satelliten abwickeln und gängige Online Programme für PC, SmartPhones u. Pads mitgehört werden können, wird mit der IT Leitung die Einführung eines neuen Systems besprochen, welches speziell gesicherte Kommunikationsstrecken und Hardware nutzt.

14.00 Uhr   Email von seiner Tochter
Herr Josef Hinterhuber erhält eine Email von seiner Tochter aus deren Urlaub, dass ihre Handtasche gestohlen worden sei und sie dringen Geld benötige. Auch seien ihr sämtliche Passwörter abhanden gekommen. Ferner befinden sich in den Anhängen diverse Fotos.
Herr Josef Hinterhuber ist sehr erschrocken und klickt ohne weiter nachzudenken eines der vermeintlichen Fotos an… Sein Computer macht mit einmal sehr merkwürdige Geräusche und schaltet sich ab… Leider hatte er versäumt die letzten Sicherheitsupdates für den Virenscanner zu laden.

Viele klicken zu schnell und unüberlegt…das passiert selbst im Bundestag, wo man doch meinen sollte, alles sei gesichert und alle seien ein wenig aufgeklärt und wachsam…Aber es ist eben zu verlockend…man könnte ja etwas verpassen…und schon ist es passiert.

15.00 Uhr  Anruf des Vertriebsleiters aus dem ICE
Der Vertriebsleiter Herr Maulheld hat auf der Bahnfahrt von Würzburg zum Frankfurter Flughafen im vollbesetzten Großraumwagen fleißig am Laptop an seinem Vortrag über die Digitalisierung der Vertriebsarbeit weiter gearbeitet. Seine sehr guten, wettbewerbsrelevanten Gedanken und Ideen wurden auch von dem hinter ihm sitzenden Vertriebsleiter eines Mitwettbewerbers dankend aufgenommen…
Herr Maulheld informiert Herrn Josef Hinterhuber aus dem Zug  über sein Handy über die neuen Zielkunden.
Was ihm entgangen ist, ist das der Großraumwagen mit ca. 100 Personen mit einmal verstummt. Die neuen potenziellen Auftraggeber nebst Produkten und individuellen Preisen werden laut am Telefon diskutiert – die relevanten Fahrgäste im Zug freuen sich und schreiben fleißig Ihre Notizen…

15.30 Uhr  Update digitaler CRM & Kalender – Speicherstandort der Daten?
Herr Josef Hinterhuber datet seine Firmensysteme ab und führt wichtige Telefonate. Dank der sehr einfach und gut zu bedienenden Software eines ausländischen Herstellers macht es Herrn Josef Hinterhuber im Moment besonders viel Spaß, seine hochbrisanten Informationen in diversen Kalendersysteme, Kontaktsysteme, CRM Systeme usw. zu dokumentieren und zu kommunizieren…Durch das offene Kommunikationssystem werden Messaging-Dienste, Chat-Foren, Email-Systeme, Wissensdatenbanken gleichzeitig, automatisch in eine Cloud synchronisiert, deren Serverstandort im Ausland ist. Herr Josef Hinterhuber weiß allerdings bis heute nicht – und hat sich bis heute auch nicht die Frage gestellt – was eigentlich mit seinen Daten passiert und wo diese nun eigentlich liegen und wer darauf möglicherweise Zugriff hat. Er sollte sich jedoch Gedanken machen. Schließlich gibt er auch seine künftigen Intentionen preis… und jeder Mitwettbewerber würde sich über diese Informationen freuen.

Der nachfolgende Fall ist übrigens real passiert und nicht erfunden:
Ein Betrieb für Spezial-Maschinen, der nur einen Mitwettbewerber im Ausland in diesem Segment hatte, wunderte sich über eine permanente Verschlechterung der Auftragslage. Er hatte bereits den Verdacht, dass seine Telefonate abgehört, die Post mitgelesen (elektronisch wie postalisch), seine Systeme infiltriert und er nicht mehr sicher kommunizieren konnte. Der Schaden war immens. Dies veranlasste ihn, mit einem langjährigen Kunden und Freund eine Falle zu legen.
Er entwarf eine spezielle Spezifikation mit Preisliste für eine fiktive Anfrage seines „Kunden“. 14 Tage nach Übersendung des Angebotes nebst Spezifikation und Preis-Kalkulation, erhielt der „Kunde“ von dem ausländischen Mitwettbewerber ein Angebot genau auf diese Spezifikation bezogen zu einem niedrigeren Preis.

Die Frage, die sich also jeder in diesem Bereich stellen muss, lautet: Habe ich meine Risiken aus dem Tagesgeschäft (MA, Produktion, IT, Standorte etc.) überhaupt schon im Griff und ist eine Digitalisierung in jedem Bereich überhaupt nötig oder gar wünschenswert?

16.00 Uhr  Besprechung zu Flug-Drohnen-Abwehr
Bei Drohnen denken die meisten an die großen Ungetüme, die über den Krisenherden der Welt kreisen – und nicht nur da…- Sie sollten jedoch wissen, dass es sie auch in Miniaturausgabe gibt. So genannte „Mikrodrohnen“, die nur wenige Zentimeter groß sind und unbemerkt durch jedes Fenster schleichen können.

Das Betriebgelände hat frei einsehbare Bereiche. Auch die Fenster zur Abteilung Grundlagenforschung sind nicht geschützt und einsehbar. Um künftig besser geschützt zu sein, werden folgende Maßnahmen beschlossen:

– Drohnenabwehrkonzept

– Fensteröffnungskonzept

– Sichtschutz von Außen

– Klärung der Rechtslage bei unbefugtem Überflug des Betriebsgeländes und entsprechender Abwehrmaßnahmen

Während der Besprechung hört man ein leichtes Brummen von außen… ein eigenartiger Flugkörper fliegt über das Betriebsgelände…

18.00 Uhr   Betriebssportgruppe Fußball
Herr Josef Hinterhuber teilt mit, dass wegen neuer, großer Aufträge das Training der Betriebssportgruppe in den nächsten zwei Wochen ausfällt. Sofort funken die Teamkollegen über Ihre SmartPhones und Ihre vielfältigen Social Messaging Dienste, deren Server im Ausland liegen, die Nachricht an Ihre Familien, Freunde und viele Unbekannte , nicht ahnend, dass diese Informationen auch für den Primärwettbewerber im In– und Ausland von Großen Interesse sind

Sicherheits-Tipp:
Sensibilisieren Sie sich und Ihre Mitarbeiter im Umgang mit Social Networks und im Umgang mit betrieblichen Daten denn auch vermeintliche „Kleinigkeiten“ können für Mitwettbewerber höchst interessant sein! Geschäftliches ist zu jeder Zeit vertraulich zu behandeln, gleich, ob im beruflichen Umfeld oder im Privaten und das gilt nicht erst ab der Führungsebene.

Besonderes Augenmerk sollten Sie auf Datensammler, Datenkraken und Datenanalysten aus dem privatwirtschaftlichen Bereich werfen, welche weltweit agieren. Diese Unternehmen haben die Datensammlung zu ihrem Geschäftsmodell gemacht. Aufgrund deren Intransparenz ist es nahezu unmöglich, die weltweiten Datenökosysteme, Datenanalysen und deren Konsequenzen zu verstehen und nachzuvollziehen. Die Analytik von Metadaten der Datensammler ist mittlerweile derart perfektioniert, dass es einem Datenschutzbeauftragten und Datensicherheitsbeauftragten nahezu unmöglich ist, die sicherheitsrelevanten und anderer, individueller Daten zu kontrollieren.

Da viele Mitarbeiter in vielen Datenökosystemen mit unter auch vertrauliche Unternehmensdaten und Informationen mitteilen, schätze ich mittlerweile dieses Risiko  mindestens genauso hoch ein, als das bekannte Risiko von Diensten beobachtet- und ausspioniert zu werden. In diesem Falle weiß man, dass es passiert und kann sich entsprechend darauf einstellen. Völlig anders verhält es sich bei den Datensammlern, die sich seit Jahrzehnten geschickt der öffentlichen Wahrnehmung entziehen.

Die Politik ist hier dringend gefragt, nicht nur die Primärinteressen der reichlich durch Lobbyisten vertretenen Daten – und Werbeunternehmen zu schützen sondern gerade auch die Interessen der deutschen Unternehmen in Bezug auf datensicherheitspolitische Fragen!

  • Digitale Sorglosigkeit und Datenschutzignoranz ist wie Radioaktivität:
    Man sieht und bemerkt sie nicht, die tödliche Abrechnung erfolgt später…
  •  Ihre betriebliche oder berufliche Zukunft, das Überleben Ihres Unternehmens sowie die Zukunft des Standortes Deutschland hängt von Ihrer Aufmerksamkeit, Vorsicht und Umsicht ab.
  • „Werden Sie wieder Herr über Ihre Daten und Informationen“ (Visualisierung Risk Points)
  • Seien Sie mit Ihren Daten noch sparsamer, als mit Ihrem Budget! (Soviel wie nötig, so wenig, wie möglich!)
  • Finden Sie die Balance zwischen Datensammlung und Nutzung (für Vertrieb und Marketing)
  • Beachten Sie die Meldepflichten nach dem neuen IT Sicherheitsgesetz                        

Fazit : Digitalisierung große Chancen aber genauso große Risiken!
Wer die Risiken nicht kennt oder managed, wird die Chancen nicht nutzen können!

Vielen Dank für Ihre Aufmerksamkeit – und seien Sie kritisch & aufmerksam!

error: Alert: Content is protected !!