Telekom-Affäre Teil V: Wie sieht das neue Zusammenspiel zwischen ...

Die Affäre der Deutschen Telekom und „Was Unternehmen vom Fall Deutsche Telekom lernen können!“

Teil V
der 9-teiligen Blog-Serie geht der Frage nach: Wie sieht das neue Zusammenspiel zwischen Datenschutz und IT-Sicherheit aus?

Autor: Lothar Lochmaier

Nach der „Ölfleck-Theorie“ breiten sich Überwachungstendenzen auf immer mehr Bereiche des öffent-lichen, wirtschaftlichen und privaten Lebens aus. Selbst die Vertrauenswürdigkeit beim E-Government kann unterminiert sein, wenn der Staat „überall“ den Datenzugriff erhielte. Die Daten und Bewe-gungsprofile privater Nutzer geraten ins Visier von Händlerringen, die schwunghaften Handel mit IP-Adressen, E-Maildaten und Nutzerprofilen betreiben.

Auf der anderen Seite scheinen aber auch die Unternehmen nicht unbedingt prädestiniert dafür, sich gegen ausufernde Tendenzen zu schützen. Das jedenfalls zeigen Fälle wie Lidl & Co. Offenbar verspricht sich so mancher Unternehmenslenker mehr Erfolg, wenn er Unternehmenskultur durch eine „Überwachungskultur“ ersetzt. Der betriebliche Datenschutz ist dadurch etwas in die Jahre gekommen. Oftmals ist diese Funktion infolge der allgemeinen Aufweichungstendenz, forciert auch durch moderne Informationstechnologien á la Web 2.0, kaum mehr organisatorisch gestärkt bzw. dementsprechend tief unten in der Hierarchie platziert.

Folglich existiert zwar ein hohes theoretisches Bewusstsein für die Problematik des Datenschutzes, aber es herrscht fast durchgängig eine große Unzufriedenheit in der Umsetzung. Demzufolge stimmen die vorhandenen Organisationskonzepte kaum mehr mit der betrieblichen Realität überein. Deutschland gilt zwar immer noch als einer der Vorreiter im öffentlichen und betrieblichen Datenschutz, aber die Rechte-Diskussion ist zerklüftet und wenig übersichtlich.

Auch setzen die gängigen Konzepte zu sehr auf alt hergebrachten Methoden der siebziger Jahre auf. Erforderlich wäre stattdessen ein strategisches Datenschutz-Management, das proaktiv in die Soft-wareentwicklung aber auch in die Organisationsmatrix und die Kommunikationsprozesse integriert sein sollte. Datenschutz wäre somit auch ein lebendiger Bestandteil des betrieblichen Reputationsmana-gements und könnte einen Wettbewerbsvorteil darstellen, wie sich am Beispiel der Deutschen Telekom derzeit im Umkehrschub unschwer feststellen lässt.

Regelwerke sind also das eine, die Praxis das Andere. Was lange währt, soll nun endlich gut werden. Das um einen Datenschutzbaustein erweiterte IT-Grundschutzhandbuch erhält also frischen Wind. Dieser ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) standardgemäß integriert. Er soll außerdem in europaweite Richtlinien einfließen. Die jetzige Diskussion könnte dazu verhelfen, das Regelwerk nicht zum bloßen Papiertiger verkommen zu lassen.

Bisher fristete der Datenschutz im IT-Grundschutz nämlich ein einsames Außenseiterdasein. Aufgrund komplexer Zuständigkeiten und der damit verbundenen aufwändigen Abstimmungsprozesse hat es gut zwölf Jahre gedauert, bis er sich von seinem rudimentären Status verabschieden konnte. Denn weder gab es bislang eine eindeutige Bewertung und Bedarfsermittlung noch eine Zuordnung der Maßnahmen zum Datenschutz. Zahlreiche Eitelkeiten und Rivalitäten bis hin zu ministerialen Profilneurosen verhinderten bis dato eine klare Regelung.

Seit Anfang 2006 war das Thema jedoch wieder verstärkt in der öffentlichen Diskussion. Eine Ar-beitsgruppe der Datenschutzbeauftragten des Bundes und der Länder ging daran, für die neuen BSI-Standards und die IT-Grundschutz-Kataloge das frühere Kapitel 3.5 „Datenschutz“ entsprechend zu ergänzen. Die Maßnahmen der IT-Grundschutz-Kataloge galt es außerdem mit dem § 9 Bundes-datenschutzgesetz (BDSG) zu koordinieren.

Übersicht - Aktueller denn je: Datenschutzparagraphen im Web-2.0-Zeitalter

Auszug – Datenschutzrechtliche Gefährdungspotenziale im Unternehmen:

• Fehlende Zuverlässigkeit
• Nichteinhaltung der Zweckbindung
• Überschreitung des Erforderlichkeitsgrundsatzes
• Fehlende/unzureichende Datenvermeidung/-sparsamkeit
• Verletzung des Datengeheimnisses
• Fehlende oder nicht ausreichende Vorabkontrolle
• Gefährdung der Rechte Betroffener
• Fehlende/unzureichende Absicherung der Auftrags-Datenverarbeitung
• Fehlende Transparenz für den Betroffenen und die Datenschutzkontrollinstanzen
• Gefährdung vorgegebener Kontrollziele
• Fehlende/unzureichende Absicherung der Datenverarbeitung im Ausland
• Gefährdungen bei automatisierten Einzelfallentscheidungen oder automatisierten Abrufen
• Fehlende oder unzureichende Datenschutzkontrolle

Leitende Fragestellungen für die Verantwortlichen

• Welche Maßnahmen sind für Datenschutz erforderlich?
• Wie hoch ist der Schutzbedarf der Daten/Datenkategorien?
• Welche Maßnahmen speziell sind erforderlich (z.B. Passwortlänge etc.)?
• Welche Maßnahme gehört zu welcher Anforderung?
• Wie sieht der neue Datenschutzbaustein aus?

Modul 7 regelt die Umsetzung:

• Verpflichtung/Unterrichtung der Mitarbeiter
• Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen
• Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten
• Datenschutzrechtliche Freigabe
• Meldung und Regelung von Abrufverfahren
• Regelungen zur Auftragsdatenverarbeitung
• Regelungen zur Verknüpfung und Verwendung von Daten

Die Einführung in Teil I beschäftigte sich mit dem Thema: Die Grenzlinien im menschlich gesteuerten Computernetzwerk verschwimmen.

Teil II des widmete sich dem Thema: Die Deutsche Telekom ist kein Einzelfall.

Teil III behandelte in der Affäre der Deutschen Telekom den Aspekt: Ein Wirtschaftsunternehmen im Fadenkreuz.

Teil IV gab Tipps, wie Unternehmen auf Ermittlungsanfragen reagieren sollten.

Teil VI befasst sich Lothar Lochmaier mit dem Thema Data Loss Prevention.