Aktuelles

Gemeinsames Wissen nutzen

Zehnmal so viele Datenpannen seit Mai 2018

Dominik Schönherr

0

Der Landesbeauftragte für Datenschutz Stefan Brink warnt in der Stuttgarter Zeitung u. a. vor besorgniserregenden Datenpannen in Arztpraxen. Seit Inkrafttreten der DSGVO im Mai 2018 hat sich die Zahl der Datenpannen verzehnfacht. Verschlüsselungstrojaner stellten die größte Gefahr dar. Auch Rezepte, Patientenberichte und Röntgenbilder sind an falsche Empfänger übermittelt worden, bemerkt die Datenschutzbehörde in Baden-Württemberg. Brink macht deutlich, dass gerade im medizinischen Bereich besonders sensible und schützenswerte Daten verarbeitet werden. Diese verlangten einen entsprechend sorgsamen und verantwortungsvollen Umgang. Konkret bedeute dies Datensicherung, Verschlüsselung von Daten und qualitativ hochwertige Schulungen und Sensibilisierung der Mitarbeiter*innen. Im Falle einer Datenpanne bezüglich Gesundheitsdaten seien zusätzlich zur Datenschutzbehörde auch die Betroffenen zu informieren.

Die Zahl der Datenpannen hat sich verzehnfacht. Fehler im Umgang mit personenbezogenen Daten würde immer öfter gemeldet. Grund dafür seien häufig Nachlässigkeit oder mangelnde Organisation.

1000 Datenpannen dieser Art erreichten die Behörde seit Anfang 2019. Darunter befanden sich u. a. Hackerangriffe und Versand von Mails mit offenem Adressverteiler. Im Mai 2019 waren es 177 Meldungen (bisheriger Höchststand). Die Baden-Württembergische Datenschutzbehörde verhängte in zehn Fällen Bußgelder einer Gesamthöhe von 207 140 Euro.

Bei Digitalisierung auf Nummer sicher

Dominik Schönherr

0

In einem Interview zum Thema IT-Sicherheit, Datenschutz und standardisierte Systeme macht Dr. Ralf Cordes (Experte für Informationssicherheit bei der internationalen Zertifizierungsgesellschaft DNV GL – Business Assurance) deutlich: trotz einer guten Entwicklung innerhalb der digitalen Transformation, hat der deutsche Mittelstand noch großen Nachholbedarf. Es mangele an einem Bewusstsein für Sicherheitsrisiken in Verbindung mit Digitalisierung.

Selbst Unternehmen mit kostspieliger IT-Infrastruktur und hohen Sicherheitsstandards sind anfällig für Schadsoftware. Wie ist das möglich? Gerade standardisierte Systeme weisen häufig Schwachstellen auf. Allein im Zeitraum von fünf Jahren (2012 bis 2017) ist die Zahl der Schadsoftware, die allein auf Microsoft Windows abzielt, auf das Fünffache gestiegen. Gleichzeitig steigt die Wirtschaftskriminalität enorm. Nicht bestätigte Überweisungen auf unbekannte Konten in Form von Kryptowährungen sind beispielhaft für diese Art des Betrugs, dem Mitarbeiter*innen und letztlich das gesamte Unternehmen zum Opfer fallen. Unklare Nutzerrichtlinien stellen eine weitere Gefahrenquelle dar. Nicht selten werden Links von nicht verifizierten Absendern angeklickt. Es fehlt also eine Sensibilität für Cybersecurity. Wie jährliche Brandschutz- und Arbeitsschutzschulungen sollten entsprechende Schulungen zu IT-Sicherheit und Datenschutz erfolgen, meint Cordes in der Zeitschrift für Qualitätsmanagement und Qualitätssicherung (Juni 2019).

Der Transfer auf IP-Strukturen hat für Unternehmer viele Vorteile: neben einer einheitlichen Plattform kann das Unternehmen auf ausgereiftere Produkte zurückgreifen etc. Alles basiert dabei auf Standardprozessen und Standardsoftware. Hierin besteht jedoch das Problem, denn jede IP-Adresse stellt eine wesentliche Sicherheitslücke dar.

Beim Thema Datenschutz begegnen Cordes verschiedene Mängel und Lücken in der Umsetzung der DSGVO. Oft würden Prozesse, in denen personenbezogene Daten verarbeitet werden, gar nicht identifiziert. Zusätzlich bleibt eine Differenzierung zwischen öffentlich verfügbaren, besonders schützenswerten sowie hochsensiblen Daten aus. Weiterhin werden Mitarbeiter*innen und Externe häufig nicht oder unzureichend über die Weitergabe sensibler Daten informiert. Cordes schlägt daher vor, eine regelmäßige Prüfung der IT-Infrastrukturen entsprechender Unternehmen durchzuführen (parallel zu technischen Überprüfungen von Autos), eine internationale Zertifizierung gemäß einer ISO 27001 einzuführen sowie spezifische Normen für die funktionale Sicherheit von Komponenten, z. B. orientiert an ISO 25252 zu etablieren.

Gesundheitsförderung ohne Unternehmenskultur geht nicht

Dominik Schönherr

0

Betriebliche Gesundheitsförderung kann wichtiges Element einer erfolgreichen Unternehmensführung sein. Ihre positive Wirkung kann sie allerdings nur Entfalten, wenn sie in Verbindung mit einer entsprechenden Unternehmens- und Wertekultur auftritt. Wenn MitarbeiterInnen bemerken, dass Gesundheitsangebote nur dazu da sind, die Beschäftigten noch leistungsfähiger zu machen, wirkt sich das kontraproduktiv aus. Die in ausführlichen Interviews Befragten empfinden diese Maßnahmen eher als Einmischung und Bevormundung seitens des Arbeitgebers. Beispielsweise sollten MitarbeiterInnen, welche harte körperliche Arbeit verrichten, keine plumpen Fitnessangebote erhalten. Eine Studie der Hochschule Fresenius vom Oktober 2018 gibt Aufschluss über kontinuierlich steigende Krankenstände und warum Gesundheitsförderung bei falscher Anwendung keinen Erfolg hat. Laut Bundesanstalt für Arbeitsschutz und Arbeitsmedizin betrug der Ausfall der Bruttowertschöpfung bei durchschnittlich 17,5 Fehltagen pro ArbeitnehmerIn 2016 133 Milliarden Euro; und dies trotz 6,5 Milliarden Euro Investitionen in Gesundheitsförderung seitens der Unternehmen und Krankenkassen.

Die Befragung zeigt auch, dass MitarbeiterInnen unterschiedlicher Branchen das Gefühl haben, mehr zu leisten als sie zurückerhalten. Dazu kommt mangelnde Wertschätzung und zu hoher Effizienzdruck. Dies hat erhebliche Auswirkungen auf den Gesundheitszustand der MitarbeiterIhnen und bewirkt schließlich einen zu hohen Krankenstand.

Arbeitgeber können diesem Trend jedoch mit gezielten Maßnahmen entgegenwirken:

  • konstruktives und regelmäßiges Feedback / Austausch,
  • positiver Umgang mit Fehlern,
  • angemessener Zeitrahmen für Arbeitsaufgaben,
  • Anerkennung der Arbeit durch die/den Vorgesetzte(n),
  • Unterstützung im und für das Team,
  • Hochwertige Arbeitsmittel.

Sicher, diese Maßnahmen sind nicht neu, dennoch sollten sie umgesetzt und gepflegt werden. Leichter fällt es, diese Beispiele für Wertschätzung in eine wertebasierte Unternehmenskultur zu integrieren. Nur wertebasiert gelingt es, Gesundheitsförderung erfolgreich im Unternehmen zu etablieren und somit Fachkräfte zu gewinnen und zu erhalten.

Was ist und was bedeutet Compliance?

Dominik Schönherr

0

Compliance ist längst kein nebulöses Wort mehr. Der Begriff „Compliance“ oder auch „Corporate Compliance“ hat klar definierte Inhalte: Compliant verhält sich ein Unternehmen genau dann, wenn es sämtliche rechtliche Normen einhält. Das klingt einfach. Compliance beinhaltet tatsächlich mehr. Von Unternehmen wird heutzutage verlangt, proaktiv alle nötigen Maßnahmen zu ergreifen, damit es gar nicht erst zu Rechtsverstößen kommt. Das bedeutet, dass Compliance mittlerweile fester Bestandteil des Risikomanagements geworden ist. So muss ein international tätiges Industrieunternehmen beispielsweise darauf achten, keine Güter in Länder zu exportieren, die auf der Sanktionsliste stehen.

Die umfangreichen Compliance-Aufgaben müssen nicht allein durch die Geschäftsleiterin oder den Geschäftsleiter erledigt werden. Sie oder er kann die Aufgaben auch delegieren. Die Auswahl der jeweiligen Mitarbeiter/innen sollte jedoch sorgfältig getroffen werden. Denn am Ende haftet immer die/der Geschäftsleiter/in. Konkret bedeutet das, dass die/der Geschäftsleiter/in den Rechtsverstoß (z. B. Kartellverstöße) nicht direkt selbst verursacht haben muss, sondern es genügt, wenn sie/er keine geeigneten Maßnahmen ergriffen hat, potenzielle Rechtsverstöße im Voraus zu verhindern. Der hohe Anspruch an die/den Compliance-Verantwortlichen spiegelt sich auch darin wider, dass sich Geschäftsbereiche im Unternehmen wandeln können und sich damit auch die Regeln verändern. Stets auf dem Laufenden zu bleiben, ist daher oberstes Gebot. Bei größeren Unternehmen kommt es aufgrund der vielfältigen Strukturen schnell zu einer Komplexität, die eine einzelne Person nicht überschauen kann. Aus diesem Grund ist eine enge, vertrauensvolle Zusammenarbeit mit den einzelnen Abteilungen des Unternehmens unabdingbar. Deutlich wird, dass die richtigen Strukturen geschaffen werden müssen, damit Compliance-Verstöße vorausschauend vermieden werden. Geschäftsleiter/innen sollten daher durch regelmäßige Berichte der/des Compliance-Verantwortlichen einen ungeschönten Einblick in den Ist-Zustand, d. h. in das aktuelle Risikoprofil des eigenen Unternehmens erhalten. Nur so kann der angestrebte Soll-Zustand verdeutlicht und geeignete Maßnahmen getroffen werden.

Compliance heißt also: Genau hinschauen und dann konkret und planvoll handeln.

 

Thesmon Well Point unterstützt Sie bei allen Compliance-Angelegenheiten.

Erste ein Viertel der Unternehmen haben die DSGVO vollständig umgesetzt

Dominik Schönherr

0

Eine Umfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) macht deutlich:

  • Nur etwa 24 % der 500 befragten Unternehmen in Deutschland geben an, die DSGVO vollständig umgesetzt zu haben,
  • 40 % haben die DSGVO zum großen Teil,
  • weitere 30 % haben die Vorgaben teilweise umgesetzt
  • und 5 % haben gerade mit der Umsetzung begonnen.

Für die meisten Unternehmen bedeuten konkret die Dokumentations- und Informationspflichten sowie die Datenschutz-Schulungen der MitarbeiterInnen den größten Aufwand. 78 % der Unternehmen registrieren diesbezüglich einen erhöhten Aufwand im laufenden Betrieb.

Thesmon Well Point unterstützt Sie bei der Umsetzung der DSGVO in Ihrem Unternehmen. Wir schenken Ihnen Zeit für das Kerngeschäft.

Quelle: Datakontext

 

Ist Effizienz wirklich genug?

Dominik Schönherr

0

Unternehmen müssen Kosten sparen, Prozesse verschlanken und Risiken minimieren. Das Controlling z. B. konzentriert sich mithilfe ausgewählter Kennzahlen um die Überprüfung dieses Effizienzgebots. Das ist Basiswissen der Betriebswirtschaft und wird in vielen Businessschools und Universitäten gelehrt. Deutsche mittelständische Unternehmen setzen auf diese Art von Kosten-Nutzen-Kalkül und fahren oft gut damit. Wenn Effizienzdenken sich allerdings zu einem Fetisch entwickelt und als handlungsleitendes Dogma über allem schwebt, ist die Zukunft vieler deutscher Unternehmen in Gefahr. Bloße Effizienz greift in einer komplexen Geschäftswelt der Digitalisierung zu kurz.

Kaum einer würde bestreiten, dass geplante Investitionen und Innovationen den Unternehmenserfolg wesentlich begründen. Für sie muss jedoch der Raum erst geschaffen werden. Aus Sicht eines funktionierenden Controllings sind größere Investitionen in die Zukunft allerdings nicht berechenbar, risikoanfällig und eher zu vermeiden. Eine gute Geschäftsleitung hat jedoch auch eine mittel- bis langfristige Entwicklung des Unternehmens im Blick, die längerfristige Investitionen mitberücksichtigt. Das Controlling erfüllt eine enorm wichtige Funktion innerhalb des Unternehmens, gibt aber keine Auskunft über neue Möglichkeiten der Weiterentwicklung und somit der Wertschöpfungssteigerung eines Unternehmens. Um in der digitalisierten Geschäftswelt mit kurzfristigen Veränderungen des Marktes produktiv umgehen zu können, sind innovationsbasierte Weiterentwicklungen des Unternehmens als Organisation keine Kür mehr, sondern Pflicht.

Das Streben nach Effizienz wird zukünftig auch in innovativen Unternehmen eine Rolle spielen. Effizienz allein wird jedoch nicht ausreichen, um langfristig am Markt konkurrenzfähig zu bleiben. Man könnte auch sagen: Effizienz ist ohne Steigerung der Effektivität nicht zukunftsfähig.

Ganzheitlich, d. h. in Systemen zu denken heißt, das eigene Unternehmen als ganze Organisation zu verstehen und dem kleinteiligen betriebswirtschaftlichem Blick nicht in allen Bereichen den Vorzug zu geben. Kleinteiliges und ganzheitliches Denken sollten sich die Waage halten. Hier kann eine Beratung auf Basis der Systemtheorie entscheidende Weichenstellungen vornehmen.

Für eine konsequent am Markt orientierte Wertschöpfungsstrategie ist es wichtig:

  • Verantwortung denen zu übertragen, die marktnah reagieren können:

Hierfür sind entsprechende Teams zusammenzustellen,

  • individuelle Zielvereinbarungen und Bonussysteme zurückzufahren und Zusammenarbeit zu fördern,
  • dass Geschäftsführung und leitende MitarbeiterInnen Mission und Vision glaubhaft verkörpern,
  • Kontrollen der MitarbeiterInnen und Schuldzuweisungen zurückzufahren und stattdessen gemeinsam nach Lösungen zu suchen,
  • eine starke, mitreißende Unternehmensidentität (speziell durch Werte) auszubilden.

Mittelständische Unternehmen müssen diese Bedingungen aus eigener Kraft umsetzen können und somit anpassungsfähig bleiben. Denn: In einer globalisierten, digitalisierten und komplexen Geschäftswelt braucht es viel mehr als Effizienz.

Unterschiede zwischen Datenschutz und IT-Sicherheit

Dominik Schönherr

0

Die Bereiche Datenschutz und IT-Sicherheit werden in Unternehmen häufig nicht scharf voneinander getrennt:

Im Mittelpunkt des Datenschutzes stehen die schutzwürdigen Interessen der Betroffenen (nicht die reine Schadens-Betrachtung aus Unternehmenssicht), somit der Schutz des Einzelnen vor einer Verletzung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten (Art. 1, DSGVO)!

Aufgrund der unterschiedlichen Perspektiven können die Ergebnisse aus der Informationssicherheit für den technischen Datenschutz nicht einfach übernommen werden. Die Risikobewertung des Datenschutzes- und der Informationssicherheit können zufällig identisch, müssen es aber nicht gezwungenermaßen sein.

Ein Beispiel: Aus Unternehmenssicht wird das Risiko eines Vertraulichkeitsverlustes (bspw. durch einen gehackten User-Account) ggfs. als gering einstufen. Dem Unternehmen entsteht kein unmittelbarer Schaden. Unter Berücksichtigung der Verpflichtung aus Art. 32 DSGVO wird nun aber auch der potenzielle Schaden für den Betroffenen mit zu berücksichtigen sein.

Was bedeutet eigentlich Fehlerkultur?

Dominik Schönherr

0

Eine gute Fehlerkultur befähigt Mitarbeiter/innen dazu, produktiver und motivierter zu arbeiten und führt somit die ganze Organisation zu großen Erfolgen. Eins ist jedoch klar: Das kann nur gelingen, wenn unter Fehlerkultur das Richtige verstanden wird. Für das neue Jahr 2019 sollten sich Unternehmen also die Frage stellen, wie sie ihr Verständnis schärfen und ihren Umgang mit Fehlern verbessern können.

Was Fehlerkultur nicht bedeutet:

Fehler sind kein Selbstzweck und können ein Unternehmen in die Pleite führen. Daran besteht kein Zweifel. In Bereichen, in denen Sicherheit und Qualität an erster Stelle stehen, wie z.B. in der Luftfahrt, haben Fehler schwerwiegende Konsequenzen. Größte Professionalität sowie planvolles und vorsichtiges Vorgehen können uns trotzdem nicht vor Fehlern bewahren. Der Mensch ist stets mit der eigenen Fehlerhaftigkeit, d.h. Unvollkommenheit konfrontiert. Die Frage lautet also nicht, wie wir Fehler gänzlich vermeiden können, sondern wie wir möglichst produktiv mit ihnen umgehen. Fehlerkultur darf also nicht mit Leichtsinn und Fahrlässigkeit verwechselt werden.

Was eine Fehlerkultur ausmacht:

Für Innovationen und neue Geschäftsmodelle, die die Zukunft des Unternehmens sichern sollen, braucht es neue Wege und das Vertrauen darauf, unvorhersehbare Entwicklungen zu meistern. Dafür muss ein Rahmen geschaffen werden, in welchem es ok und erwünscht ist, Fehler zu machen. Aus ihnen zu lernen und produktiv mit ihnen umzugehen entscheidet über Erfolg oder Misserfolg.

Unternehmen, die also bestimmte Fehler zulassen und sich dadurch stetig verbessern, haben gute Chancen auf eine erfolgreiche Zukunft. Denkt man an das schlechte Abschneiden Deutschlands in einer internationalen Studie von Prof. Dr. Phil Michael Frese zum Thema Fehlerkultur (Platz 60 von 61), ist dies gerade für deutsche Unternehmen eine wichtige Lektion.

DSGVO: Erstes Bußgeld verhängt!

Dominik Schönherr

0

Kooperation mit Aufsicht macht es glimpflich.

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb, um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Quelle: Pressemeldung LfDI Baden-Württemberg

Erst ein Viertel der Unternehmen haben die DSGVO vollständig umgesetzt

Dominik Schönherr

0

Eine Umfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) macht deutlich:

  • Nur etwa 24 % der 500 befragten Unternehmen in Deutschland geben an, die DSGVO vollständig umgesetzt zu haben,
  • 40 % haben die DSGVO zum großen Teil,
  • weitere 30 % haben die Vorgaben teilweise umgesetzt
  • und 5 % haben gerade mit der Umsetzung begonnen.

Für die meisten Unternehmen bedeuten konkret die Dokumentations- und Informationspflichten sowie die Datenschutz-Schulungen der MitarbeiterInnen den größten Aufwand. 78 % der Unternehmen registrieren diesbezüglich einen erhöhten Aufwand im laufenden Betrieb.

Thesmon Well Point unterstützt Sie bei der Umsetzung der DSGVO in Ihrem Unternehmen. Wir schenken Ihnen Zeit für das Kerngeschäft.

Quelle: Datakontext