Viele Unternehmen lagern einzelne Geschäftsbereiche aus. Handelt es sich dabei beispielsweise um die Personaldatenverarbeitung oder um den Kundenservice, werden personenbezogene Daten weitergegeben. Bei der Auswahl des externen Partners spielt der Datenschutz bei knapp 30 Prozent der Betriebe aber kaum eine bis gar keine Rolle. Das belegt die Datenschutzstudie 2012 von TÜV SÜD und der Ludwig-Maximilians-Universität (LMU) München, die unter der Schirmherrschaft des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) durchgeführt wurde und für die in erster Linie mittelständische Unternehmen befragt wurden.
Nach §11 Bundesdatenschutzgesetz sind Unternehmen für die Einhaltung des Datenschutzes verantwortlich und werden bei Verstößen zur Rechenschaft gezogen - auch wenn Dritte in ihrem Auftrag Daten verarbeiten. Ein erschreckendes Ergebnis der Datenschutzstudie 2012 ist, dass 58 Prozent der befragten Unternehmen ihre Dienstleister, die mit personenbezogenen Daten arbeiten, selten bis gar nicht auf ihre technischen und organisatorischen Maßnahmen der Datensicherheit hin überprüfen. Auch bei der Auswahl eines externen Partners ist das Datenschutzniveau für nur knapp die Hälfte der Unternehmen ein wichtiges Entscheidungskriterium.
"Um der eigenen Verantwortung hinsichtlich des Datenschutzes gerecht zu werden, muss bei der Auswahl eines Partners das Datenschutzniveau zwingend in den Auswahlprozess implementiert werden", erklärt Rainer Seidlitz, Leiter IT-Security bei der TÜV SÜD Management Service GmbH. "Außerdem sollte man sich nicht auf Selbstauskünfte des Anbieters verlassen, sondern ihn nach Möglichkeit vor Ort überprüfen." Ist ein Datenschutzbeauftragter vorhanden, sollte auch dieser bei der Auswahl eingebunden werden. Denn nur wer selbst weiß, wie ein gutes Datenschutzniveau definiert ist, kann dies auch von seinen Partnern einfordern. Weiterhin sollten alle Partner regelmäßig dahingehend überprüft werden, ob sie die Anforderungen an den Datenschutz erfüllen. Hat ein Unternehmen intern nicht die entsprechende Kompetenz, braucht es einen verlässlichen Partner wie TÜV SÜD, der es in Datenschutzfragen kompetent beraten und unterstützen kann.
Schutz in der Cloud
Bei der Verwendung von Cloud-Dienstleistungen ist ebenfalls Vorsicht geboten - sowohl im Unternehmen als auch bei Partnern. Denn hier sind die rechtlichen Fragestellungen noch nicht abgeschlossen und es gibt einige Aspekte, die bedacht werden müssen: Weiß man überhaupt, in welchen Regionen Daten gespeichert sind? Stehen die entsprechenden Server in Deutschland und unterliegen damit deutschem Datenschutzrecht? Oder wird die Cloud beispielsweise in Amerika betrieben? Liegen die Daten in vertrauenswürdigen europäischen Ländern oder in aus Sicht der Europäischen Union unsicheren Drittstaaten? Nur wer ganz sicher sein kann, dass seine Daten tatsächlich gut geschützt sind, sollte sich mit personenbezogenen Daten in die Cloud wagen. Sonst kann es schnell ein böses Erwachen geben.
Mehr Informationen unter www.tuev-sued.de/...
Nach §11 Bundesdatenschutzgesetz sind Unternehmen für die Einhaltung des Datenschutzes verantwortlich und werden bei Verstößen zur Rechenschaft gezogen - auch wenn Dritte in ihrem Auftrag Daten verarbeiten. Ein erschreckendes Ergebnis der Datenschutzstudie 2012 ist, dass 58 Prozent der befragten Unternehmen ihre Dienstleister, die mit personenbezogenen Daten arbeiten, selten bis gar nicht auf ihre technischen und organisatorischen Maßnahmen der Datensicherheit hin überprüfen. Auch bei der Auswahl eines externen Partners ist das Datenschutzniveau für nur knapp die Hälfte der Unternehmen ein wichtiges Entscheidungskriterium.
"Um der eigenen Verantwortung hinsichtlich des Datenschutzes gerecht zu werden, muss bei der Auswahl eines Partners das Datenschutzniveau zwingend in den Auswahlprozess implementiert werden", erklärt Rainer Seidlitz, Leiter IT-Security bei der TÜV SÜD Management Service GmbH. "Außerdem sollte man sich nicht auf Selbstauskünfte des Anbieters verlassen, sondern ihn nach Möglichkeit vor Ort überprüfen." Ist ein Datenschutzbeauftragter vorhanden, sollte auch dieser bei der Auswahl eingebunden werden. Denn nur wer selbst weiß, wie ein gutes Datenschutzniveau definiert ist, kann dies auch von seinen Partnern einfordern. Weiterhin sollten alle Partner regelmäßig dahingehend überprüft werden, ob sie die Anforderungen an den Datenschutz erfüllen. Hat ein Unternehmen intern nicht die entsprechende Kompetenz, braucht es einen verlässlichen Partner wie TÜV SÜD, der es in Datenschutzfragen kompetent beraten und unterstützen kann.
Schutz in der Cloud
Bei der Verwendung von Cloud-Dienstleistungen ist ebenfalls Vorsicht geboten - sowohl im Unternehmen als auch bei Partnern. Denn hier sind die rechtlichen Fragestellungen noch nicht abgeschlossen und es gibt einige Aspekte, die bedacht werden müssen: Weiß man überhaupt, in welchen Regionen Daten gespeichert sind? Stehen die entsprechenden Server in Deutschland und unterliegen damit deutschem Datenschutzrecht? Oder wird die Cloud beispielsweise in Amerika betrieben? Liegen die Daten in vertrauenswürdigen europäischen Ländern oder in aus Sicht der Europäischen Union unsicheren Drittstaaten? Nur wer ganz sicher sein kann, dass seine Daten tatsächlich gut geschützt sind, sollte sich mit personenbezogenen Daten in die Cloud wagen. Sonst kann es schnell ein böses Erwachen geben.
Mehr Informationen unter www.tuev-sued.de/...
