Ein alter Hut

Es war einmal vor langer, langer Zeit …
Von der IT-Abteilung einer öffentlich-rechtlichen Rundfunkanstalt hatte ich eine ältere Festplatte für den Rechner in meiner Studentenbude erworben, für den es aufgrund seines Alters keinen anderweitigen Ersatz mehr gab. Nachdem ich die Platte eingebaut hatte, fand ich neben einer kompletten NT-Partition mit administrativen Rechten ohne Passwortschutz auch eine Netscape – Historie. Schon damals war ich überzeugt davon, dass der zugehörige Rechner vorher offensichtlich ausschließlich für eine Recherche zu den Themen “Ferienhäuser in Florida” und “Biersorten” genutzt wurde. Sicherlich um einen Beitrag für das Fernsehen oder das Radio zu erstellen.

Continue reading

Outsourcing, § 11 BDSG und das Gräuel mit den Referenzen

MISSION 100 e.V. ist im Zusammenhang mit Outsourcing auch damit beschäftigt, Softwareunternehmen z.B. im Umfeld von Personal- oder Finanzdienstleistungen zu auditieren. Bei Auftragsdatenverarbeitung dieser Art stellt sich oft heraus, dass die Ausgestaltung der Dienstleistung zwar inhaltlich – insbesondere für Personalchefs oder CFOs – sehr ergiebig sein kann, datenschutzrechtlich diese Systeme aber mehr als mängelbehaftet sind.

Continue reading

Akten- und Datenträgervernichtung nach DIN 66399

Es ist im Alltag eines Datenschützers immer wieder zu beobachten, dass Akten- und Datenträgervernichtung nicht gerade zu den Lieblingsdisziplinen der betrieblichen Anwender gehört. Sensible Akten werden oft im Papierkorb „versenkt“ und darauf vertraut, dass die Putzfrau sich schon darum kümmert und den Papiermüll dahin bringt, wo er hin soll. Aus den Augen aus dem Sinn? Aber was passiert außerhalb des eigenen Wahrnehmungsbereiches? Vom privaten Umfeld will ich hier gar nicht erst anfangen. Wer hat schon einen Schredder und sorgt so dafür, dass Kontoauszüge, Bussgeldbescheide, Krankenversicherungsunterlagen oder Arztrechnungen und andere sensible Unterlagen von den Müllmännern, vom Nachbarn, oder von solchen, die einem schaden wollen (wer immer das auch sein mag…), nicht gelesen werden können.

Continue reading

Das Aufkommen des Überwachungsstaates

Mit leichter Überraschung reibt sich der Laie die Augen, wenn er die aktuellsten Nachrichten aus den USA vernimmt. Da erfährt man, dass die nationale Sicherheit heute offenbar zum grössten Teil von Subunternehmern geprägt wird, die ihrerseits mehr oder minder qualifiziertes Personal einsetzen, um die Überwachungsmaßnahmen im Auftrag des amerikanischen Staates auszuführen. Wie konnte es soweit kommen?

Continue reading

Risk Management: Was uns das BP Desaster lehrt

Information Risk Management ist eine Disziplin, die ich als nicht beherrschbar betrachte, da wir es immer mit einem komplexen Systemumfeld zu tun haben. Ob dem nun so ist oder nicht soll an dieser Stelle offen gelassen werden. Zu denken geben Ereignisse, die wir als besser beherrschbar einschätzen würden. Wer hätte damit gerechnet, dass auf einer Oelbohrinsel so fundamentale Fehler gemacht werden konnten, wie auf der Deep Water Horizon? Die Antwort ist einfach: Jeder, der sich schon einmal mit Risk Management auseinander gesetzt hat!

Denn was auf der Bohrinsel passierte, ist symptomatisch für den fahrlässigen Umgang mit Risiken:

Continue reading

Gütesiegelverleihung an Aktenvernichtung

Die als Gütesiegel des ULD bekanntgewordene Förderung datenschutzgerechter IT-Produkte und IT-Verfahren wurde heute auf Basis eines Gutachtens der beim ULD anerkannten Prüfstelle MISSION 100 e.V. an die zur Rhenus-Gruppe gehörende Firma Rhenus Data Office GmbH verliehen. Durch die Verleihung des Siegels im Rahmen der Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein hat sich die Rhenus Data Office damit als Unternehmen hervorgetan, dessen „Mobile Akten- und Datenträgervernichtung im Rahmen einer Auftragsdatenverarbeitung“ als vom Datenschutz empfohlen bezeichnet werden darf.

Datenverlust bei Computerreparatur

Wir reden hier über einen Klassiker. Ein Unternehmen beauftragt einen Dienstleister mit der Reparatur eines Raid-Systems. Das System stürzt anschließend ab, was einen Datenverlust zur Folge hat. Weil der Unternehmer vorab keine hinreichende Datensicherung durchgeführt hatte, verklagt er den Dientsleister auf Schadensersatz. Das OLG Hamm machte daraus eine Grundsatzentscheidung zum Thema: Der Subunternehmer als Auftragsdatenverarbeiter oder Outsourcing aus Datenschutzsicht. Hiernach sei es blauäugig vom Unternehmer, darauf zu vetrauen, dass der Dienstleister weiß, was er tut. Für unternehmensrelevante Daten ist der „Herr der Daten“, also der Unternehmer verantwortlich und muss alles dazu notwendige veranlassen, dass ein Datenverlsut vermieden wird. Die Entscheidung des OLG ist schon 2003 getroffen worden und scheint immer noch nicht bei den Verantwortlichen angekommen zu sein.