Datenschutzkonforme Internetwerbung für Kinder und Jugendliche

Kinder und Jugendliche sind eine stark umworbene Zielgruppe für Werbung – insbesondere online. Denn Minderjährige verfügen nicht nur selbst über eine gewisse Kaufkraft, sondern beeinflussen in beachtlichem Maße auch Kaufentscheidungen der Erwachsenen in ihrem Umfeld. Der Gesetzgeber stellt Kinder und Jugendliche jedoch unter einen besonderen Schutz, weshalb bei allen Erhebungen und Verarbeitungen personenbezogener Daten von Minderjährigen besondere Datenschutzregeln gelten.

Warum gelten für Minderjährige zusätzliche Datenschutzvorgaben?

Marketing bzw. Werbung soll zum einen die Kaufentscheidungen von Kindern und Jugendlichen bzw. der zugehörigen Erwachsenen beeinflussen. Zum anderen wird versucht, junge Menschen so früh wie möglich an Marken zu binden, um in ihnen im Erwachsenenalter treue Kunden zu haben. Darum entwickeln Unternehmen spezielle Strategien, um insbesondere Kinder und Jugendliche so tief wie möglich beeinflussen zu können. Sehr begeisterungsfähig und selten kritisch, bilden diese schließlich eine denkbar attraktive Zielgruppe.

Werbung will Wünsche wecken und die Konsumenten dazu in eine Fantasiewelt entführen, wo ihnen teilweise wahre Wunder versprochen werden. Erwachsene können zwischen diesen Fantasien und der Realität unterscheiden. Kinder besitzen die nötige kritische Unterscheidungsfähigkeit dagegen zunächst überhaupt nicht, sondern bilden diese erst nach und nach aus.

Insbesondere im Internet fällt es Kindern schwer, Werbung als solche zu identifizieren. Hier tarnt sie sich in kostenlosen Online-Games, Gewinnspielen, Kinderklubs und vermeintlichen „Empfehlungen“ von Freunden in sozialen Netzwerken.

Es ist auch unklar, ab wann Minderjährige vollumfänglich verstehen, was es bedeutet, wenn sie eine Einwilligungserklärung abgeben, um Zugang zum gewünschten Ziel zu erhalten. Denn selbst für Volljährige sind die Datenschutzbestimmungen in Einwilligungserklärung nicht selten zu kompliziert.

Außerdem setzen Unternehmen im Internet auf stark personalisierte Werbung. Um an die Wünsche und Vorlieben eines konkreten Nutzers angepasste Werbung platzieren zu können, müssen Anbieter ihre Anwender so genau wie möglich kennen. Das artet in einer wahren Datensammelwut aus, die auch vor Kindern und Jugendlichen nicht Halt macht.

Deshalb sieht der Gesetzgeber für Werbetreibende im Umgang mit Minderjährigen besondere Regeln vor. Die Grundlagen dafür finden sich im Gesetz gegen den unlauteren Wettbewerb (UWG), im Telemediengesetz (TMG), im Jugend-Medienschutz-Staatsvertrag (JMStV) sowie in der EU-Datenschutz-Grundverordnung (DSGVO).

Datenschutzvorgaben für Onlineangebote für Minderjährige

Wie können Onlineinhalte und insbesondere Werbung, die sich an Kinder und Jugendlich richten, also so gestaltet werden, dass sie datenschutzrechtliche Kriterien erfüllen? Auf folgende Punkte sollten Sie besonders achten:

Datenvermeidung und Datensparsamkeit

Art. 5 Abs. 1 lit c) DSGVO nennt die Prinzipien der Datenvermeidung und Datensparsamkeit mit der zentralen Fragestellung: Welche Daten brauche ich, um den angebotenen Dienst erbringen zu können? Nicht wenige Anbieter beantworten diese Frage mit „so viel wie möglich“. Je mehr man weiß, umso besser kann man seine Leistung schließlich an einen Nutzer anpassen. Aber auch schon bei erwachsenen Anwendern hat das Gesetz eine strenge Definition der Erforderlichkeit einer Datenerhebung.

Das bedeutet: erforderlich sind nur diejenigen Daten, ohne deren Kenntnis die Bereitstellung der Dienstleistung nicht möglich wäre. Erst recht bei Angeboten für Kinder dürfen darüber hinaus keine Daten erhoben werden.

Das TMG konkretisiert in § 13 Abs. 6, dass die Nutzung von Onlineangeboten und deren Bezahlung soweit möglich und zumutbar anonym oder unter Nutzung eines Pseudonyms ermöglicht werden muss. Für die meisten Dienste reicht die Angabe einer E-Mail-Adresse völlig aus. Davon, zur Angabe von personenbezogenen Daten von Freunden aufzufordern, sollte völlig abgesehen werden.

Einwilligung

Experten sind sich nicht einig, ab wann Kinder einschätzen können, was es bedeutet, in die Nutzung von persönlichen Daten einzuwilligen. Viele sind der Ansicht, dass dieser Reifeprozess sehr individuell sein kann. Damit eine Einwilligung gültig ist, muss sie informiert und freiwillig erfolgen. Der Betroffene muss umfänglich verstehen, welche Daten genau von ihm erhoben werden und was damit geschieht. Die Information darüber darf also nicht zu übersehen und klar verständlich sein.

Durch Art. 8 Abs. 1 DSGVO wurde nun erstmals ein Mindestalter für Einwilligungen festgelegt. Ein besonderer Schutz soll erst dann nicht mehr notwendig sein, wenn die einwilligende Person das 16. Lebensjahr vollendet hat.

Richtet sich demnach das Angebot direkt an Kinder bzw. Jugendliche, so können diese selbst nur dann eine informierte und freiwillige Einwilligung abgeben, soweit sie das sechzehnte Lebensjahr vollendet haben. Ist dies nicht der Fall, bedarf es der Zustimmung durch die Eltern bzw. deren Beisein.

Hiervon abweichend können die Mitgliedstaaten Regelungen treffen, die das Mindestalter senken. Jedoch darf das Mindestalter nie unter dem vollendeten dreizehnten Lebensjahr liegen. Deutschland hat bisher nicht von dieser Öffnungsklausel der DSGVO Gebrauch gemacht. Anders zum Beispiel Österreich, das in § 4 Abs. 4 DSG (Datenschutzgesetz) ein Mindesteinwilligungsalter von 14 Jahren vorsieht.

Art. 8 DSGVO modifiziert die Anforderungen an eine wirksame Einwilligung nach Art. 7 DSGVO. Alle Voraussetzungen müssen kumulativ vorliegen. Eingegrenzt wird der Anwendungsbereich des Art. 8 DSGVO durch das Erfordernis eines Angebots von Diensten der Informationsgesellschaft. Bezüglich der Begrifflichkeit wird hierzu in Art. 4 Nr. 25 DSGVO auf Art. 1 Nr. 1 lit b) der Richtlinie 2015/1535 verwiesen. Dienst meint dabei jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Insbesondere fallen darunter E-Commerce, Streaming-Dienste, der Download von Onlineinhalten, aber auch der Beitritt zu sozialen Netzwerken.

In der Praxis ist vor allem interessant, welche Anforderungen an die Nachweispflicht des Einwilligungsempfängers gestellt werden. Hierzu wird in Art. 8 Abs. 2 DSGVO eine Aussage getroffen. Demnach werden von dem für die Datenverarbeitung Verantwortlichen angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik abverlangt, um herauszufinden, ob die Einwilligung durch die Eltern oder in deren Beisein erteilt wurde. Hieraus lässt sich der Schluss ziehen, dass ein bloßer Hinweis auf das notwendige Mindestalter vor elektronischer Einholung einer Einwilligung nicht ausreicht. Es empfiehlt sich, stets das Alter abzufragen. Sollte dann die Einwilligung der Eltern eingeholt werden müssen, kann dies z. B. durch Zusendung eines Dokuments oder dem Double-opt-in-Verfahren mit der E-Mail-Adresse der Eltern realisiert werden. Ein wirklich praxistaugliches Legitimationsverfahren besteht jedoch nicht.

Schwierig wird künftig auch zu beurteilen sein, ob sich ein Angebot direkt an ein Kind richtet oder nicht. Dem Wortlaut „direkt“ muss hierbei Rechnung getragen werden. Nicht umfasst werden folglich Angebote, die zwar einen Bezug zu Minderjährigen haben, diese aber nicht direkt ansprechen (z. B. Dienstleistungen und Waren für Kinder, die sich eigentlich auf unbeschränkt geschäftsfähige Personen beziehen). Es ist stets danach zu fragen, ob sich das Angebot typischerweise auch an Kinder richtet bzw. ob dieses regelmäßig von Kindern in Anspruch genommen wird.

Verbot unlauterer und aggressiver geschäftlicher Handlungen

Das UWG spricht in § 3 Abs. 4 und 4a Abs. 2 S. 2 vom Verbot unlauterer und aggressiver geschäftlicher Handlungen. Beide lauterkeitsrechtlichen Vorschriften stellen auch auf das Alter des Adressaten ab. Hierbei darf die geschäftliche Unerfahrenheit aufgrund des Alters nicht durch unlautere oder aggressive Handlungen beeinflusst werden.

Fazit: Die kindgerechte Gestaltung von Onlineinhalten ist möglich

Internetangebote sollten immer so gestaltet sein, dass der Nutzer Herr der Situation und seiner Daten bleibt. Das bedeutet, dass er jederzeit bewusst entscheiden kann, bestimmte Angebote zu nutzen oder nicht – und dafür eindeutig darüber informiert ist, was ihn bei der Nutzung erwartet.

Erst recht bei Kindern ist eine besondere Sorgfalt notwendig, um diese nicht in unfreiwillig entstandene Situationen zu führen. Damit ist nicht nur gemeint, dass Websites und andere Onlineinhalte für Kinder und Jugendliche nicht irreführend gestaltet sein dürfen. Dies beinhaltet unter anderem auch, dass Werbung deutlich erkennbar vom redaktionellen Inhalt getrennt sein muss und Links eindeutig erkennen lassen, zu welchem Ziel sie führen.

Es ist auch notwendig, dass die Informationen, die ein Betreiber zu seinem Angebot bereitstellt – wie etwa die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen – für Kinder verständlich formuliert sind.

Dieser aktualisierte Artikel wurde zuerst am 27. September 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Private E-Mail- und Internetnutzung im Unternehmen

Die Versuchung zur privaten Nutzung des betrieblichen E-Mail-Accounts oder des Internetzugangs in der Arbeitszeit ist für Beschäftigte groß. Gerade weil es die Kommunikation bequemer macht und das private Datenvolumen des Smartphones schont, nutzen viele Angestellte die Betriebsmittel zu eigenen Zwecken. Ob damit eine vertragswidrige Zweckentfremdung einhergeht, sollten Arbeitgeber durch Regelungen zur IT-Nutzung klarstellen. Dies bringt zahlreiche weitere Vorteile mit sich, wie unser Praxistipp zeigt.

Private Nutzung des geschäftlichen E-Mail-Accounts

Es sollte eine Selbstverständlichkeit sein, dass Arbeitnehmer ihre Arbeitszeit dafür verwenden, ihren vertraglichen Pflichten nachzukommen. Andernfalls drohen Konsequenzen. Für Arbeitgeber ist es deshalb unter gewissen Umständen zulässig, E-Mails von Mitarbeitern auszuwerten, um eine Pflichtverletzung nachzuweisen und darauf gestützt sogar eine Kündigung auszusprechen.

Selbst die fristlose Kündigung eines langjährig beschäftigten Arbeitnehmers kann gerechtfertigt sein, wenn dieser einen bedeutenden Teil seiner Arbeitszeit für den Austausch privater E-Mails nutzt. So entschied es das Landesarbeitsgericht Niedersachsen in seinem Urteil vom 31. Mai 2010 (AZ: 12 SA 875/09).

Der Arbeitgeber konnte nachweisen, dass der Kläger in einem Zeitraum von sieben Wochen mehrere Stunden pro Arbeitstag mit dem Schreiben privater E-Mails verbrachte. Die dem Kläger im betreffenden Zeitraum zugegangenen E-Mails umfassten im konkreten Fall fast 800 DIN A4-Seiten.

Die private Nutzung der Dienst-IT war zwar nicht ausdrücklich geregelt, eine Dienstanweisung aus dem Jahr 1997 gab aber vor, dass das Unterbrechen der Arbeitszeit zur Erledigung privater Angelegenheiten nicht erlaubt sei.

Problematisch war auch, dass der Arbeitgeber es in der Vergangenheit geduldet hatte, dass sein E-Mailsystem zumindest in den Pausen für private Zwecke genutzt wurde. Mit einer eindeutigen Regelung zur E-Mail-Nutzung wäre es vielleicht gar nicht erst zum Prozess gekommen, da dem Arbeitnehmer seine unmittelbare Pflicht zur Unterlassung bewusst gewesen wäre.

Private Nutzung des geschäftlichen Internetzugangs

In einer Zeit, in der viele Angestellte mit eigenen Smartphones surfen und mit Whatsapp kommunizieren, ist die Anziehung des geschäftlichen E-Mail-Accounts hinter die der Internetnutzung über den arbeitgebereigenen Zugang gefallen. Die private Nutzung des geschäftlichen Internetzugangs ist jedoch ein großer Produktivitätskiller, Grund vieler Abmahnungen und begründet deutliche Einbußen für den Arbeitgeber bei Missbrauch.

Zum Vorteil der Arbeitgeberseite hat das Bundesarbeitsgericht schon 2005 entschieden, dass die private Nutzung des Internets während der Arbeitszeit eine Verletzung der arbeitsvertraglichen Pflichten darstellen kann (BAG, Urteil vom 7. Juli 2005, AZ: 2 AZR 581/04). Genauer gesagt befand das Gericht, dass die private Nutzung des Internets die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen darf. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflichten in zeitlicher und inhaltlicher Hinsicht vernachlässigt. Letztlich wurde durch das Gericht sogar festgestellt, dass im Falle einer exzessiven Privatnutzung des Internets während der Arbeitszeit es keiner Abmahnung vor der Kündigung bedarf.

Doch was ist genau mit einer „erheblichen“ Beeinträchtigung oder „exzessiven“ Privatnutzung gemeint? Rechtliche Unsicherheit bleibt bestehen, da diese Begriffe großen Interpretationsspielraum zulassen. Erschwerend kommt hinzu, dass dem Arbeitgeber grundsätzlich kein Kontroll- und Einsichtsrecht bei Internetaktivitäten von Mitarbeitern zusteht, weil er als Dienstanbieter gemäß TKG gilt. Um für beide Seiten Sicherheit zu schaffen und dem Arbeitgeber Kontrollmöglichkeiten einzuräumen, ist deshalb eine Richtlinie zur IT-Nutzung hilfreich.

Richtlinie zur IT-Nutzung bringt Klarheit

Rechtliche Sicherheit für Arbeitgeber und Gewissheit für Arbeitnehmer lässt sich durch eine Richtlinie zur IT-Nutzung schaffen. Indem klar vorgegeben wird, was dem Arbeitnehmer erlaubt ist und was nicht, können Streitfälle vermieden werden. Zudem sind Übertritte durch Arbeitnehmer leichter zu ahnden, weil die Grenzen deutlich abgesteckt wurden.

Die Richtlinie zur IT-Nutzung sollte den privaten Gebrauch der geschäftlichen E-Mail ausschließen. Dies maximiert zum einen die Arbeitszeit, zum anderen birgt das Verbot praktische Vorteile: Wenn etwa ein Mitarbeiter kurzfristig erkrankt, kann der Arbeitgeber dem Vertreter erlauben, das E-Mail-Postfach einzusehen, da sich dank des Verbots keine privaten Daten darin befinden.

Ein anderer Fall ist ein Mitarbeiter, der das Unternehmen im Schlechten verlässt. Sollte die private Nutzung nicht ausgeschlossen sein, könnte der Ex-Mitarbeiter den Arbeitgeber durch die Abwesenheit einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) vom Zugriff auf die E-Mails hindern.

In manchen Berufen kann der Browserverlauf eines Mitarbeiters eine Information sein, mit der die Krankheitsvertretung arbeiten muss. Wurde die private Nutzung nicht ausgeschlossen oder nicht wenigstens auf Pausenzeiten begrenzt, kann das Fernmeldegeheimnis bzw. das Bundesdatenschutzgesetz (BDSG) den Arbeitgeber hindern, den Verlauf einzusehen.

Einige praktische Hinweise bei Einführung einer Richtlinie zur IT-Nutzung:

  • Auch wenn Sie private Internet- und E-Mailnutzung schriftlich verboten/eingeschränkt haben, kann eine faktische Duldung Ihre Richtlinie arbeitsrechtlich unwirksam machen.
  • Das Recht des Arbeitnehmers auf Privatsphäre kann die berechtigten Interessen des Arbeitgebers zur Überwachung überwiegen. Deshalb ist trotz Ausschluss der privaten Internet- und E-Mail-Nutzung darauf hinzuweisen, dass stichprobenhafte Kontrollen durch den Arbeitgeber durchgeführt werden. Dies ist mit dem jüngsten Urteil des EGMR vom 5. September 2017 im Einklang und berücksichtigt die neusten Tendenzen in der europäischen Rechtslandschaft.
  • Sofern Sie die Internetnutzung in Pausenzeiten erlauben, holen Sie eine DSGVO-konforme Einwilligung ein, damit Sie die Einhaltung kontrollieren können.
  • Sie sollten sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben lassen.
  • Legen Sie Arbeitnehmern die Richtlinie jährlich zur Erinnerung vor.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Treffen Sie Regelungen zu „Bring-your-own-device“ (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern.

Dieser aktualisierte Artikel wurde zuerst am 18. April 2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen insbesondere verschärfte Meldepflichten gegenüber Aufsichtsbehörden bzw. Informationspflichten gegenüber Auftraggebern. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unsere Anleitung für Datenpannen und Datenklau hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenklau oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Ihre IT sollte daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Erstellen Sie für dieses Vorgehen mindestens eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann. Noch besser ist eine Richtlinie zur Erkennung von und zum Umgang mit Datenschutznotfällen. Unsere kostenlose Vorlage hilft Ihnen dabei.

3. Schritt: Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Die Aufsichtsbehörden haben hierfür online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Sofern Daten im Auftrag verarbeitet werden, muss der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne informieren und den Verantwortlichen bei der Meldung der Datenpanne unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Im Zweifel ist eine Meldung immer der sicherere Weg.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Dieser aktualisierte Artikel wurde zuerst am 31. Dezember 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Entwicklung der Internetkriminalität 2013

Die Kriminalität im digitalen Bereich ist weiter auf dem Vormarsch. Während die Gesamtzahl der Delikte um 0.6 % gesunken ist, stieg die Anzahl der Computer- und Internetkriminalität um 1 % an. Im Bereich Datenschutz nahm die Kriminalitätsrate sogar um 34 % zu.

Vorab ist zu erwähnen, dass die Zahlen der Polizeilichen Kriminalstatistik keine absolute Gültigkeit haben, da insbesondere im Bereich der Internetkriminalität von einer hohen Dunkelziffer auszugehen ist. Dies liegt zum einen daran, dass in diesem Bereich Straftaten von den Betroffenen vielfach gar nicht bemerkt werden, und zum anderen sehen gerade geschädigte Unternehmen gerne von einer Anzeige ab, um möglichen Imageschäden zu entgehen.

Im Jahr 2013 gab es erneut einen Anstieg der Internetkriminalität zu verzeichnen. Demgegenüber sank die Aufklärungsquote dieser Straftaten von 30 % auf 29 %. An dieser niedrigen Quote lässt sich ablesen, wie wichtig präventive Maßnahmen zum Schutze vor Internetkriminalität sind, da eine Schadenswiedergutmachung durch die Täter mangels Ergreifung im Regelfall nicht möglich ist.

Starker Anstieg der Datenschutz-Verstöße

Verstöße gegen das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze fallen jedoch nicht unter diese Statistik, da diese gesondert behandelt werden. So gab es im Bereich der Datenschutzdelikte einen Anstieg der Deliktszahlen um 34 % auf insgesamt 640 bekannt gewordene Fälle. Davon entfallen 375 Delikte auf die Verstöße gegen das Landesdatenschutzgesetz und 265 Delikte auf die Verstöße gegen das Bundesdatenschutzgesetz. Auffallend ist insbesondere der Anstieg der Straftaten gegen die Landesdatenschutzgesetze um 117 %. Demgegenüber sanken die Delikte gegen das Bundesdatenschutzgesetz um 13 %.

Die Aufklärungsquote stieg bei Landesdatenschutzdelikten von 59 % auf 85 %, wohingegen die Quote bei Verstößen gegen das Bundesdatenschutzgesetz von 76 % auf 61 % sank.

Im Bereich der Datenschutzdelikte lassen sich die enormen prozentualen Änderungen in den Statistiken jedoch durch die verhältnismäßig geringe Anzahl tatsächlicher Verstöße erklären.

Die gesamte Kriminalstatistik können Sie auf der Website des Bundesministeriums des Inneren (BMI) abrufen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Zuverlässigkeit des Datenschutzbeauftragten

Das Gesetz stellt hohe Anforderungen an die Personen, die zum Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Komplexe der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klare Konturen und Abgrenzungen, und sorgt daher in der Praxis öfter für Verwirrung. Daher soll dieser im Folgenden genauer dargestellt werden.

Was bedeutet Zuverlässigkeit als Anforderung an den Datenschutzbeauftragten?

Zuverlässigkeit setzt zunächst einmal die persönliche Integrität des Datenschutzbeauftragten voraus. Diese beurteilt sich nach dem bisherigen Verhalten des Mitarbeiters im Unternehmen sowie seiner allgemeinen Charakterzüge. Die persönliche Integrität ist sehr wichtig, da der Datenschutzbeauftragte innerhalb des Unternehmens eine besonders hohe Vertrauensstellung in Anspruch nimmt. Er erhält von fast allen Abläufen und Vorgängen im Unternehmen Kenntnis und verfügt daher über ein sehr umfangreiches Wissen über das Unternehmen selbst, aber auch über dessen Mitarbeiter.

Der Datenschutzbeauftragte sollte stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl der Betriebsrat und die Mitarbeiter, als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich dessen Unvoreingenommenheit sicher sein können. Denn der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird. Oftmals kommt es zwischen den Parteien jedoch zum Konflikt, insbesondere was den Umgang mit Mitarbeiterdaten betrifft. Um seiner Vertrauensposition gerecht zu werden, ist es daher wichtig, auch in solchen Streitfällen stets neutral zwischen den Konfliktparteien zu stehen und sich keiner der beiden Seiten zugehörig zu fühlen.

Interessenskonflikte des Datenschutzbeauftragten

Daneben darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen. Dies ist insbesondere dann möglich, wenn er die Tätigkeit als Datenschutzbeauftragter parallel zu seiner ursprünglichen Tätigkeit im Unternehmen ausführt. Ein Interessenkonflikt entsteht dann, wenn der Datenschutzbeauftragte einerseits die für das unternehmerische Handelnde verantwortliche Person ist, und andererseits dieselbe Handlung datenschutzrechtlich kontrollieren muss.

Dies würde dem Zweck eines Datenschutzbeauftragten zuwider laufen, da dieser grundsätzlich eine neutrale Stelle darstellen soll, die den für den Umgang mit personenbezogenen Daten verantwortlichen Personen „auf die Finger schauen“ soll. Daher ist eine Bestellung von Personen aus der Geschäftsführung sowie von verantwortlichen Personen aus dem Bereich Personal, EDV, Vertrieb oder Marketing nicht zulässig. Auch die Bestellung von Personen aus dem Betriebsrat ist grundsätzlich nicht empfehlenswert.

Als Faustregel lässt sich festhalten, dass all diejenigen, die für den Umgang mit personenbezogenen Daten verantwortlich sind, stets der Gefahr eines Interessenskonflikts ausgesetzt sind und daher grundsätzlich nicht in Frage kommen. Auch wenn es sich aus Sicht der Unternehmen anbietet, den IT-Leiter oder den Leiter der Rechtsabteilung zu bestellen, da diese teilweise schon die erforderliche Fachkunde mitbringen, ist hiervon strikt abzuraten. Es mag zwar wesentlich umständlicher sein, einem Unbeteiligten die erforderliche Fachkunde beizubringen, aber aus rechtlicher Sicht ist dies der einzig gangbare Weg um sich nicht der Gefahr eines Bußgeldes auszusetzen.

Bei der Auswahl eines Datenschutzbeauftragten ist der in Frage kommende Kandidatenkreis also zunächst einmal anhand der Zuverlässigkeit zu sondieren und anschließend ist in einem zweiten Schritt nach dem Merkmal der Fachkunde auszuwählen. Bei vielen Unternehmen stellt sich aufgrund deren Größe jedoch bereits im Rahmen der Zuverlässigkeit das Problem, dass keine geeigneten Kandidaten mehr vorhanden sind.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz bei WLAN Zugängen von Gästen

Viele Unternehmen bieten den Gästen Ihres Hauses als Service einen kostenlosen WLAN-Zugang an. Aus rechtlicher Sicht ist dies nicht ganz unbedenklich, da das Unternehmen für rechtswidrige Handlungen verantwortlich ist, die über diesen WLAN-Anschluss begangen werden. Unternehmen sollten daher darauf achten, stets individuelle Zugangskennungen zu vergeben.

Die Sicherung des WLAN-Anschlusses

Derzeit werden die Forderungen, nach einer Lockerung der Haftung für WLAN-Anschlüsse immer lauter. Nichts desto trotz haftet nach aktueller Rechtslage noch der Anschlussinhaber grundsätzlich für alle rechtswidrigen Handlungen, die über dessen Internetanschluss begangen werden. Dies gilt selbstverständlich auch für Internetanschlüsse eines Unternehmens.

Primär haftet zwar derjenige, der die rechtswidrige Handlung tatsächlich begangen hat. Diese Person herauszufinden ist jedoch meistens sehr schwierig, da die die Rückverfolgung der IP-Adresse durch den Provider nur bis zum „Unternehmenstor“ möglich ist. Deshalb wird im Regelfall die Suche des Schuldigen auf den Anschlussinhaber beschränkt, da dieser ja auch in Anspruch genommen werden kann.

Um der Haftung zu entgehen, sollte ein Unternehmen seinen WLAN-Anschluss zwingend verschlüsseln. Dabei ist die zur Zeit der Einrichtung des WLANs sicherste Verschlüsselungsmethode zu wählen, derzeit ist dies WPA2. Notwendig ist es zudem, die Verschlüsselungsmethode ständig aktuell zu halten und stets dem technischen Fortschritt anzupassen. Von ungesicherten WLAN-Netzwerken ist dringend abzuraten.

Individuelle Kennungen der WLAN-Zugänge

Daneben sollten auch stets individuelle Kennungen vergeben werden. Diese haben zumindest einen psychologischen Effekt, denn ein Nutzer mit individuellem Zugang dürfte wohl gehemmter sein, rechtswidrige Taten zu begehen, als ein Nutzer mit einer Gruppenkennung. Eine Aufzeichnung der Zuordnung der Accounts zu den Nutzern ist aus datenschutzrechtlicher Sicht problematisch, weshalb vor Speicherung der Daten eine Einwilligung eingeholt werden sollte.

Das Mitloggen der Aktivitäten der einzelnen Nutzeraccounts ist technisch zwar grundsätzlich möglich, jedoch kommt den Log-Files in der Praxis kein hoher Beweiswert zu, weshalb dies nicht zwingend nötig erscheint. Auch können hier datenschutzrechtliche Probleme entstehen, wenn die Nutzeraccounts einzelnen Personen zugeordnet werden können.

Ebenso besteht für die Unternehmen die Möglichkeit, bestimmte Ports zu sperren, beispielsweise die typischerweise für Filesharing verwendeten Ports. Auch eine Beschränkung der Bandbreite ist möglich.
Die Nutzer sollten hierüber jedoch vorab informiert werden.

Wesentlich wichtiger ist jedoch, die Nutzer ausdrücklich darauf hinzuweisen, dass bei der Nutzung des Accounts keinerlei rechtswidrige Handlungen begangen werden dürfen. Aus Gründen der Nachweisbarkeit sollte der Hinweis nicht nur öffentlich ausgehängt werden, sondern von den Nutzern vor der WLAN-Nutzung durch Anklicken bestätigt werden müssen.

Eine 100%ige Sicherheit, nicht haften zu müssen, können jedoch auch diese Maßnahmen nicht gewährleisten, da es derzeit kein Patenzrezept für ein rechtskonformes öffentliches WLAN gibt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Die Fachkunde des Datenschutzbeauftragten

Viele Unternehmen sehen die gesetzliche Vorgabe zur Bestellung eines Datenschutzbeauftragten als lästige Pflicht an. Daher wird oftmals ein Mitarbeiter, der der Geschäftsführung nahesteht oder dem sonst großes Vertrauen entgegengebracht wird, zum Datenschutzbeauftragten bestellt – und eben nicht derjenige mit der größten Fachkunde. Die Bestellung eines nicht fachkundigen Mitarbeiters zum Datenschutzbeauftragten stellt jedoch eine Ordnungswidrigkeit dar und kann mit bis zu 50.000 € Bußgeld geahndet werden. Leider lässt das Gesetz unklar, was genau unter dem Begriff der Fachkunde zu verstehen ist. Genauere Anforderungen haben sich jedoch inzwischen in der Praxis herauskristallisiert und werden im Folgenden dargelegt.

Was ist die Fachkunde des Datenschutzbeauftragten?

Zunächst ist klarzustellen, dass Fachkunde kein starrer Begriff ist, sondern sich jeweils am Ausmaß der Verarbeitung im Unternehmen und dem Schutzbedarf der personenbezogenen Daten orientiert. Je sensibler und umfangreicher die Daten sind, desto höher muss die fachliche Qualifikation des Datenschutzbeauftragten sein. Ein allgemeingültiges, gleichbleibendes Anforderungsprofil gibt es dabei nicht. Das Profil kann sich sogar im Laufe der Ausübung der Tätigkeit des Datenschutzbeauftragten noch ändern oder weiterentwickeln. Ein paar Gemeinsamkeiten lassen sich jedoch trotzdem finden.

[av_sidebar widget_area=’artikelserie-dsb‘ av_uid=’av-2oijbk‘]

Juristische und branchenspezifische Kenntnisse des Datenschutzbeauftragten

Grundsätzlich muss jeder Datenschutzbeauftragte zunächst allgemeine rechtliche Kenntnisse vorweisen können. Diese setzen sich vor allem aus dem allgemeinen Persönlichkeitsrecht, insbesondere in seiner Ausprägung als Recht auf informationelle Selbstbestimmung, den Datenschutzprinzipien, den Vorschriften des BDSG und dem Arbeitsrecht zusammen. Eine fundierte juristische Ausbildung ist hierbei nicht zwingend nötig, jedoch sollten rechtliche Grundlagen beherrscht werden. Daneben werden auch Kenntnisse der technischen Vorschriften des Datenschutzes, wie z. B. die nach §9 BDSG und dessen Anlage, verlangt, da ohne solche Kenntnisse die Kontrolle der IT-Systeme kaum ordnungsgemäß durchführbar ist.

Dazu werden ergänzend jeweils detaillierte branchenspezifische Spezialkenntnisse vorausgesetzt. Je nach Branche erweitert sich das Spektrum der anwendbaren Vorschriften und Gesetze nämlich dramatisch. Der Datenschutzbeauftragte einer Apotheke muss beispielsweise wesentlich tiefere Kenntnisse im Bereich der rechtlichen Behandlung von Patientendaten und dem Risiko der Offenbarung von Privatgeheimnissen vorweisen können, als derjenige eines Autohändlers. Ergänzende Vorschriften können sich beispielsweise aus dem Sozialgesetzbuch, dem Telemediengesetz, dem Strafgesetzbuch oder auch europäischen Verordnungen ergeben.

Als ob das nicht schon genügen würde, werden auch noch allgemeine Kenntnisse in der Informationstechnologie, allgemeinen betriebswirtschaftlichen Abläufen und den Wechselwirkungen innerhalb des eigenen Unternehmens verlangt.

Datenschutzbeauftragte haben ein Recht auf Schulung

Das bedeutet aber nicht, dass der Datenschutzbeauftragte in all diesen Materien ein Experte sein muss. Es genügt wenn Kenntnisse in diesen Bereichen in ausreichendem Maße vorhanden sind. Beim Erwerb und Erhalt dieser Kenntnisse wird der Datenschutzbeauftragte glücklicherweise auch nicht allein gelassen. Die Geschäftsführung ist nämlich gesetzlich verpflichtet, dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungen zu ermöglichen.

Der Datenschutzbeauftragte kann also verlangen, dass er für die Zeit der Fortbildung von seiner eigentlichen Tätigkeit freigestellt wird und die Kosten der Fortbildung von den Unternehmen getragen werden. Die Häufigkeit dieser Fortbildungen orientiert sich ebenfalls am Schutzbedarf und am Umfang der vom Unternehmen verarbeiteten Daten, kann dabei aber auch von Änderungen der tatsächlichen oder rechtlichen Rahmenbedingungen abhängen. So ist der Schulungsaufwand für den Datenschutzbeauftragten eins Handwerksbetriebes wesentlich geringer, als der einer Bank.

Letztendlich gilt das Motto „ohne Schulung keine Fachkunde“, da wohl nur die allerwenigstensten Mitarbeiter eines Unternehmens alle nötigen Fachkenntnisse besitzen, um die Stelle als Datenschutzbeauftragter sinnvoll besetzen zu können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

1,2 Milliarden Passwörter gestohlen: Jeder kann betroffen sein

Es ist ratsam, wichtige Passwörter gerade zum jetzigen Zeitpunkt zu ändern. Eine Hacker-Gruppe soll eine gigantische Anzahl an Profildaten erbeutet haben. Die Medien sprechen vom größten Datendiebstahl aller Zeiten.

Einem Bericht der New York Times zufolge haben russische Hacker rund 1,2 Milliarden Kombinationen aus Benutzernamen und Passwörtern gestohlen. Das amerikanische Sicherheitsunternehmen Hold Security sei in einschlägigen Kanälen auf die Daten aufmerksam geworden und habe auch mit den Dieben kommuniziert. Den Angaben zufolge handelt es sich um die Zugangsdaten zu mehr als 400.000 Diensten. Dazu zählen bekannte Firmen ebenso wie kleinere Anbieter. Welche Internetdienste konkret betroffen sind, wurde bisher nicht bekannt gegeben.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hält es für sehr wahrscheinlich, dass auch viele deutsche Nutzer von dem Passwortdiebstahl betroffen sind. Nach Schätzungen gibt es gut zwei Milliarden Internetnutzer. Auch wenn viele Menschen mehrere E-Mail-Konten nutzen, ist der Diebstahl von mehr als einer Milliarde Logindaten enorm – zumal viele Anwender die gleiche Kombination aus Nutzernamen und Passwörtern für mehrere Dienste verwenden.

Was ist zu tun?

Die Wahrscheinlichkeit, von dem Passwortdiebstahl betroffen zu sein, ist sehr hoch. Im ersten Schritt sollten Sie Ihre Passwörter für Internetdienste ändern. Besonders wichtig ist dies bei Konten, die sensible Daten enthalten. Dabei kann es sich um Ihre persönlichen Daten wie beispielsweise gespeicherte Zahlungsdaten in Onlineshops handeln. Aber auch die Kontaktdaten Ihrer Bekannten in E-Mailkonten und sonstigen Online-Adressbüchern sollten geschützt werden.

Ein einmaliger Passwortwechsel bedeutet aber leider keinen zuverlässigen Schutz. Der New York Times zufolge bestehen bei einigen der betroffenen Dienste weiterhin Sicherheitslücken, über die die Hacker erneut auf Daten zugreifen könnten. Hold Security arbeite an einem Abfragedienst, über den man kontrollieren könne, ob die eigenen Daten in dem erbeuteten Datensatz erhalten seien. Es ist jedoch unklar, wann dieser Dienst zur Verfügung stehen wird.

Daher sollten Sie die Nachrichten in Bezug auf dieses Thema verfolgen. Eine zuverlässige Informationsquelle stellen die Mitteilungen des BSI dar, die Sie hier abrufen können. In der Zwischenzeit ist die wichtigste Maßnahme ein häufiger Wechsel der wichtigsten Passwörter.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Verfahrensverzeichnis und Vorabkontrolle: unterschätzte Pflichten

Verantwortlichen in Unternehmen ist die rechtliche Bedeutung von vollständigen Verfahrensverzeichnissen und nachweisbar durchgeführten Vorabkontrollen häufig nicht bewusst: Alle Verfahren innerhalb eines Unternehmens, mit denen personenbezogene Daten verarbeitet werden, müssen in einem sogenannten Verfahrensverzeichnis abgebildet sein. Damit möchte der Gesetzgeber sicherstellen, dass das Unternehmen sich ausreichend mit dem notwendigen Schutz dieser Daten auseinandergesetzt hat. Selbst wenn für die Art der in Frage stehenden Datenverarbeitung eine gültige Rechtsgrundlage vorhanden ist, wird sie dennoch rechtswidrig, wenn kein oder ein nur unvollständiges Verfahrensverzeichnis vorliegt oder wenn keine Vorabkontrolle dokumentiert durchgeführt wurde.

Mittlerweile hat es sich in den meisten Unternehmen herumgesprochen: Das Bundesdatenschutzgesetz verlangt die Erstellung von Verfahrensverzeichnissen und die Durchführung der Vorabkontrolle. Nachdem hiermit aber regelmäßig Aufwand verbunden ist, wird die Erfüllung dieser Pflichten oft hintenan gestellt, verschoben oder aber eher halbherzig erledigt. Schließlich entfällt bei Bestellung eines Datenschutzbeauftragten die Meldepflicht gegenüber der Aufsichtsbehörde und jedermann vorzuhalten ist nur das öffentliche Verfahrensverzeichnis. Was soll also noch groß passieren? Diese Einschätzung kann ungeahnte Konsequenzen haben.

Als ganz zentrale Pflicht für Unternehmen und andere Organisationen sieht das Datenschutzrecht die Beschäftigung mit den eigenen datenschutzrelevanten Prozessen vor. Das Bundesdatenschutzgesetz sieht vor, dass dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über alle relevanten Informationen über die Verfahren, mit denen Daten verarbeitet werden sowie über zugriffsberechtigte Personen zur Verfügung zu stellen ist (§ 4g Abs. 2 Satz 1 BDSG). Diese „Verarbeitungsübersicht“ stellt das interne Verfahrensverzeichnis der Organisation dar. Bereits an dieser Stelle wird sehr oft übersehen, dass die Pflicht zur Erstellung dieser Verzeichnisse ganz klar auch dann besteht, wenn es keinen Datenschutzbeauftragten im Unternehmen gibt. Auch in diesem Fall hat die Unternehmensleitung die Erfüllung dieser Pflicht sicher zu stellen (§ 4g Abs. 2a BDSG). Dies ist nur konsequent, immerhin besteht ohne Datenschutzbeauftragten die Pflicht, Verfahren automatisierter Datenverarbeitung vor ihrer Inbetriebnahme der Aufsichtsbehörde mit den im Verfahrensverzeichnis enthaltenen Informationen zu melden (§ 4d Abs. 1 und § 4e BDSG). Diese müssen also vorab zusammengetragen werden.

Ist aber ein Datenschutzbeauftragter vorhanden, muss man sich also nicht selbsttätig an die Aufsichtsbehörde wenden, warum dann noch die Verzeichnisse mit Priorität behandeln? Macht man sich deutlich, dass das Vorhandensein korrekter und vollständiger Verfahrensbeschreibungen eine zusätzliche formale Voraussetzung für die Rechtmäßigkeit eines Verfahrens ist, wird der Grund schnell erkennbar. Liegt kein oder nur ein unvollständiges Verzeichnis vor, ist die in Frage stehende Art der Datenverarbeitung rechtswidrig und zwar ungeachtet einer grundsätzlich vielleicht vorhandenen Rechtsgrundlage (siehe hierzu etwa: Urteil des Verwaltungsgerichts Wiesbaden vom 28.04.2010 – 26 K 1273/09). Betroffene können sich allein wegen des Fehlens der Übersicht auf die Unzulässigkeit der Datenverarbeitung berufen und die vollständige Löschung ihrer Daten verlangen und ggf. auch Schadensersatz geltend machen.

So gesehen ist es keine große Überraschung, dass entsprechende Konsequenzen auch bei Mängeln der Vorabkontrolle drohen. Der Beauftragte für den Datenschutz hat, nach Erhalt der Verfahrensverzeichnisse und auf deren Basis, aber eben noch vor Beginn einer Verarbeitung, die Vorabkontrolle durchzuführen (§ 4d Abs. 5 und 6 BDSG). Dass der Gesetzgeber, gerade diese Pflicht besonders ernst nimmt, sieht man zusätzlich an einem weiteren Punkt, der in der Praxis häufig übersehen wird: Hat der Datenschutzbeauftragte Zweifel, kann er sich nicht nur an die Aufsichtsbehörde wenden – er muss dies tun (§ 4d Abs. 6 Satz 2 BDSG).
Auch die Vorabkontrolle ist damit eine zusätzliche Rechtmäßigkeitsvoraussetzung für betroffene Datenverarbeitungsprozesse. Mängel führen wiederum zur Rechtswidrigkeit der betroffenen Prozesse. Betroffene können sich wie oben beschrieben zur Wehr setzen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Deutsche Unternehmen vernachlässigen Cyber-Kriminalität

Viele Unternehmen in Deutschland sind den Gefährdungen aus dem Internet nahezu schutzlos ausgeliefert. Das zeigt eine aktuelle Studie der Wirtschaftsberatungsgesellschaft PwC. Der Untersuchung zufolge ist insbesondere ein signifikanter Teil der mittelständischen Unternehmen völlig ungenügend auf Gefährdungen wie Datendiebstahl oder Hackerangriffe vorbereitet.

Unzureichende oder gar keine Sicherheitsvorkehrungen

Etwa ein Fünftel der befragten Unternehmen hat überhaupt kein System zur Informationssicherheit definiert oder konnte keine genaueren Angaben dazu machen. Trotz der schwerwiegenden Datenskandale der vergangenen Zeit plant nur die Hälfte der mittelständischen Unternehmen höhere Investitionen in die Informationssicherheit.

Die Experten von PwC vermuten, dass ein Grund für die Vernachlässigung von Sicherheitsmaßnahmen darin liege, dass viele Studienteilnehmer das Risiko der Cyber-Kriminalität völlig unterschätzten. Aufgrund fehlender Kontroll- und Monitoring-Verfahren würden viele Angriffe von den Unternehmen überhaupt nicht bemerkt.
Mehr als 20% der befragten Unternehmen waren bereits mindestens einmal Opfer eines Cyber-Angriffs. Doch mehr als die Hälfte der Betroffenen konnte nicht genau angeben, welche Daten davon betroffen waren und welche Folgen die Attacke hatte. Ohne die Details der erlebten Angriffe völlig zu durchschauen, gab die Hälfte der Unternehmen an, dass sie davon ausgingen, dass kein finanzieller Schaden dadurch entstanden sei. Ein Drittel der Betroffenen bezifferte den erlittenen Schaden auf bis zu 100.000 Euro, drei Prozent der geschädigten Betriebe gaben einen höheren finanziellen Verlust an.

Neue IT-Trends als Herausforderung

An erster Stelle der sicherheitsrelevanten Entwicklungen in der Informationstechnologie sehen die befragten Unternehmen das Cloud Computing. 47 Prozent gaben dies als die größte Herausforderung an. Ein Viertel der Studienteilnehmer betrachten den „Bring Your Own Device“ genannten Trend, der zunehmenden beruflichen Nutzung von privaten Endgeräten, sowie den externen Zugriff auf das Unternehmensnetzwerk mit mobilen Geräten als ein Sicherheitsrisiko.

Datenspionage wird dagegen als weniger relevant angesehen. Ein knappes Drittel der Befragten geht davon aus, dass sie durch geheimdienstliche Programme wie PRISM ausgespäht werden. Doch nur ein kleiner Teil von ihnen hält es für notwendig, die Sicherheitsmaßnahmen deshalb zu verschärfen. Diese Einschätzung dürfte auch damit im Zusammenhang stehen, dass mehr als zwei Drittel der Unternehmen angaben, keinen effektiven Schutz vor der Ausspähung durch Geheimdienste zu kennen.

Unzureichende Schulung der Beschäftigten

Eine Informationssicherheitsstrategie kommt nicht ohne eine Sensibilisierung ihrer Anwender aus. Daher gehört die Aufklärung der Mitarbeiter über mögliche Gefahrenquellen und den richtigen Umgang damit zu einem funktionierenden IT-Sicherheitssystem. Dennoch erhalten die Mitarbeiter in knapp der Hälfte der Unternehmen keine regelmäßigen Schulungen zur Informationssicherheit. 37 Prozent der Unternehmen halten es für ausreichend, die Beschäftigten einmalig darin zu schulen, elf Prozent bieten keinerlei Unterweisungen in dem Bereich an.

An der Studie nahmen 405 Organisationen teil. Die Hälfte davon beschäftigt zwischen 200 und 500 Personen, die andere Hälfte mehr als 500.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.