Interviewpartner: Brigitte Jordan
Funktion: Geschäftsführerin
Unternehmen: Revidata GmbH
Website: www.revidata.de
1. Beschreiben Sie kurz Ihr Unternehmen. Welche Zielgruppe sprechen Sie hauptsächlich an?
Die REVIDATA GmbH ist eine traditionsreiche Unternehmensberatung und unterstützt seit mehr als 30 Jahren branchenübergreifend Unternehmen in allen Fragen zum Thema Unternehmensberatung und Revision. Wir sind spezialisiert auf allen Gebieten der Sicherheit einschließlich IT-Sicherheit, IT-Revision, IT-Prüfung, Interne Revision, Compliance-Audit, Massendatenanalyse, Datenschutz und Risikomanagement. Außerdem liegt uns besonders an einer guten Aus- und Weiterbildung – das Ziel unseres stetig wachsenden Seminarwesens.
2. Welche Bedeutung hat Datenschutz für deutsche Unternehmen – insbesondere vor dem Hintergrund der aktuellen Skandale?
Nach den vielen Skandalen gewinnt der Datenschutz im Zusammenhang mit der Datensicherheit in den Unternehmen etwas stärker Bedeutung. Nicht nur in den Unternehmen nimmt das Thema IT-Sicherheit an Bedeutung zu, sogar unsere Politiker erwägen das Thema IT-Sicherheit als eigenständiges Gesetz zu verabschieden. Dieser Entwicklung sehe ich insgesamt positiv entgegen.
3. Welche neuen Entwicklungen gibt es im Bereich Datenschutz, die besonders die deutschen Unternehmen derzeit beschäftigen (sollten)?
Bekanntlich erfordert § 9 des Bundesdatenschutzgesetzes (BDSG), dass sämtliche Betriebe, in denen personenbezogene Daten verarbeitet oder genutzt werden, die erforderlichen technischen und organisatorischen Maßnahmen treffen, um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten.
In diesem Zusammenhang prüft das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit die Mailserver in Bayern ansässiger verantwortlicher Stellen im Sinne des § 3 Nr. 7 BDSG im Hinblick auf die Einhaltung der gesetzlich vorgeschriebenen Standards, insbesondere die Verwendung erforderlicher Verschlüsselungsmöglichkeiten.
Bei Verstößen können die Datenschutzbehörden Maßnahmen anordnen und unter Verhängung von Zwangsgeldern durchsetzen. Kommt es infolge unzureichender technischer oder organisatorischer Schutzmaßnahmen zu unberechtigten Zugriffen auf personenbezogene Daten, müssen die verantwortlichen Stellen zudem die Aufsichtsbehörden informieren. Andernfalls droht die Verhängung empfindlicher Bußgelder.
4. Reicht Ihrer Meinung nach die derzeitige deutsche und europäische Gesetzeslage für einen optimalen Schutz der personenbezogenen Daten aus? Oder gibt es hier noch Verbesserungspotenzial?
Unter dem Aspekt, dass die Welt immer näher zusammenrückt und Daten innerhalb der Unternehmen, besonders in Konzernen weltweit ausgetauscht und verarbeitet werden, kann es meiner Meinung nach nur eine internal gültige Datenschutz-Gesetzeslage ermöglichen, einen möglichst optimalen Schutz personenbezogener Daten weltweit zu gewährleisten. Die heutigen datenschutzrechtlichen Gesetzeslagen sind nicht mehr aktuell, ohne Praxisbezug und teilweise Insellösungen, somit nicht optimal global anwendbar. Aus diesem Grund erkenne ich hier schon Optimierungsbedarf.
5. Was war das spannendste Projekt, das Sie/Ihr Unternehmen in den letzten 12 Monaten in Angriff genommen haben?
Der Betriebsrat eines Industrieunternehmens hat darauf bestanden, dass Überwachungssysteme mit ihren automatischen Protokollen von nicht berechtigten Zugriffen auf den Datenbestand des Unternehmens abgeschaltet wurden. Das war natürlich so nicht gewollt. Es sollte aus den Häufigkeiten der Zugriffe der Mitarbeiter auf die von ihnen zu bearbeitenden Daten und Dateien keine Rückschlüsse auf das Arbeitspensum und die Arbeitszeiten des Einzelnen geschlossen werden können.
Ein zu vertretender Gedanke, meint man zunächst. Aber eine unbeabsichtigte und nicht bedachte Folge der Aufhebung der IT-Systemzugriffskontrollen war, dass unter anderem auch Zugriffe von Außen durch fremde Dritte nicht mehr gesperrt und solche Zugriffe auch nicht mehr protokolliert wurden. So bemerkten die IT-Mitarbeiter erst im Nachhinein, dass über Nacht riesige Datenmengen aus dem IT-System ausgelesen und übertragen wurden.
Die vom Betriebsrat zum Schutz von mitarbeiterbezogenen Daten geforderte Aufhebung eines Zugriffs- und Protokollschutzes hatte nun die Auswirkung, dass der Zugriff von Außen auf den gesamten Datenbestand des Unternehmens nicht verhindert wurde und wegen fehlender Protokolle auch bis heute nicht mehr nachvollzogen werden konnte.
Was wollte der Eindringling in dem Unternehmensdatenbestand sehen? Die Produktdaten, die kaufmännischen Werte, die Kalkulation oder gar die so besonders schutzwürdigen mitarbeiterbezogenen Daten? Im Nachhinein darüber zu spekulieren ist zwecklos. Viel wichtiger ist die Erkenntnis: Der Vorgang hätte zum Schutz der Systeme und Daten verhindert werden können!
6. Ein kurzes Statement zum Schluss:
Derzeit sprechen wir mit Krankenhäusern und bieten unsere Unterstützung speziell im Bereich „Healthcare Compliance“ an. Wir haben mit Erschrecken festgestellt, dass im Gesundheitswesen insgesamt enormer Nachholbedarf innerhalb der Fachthemen Datenschutz, Datensicherheit, Nachvollziehbarkeit, Ordnungsmäßigkeit und Wirtschaftlichkeit existiert.
Die Angaben über die gesundheitliche Disposition eines Menschen sind sehr sensible personenbezogene Daten und gelten als besonders schützenswert. Werden solche Daten unzulässiger Weise einem Dritten bekannt, so kann das nicht nur zur Schädigung des Ansehens der Betroffenen oder gar zu einer gesellschaftlichen Ausgrenzung führen, sondern unter Umständen kann das Bekanntwerden von Gesundheitsdaten auch zu einer existenziellen Bedrohung werden, zum Beispiel durch den Verlust des Arbeitsplatzes.
Unsere volle Aufmerksamkeit und Konzentration widmen wir jetzt zusätzlich verstärkt dem Gesundheitswesen. Auch aus diesem Grund arbeiten wir sehr eng mit einem für den Bereich Gesundheitswesen zuständigen Ministerialrat vom BfDI und der AOK Rheinland/Hamburg und einer großen Klinikgruppe zusammen. Die Termine für unsere gemeinsamen Infoveranstaltungen haben wir bereits für das Jahr 2015 festgelegt.