Datenschutz als Unternehmensaufgabe

Daten - das Gold der Zukunft?

„Informatik und Freiheit“

Datenschutz ist ein wenig geliebtes Thema. Woran liegt das? Provokant geantwortet: Die „Jungen“ verstehen den Wert von Grundrechten nicht mehr, die „Alten“ nicht mehr die Technik, die Datenschutz erst so wichtig macht. Die zahlreichen Skandale und Diskussionen, so hat man den Eindruck, haben nur wenig an einer gewissen Gleichgültigkeit für den Datenschutz geändert, z.B. die:

  • Enthüllungen von Edward Snowden,
  • EuGH kippt EU-Richtlinie zur Vorratsdatenspeicherung (vgl. Frank Bräutigam, SWR, ARD-Rechtsexperte: Spannungsfeld Freiheit und Sicherheit)
  • der offene Brief von dem Vorstandsvorsitzenden von Axel Springer Mathias Döpfner an Google Manager Eric Schmidt: Warum wir Google fürchten
  • US-Urteil: US-Unternehmen müssen im Ausland gespeicherte Daten herausgeben (z.B. Artikel EAID)
  • Suchmaschinen müssen personenbezogene Daten u.U. löschen; Urteil des EuGH: „Recht, vergessen zu werden“

Vielleicht liegt diese Gleichgültigkeit am Wort Datenschutz. In Frankreich nennt man den Datenschutz „informatique et liberté“, also „Informatik und Freiheit“. Das trifft die Sache wesentlich besser (vgl. Prof. Dr. Kongehl: 40 Jahre Datenschutz).
Nun aber der Reihe nach. Es soll zunächst mal den Fragen nachgegangen werden: Was schützt der Datenschutz überhaupt? Warum ist das, was geschützt werden soll überhaupt schutzwürdig? Und- wie setzt man den Datenschutz im Unternehmen um?

Was schützt der Datenschutz?

Der Datenschutz schützt  nicht, wie der Begriff vermuten lässt, alle Daten. Der Schutz erstreckt sich lediglich auf den einzelnen Betroffenen, der vor den Gefahren der Datenverarbeitung geschützt werden soll. Einfach gesagt: Er schützt jeden Mensch aus „Fleisch und Blut“, nicht jedoch reine Unternehmensdaten. (§ 3 Abs.1 BDSG: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).)
Der Betroffene soll vor der Beeinträchtigung von Persönlichkeitsrechten geschützt werden. Beispiele für personenbezogene Daten sind:

Adresse
Berufsbezeichnung
Konfession
Krankheiten
Kreditkarten
Mitgliedschaften
Scoringdaten
Vertragsverpflichtungen etc.

„Warum sind meine Daten schutzwürdig? Ich habe doch nichts zu verbergen.“

Daten können nicht nur strafrechtlich zur Verbrechensbekämpfung ausgewertet werden. Daten können auch zur Erstellung von Profilen dienen. So können beispielsweise

  • Kommunikationsprofile,
  • Konsumprofile,
  • Bewegungsprofile
  • und Leistungsprofile erstellt werden.

Dies ist mit Hilfe der automatisierten Datenverarbeitung bzw. der Informatik kein allzu großer Aufwand mehr und hat zur Folge, dass der Betroffene kategorisiert werden kann. Es besteht die Gefahr, digitale Inhalte nur noch entsprechend der vergebenen Kategorie zugewiesen zu bekommen. Dies kann gravierende Auswirkungen auf die Urteilsfindung des Einzelnen haben. Laut Gesetzgeber ist dies mit dem Recht des Betroffenen auf informationelle Selbstbestimmung nicht vereinbar. Dieses Recht leitet sich aus

Art. 2 GG (Recht auf freie Persönlichkeitsentfaltung) und
Art.1 GG (Die Würde des Menschen ist unantastbar) ab.

Zwei Grundpfeiler unserer Demokratie und wichtige Freiheitsrechte.

Abstrakt und deshalb zunächst auch kaum nachvollziehbar ist die Notwendigkeit des Datenschutzes auch deshalb, weil eine unrechtmäßige Individualisierung der Daten, also ein Verstoß gegen Datenschutzbestimmungen z.B. durch unrechtmäßig ausgeführtes Data-Mining, Scoring, Screening, Rasterfahndung (vgl. FAZ, Die Polizei lernt Twitter lieben) etc., zunächst für den Betroffenen überhaupt nicht erkennbar ist. Sogar die Beeinträchtigungen selbst, die diese Datenschutzverstöße mit sich führen können (kein Bankkredit, keine Fortbildung, keine Einstellung, keine Beförderung, keine Privatversicherung, kein freier Zugang zu Informationen, Diskreditierungen etc.) sind für den Betroffenen nicht unbedingt sofort auf die Datenschutz-Verstöße zurückzuführen.
Es fehlt dem Datenschutz also noch an eingängigen Bildern in den Köpfen der Menschen. Bilder, die auf die Gefahren aufmerksam machen können.

Daten sind geduldig und können auch nach Jahren noch ausgewertet werden, so kann ein weiteres Rechtsstaatsprinzip außer Kraft gesetzt werden:

„Die Gnade des Vergessens.“

Gerade die im Internet veröffentlichten Daten sind nur lokal löschbar, denn sie unterliegen zahlreichen Vervielfältigungsmechanismen. Eine je nach Profil zugewiesene Kategorie für den Betroffenen kann unter Umständen falsch sein oder sein Profil, also sein Verhalten, kann sich geändert haben, die zugewiesene Kategorie bleibt jedoch in der Regel bestehen – für immer.  Beispielsweise unterscheidet der Schufa-Eintrag nicht, ob nur ein kurzfristiger Zahlungsengpass vorlag – den man unter Umständen noch nicht mal selbst zu verantworten hat (Kunde zahlt nicht) – oder ob es sich um langfristige Zahlungsprobleme handelt. Da aber die Schufa mit Sitz in Deutschland den hiesigen Datenschutzgesetzen unterliegt, gibt es hier zumindest noch Speicherfristen, beispielsweise bei Krediten gibt es nach  drei Jahren nach dem Jahr der Rückzahlung eine gesetzliche Löschungspflicht des Eintrags.
Suchmaschinen müssen nach jüngster Rechtssprechung des EuGH auf Antrag indexierte, personenbezogene Daten löschen. Dieses Urteil ist wohl ein wichtiger Meilenstein für den Datenschutz, auch wenn es sich nur um eine Löschung aus der Indexierung (->Suchergebnisse) handelt. Diese Indexierung ermöglicht es einem jedoch, sich „auf einen Blick“ ein umfassendes Profil des Betroffenen zu machen.

Personenbezogene Daten können auch je nach Kontext bzw. Blickwinkel „in einem anderen Licht“ erscheinen. Daten die momentan nur zur Mauterfassung genutzt werden oder zur Messung von Geschwindigkeitsverstößen, können auch zur Erstellung eines Bewegungsprofils dienen, beispielsweise für KFZ-Versicherungen. In den Händen eines Überwachungsstaates haben diese Daten noch verheerendere Folgen, wie wir Deutschen wohl mit am besten wissen.

Fazit: Es geht beim Datenschutz nicht nur um Verbrechensbekämpfung (Spannungsfeld zw. Sicherheit und Freiheit) oder personalisierte Werbung. Es sollte gezeigt werden, warum persönliche Daten  schutzwürdig sind, auch wenn man „nichts zu verbergen hat“! Nicht mehr schutzwürdig sind persönliche Daten laut BGH nur dann, wenn sie zur Abwehr „von überragend wichtigen Aufgaben des Rechtsgüterschutzes“ dienen können.

Die 4 wichtigsten Grundzüge des Datenschutzes

1. Verbot mit Erlaubnisvorbehalt

Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten ist im Grundsatz immer unzulässig (§ 4 Abs. 1 BDSG).
Zulässig ist die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten nur bei zwei Alternativen:

  1. Einwilligung des Betroffenen (§ 4a BDSG), unter Beachtung der Formerfordernisse

  2. Es besteht eine gesetzliche Ausnahmevorschrift (z.B. Daten sind zur ordnungsgemäßen Durchführung des Vertragsverhältnisses erforderlich und dürfen deshalb gespeichert werden, § 28 Abs.1 BDSG)

2. Auskunfts- und Korrekturrechte des Betroffenen

Eine kaum bekannte Regelung – doch sehr effektiv nutzbar gegen Datenschutzverstöße.
Die Regelung hilft dem Betroffenen sein Recht auf informationelle Selbstbestimmung durchzusetzen. Der Betroffene (also Du!) hat jederzeit und uneingeschränkt die Möglichkeit, Auskunft darüber zu erhalten, welche Daten beim jeweiligen Unternehmen oder auch der öffentlichen Stelle gespeichert sind. Bei unzulässiger (keine Einwilligung des Betroffenen, keine gesetzliche Ausnahme) oder falscher Speicherung bzw. Erhebung von Daten, hat der Betroffene das Recht auf Löschung bzw. Korrektur. Er kann das Recht auch mit Hilfe der zuständigen Aufsichtsbehörde durchsetzen (mögl. Rechtsfolgen: Bußgelder und behördliche Prüfungen, bis hin zur Freiheitsstrafe der GF). Das Persönlichkeitsrecht setzt an dieser Stelle auf Selbstbestimmung und Eigenverantwortlichkeit, insofern ist die getroffene Regelung ein Teil der Privatautonomie.

3. Datenvermeidung und Datensparsamkeit

Der Grundsatz lautet: “need-to-know” und nicht “nice-to-have”.

4. Zweckbindung

Im Volkszählungsurteil des Bundesverfassungsgerichts von 1983 ist es nicht erlaubt, „Daten auf Vorrat zu unbestimmten Zwecken“ zu speichern. So muss schon vor dem Erheben von personenbezogenen Daten ein zweckdienlicher Nutzen festgelegt werden.
Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind (Zweckidentität). Die Europäische Datenschutzrichtlinie lässt in Art. 6 Abs. 1b S.2 an Stelle der Zweckidentität eine Zweckvereinbarkeit zu.

Sind wir zu klein?

Ich werde Ihnen als Leser nichts Neues erzählen, wenn ich sage, Daten sind heute global und unterliegen keinen Ländergrenzen. Die Anwendbarkeit von Datenschutzgesetzen hingegen schon. Das deutsche Bundesdatenschutzgesetz ist das umgesetzte Europäische Datenschutzrecht. Somit dienen die genannten Grundzüge auch in Europa als Orientierung- zumindest soweit die Europäische Datenschutzrichtlinie auch unionrechtskonform umgesetzt wurde.

Das europäische Datenschutzrecht hat sicherlich eines der weltweit höchsten Schutzniveaus. Eine weltweite Angleichung des Niveaus wird in Zukunft eine sehr, sehr große Herausforderung sein, sowohl politisch-kulturell wie auch ökonomisch (Wer Daten Personalisieren darf, kann sie gezielter zu wirtschaftlichen Zwecken einsetzen. Das kann zu einem Standortvorteil führen,  aufgrund eines niedrigeren Datenschutzniveaus) und ist wohl

  • rechtlich nur auf einer starken europäischer Ebene lösbar, die den Datenschutz nach innen und außen vorantreibt, z.B. bei den anstehenden Freihandelsabkommen mit den USA,
  • ethisch lösbar, durch Selbstbeschränkungen der verantwortlichen Stellen oder/und,
  • durch mehr Eigenverantwortlichkeit der Menschen, die die eigenen Daten zu einfach bereitwillig herausgeben
  • ein Ende der Gratis Kultur und mehr Verständnis für eine kostenpflichtige Nutzung von Diensten
  • mehr Konsistenz in der Verfolgung der Datenschutzverstöße durch die Aufsichtsbehörden.

„Daten sind das Gold der Zukunft“. Datenschutz auch.

Daten - Das Gold der Zukunft
Daten – Das Gold der Zukunft (© RFsole – Fotolia.com)

 

Datenschutz bei comspace

Die Herausforderung ist es, die abstrakten und technikneutralen Vorgaben zum Schutz personenbezogener Daten gem. BDSG, TMG, und TKG in greifbare und anwendbare Kategorien zu übertragen. Bei Mitarbeiterdaten (Arbeitsverträgen etc.), Geschäftsdaten (unterliegen nur bei bestimmbaren Personenbezug dem BDSG) und Daten von Kunden fällt eine Kategorisierung, z.B. in sensitive Daten (Krankheiten, Behinderungen) oder nicht sensitive Daten, personenbezogene und nicht personenbezogene Daten leichter, da die Daten mit Hilfe unseres Datenschutzbeauftragten kategorisiert und entsprechend gesichert werden, beispielsweise durch die Vergabe von Nutzungsrechten, Pseudonymisierung der personenbezogenen Daten und der IT-Sicherheit (Verschlüsselungen, Technisch und Organisatorische Maßnahmen).

Hereinspaziert?
Hereinspaziert?

Schwieriger ist der Datenschutz bei personenbezogenen Daten umzusetzen, die quasi in Echtzeit anfallen. Das Teilen von Informationen und die Zusammenarbeit über Abteilungsgrenzen hinweg sind wohl wesentliche Erfolgsfaktoren von comspace und somit als geschäftliche Notwendigkeit zu betrachten. Dabei fallen Daten an. Hier ist ein Konsens über die Wichtigkeit von Datenschutz im Unternehmen von entscheidender Bedeutung. Um es technisch auszudrücken, der  Datenschutz muss in allen Köpfen des Unternehmens implementiert sein, um Datenschutzverstöße zu vermeiden. comspace pflegt die offene Kommunikation – sowohl extern als auch intern – und es entstand so auch über die Bedeutung von Datenschutz und IT-Sicherheit eine rege und offene Diskussion. Bei der Urteilsfindung in Datenschutz- und IT-Sicherheitsfragen steht uns seit Jahren unser externer Datenschutzbeauftragter Lars Christiansen zur Seite. Ihn habe ich gefragt, wie aus seiner Sicht der Datenschutz und die IT-Sicherheit bei comspace umgesetzt werden und er hat einen wichtigen, hier noch nicht berücksichtigten Aspekt angesprochen, die sogenannten Datenschutz-Audits (§ 11 BDSG).

Dazu Lars Christiansen (Datenschutzbeauftragter):

Lars Christiansen (DSB, udis Zertifiziert)
Lars Christiansen (DSB, Udis-Zertifiziert)

Durch die Verarbeitung von personenbezogenen Daten im Auftrag für andere Unternehmen entstehen für den sogenannten Auftragsdatenverarbeiter umfangreiche Anforderungen an die Bereiche Datenschutz und Informationssicherheit. Die Auftraggeber sind verpflichtet, sich vor Vertragsabschluss und danach regelmäßig von der Einhaltung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu überzeugen. Damit werden oftmals externe Unternehmen, wie z.B. der TüV, beauftragt. Hier wurde comspace, bei den bisher durchgeführten Audits, ein gutes Niveau bei der Umsetzung der ,von den Kunden geforderten, Maßnahmen bescheinigt.
Für die Vertragsgestaltung der Auftragsdatenverarbeitung nach § 11 BDSG wurden Standardvorlagen entwickelt, in denen auch die umfangreichen technischen Maßnahmen zur Sicherstellung des geforderten Datenschutzniveaus beschrieben werden. Hierzu zählen z.B. die Zugangskontrolle zum Rechenzentrum, die Rechtevergabe in den Systemen oder die Mandantenfähigkeit von Systemen. Damit wird ein Mehrwert für den Kunden geschaffen, indem hier der Bereich Datenschutz aktiv rechtssicher gestaltet wird. Datenschutz kann so auch für den Vertrieb zu einem entscheidenden Faktor werden.

Guter Datenschutz ist also immer auch ein Qualitätsmerkmal für Kunden. Guter Datenschutz trägt immer zu einer guten IT-Sicherheit bei, die alle Unternehmensdaten schützt (Vermeidung von Betriebsspionage und Hackerangriffen). Das wiegt die überschaubaren Kosten, die der Datenschutz  für uns als mittelständisches Unternehmen verursacht, doppelt und dreifach auf.

Fazit: Datenschutz ist ein wichtiger Baustein für den Schutz unserer Freiheitsrechte und er schützt letztendlich auch die Informationsfreiheit des Internets.

Der Umzug

Der Weltgeist will nicht fesseln uns und engen, Er will uns Stuf‘ um Stufe heben.
(Hermann Hesse, Stufen)

Eventuell hat dieses Zitat unsere Geschäftsführung  voran getrieben, bei der sich als schwierig erweisenden Immobiliensuche.  Vielleicht war es aber auch nur der Gedanke, dass: Wenn es so weiter geht, platzen wir aus allen Nähten. Also lieber rechtzeitig eine zukunftsbezogene unternehmerische Entscheidung treffen: Umzug. Rechtzeitig, das sollte sich noch als schwierig herausstellen.

Aber Schritt für Schritt. Als die Entscheidung pro Umzug gefallen war, entwickelte sich ein stetig wachsendes Anforderungsprofil mit zwei Prioritäten: Zentrumsnähe und ca. 1500 m² Fläche, also mit genügend Raum zum Expandieren. Zwei Dinge, die schon mal in fast jeder Stadt schwierig zusammenpassen: viel Raum und Zentrum, eine schöne Tautologie, die unschöne Probleme verursachen kann. So auch in Bielefeld. Zwischen Anforderungen und Gegebenheiten klaffte also eine nicht allzu kleine Lücke. Es stellte sich heraus, dass eine bezugsfähige Immobilie, die unsere Anforderungen erfüllt, schlichtweg nicht zu finden war.

Was also tun? Das Zauberwort hieß: customizing. Customizing auf einem Gebiet außerhalb unserer IT-Kernkompetenz – der Baubranche. Zunächst war das ehemalige Scala Kino an der Herforder Straße, Nähe des Jahnplatzes, im Focus. Das scheiterte aber vor allem an den erheblichen baulichen Veränderungen, die nötig gewesen wären. Parallel dazu besichtigten wir noch eine Immobilie in der Elsa-Brändström-Straße, die nahezu alle Anforderungen erfüllen konnte: Größe, Lage und ein großer Außenbereich in der 8.Etage. Das schien zunächst mal zu überzeugen. Jedoch taten sich bei der Besichtigung folgende, etwas trostlos wirkende Bilder auf:

maroder achter Stock
8.Etage, noch etwas marode
Galerie, Glasdach, Bielefeld
Glasdach
maroder, Flur, Büro, Bielefeld, comspace
Flur

 

 

 

 

 

So erschien gerade der Eimer inmitten des Raumes zu beunruhigen. Es gab also einiges zu verhandeln mit dem Eigentümer, aber das Potenzial der Immobilie wurde erkannt. Der Eigentümer zeigte sich gerade bei den baulichen Gestaltungsmöglichkeiten kooperativ. Die Planungsphase konnte beginnen. Bevor richtig angefangen werden konnte, musste erstmal entkernt werden.

 

Entkernung Büro Bielefeld comspace
Entkernung, 2. Etage
Kabel Büro Bielefeld comspace Arbeitsplatz der Handwerker
Viele Kabel.

Zwangsläufig wurde mit dem Boden begonnen da, wie der Geschäftsführer Andreas Kämmer so schön sagte: „Ohne ​Boden​ kein Bad, kein Glas, kein Trockenbau, kein Serverraum. Ein echter Bottleneck.“ Um nicht schon bei Baubeginn in Verzug zu geraten, wurde eine Spezialfirma aus Belgien beauftragt, den Betonboden einzuziehen. Die Trockenzeit  wurde so von mindestens  14 Tage auf 48 Stunden verkürzt. Danach wurde der Boden noch geschliffen, grundiert, lackiert, versiegelt und, nicht zu vergessen, mit Holzpaneelen versehen.

 

Boden,geschliffen, grundiert, lackiert, versiegelt, Bielefeld, comspace, neues Büro
Betonboden
Boden Holz,geschliffen, grundiert, lackiert, versiegelt, gelegt
Holzpaneele
Boden verlegen, Bielefeld, comspace
Holzpaneele verlegt.

 

 

 

 

 

Weitere für einen Online Dienstleister wichtige Meilensteine wie Kabeltrassen, Schlüterschienen und die Anbindung an den Glasfaserring liefen so weit wie möglich parallel.

 

thomas_krenn_multinode_server, Bielefeld, comspace
Server
24GBit/s
24GBit/s
Verbindungen

 

 

 

 

 

Und manchmal lief auch mal –  nichts, oder zumindest nicht das Gewünschte. Mängellisten wurden erstellt, mit dem Ziel, die umzugkritischen Punkte priorisiert abzuarbeiten. Fristen wurden neu gesetzt – der Druck erhöht. Der zugegebenermaßen ehrgeizige erste Umzugstermin musste jedoch verschoben werden, zum Verdruss aller Beteiligten. Doch dann wurde es wieder Licht und neue Hoffnung keimte auf.

Holzboden Büro comspace Bielefeld Zentrum
Licht!
Dornbracht,
Bad und WC

Bad und WC wurden in Angriff genommen, die Armaturen dazu lieferte die Dornbracht GmbH & Co. KG , die Serverschränke für den Serverraum kamen von der Rittal GmbH & Co. KG, beides langjährige Kunden von comspace.

 

Als nächstes nahmen  die Türen- und Glasbauer ihre Arbeit auf.

Gesamtraum
Glasbauer bei der Arbeit.
Glasecke
Glasecke

Die Büroräume nahmen immer mehr Kontur an. Sollte jemand noch nicht die nötige Vorstellungskraft aufgebracht haben, konnte man nun mehr und mehr von den Räumlichkeiten überzeugt werden. Bestes Beispiel ist die Decke, die einen schwarzen Anstrich erhielt. Die Meinungen dazu waren im Vorfeld überaus….negativ. Doch im Zusammenspiel mit dem hellen Holzboden und der Höhe der Räume machte es nun sichtbar Sinn.

Die Räume im ersten Stock waren baulich nun nahezu abgeschlossen. “Berge“ von Möbeln wurden geliefert.

Arbeitsplätze
„Berge von Möbeln“
Arbeitsplätze
Schreibtische
photo-2
Möbel als Raumtrenner

 

 

 

 

 

Die vorher “etwas“ maroden Büros wurden im Jahr 2013 wieder in moderne Büros verwandelt, die technisches Equipment mit innovativen, zeitgemäßen Konzepten der Raumgestaltung verbinden, wie natürlichen Lärmschutz durch automatisch bewässerte Hecken. Technik und Natur scheinen in den neuen Büros nun ebenso kein unüberbrückbarer Gegensatz mehr zu sein wie Raum und Zentrum. Ab Anfang dieses Jahres konnten dann unsere Abteilungen IT-Service und Entwicklung in die erste Etage einziehen, demnächst folgt das Account Management und das Online Marketing. Weiterhin freuen wir uns auf die baldige Fertigstellung der achten Etage, mit einem sehenswerten Ausblick über unsere Stadt.