Schutz der Privatsphäre
In der Online-Welt hinterlässt jede Handlung – vom Shoppen bis zum Verfassen von Blog-Kommentaren – einen digitalen Fingerabdruck, eine Information, wer Sie sind und was Sie tun. Diese Entwicklung ist nicht ohne Folgen geblieben. Immer mehr Menschen werden sich ihrer Spuren im digitalen Netz bewusst.
Aber der Datenschutz darf nicht auf die eigenen vier Wände beschränkt bleiben.
„Viele Konsumenten geben im Netz freiwillig ihre Daten preis. Das gleiche Problem besteht auch bei Behörden und Unternehmen, die im Netz präsent sind“, erklärt Michelle Chibba, Datenschutzbeauftragte der kanadischen Provinz Ontario.
Der Schutz dieser Daten ist für jede private und öffentliche Organisation wichtig. Meist kontrolliert ein Datenschutzbeauftragter, ob die Verantwortlichen ihren Pflichten nachkommen. „Die Datenschutzverantwortlichen müssen sich darüber im klaren sein, dass Datenschutz und Sicherheit eng miteinander verbunden sind“, betont Chibba.
Faire Informationspolitik
Während Europa und Kanada relativ umfangreiche Datenschutzgesetze haben, bleibt der Datenschutz in den USA weiterhin Sache der einzelnen Bundesstaaten, denn es gibt keine bundeseinheitlichen Regelungen. Dabei würden allerdings die international anerkannten Fair Informationen Practices (FIPS) berücksichtigt, sagt Chibba.
„In den FIPS sind einige wichtige Punkte geregelt“, erklärt sie. „So ist festgelegt, dass der Inhaber persönlicher Daten für den Schutz dieser Daten verantwortlich ist. Dieser Schutz kann mechanisch oder elektronisch erfolgen, abschließbare Aktenschränke können genauso gut geeignet sein wie Firewalls.“
Der Dateninhaber muss klare Auskünfte über den Verwendungszweck der erhobenen Daten geben und sicherstellen, dass die Daten auch nur zu diesem Zweck verwendet werden:
„Krankenhäuser erheben die Daten ihrer Patienten, da sie diese Informationen für die Behandlung brauchen. Wenn ein Krankenhaus diese Daten aber auch für Werbekampagnen verwenden will, muss das Einverständnis des Patienten vorliegen, denn hierbei handelt es sich um einen sekundären Verwendungszweck.“
Der Inhaber muss unbefugte Zugriffe auf die persönlichen Daten verhindern und ist für die Unversehrtheit und Genauigkeit der Daten verantwortlich.
In den FIPS ist auch festgelegt, dass jede Person, deren Daten erhoben werden, informiert werden muss, welche Daten aus welchen Gründen erfasst werden und wie diese Daten geschützt sind. Personenbezogene Daten dürfen nur so lange wie für den angegebenen Verwendungszweck erforderlich gespeichert werden. Chibba fügt hinzu: „Wichtig ist auch die anschließende sichere Vernichtung aller Unterlagen, also auch von Fotos und Bildern.“
Anruf vom Hacker
Immer mehr Unternehmen und Regierungen richten eigene Stellen für Datenschutzbeauftragte ein, doch die Verantwortung für den Schutz personenbezogener Daten sollte nie in den Händen einer einzigen Führungsperson konzentriert werden, meint Chibba.
Alle Mitarbeiterinnen und Mitarbeiter müssten ein Bewusstsein für diese Problematik entwickeln und in der Lage sein, sich entsprechend zu verhalten. Das gälte insbesondere für das „Social Engineering“, wenn Hacker mit vorgetäuschter Identität versuchen, von Mitarbeitern persönliche Auskünfte zu erhalten.
„Da sich die Technologie ständig verbessert, wird der Datendiebstahl für Hacker schwieriger“, erklärt Chibba. „Deshalb gibt es neue Angriffstechniken wie das ‘Social Engineering’. Das kann in der Praxis so aussehen, dass ein Hacker mit vorgetäuschter Identität in der Rezeption eines Unternehmens anruft, einige Angaben über einen Mitarbeiter macht und so ein Vertrauensverhältnis herzustellen versucht. Anschließend erkundigt er sich dann nach weitere Informationen über diesen Mitarbeiter.“
Das US-Zentrum für Identitätsdiebstahl geht davon aus, dass 36 Prozent aller Datendiebstähle auf das Fehlverhalten von Mitarbeitern zurückgehen, die entweder selbst Daten stehen oder persönliche Daten unbefugt weitergeben.
„Darum sollten Unternehmen das Bewusstsein für den Datenschutz stärken und ihre Firmenkultur anpassen. Wir bezeichnen das auch als Privacy by Design. Der Schutz persönlicher Daten muss tief in der Kultur des Unternehmens verankert sein“, meint Chibba.
Erziehung zum Datenschutz
IBM gehört zu den Unternehmen, die den Schutz ihrer Mitarbeiter- und Kundendaten ernst nehmen. Die Datenschutzrichtlinien von IBM reichen bis in die sechziger Jahre zurück. Sie wurden immer weiter verfeinert und mittlerweile gibt es bei IBM unterschiedliche Richtlinien für unterschiedliche Datenbestände, darunter für Mitarbeiterdaten, Werbedaten, Entwicklungsdaten und Sicherheitsdaten. Kernelement der IBM-Datenschutzpraxis ist das Datenschutzbewusstsein der Mitarbeiter.
„Die Stärkung dieses Bewusstseins ist sehr wichtig, denn der Datenschutz ist ganz persönlich für sie als Mitarbeiter, aber auch für ihren Umgang mit Kundendaten wichtig“, sagt Yim Chan, der oberste IBM-Datenschutzbeauftragte in Kanada.
Das Datenschutz-Lernmodul von IBM gibt den 400.000 Mitarbeiterinnen und Mitarbeitern die Möglichkeit, die Datenschutzrichtlinien zu verinnerlichen. Der Konzern hat weitere Lernmodule für die Bereiche Sicherheit, finanzielle Integrität, Ethik und Geschäftsführung und führt weltweit regelmäßig eine Datenschutzwoche durch.
„Jedes Unternehmen muss darauf achten, dass seine Datenschutzrichtlinien auf dem aktuellen Stand sind“, fügt Chan hinzu. „Unsere eigenen Richtlinien sind schon relativ lange in Kraft, aber wir bringen sie ständig auf den neuesten Stand. Das zeigt unseren Mitarbeitern und Kunden, dass IBM den Schutz personenbezogener Daten sehr wichtig nimmt. Das schafft die Basis für Vertrauen und Vertrauen ist die Grundlage unseres Geschäfts.“
Datenschutz ist nicht nur eine Frage von Gesetzen und Vorschriften, sondern ein wichtiger betriebswirtschaftlicher Aspekt, bestätigt auch Michelle Chibba.
„Jedes Unternehmen muss seinen Ruf schützen. Verliert ein Unternehmen die persönlichen Daten seiner Kunden, werden sich die Kunden fragen, ob das Unternehmen auch in anderen Fragen so nachlässig ist.“
Weitere Informationen über Datenschutzrichtlinien finden Sie unter
Related images
