Datenschutz und Datensicherheit: Deutsche Telekom stellt Bericht Datenschutz und Datensicherheit vor
Gleiche Datenschutzregeln in der Europäischen Union - darauf zielt die sogenannte EU-Datenschutz-Grundverordnung, welche Anfang 2014 in Kraft treten soll. Der Konzernbeauftragte für Datenschutz bei der Deutschen Telekom, Dr. Claus Ulmer, begrüßt den Gesetzesentwurf. Gerade international tätige Konzerne würden eine Rechtssicherheit durch einheitliche Vorgaben benötigen. Der aktuelle Bericht über Datenschutz und Datensicherheit 2012 des Unternehmens beschäftigt sich ausführlich mit der geplanten Verordnung. UmweltDialog stellt ihn näher vor.
08.03.2013
Ob wir telefonieren, eine SMS schreiben oder IT-Lösungen aus einer Cloud beziehen: Durch das Nutzen von Telekommunikationsdiensten erzeugen wir technische Informationen, welche der jeweilige Anbieter speichert, verarbeitet und beispielsweise für Abrechnungen verwendet. Unternehmen wie die Deutsche Telekom müssen ihren Kunden dabei den Schutz ihrer personenbezogenen Daten zusichern. Dazu zählen etwa der Schutz vor missbräuchlicher Verwendung oder das Recht auf informationelle Selbstbestimmung, wonach jeder über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst bestimmt.
Die Datenschutz-Grundverordnung aus Brüssel, welche nationale Regelungen ersetzen wird, bringt für Unternehmen einige Neuerungen. So müssen Betriebe ab 250 Mitarbeitern einen Datenschutzbeauftragen benennen. Claus Ulmer von der Telekom befürwortet diese Regelung, weil es in jedem Unternehmen eine weisungsfreie Instanz geben sollte, die Fragen zum Datenschutz beurteilt: „Sie muss die Regeln für die Einhaltung der Datenschutzanforderungen vorgeben, deren Einhaltung prüfen und intervenieren können, ohne dadurch Nachteile im Unternehmen befürchten zu müssen.“ Allerdings müsse der Entwurf noch die Kontrollfunktion des Datenschutzbeauftragten weiter ausgestalten. So fordert Ulmer einen erweiterten Kündigungsschutz nach Beendigung der Amtszeit, damit der Datenschutzbeauftragte unabhängig agieren kann.
Datenschutzfreundliche Voreinstellung
Laut EU-Verordnung sollen alle Produkte und Dienstleistungen vor dem ersten Gebrauch durch die Kunden datenschutzfreundlich voreingestellt sein. Dadurch werden nur so viele Daten wie nötig erfasst: „Wir begrüßen, dass Kunden aktiv auf Datenschutzaspekte hingewiesen werden und selbst ihre Bereitschaft zur Datennutzung erklären müssen“, erklärt Ulmer weiter. Da in Deutschland das Telekommunikations- und das Telemediengesetz klare Vorgaben diesbezüglich mache, erfülle das Unternehmen diese schon lange. Wie das funktioniert, zeigen etwa die Apps der Telekom. Sobald man die Ortungsdienste auf dem Smartphone ausschaltet, fragt eine App, welche die Lokalisierungsdaten braucht, bei der nächsten Nutzung nach der Aktivierung des Ortungsdienstes. Damit die Kunden schneller die Datenschutzeinstellungen finden, will die Telekom für verschiedene Anwendungsbereiche zusätzlich den sogenannten „Privacy Button“ entwickeln: „Bei Smartphones könnte das etwa eine App sein, die dem Nutzer Kenntnis und Kontrolle über die Datenflüsse gibt“, sagt Ulmer.
Informationssicherheit
Um das Vertrauen der Kunden zu stärken, verbessert die Telekom kontinuierlich ihre Technik für mehr Datensicherheit: „Die Zahl der Internetangriffe hat sich innerhalb eines Jahres verdoppelt. Inzwischen gibt es täglich rund 200.000 neue Varianten von Schadsoftware“, sagt Dr. Thomas Kremer, Vorstand Datenschutz, Recht und Compliance. Um sich der Gefahr aus dem Netz zu stellen, spreche die Telekom offen über die Angriffe auf ihre IT-Systeme. In diesem Zusammenhang fordert Kremer gleichzeitig mehr Transparenz bei anderen Unternehmen, weil die deutsche Industrie nur gemeinsam gegen die Cyber-Bedrohung vorgehen kann. Gemeinsam mit Wettbewerbern aus der Branche plant die Telekom ein unabhängiges Testzentrum einzurichten. Hier könnten alle beteiligten Unternehmen kritische Netzkomponenten auf Sicherheit gegen digitale Angriffe überprüfen: „Wenn sich das Bundesamt für Sicherheit in der Informationstechnik an einem solchen Testzentrum beteiligen würde, dann könnte dies sogar in ein offizielles Sicherheitssiegel für technische Produkte münden.“
„Privacy and Security Assessment-Verfahren“
Seit 2010 bewertet das sogenannte Privacy and Security Assessment (PSA), das in die Entwicklungsprozesse der Telekom integriert ist, die Gefahren bezüglich Datenschutz und Datensicherheit von IT-Systemen und -produkten: „Das PSA-Verfahren stellt sicher, dass künftige Lösungen bereits vor Projektbeginn nach ihrer Kritikalität gewichtet werden, um später im Livebetrieb ein angemessenes Datenschutz- und Datenschutzniveau zu gewährleisten“, informiert der Bericht. Dafür hat die Telekom einen Fragenbogen entwickelt, dessen Bewertungssystematik jedes Projekt in eine der Datenschutz- und Datensicherheitskategorien A, B oder C einteilt. Dabei steht die Kategorie A für komplexe Projekte, welche die höchste Datenschutz- und Datensicherheitsrelevanz besitzen. „An den Entscheidungspunkten zwischen den einzelnen Prozessschritten wird festgelegt, ob eine Übergang in den nächsten Prozessschritt erfolgt“, erklärt der Bericht. Bevor ein System oder Produkt in Betrieb genommen werde, müssen alle notwendigen Freigaben vorliegen.
Geschulte Mitarbeiter
Welche Daten werden wie vertraulich behandelt? Welche Informationen unterliegen der Datenschutzgesetzgebung? Um einen ganzheitlichen Informationsschutz zu gewährleisten, schult die Telekom die Mitarbeiter. Zusätzliche Klarheit soll jetzt eine leicht bedienbare Informationsdrehschreibe bringen. Gemäß den Vertraulichkeitsklassen für personenbezogene Informationen von „Offen“ bis „Streng vertraulich“ können die Mitarbeiter die Informationen schnell kategorisieren. Dadurch erfassen sie gleichzeitig, welcher Schutzbedarf vorliegt und welche Maßnahmen sie anwenden müssen.
Die Kampagne „Moment mal“ trainiert wiederum
die Angestellten im Umgang mit Gefahren wie dem sogenannten Social
Engineering. Nicht nur in der Telekommunikationsbranche versuchen
Angreifer, mit Hilfe einer falschen Identität an vertrauliche Daten zu
kommen. Ziel der Kampagne war es, den Mitarbeitern das richtige
Bauchgefühl für bedrohliche Situationen zu vermitteln: „Social
Engineering setzt auf emotional gesteuertes, unreflektiertes Handeln.
Wer will dem freundlichen Techniker schon den Zutritt in sein Büro
verweigern, wenn er doch nur einen Fehler beseitigen will“, fragt der
Bericht. Hier müssten die Mitarbeiter lernen, sich Zeit zu nehmen,
nachzudenken und richtig zu reagieren.
Gemeinsamer Regelungsrahmen
Dieses Beispiel zeigt, dass physische Sicherheit nach wie vor eine wichtige Rolle in dem Sicherheitsmanagement von Unternehmen spielen muss. Die Telekom hat dazu die klassische Unternehmenssicherheit und die digitale Sicherheit in einem gemeinsamen Regelungsrahmen aufeinander abgestimmt. Dabei fokussierte sich die Zentrale 2012 darauf, dass nachhaltige Sicherheitsmanagement weiter in den Tochterunternehmen zu etablieren. „Neu hinzugekommene Unternehmen brauchen eine faire Chance, organisch in das Sicherheitsframework hineinzuwachsen“, betont der Konzernsicherheitskoordinator Axel Petri. Allerdings sei eine transparente Vorgehensweise mit verbindlichen Umsetzungsschritten zu vereinbaren, bis alle Konzernrichtlinien vollständig erfüllt werden: „Somit erreichen wir eine Business-verträgliche Adaption sämtlicher Standards und vermeiden ein Sicherheitsmanagement, das nur auf dem Papier stattfindet.“
Wie wichtig Datenschutz und Datensicherheit bei der Telekom sind, wird vor allem durch ihre neuen Geschäftsfelder wie Cloud-Dienste und intelligente Netze für die Stromversorgung und die Gesundheitsbranche deutlich. Hier werden künftig noch mehr personenbezogene Daten der Kunden anfallen, die zu schützen sind.
