Ein Geschäftspartner kam auf mich zu und fragte mich, ob ich ihn bei einem sozialen Projekt mit Schülern helfen könne. Inhalt des Projektes ist es, Schüler für das Berufsleben zu qualifizieren und Datenschutz sei ein Thema, das dazu gehöre. Beruflich sehe ich das Thema aus dem Blickwinkel von Unternehmen, Arbeitnehmern und Kunden. Aus der Perspektive “Schüler” habe ich das Thema noch nie beleuchtet. Also fing ich an zu recherchieren …
Merkwürdigkeiten aus dem Alltag eines externen Datenschutzbeauftragten
Ich arbeite als externer Datenschutzbeauftragter. Im letzten Jahr habe ich aus zwei Gründen unsere Versicherungsmakler auf eine Separierung unserer betrieblichen Vermögenshaftpflicht von dem Risiko aus dem Geschäftsfeld “externer Datenschutz” und dem restlichen Geschäftsbetrieb gebeten. Bisher wurde unsere Prämie aufgrund einer Umsatzschlüsselung errechnet. Hiermit war ich nicht mehr zufrieden:
Die Anfrage brachte die Versicherung ins Trudeln, da ich als erster (und auch einziger) Datenschutzbeauftragter die Frage nach einer separat ausgestellten Versicherung für die Erbringung der Dienstleistung “externer Datenschutzbeauftragter” stellte. Meine Frage ist: Wie versichern sich andere externe Datenschutzbeauftragte? Versichert ihr Euch gar nicht extra?
Beim abendlichen Stöbern durch das Internet stieß ich auf die Meldung vom “01 blog“, dass der HAL 9000 Computer heute Geburtstag hat. HAL 9000 ist der Missions-Steuerungscomputer aus dem Buch 2001: Odyssee im Weltraum von Arthur C. Clarke, bzw. dem gleichnamigen Film von Stanley Kubrick. Leider habe ich auf YouTube keinen ordentliches Film-Schnippsel gefunden, auf dem HAL sein Geburtsdatum nennt.
Bei dem Aufsetzen dieses Blogs habe ich mir auch Gedanken über Technik, Aufbau und Inhalt gemacht. In diesem Zuge habe ich mir viele andere Blogs angesehen. Mir fiel auf, dass sehr viele Blogs (und auch Web-Seiten) zur Erfolgsmessung Google Analytics einsetzen. Dabei fiel mir ein Sachverhalt aus 2008 wieder ein: Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat beanstandet, dass der Service Google Analytics nicht datenschutzkonform sei. Um was geht es dabei?
Man glaubt nicht, wie schlimm das Leben zuschlagen kann!
Teil 1:
J.B., ein Freund von mir, hatte vor Ende 2008 Probleme mit seinem Notebook. Seine interne Festplatte gab ihren Geist auf. Eine Restaurierung der gespeicherten Daten war nur in Teilen möglich und sehr zeitaufwändig. Es gingen insb. persönliche Daten verloren, also hauptsächlich Fotos mit hohem Erinnerungswert. Das war für ihn sehr ärgerlich. An das Erstellen eines Backups hat er zwar gedacht, aber auch nur gedacht und nie angefertigt.
Teil 2:
Im Dezember ging J.B. seine Abschluss-Studienarbeit an. Als gebranntes Kind fertigte er fleissig Backups auf einem USB-Stick an. Mit diesem Stick arbeitete er auch an einem Rechner einer Freundin. Eines Abends nahm er nun die Arbeitsergebnisse mit nach Hause, um die letzten Formulierungen für diesen Tag einzugeben. Beim Einstecken des Sticks in seinen Rechner stellte er fest, dass der Stick nicht mehr funktionierte. Es gab auch keine Möglichkeit mehr, die Daten wiederherzustellen. Es gingen mehrere Seiten seiner Abschlussarbeit verloren und er musste die Nacht durcharbeiten, um sie neu zu schreiben. Fazit dieses Vorfalls ist, dass er Daten nicht mehr nur auf einem USB-Stick transportiert, statt dessen sendet er sie sich parallel per E-Mail zu.
Teil 3:
Der Super-Gau geschieh nun am Freitag. Am Freitag kam J.B. von der Arbeit und ihm fuhr der Schock in die Glieder: Auf dem Dachboden war ein Rohr gebrochen und er hatte in seiner gesamten Wohnung einen kapitalen Wasserschaden. Im Zuge dieses Wasserschadens soff sein Notebook und seine Backup-Festplatte ab. Abwarten, wie es sich entwickeln wird, aber ich gehe davon aus, dass beide Geräte irreparabel sind. So viel Pech muss man ersteinmal haben.
Fazit zu Teil 1: Backups sind wichtig. Fazit zu Teil 2: Backups müssen sich über den gesamten Workflow/Prozess erstrecken. Fazit zu Teil 3: Produktivdaten und Backup-Daten müssen auch räumlich ausreichend getrennt sein.
Technology is a bitch, baby und sie nimmt keine Rücksicht auf Verluste.
Den Satz habe ich in dem Blog “Nerdcore” in einem Artikel gelesen. Der Artikel beschäftigt sich mit den Folgen des Verzichts des zwingenden Einsatzes von DRM-Technik im iTunes-Store. Der Satz charakterisiert generell Technikeinsatz. Man kann sich Inovationen nicht verschließen, man muss Inovationen einsetzen aber auch beherrschen.
Zu meinen Aufgaben als externer Datenschutzbeauftragter gehört es auch, Seminare und Schulungen zu geben. Gemeinsam mit einem befreundeten Systemhaus werde ich im Februar Kurz-Seminare zur IT-Sicherheit halten. Diese Seminare wenden sich an den Praktiker und sollen für die Probleme bei aktuellen Techniken sensibilisieren. Schwerpunktthemen sind
Die Seminare finden in Hannover statt und können über die Veranstalter gebucht werden.
Das Datenschutz Journal ist seit dem 10.1.2009 um 18.30 Uhr online.
Von der Planung bis zur Realisierung hat es ein paar Wochen gedauert.
Die Diskussion zur eines Arbeitnehmerdatenschutzgesetzes ist schon lange im Gange. Das Spektrum an Meinungen zu einem solchen Gesetz reicht von “der Arbeitnehmerdatenschutz wird durch bestehende Gesetze ausreichend gewährleistet” bis hin zu “wir brauchen ein eigenes Gesetz zum Arbeitnehmerdatenschutz”.
Am 16.12.2008 hat die Partei DIE LINKE einen Antrag an die Bundesregierung gestellt, einen Entwurf für ein Gesetz zum Arbeitnehmerdatenschutz vorzulegen, BT-Drucksache 16/11376. Das Einbringen dieses Antrages wurde durch die Lidl-Affäre und Telekomgate motiviert und enthält eine Fülle von Forderungen.
Das Identity Theft Resource Center (ITRC) hat seinen jährlichen Report über Datenverluste für das Jahr 2008 in den USA vorgelegt. Im Gegensatz zum Vorjahr, hat das ITRC 656 Fälle von Datenverlusten verzeichnet. Dies ist eine Steigerung von 47% im Vergleich zum Vorjahr (2007: 446). Insgesamt wurden 35,7 Millionen Datensätze verloren. Das ITRC kolpotiert, dass die Dunkelziffer an Datenverlusten und verlorenen Datensätzen noch wesentlich höher liegen wird. Die aufgezeichneten Fälle von Datenverlusten basieren auf Berichten aus den Medien.
Logo des 25c3, Chaos Computer Club (CCC)
Alljährlich, kurz vor Jahreswechsel, veranstaltet der Chaos Computer Club seinen Hauptkongress in Berlin. Der diesjährige 25. Chaos Communication Congress (25C3) stand unter dem Motto “Nothing To Hide”. An dem Motto ist schon zu erkennen, dass Datenschutz ein Schwerpunktthema des Kongresses war. Es fanden sich vom 27.12-30.12.2008 fast 5.000 interessierte Hörer ein. Der Kongress war damit ausgebucht und es wurde ein neuer Besucherrekord aufgestellt. Alle Vorträge wurden live ins Netz gestreamt und können vor der endgültigen Veröffentlichung kostenlos heruntergeladen werden. Aus datenschutzrechtlicher Sicht waren für mich die folgenden Vorträge besonders interessant:
Virtuelles Datenschutzbuero