Know-how wird oftmals nur gegen Zugriff von Wettbewerbern direkt geschützt. Unbeachtet oder doch zumindest vernachlässigt werden die Schutzmaßnahmen gegen eigene Mitarbeiter. Dabei ist nicht jeder Mitarbeiter unter Generalverdacht zu stellen. Dennoch sind effektive Schutzmaßnahmen für wichtiges Betriebs-Know-how erforderlich. Der neueste Datenskandal der Deutschen offenbart, mit welch krimineller Energie Mitarbeiter gegen die Sicherheitsmaßnahmen des eigenen Unternehmens arbeiten: Da sollen Schwellenwert-Monitoring und die Anzeigen der CPU-Auslastung bewußt getäuscht worden sein. Die verdächtigen Mitarbeiter sollen sich in kleinen Datenpaketen von 50 Datensätzen im Ergebnis 17 Mio Kundendatensätze verschafft haben. Dazu hatten sie wohl ein kleines Programm geschreiben…

Binnentäter

Unzufriedene oder in Kürze ausscheidende Mitarbeiter sind oft Täter, wenn es um die Weitergabe von betriebswichtigem Know-how geht. Dies ist eine unter Sicherheitsexperten bekannte Tatsache. Der Schaden der durch das eigene Personal verursacht wird, ist erheblich. Konzentrieren sich Sicherheitsmaßnahmen gegen Täter von außen, bleibt dieses innere Leck oft unentdeckt – bis es zu spät ist. Der Deutschen Telekom ist nun – erneut – eine große Menge von sensiblen Daten abhanden gekommen und ein erheblicher Image-Schaden entstanden. Wie H. Bünder in der FAZ, 11.10.2008, S.20 berichtet, hat es zwar ein Schwellenwert-Monitoring und die Anzeigen der CPU-Auslastung gegeben. Dass aber bewußt und in großer Zahl kleine Datenbankpakete abgezogen wurden, war und blieb zu lange unentdeckt. Erst als die Daten auftauchten, kam durch die strafrechtlichen Ermittlungen die Wahrheit an´s Licht.

Fachkundige Beratung

Wie in dem Bereicht weiter beschrieben, hat die Telekom nunmehr Beratung durch Herrrn Schäfer, ehem. Richter am BGH. Der werde als unabhängiger Experte für Datensicherheit eingesetzt und berate das Unternehmen. Damit soll wohl mittelfristig erreicht werden, dass die Datenskandale nicht aus den Medien in das Unternehmen hineingetragen werden; die Telekom also nur reagieren kann. Als eine Maßnahme sollen nun z. B. Zugriffsmöglichkeiten auf sensible Datenbanken eingeschränkt werden. Journalisten hatten darauf hingewiesen, dass diese Datenzugriffe nicht (ausreichend) gegen Attaken von außen gesichert seien.

Die Aufgabe des Datenschutzbeauftragten

Unerklärt bleibt in dem Bericht, warum der Datenschutzbeauftragte des Unternehmens bislang mit dem diagnostizierten Datenschlendrian nicht aufgeräumt hat. Wenn die Position des Datenschutzbeauftragten nicht nur als ein Pflicht gesehen wird, so bietet eine ausreichende Ausstattung und personell qualifizierte Besetzung der Stelle auch die Möglichkeit vorsorglich Datenlecks zu vermeiden. Die Pflicht eine solche Position zu besetzen besteht nach § 4f Bundesdatenschutzgesetz () – siehe unten -. Die Bestellung des Ri am BGH a. D. Schäfer im Mai dürfte daher erneut als eine verspätete (Re)Aktion zu bewerten sein.
Anderen, kleineren Unternehmen ist eine effektivere Besetzung der Stelle des Datenschutzbeauftragten anzuraten. Ebenso sollte den Datenschutzbeauftragten der Handlungsspielraum zu effektiven Prüf- und Schutzmaßnahmen bzgl. personenbezogener Daten eingeräumt werden. Verfahren und Zugriffsrechte sind rechtzeitig zu prüfen. Bei Großunternehmen wie der Telekom wird dies mehr brauchen, als einen Berater der den Namen eines höchsten Gerichts mit in die Waagschale der öffentlichen Meinung werfen kann.

Rechtsanwalt Siegfried Exner, Kiel

Hintergrund: Rechtsgrundlage der Bestellung des Datenschutzbeauftragten

§ 4f BDSG [Beauftragter für den Datenschutz]

    1) Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

    2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.

    3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.

    4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

    4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.

    5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

      1 Kommentar zu „Daten-Klau mit Software: Telekom und die Binnentäter“

      • Circa 30 Mio Datensätze der Kunden; zum Teil wohl auch Bankdaten sollen ohne besonders schwer zu knackenden Passwortschutz erreichbar gewesen sein. Auch die Änderung der Kundendaten, wie z. B. Abschluss eines weiteren Vertrags, soll bis Donnerstag möglich gewesen sein. Dies meldeten schon am 11.10.2008 abends die Fernsehmedien. Wieder einmal ist die tatsächliche Datenmisere wesentlich größer, als die ersten Unternehmensangaben vermuten ließen.

      Kommentieren

      Sie müssen angemeldet sein, um kommentieren zu können.

      Rechtsanwalt
      ra_exner_kiel.jpg

      Siegfried Exner
      Knooper Weg 175
      24118 Kiel

      Beratung
      Terminabsprachen und Annahme von Mandaten unter
      Tel. 0431 / 888 67-21
      Mobil 0179 / 40 60 450.
      Rechtsthemen
      Gesetze
      gesetzbuch24.de

      Netzwerken
      Trackbacks? Beim eigenen Artikel verlinken, indem nach der jur-blog-URL des Artikels ein ´trackback/´ eingegeben wird. Fertig!