Dienstag, 29. Mai 2012

Stichtag 31.08.2012 - Sind Ihre Daten sauber?

Für werbetreibende Unternehmen wird es ernst ab dem 31.08.2012, denn dann endet die dreijährige Übergangsphase aus der Änderung des Bundesdatenschutzgesetzes vom 01.09.2009. In diesen drei Jahren hatten Unternehmen Zeit, die zur Werbung genutzten Daten der gültigen Rechtsprechung anzupassen.
Ab diesem Zeitpunkt müssen alle Daten den gesetzlichen Voraussetzungen entsprechen, auch die Alt-Daten.

An die Nutzung von bspw. Adressdaten zu Werbezwecken knüpft der Gesetzgeber enge Voraussetzungen, insbesondere die wirksame Einwilligung (schriftlich oder elektronisch), wie auch die Möglichkeit des Widerrufs.

Deshalb der Tipp:
Prüfen Sie Ihre Datenbestände (auch Alt-Bestände) ob sie der geltenden Gesetzgebung entsprechen. Bei Unsicherheit holen Sie sich Rat von fachkundigen Datenschützern, die Ihnen im Detail weiterhelfen können. Sollten Ihre Daten auch im Einzelfall nicht dem entsprechen, bspw. fehlt eine Einwilligung oder können Sie diese nicht nachweisen, dann haben Sie noch bis zum 31.08.2012 Zeit, die Einwilligung nachzuholen.

Gefahr:
Datenbestände, die den Voraussetzungen nicht entsprechen, müssen Sie am 31.08.2012 löschen. Eine weitere Verwendung sollte nicht in Betracht kommen, zumal Bußgelder von bis zu 300.000 € drohen und im Extremfall auch die komplette Datenverarbeitung gestoppt werden könnte.

Dieses Risiko sollten Sie nicht eingehen!

Stefan Fischerkeller GEFAS Datenschutz
www.gefas-datenschutz.de

Freitag, 25. Mai 2012

"Erst mal nichts machen..." - Datenschutz als wirtschaftlicher Faktor


Datenschutz als wirtschaftlicher Faktor

Aufträge
Immer häufiger werden Aufträge vom Nachweis der Einhaltung datenschutzrechtlicher Vorschriften abhängig gemacht. Der Schutz des Unternehmens-Know-Hows, bspw. in Form von Produktideen, Konstruktionszeichnungen, Kalkulationen wird in Zeiten von Datenschutzpannen und Industriespionage immer wichtiger. Spätesten bei einer Überprüfung im Rahmen eins Datenschutz-Audits durch einen Geschäftspartner, wird das Unternehmen nicht standhalten können. Für eine Einführung des Datenschutzes noch vor der Auftragsvergabe ist es meist zu spät. Der Auftrag geht an den Mitbewerber.

„Vom Tisch“
Als durchaus wirtschaftliche Optimierung, kann gesehen werden, dass das Thema Datenschutz „endlich mal vom Tisch“ ist. Die Geschäftsleitung kann sich wieder auf die eigentliche Kernkompetenz konzentrieren und der Kopf ist wieder frei für das Wesentliche.

Optimierung von Prozessen
Die Datenschutzeinführung geht oft mit einer Art Qualitätskontrolle der EDV-technischen Arbeits- und Kommunikationsprozesse einher. Hieraus können sich durchaus Optimierungen für Systeme und Personal ergeben. Optimierungsmöglichkeiten mit den resultierenden wirtschaftlichen Vorteilen werden erkannt und können im Rahmen der Datenschutz-Einführung umgesetzt werden.

Risikobewertung
Weitere wirtschaftliche Pluspunkte, die für den Datenschutz sprechen, finden sich im gesamten Bereich der Risikobewertung. Viele Unternehmen sehen sich einer Überprüfung hinsichtlich der Basel-II- Konformität gegenübergestellt. Eine Einführung des Datenschutzes bedeutet gleichzeitig eine Prüfung und gegebenenfalls die Optimierung der Datenverfügbarkeit, normalerweise nicht nur der personenbezogenen Daten, sondern aller Unternehmensdaten. Dies bezieht sich nicht nur auf die rein technische Verfügbarkeit der Daten (Backups, Plattenspiegelung etc.), sondern auch der bereitstellenden Infrastruktur wie Server, Netzwerkkomponenten und weitere.

Wird oder wurde Datenschutz in dieser Form optimiert, sollte dies in Gesprächen mit Banken oder
möglichen Investoren offensiv dargestellt werden. Endweder durch einen Auftritt des
Datenschutzbeauftragten, der diese Optimierung entsprechend erläutert, oder durch eine Attestierung durch unabhängige, externe Berater, beispielsweise geprüft im Rahmen eines Datenschutzaudits.

Abschließend sollten noch wirtschaftliche Nachteile genannt werden, die durch den Wettbewerb entstehen können. In den letzten Jahren gab es die hinreichend bekannte Abmahnwelle, die sich auf falsche oder fehlende Angaben im Impressum von Internetauftritten konzentrierte. Nachdem zwischenzeitlich die meisten Website-Betreiber ihre Hausaufgaben gemacht und ihre Seiten entsprechend angepasst haben, sind einige Rechtsanwälte dazu übergegangen, das Thema „Datenschutz“ als mögliches Abmahnkriterium heranzuziehen.
Die meisten Abmahnungen beziehen sich hierbei auf ein nicht unverzüglich bereitgestelltes „öffentliches Verfahrensverzeichnis“ oder auf eine fehlende Bestellung eines Datenschutzbeauftragten. Heikel sind insbesondere im letzten Fall die Kosten, die hier entstehen können, da als Basis Jahresgehalt eines Datenschutzbeauftragten herangezogen wird. Ob so eine Abmahnung beispielsweise hinsichtlich der Kosten gerechtfertigt ist, sei dahingestellt. Sie führt in jedem Fall zu vermeidbarem Ärger und Kosten für Geschäftsführung und Firmeninhaber

Stefan Fischerkeller GEFAS Datenschutz

Donnerstag, 24. Mai 2012

Wie gebe ich in XING meine Telefonnummer oder Mailadresse allen frei?

In XING gibt es - absichtlich - keine Möglichkeit, bestimmte Kontaktdaten generell öffentlich zu machen -. damit das nicht versehentlich geschieht.

Es gibt hier aber einige Tricks:
- Hängen Sie die Telefonnummer an Ihre Positionsbeschreibung an - diese Beschreibung sieht auch jemand, der NICHT bei XING eingeloggt ist und Sie bei Google findet. (Was er nur kann, wenn Ihre XING-Seite für Google freigeschaltet ist.)
- Bringen Sie Ihre Telefonnummer im oberen Bereich der Über-Mich-Seite unter. Auch diese Seite ist für Nicht-XING-Mitglieder online sichtbar.
- Schreiben sie unter "Biete": "Direkten Telefonkontakt unter +49 (0)7738 93 95-250 oder +49 (0) 179 297 23 42" (das ist meine Nummer ;) ).

Und Sie können auch steuern, wie hoch dien Hemmschwelle der Anrufer ist; ich gebe meine Handynummer an und weiß so, dass sich jemand genau überlegt, ob er mich anruft oder doch lieber die daneben vermerkte Mailadresse benutzt.

***
Offene XING_seminare bei:
http://xing-seminare.de/oliverg

carpe.com communicate!
Oliver Gassner
Kehlhofgartenstraße 6a
D78256 Steißlingen

og@carpe.com

Mittwoch, 23. Mai 2012

"Erst mal nichts machen..." - Datenschutz als Marketing-Instrument


Datenschutz als Marketing-Instrument 

Schon die Erstansprache des Kunden sollte zur Vertrauensbildung durch einen offensiven Umgang mit der eigenen Datenschutzpolitik unterstützt werden. Dabei ist es unverständlich, dass die wenigsten Unternehmen dieses Instrument bisher nutzen.

Die Einhaltung entsprechender Richtlinien und Techniken kann schon beim ersten Kontakt mit dem Kunden hilfreich sein. Darüber hinaus bietet sich an, neben den gesetzlich notwendigen Informationen über die Datenschutz-Organisation, den Kunden in verständlicher Form über den im Unternehmen gelebten Datenschutz zu informieren (eingesetzte Techniken, Schulungen der Mitarbeiter-/innen, verantwortliche Ansprechpartner für den Datenschutz).

Betrachtet man Firmenpräsentationen im Powerpoint oder Broschüren, kann man sich zu Recht fragen, warum bspw. die letzte Folie nicht als „i-Tüpfelchen“ die in dem Unternehmen gelebte Datenschutzpolitik anspricht. 

Auf diese Weise kann sich das Unternehmen von Mitbewerben abheben und einen Vertrauensvorschuss beim potentiellen Kunden erreichen um auch bei knappen Entscheidungen punkten zu können.

Grundsätzlich sollten Unternehmen, um sich vom Mitbewerbe zu differenzieren, das Thema Datenschutz mehr als öffentlich demonstrierte Business-Ethik verstehen und entsprechende Maßnahmen ergreifen.

Lesen Sie im nächsten Teil zum Argument „Datenschutz als Wirtschaftsfaktor“

Stefan Fischerkeller GEFAS Datenschutz

Montag, 21. Mai 2012

„Erstmal nichts machen und bloß nicht auffallen“ - Datenschutz schafft Vertrauen


… so verfahren viele Unternehmen, wenn es um den Bereich Datenschutz im eigenen Hause geht.

Gleichzeitig wissen aber viele Unternehmensleitungen und IT-Leiter, dass hier erheblicher Handlungsbedarf besteht. Aus Sicht der Unternehmen ist der Datenschutz jedoch kompliziert, bürokratisch, praxisfern sowie unattraktiv und lustfeindlich.

Außer der Erfüllung rechtlicher Anforderung bringt eine spezifische Datenschutz-Organisation weitaus mehr Vorteile für das Unternehmen:
  • Vertrauen 
  •  Marketinginstrument
  • Wirtschaftlichkeit
Vertrauen

Bei steigendem Bewusstsein von Kunden, Interessenten, Geschäftspartnern und Mitarbeiter über die Herkunft, die Verarbeitung und den Verbleib der eigenen Daten, gerät das Argument „Vertrauen“ weitaus mehr in den Blickpunkt. Dieser wichtige, wenn nicht der wichtigste, Aspekt kann über den Fortbestand einer guten Geschäftsbeziehung entscheiden. Die Erfüllung von Qualitätsnormen und der Nachweis einer vertrauenswürdigen Verarbeitung von Daten sind unerlässlich. Denn, verliert ein Kunde oder Partner, bspw. durch einen entsprechenden Vorfall das Vertrauen, ist oft die Geschäftsbeziehung beendet.

Lesen Sie im nächsten Teil zum Argument „Datenschutz als Marketinginstrument“

Stefan Fischerkeller - GEFAS Datenschutz

Freitag, 18. Mai 2012

XING-Kontaktanfragen: Nicht einfach ablehnen

Oft höre ich, dass Leute XING-Kontaktanzeigen, die nicht inhaltlich begründet sind, stillschweigend ablehnen.

Das ist möglich, aber nicht an sich lobenswert, denn es könnte ja sein, dass der Anfragende gerade nur um die richtigen Worte verlegen war. Ich habe es jedenfalls oft erlebt, dass auf eine Rückfrage hin (die können Sie ja als Textbaustein bereithalten und einmal die Woche Anfragen abarbeiten ...), dass also auf Rückfrage der Anfrager durchaus genau sagen konnte was ihn interessierte. Und oft waren es mögliche Kunden.

Eine Rückfrage allerdings will wohl überlegt sein:
Ist sie zu 'länglich' wird sie nicht gelesen, ist sie zu knapp, kommt eine genau so knappe Antwort.
Sie sollen recht genau wissen, was Sie von Kontakten (als Voraussetzung oder in der Kontaktpartnerschaft) erwarten und das auch zum Ausdruck bringen.

Ich habe das als 'Kontaktcharta' formuliert und gebe das Anfragenden an die Hand:
http://bit.ly/kontaktcharta

So bekomme ich Antworten, die mir erlaubt, die Neukontakte auch gleich sinnvoll zu qualifizieren.
***
carpe.com communicate!
Oliver Gassner
Kehlhofgartenstraße 6a
78256 Steißlingen

> Seminar "XING optimal nutzen" in BaWü: http://xing-seminare.de/oliverg

Donnerstag, 10. Mai 2012

Soziale Medien und Datenschutz – Risiken und Chancen



„Mitmachen ist Pflicht“ – 2011 waren 76% aller Internet-Nutzer in Deutschland in sozialen Netzwerken registriert. Auch Unternehmen sind verstärkt mit Auftritten in sozialen Netzen aktiv. Damit das Ganze in geordneten Bahnen verläuft und nicht etwa Mitarbeiter Unerwünschtes online stellen, ist eine Social-Media Richtlinie sinnvoll.

Viele Unternehmen haben einen eigenen Unternehmensauftritt innerhalb eines sozialen Netzwerkes. Der Zweck kann vielfältig sein: Marketing- und Werbeinstrument, Kundenservice oder auch Mitarbeiter-Akquise. Welches Zweck es auch verfolgt – Das Unternehmen hat im Griff, was im Profil passiert. Das Unternehmen bestimmt, wer Zugriff erhält und welche Inhalte veröffentlich werden.

Unternehmensinformationen können aber auch auf den privaten Seiten der Mitarbeiter-/innen bekannt werden. Es kann nicht kontrolliert werden, welche Informationen auf den privaten Seiten veröffentlicht werden. Problematisch wird es, wenn vertrauliche Interna oder negative Äußerungen über den Arbeitgeber oder Kollegen bekannt werden. Je nach Einstellung des jeweiligen Profils, können die Infos an bestätigte Kontakte, alle registrierten Benutzer oder sogar die ganze Welt gerichtet sein.

Ein Verbot der Nutzung oder die technische Sperrung von Sozialen Medien während der Arbeitszeit nützt wenig, da die private Nutzung außerhalb des Unternehmens nicht reglementiert werden kann. Zudem kann ein Verbot ins Gegenteil umschlagen und unerwünschte Äußerungen über das Unternehmen in sozialen Netzen provozieren.

Statt eines Verbots ist es sinnvoller, Mitarbeiter – auch in deren eigenem Interesse – für den Umgang mit sozialen Netzen generell und für den Umgang mit Unternehmensinformationen in sozialen Netzen speziell zu sensibilisieren. Um die positiven Aspekte von sozialen Netzen zu nutzen und die Risiken möglichst zu minimieren, ist eine sogenannte Social-Media-Richtlinie hilfreich.
Diese Richtlinie muss sowohl die Nutzung des offiziellen Unternehmensauftrittes, wie auch den Umgang mit Unternehmens-Informationen auf privaten Seiten umfassen, sowie Empfehlungen und verbindliche Vorgaben enthalten.

Stefan Fischerkeller


Montag, 7. Mai 2012

Datendiebe - intern

Im Großteil der Fälle gehen Datendiebstähle und Datenpannen vom Inneren des Unternehmens aus. Dass es viele externe Datendiebe auf das wertvolle Gut “Daten” abgesehen haben ist unbestritten – dass die Gefahr jedoch von den eigenen Mitarbeitern ausgeht, unterschätzen viele Verantworliche. Eine empirische Studie ging nun der Frage nach, was über solche Innentäter bekannt ist und unter welchen Rahmenbedingungen die Daten außerhaus gehen.
Folgende Muster sind daraus entstanden:
  • Interne Datendiebe seien oft in technischen Positionen zu finden, der durchschnittliche Innentäter sei circa 37 Jahre alt, männlich und als Ingenieur, Forscher, Manager oder Programmierer für sein Unternehmen tätig. Viele dieser Mitarbeiter hätten sogar Vereinbarungen zum Umgang mit geistigem Eigentum unterzeichnet. Dies zeige deutlich, dass Richtlinien alleine nicht ausreichten – Unternehmen müssten diese auch effizient umsetzen.
  • Insider nutzten technische Hilfsmittel wie E-Mail, FTP-Server oder einen Remote-Zugang zum Firmennetzwerk, um Interna für eigene Zwecke zu sichern und nach außen zu schaffen. Interessanterweise werde dies oft von nicht-technischem Personal bemerkt.
  • Die meisten Innentäter (65 Prozent) hätten bereits einen neuen Job bei einem Wettbewerber oder bauten sich mit der Datenausbeute ihr eigenes Unternehmen auf. Mehr als 20 Prozent handelten auf einen externen Auftrag hin, mehr als 25 Prozent gäben die Daten an ein fremdes Unternehmen oder auch ins Ausland weiter. Über die Hälfte entwende die sensiblen Daten im letzten Monat vor Beendigung des Arbeitsverhältnisses.
  • In 75 Prozent der Fälle entwendeten Mitarbeiter Daten, zu denen sie offiziell Zugang haben, würden also Informationen stehlen, die sie bereits kennen und mit denen sie arbeiten. Sie fühlten sich gar in gewisser Weise dazu berechtigt.
  • Bei mehr als der Hälfte der Diebstähle (52 Prozent) erbeuteten Innentäter Geschäftsgeheimnisse. Zahlungsinformationen, Preislisten und anderen administrativen Daten gelte in 30 Prozent der Fälle das Interesse der Täter, 20 Prozent bemächtigten sich Quellcodes, 14 Prozent firmeneigener Software, zwölf Prozent Kundeninformationen und immerhin sechs Prozent hätten es auf Geschäftspläne abgesehen.
  • Bestimmtes Verhalten kündige die Tat bereits an – oft gebe es interne Probleme, die Mitarbeiter dazu brächten, Firmendaten zu rauben. Weitere Hinweise auf möglichen Datendiebstahl durch Innentäter seien Stress oder auffällige Verhaltensweisen. Mitarbeiter geben Unternehmensdaten allerdings nicht nur aus reiner Bösartigkeit preis – oft geschieht dies auch aus Fahrlässigkeit oder Unwissenheit.
Stefan Fischerkeller
www.gefas-datenschutz.de