Samstag, 30. Juni 2012

Ihr Kunde fordert eine Zertifizierung nach ISO 9001 - Was nun?

Gerade klein- und mittelständische Unternehmen stehen vor einem Berg von Fragen, wenn Sie von einem Ihrer Kunden dazu aufgefordert werden, sich nach DIN EN ISO 9001:2008 zertifizieren zu lassen.


Die erste und dringlichste Frage dabei ist, was ist das überhaupt?

Die DIN EN ISO 9001:2008 ist die international gültige und anerkannte Qualitätsmanagementnorm. DIN steht für Deutsches Institut für Normung, EN für Europäische Norm und ISO ist die International Organization for Standadization. 9001 ist die Nummer der Norm und 2008 ist das Jahr der letzten Überarbeitung.


Wofür benötige ich diese Norm?

Wie oben beschrieben, fordern viele Kunden von Ihren Lieferanten die Zertifizierung nach dieser Norm. Damit wollen Sie eine gewisse Qualität ihrer Lieferanten und der gelieferten Waren, bzw. geleisteten Dienstleistungen sicherstellen. In vielen Bereichen ist diese Norm weit verbreitet und besonders häufig im Bereich Automobilbau und Maschinenbau zu finden.

Neben der Kundenforderung nach der Zertifizierung bringt diese Norm noch weitere Vorteile mit sich, deren Aufzählung den Rahmen hier sprengen würde - beispielhaft sei hier nur die rechtliche Situation genannt. Wenn ein Unternehmen nach DIN EN ISO 9001:2008 zertifiziert ist, dann sind viele Abläufe im Unternehmen festgeschrieben und klar dokumentiert und überwacht. Sollte es trotzdem zu einem gravierenden Problem mit einem ausgeliferten Produkt kommen, so kann damit nachgewiesen werden, dass keine grobe Fahrlässigkeit vorliegt und im Schadensfall die Versicherung sich nicht damit einer Zahlung verweigern kann.


Wie läuft die Einführung und Zertifizierung nach dieser Norm ab?

Als erstes werden die unternehmensinternen Abläufe analysiert, dokumentiert und ggf. angepasst. Gerade für klein- und mittelständische Unternehmen ist dieser Arbeitsaufwand nicht intern zu schaffen. Während große Konzerne ganze Abteilungen für das Qualitätsmanagement haben, ist es für kleinere Unternehmen schwierig, den nötigen zeitlichen Freiraum zu schaffen. Diese greifen dann häufig auf externe ISO 9001 Berater (wie zum Beispiel die Lösungsfabrik Bodensee) zurück. Dies hat den Vorteil, dass der externe Berater ein Fachmann auf seinem Gebiet ist und sicherstellen kann, dass alles reibungslos funtioniert.

Wenn alles zur Zertifizierung vorbereitet ist, dann steht die Suche nach einer Zertifizierungs-gesellschaft auf dem Zettel. Es gibt davon ca. 100 bei der Dakks akkreditierte Zertifizierer, zu den bekanntesten gehören dabei zum Beispiel die unterschiedlichen TÜV-Gesellschaften oder auch die DEKRA. Hier empfiehlt sich die Einholung von verschiedenen Angeboten und ein Vergleich. Sollten Sie einen externen Berater haben, so wird dieser für Sie verschiedene Angebote einholen, mit Ihnen vergleichen und empfehlen, welcher für Sie der richtige Zertifizierer ist.


Wie hoch sind die Kosten einer ISO 9001 Zertifizierung?

Auf die Frage nach den Kosten einer ISO 9001 Zertifizierung gibt es keine pauschale Antwort.

Die Kosten für den ggf. eingesetzten externen Berater und die Zertifizierungsgesellschaft sind von verschiedenen Faktoren (z.B. Unternehmensgröße, mögliche Normausschlüsse etc.) abhängig. Es empfiehlt sich allerdings sowohl für die externe Beratung, als auch für den Zertifizierer verschiedene Angebote einzuholen und diese preislich und qualitativ zu vergleichen.


Michael Thode
Lösungsfabrik Bodensee

Mittwoch, 27. Juni 2012

2011: Mehr Datenschutzverstöße, aber welche?

Seit 2008 misst das Xamit Datenschutzbarometer jährlich ausgewählte Datenschutzverstöße im Internet.
Folgende Sachverhalte werden in der Folge als Datenschutzverstöße betrachtet:
  • Nutzung eines nicht datenschutzkonformen Webstatistikdienstes
  • Nutzung einer Webstatistik ohne Hinweis für die Besucher
  • Nutzung einer Webstatistik ohne Hinweis auf Widerspruchsmöglichkeit
  • Einsatz eines Kontaktformulars ohne Datenschutzerklärung
  • Nutzung von Google Adsense ohne Datenschutzerklärung
  • Nutzung des Facebook  Like-Buttons
  • Verwendung einer unsicheren PHP-Version bei Webshops
Ergebnis: Mehr Datenschutzverstöße

Seit 2008 nahmen die Verstöße insgesamt um 49% zu. Davon entfallen 34% auf Verstöße, die schon seit 2008 bekannt sind. Die restlichen 15% beziehen sich auf Beanstandungen, di erst in neuerer Zeit bekannt  bzw. möglich wurden, wie bspw. die Einbindung eines Facebook Like-Buttons.
Die Zunahme von 2010 zu 2011 beruht auf der stetig zunehmenden Nutzung von nicht datenschutzkonformen Webstatistikdiensten (+12%) und der explosionsartig gestiegenen Nutzung des Facebook Like-Buttons (+957%)

Stefan Fischerkeller
externer Datenschutzbeauftragter
GEFAS Datenschutz

Nutzen Sie das XING-Labor?

Haben Sie schon den kleinen Erlenmeyerkolben links in der XING-Leiste bemerkt?
Das ist Ihr Zugang zu verschiedenen experimentellen Funktionen von XING.

Das sind Funktionen, die XING bei einer seiner regelmäßigen Innovationswochen erzeugt hat und nun schaut, ob sie sich durchsetzen und ob sie zu besserer Kommunikation führen.

Hier findet sich beispielsweise die Funktion, Nachrichtendialoge gesammelt darzustellen, Dateien an Nachrichten anzuhängen oder die Biete-Punkte im Profil den Profilbesuchern zur 'Bestätigung' anzubieten und so ein einmaliges, gewichtetes und von Dritten bewertetes Profil zu erzeugen.

Außerdem findet sich dort eine Freelancer-Projektbörse, die Möglichkeit sich Statusupdates von Kontanten zu merken (Lesezeichen), die Option, die eigenen Updates (als niedrigschwellige Kontaktvariante) zum 'Abo' anzubieten und Infos per RSS in die eigenen Statusupdates einzubinden - beispielsweise aus einem Blog wie diesem.

 ***
*** Informationen und Termine für XING-Seminare Wöchentlich gratis XING-Tipps per E-Mail

Dienstag, 19. Juni 2012

Apps vs. Datenschutz: heimliche Weitergabe von Nutzerdaten


Es ist kein Geheimnis, dass sog. Apps Daten der Nutzer an Dritte weitergeben. Nun sind zwei unabhängige Stellen diesem Thema auf den Grund gegangen.

Die Datenschutz-Tests
Untersucht wurden 62 Apps für die Betriebssysteme iOS und Android, sowie eine Navigation für Microsoft Windows Phone. Zudem wurde ca. 100 Apps aus dem App-Store von Apple untersucht.

Datenschutz passé
Ein Test zeigte, dass viele Apps Nutzerdaten speichern und weiterleiten. Ca. ein Drittel übermittelte die Seriennummer des Gerätes an den Hersteller und an Dritte. Bspw. übermittelten Radio-Apps diese Daten an eine Entwicklerfirma. Zudem gibt es Apps, die Daten direkt an Facebook, Google und Marketingfirmen weiterleiteten.

Ein weiterer Test zeigte, dass persönliche Daten (Name, Telefonnummer, E-Mail-Adresse und sogar Passwörter ohne Verschlüsselung und Anonymisierung an den Anbieter gesendet werden. Dabei ist die gleichzeitige Übermittlung von Nutzerstatistiken und Gerätekennungen ein Kavaliersdelikt.

Beide Tests zeigten, dass die Weitergabe der Daten dem Nutzer unbekannt bleibt. Eine Übersichtlichkeit für den Nutzer, welche Apps Daten übermitteln und welche nicht ist kaum möglich.

Was bedeutet dies für den Datenschutz?
Die Gerätenummer ist geeignet Personen zu identifizieren, also einen Personenbezug herzustellen. Ungeachtet der generellen Verletzung des Grundsatzes der Datensparsamkeit, gibt es keinerlei Grundlage für eine Datenübermittlung, geschweige denn eine Einwilligung des Nutzers.

Fazit
Nutzer müssen sich im Klaren darüber sein, dass die Nutzung von Apps mit der Privatsphäre „bezahlt“ wird. Zudem sollten Auftraggeber und Entwicklerfirmen verstärkt das deutsche Datenschutzrecht beachten und entsprechende Kontrollmechanismen verstärkt werden.
In wie fern die Nutzer, diese Daten-Dossiers weiter mit Ihren Daten füttern wollen bleibt abzuwarten.

Stefan Fischerkeller

Montag, 11. Juni 2012

Datenschutz in Gefahr - Bedrohungen aus dem Posteingang



Die gute Nachricht als Erstes: Das Spam-Aufkommen hat sich im Jahre 2011 um die Hälfte verringert. Im Gegensatz dazu hat sich allerdings die Qualität der Angriffe erheblich erhöht. Nun werden ausgesuchte Ziele angegriffen und erheblich mehr Schaden verursacht.

Deswegen hier einige einfache Tipps, die Sie im Alltag laufend beachten sollten.

1. E-Mail-Anhänge

Ein ständiger Tipp, aber deshalb nicht weniger wichtig ist die Thematik E-Mail Anhänge. Es reicht nicht aus nur E-Mail-Anhänge von vertrauten Absendern zu öffnen. Auch diese Postfächer könnten bereits befallen sein. Eine Möglichkeit wäre direkt beim Absender nachzufragen, ob dieser Anhang beabsichtigt versandt wurde. Im Zweifel gehen Sie auf Nummer sicher und löschen diese Mail.

2. Links in E-Mails

Klicken Sie wenn möglich niemals auf Links in E-Mails. Auch wenn die E-Mail vertrauenswürdig erscheint, kann dies durchaus schief gehen. Wenn Sie mit dem Mauszeiger über den Link fahren (ohne Klicken!) sollte unten Links in der Programmleiste die Ziel-Adresse erscheinen. Gleichen Sie diese unbedingt genaue mit dem Link- bzw. E-Mail Text ab.

Der Grund: Der wahre Link versteckt sich meist im (unsichtbaren) Code der E-Mail. Wenn Sie z. B. eine Mail von Amazon oder Paypal bekommen und der Link führt Sie nicht auf die Domain paypal.de/paypal.com oder amazon.de sondern beispielsweise auf paypal-info.com, amazon-de.com oder xyz.com, dann sollten Sie ganz klar die Finger davon lassen und die E-Mail umgehend 
 löschen.

3. Virenschutz

Prüfen Sie laufend die aktuellen Updates Ihrer Virenschutz-Software. Die bloße Installation reicht nicht aus um einen dauernden Schutz auf aktuellstem Stand zu gewährleisten. In gängigen Virensoftware kann die Option „automatische Updates“ aktiviert werden. Prüfen Sie in dem Fall ob dies bei Ihnen bereits so eingestellt ist.

4. Mail-Software

Manche Schadsoftware nutzt auch Lücken in Betriebssystem oder Mail-Programmen aus. Dann kann beispielsweise das bloße Öffnen einer E-Mail ausreichen, um dort platzierten Schadcode auszuführen.
Achten Sie daher auch unbedingt darauf, Ihr Betriebssystem und Ihr Mail-Programm auf dem aktuellen Stand zu halten.

Stefan Fischerkeller

Mittwoch, 6. Juni 2012

Datenschutzkonforme Aktenvernichtung, aber wie?


Immer wieder landen vertrauliche Dokumente im Müll. Wer darauf zugreifen könnte, bleibt hierbei meist unbeachtet. So kommt es vor, dass Dritte zufällig vertrauliche Schriftstücke in die Hand bekommen – ein Zeichen für mangelnden Datenschutz im Unternehmen.

Nicht nur Smartphones, Facebook oder Online-Cookies sind relevante Themen im Bereich Datenschutz, sondern auch gedruckte personenbezogene Daten, ungeschützte Aktenordner, auf die unerlaubt zugegriffen werden kann.

Löschen von Dokumenten? – Ja. Löschfristen gelten auch für Dokumente, sie sagen es aber nicht direkt. Auch papiergebundene Daten müssen nach Zweckerfüllung gelöscht werden, die Akten also vernichtet werden. 

Einfach zerreißen? – Nein. Ähnlich wie bei digitalen Daten, reicht ein einfaches „Löschen“ im Betriebssystem nicht aus um alle Spuren zu vernichten. Auch Dokumente müssen, je nach Schutzbedarf sicher und ohne Spuren vernichtet werden. Wie das Verfahren zur Aktenvernichtung aussehen sollte, hängt vom Schutzbedarf der gedruckten Daten ab.
Entsprechend den Schutzstufen von Dokumenten, gelten im Bereich Aktenvernichter verschiedene Sicherheitsstufen (DIN 32757). Sicherheitsstufe 3 für normalen Schutzbedarf, 4 oder 5 bei höherem Schutzbedarf. 

Jemand machen lassen? – Ja, aber hierbei gelten besondere rechtliche Voraussetzungen hinsichtlich Auswahl und Prüfung des Dienstleisters. Die Verantwortung für die Daten bei Beauftragung eines externen Dienstleisters bleibt weiter beim Auftraggeber. Umso wichtiger, dass der betriebliche Datenschutzbeauftragte hier genau hinsieht und entsprechende Maßnahmen ergreift.

Stefan Fischerkeller