Archiv der Kategorie ‘Datenschutz‘

 
 

Das Compliance-Dilemma

Compliance, die Einhaltung rechtlicher und eigener verbindlicher Vorgaben und Richtlinien, scheint doch so einfach, tja wären doch unsere Regelungen widerspruchsfrei und aufeinander abgestimmt.

Und dann leben wir auch noch in einer globalisierten Welt, wo wir dann auch noch die Compliance in den verschiedenen betroffenen Rechtsräumen brauchen – ich meine jetzt nicht unterschiedliche Fachgebiete, sondern geografisch einzelne Länder mit ihren eigenen Rechtssystemen. Welcher Rechtsraum ist für unseren konkreten Geschäftsvorfall relevant? Bzw. welche Rechtsräume sind relevant? Die direkt betroffenen? Also wenn wir einen deutsch-ägyptischen Geschäftsfall anschauen: deutsches Recht und ägyptisches Recht? Was ist mit der Transitstrecke? Oh Mist, US-Recht beansprucht für sich weltweite Gültigkeit, verpflichtet „US-Persons“ und das sind nicht nur US-Staatsbürger, sondern beispielsweise auch Greencard-Inhaber oder Geschäftsreisende, die sich in USA aufhalten, und nimmt sie in die Pflicht. Wenn auch noch US-Technologie davon betroffen ist, weil die verwendeten Schrauben auf einer US-Drehbank gefertigt wurden, dann mal viel Spaß. Und wir haben noch nicht geschaut, ob nicht auch das nordkoreanisches Recht Anforderungen an unseren konkreten Vorgang richtet. Dessen Relevanz haben wir womöglich gedanklich ausgeblendet. Ein Abwägungsprozess – nicht Compliance.

Einen weiteren Abwägungsprozess liefert uns die Verhältnismässigkeit der Mittel. Denken wir an Informationssicherheit und fehlerfreie Programmierung. Mit absolutem Anspruch vollkommen unsinnige Zielsetzungen, weil wer 100%-ige IT-Sicherheit verspricht oder fehlerfreie Programme von der Materie keine Ahnung hat oder ein Blender ist. Ob wir wollen oder nicht kommen wir um Abwägung und einen Risiko-basierten Ansatz nicht herum. Wir müssen ein sinnvolles Sicherheitsniveau definieren und verfolgen. Und auch hier wieder bewusst abwägen.

Die Abwägung unterhöhlt elementare Grundprinzipien beispielsweise im Datenschutz, wo sich selbst staatliche Hüter der Domäne, die sonst alle Betroffenen mit aller Härte in Ihre Schranken verweisen, z.B. gegenüber Lobbyisten der Versicherungswirtschaft in die Knie gehen, selbst wenn es um die Auswertung besonderer personenbezogenen Daten geht.

Compliance ist zweifellos ein weites Feld. Ein schwammiges noch dazu.

Wenn wir mit Compliance-Anforderungen konfrontiert sind, ist die Definition geeigneter Prozesse unsere einzige Chance Transparenz in die Abläufe und Abwägungen  zu bringen und Verantwortung wahr zu nehmen.

Ein echtes Dilemma.

Das Compliance-Dilemma.

 

Beitrag #701 auf schlossBlog

#683 Gesehen: Snowden

Nachdem hier mitunter auch Themen wie IT-Sicherheit und Datenschutz angesprochen werden und auch schon Glenn Greenwalds Buch über den Fall Snowden rezensiert wurde, schreit natürlich auch der neue Film von Oliver Stone nach einer Würdigung.

Also am Sonntag Nachmittag mit der ganzen Familie ab ins Kino. Gut, Hannah (9) fand es streckenweise laaaaangweilig und auch Jonas (12) hatte bei manchen Sprüngen so seine Probleme, aber wenn sie Medienkompetenz lernen sollen, dann müssen sie da durch. FSK 6 ist ok, auch wenn der Film da inhaltlich überfordert. Es ist auch kein Film der, in die Details der Überwachungsthematik einsteigt, sondern eher ein Bio-Pic über die Person Snowden. Die Zerrissenheit und Widersprüchlichkeit der Person, die jahrelang vor der Transformation zum Whistleblower ja auch aktiv an der Überwachung beigetragen hat, könnte vielleicht noch deutlicher werden, obwohl sie sicherlich dargestellt wird.

Snowden – der Whistleblower – ist auch ein Stück Selbstinszenierung, die Snowden natürlich auch aus Selbstschutz braucht, aber für den Betrachter erschwert es die Differenzierung. Einzelne Details sind der Dramaturgie in der filmischen Umsetzung geschuldet:  Die Zuspitzung von Drohnenabsturz und epileptischen Anfall, oder das konkrete Procedere beim „Datendiebstahl“. Dass jemand, der eine hochspezifische Backup-Software schreibt, ganz banal in einer ad hoc-Aktion ein paar Dateien kopiert, die dann zufällig den ganzen Komplex so umfassend wiedergeben, scheint nicht gerade realistisch. Snowden ist sicherlich ein smartes Kerlchen, aber ob er tatsächlich Genie und Klassenprimus ist, gehört möglicherweise wieder in das Kapitel Inszenierung.

Alles in allem gebührt dem Film aber das Attribut sehenswert. Oliver Stone ist mal wieder derjenige, der als Zeitzeuge die Finger in die Wunden Amerikas legt, nach dem Vietnamkrieg (Platoon), der Kennedy-Ermordung nun der Fall Snowden. Snowden in dieser Reihe zu sehen ist mutig und sollte zum Nachdenken anregen.

Verstörend war aber weniger die hochprofessionelle Umsetzung Oliver Stones, als die dilletantische Platzierung im Kino: In der Werbung vor dem Film liefen Trailer für Agenten Thriller von Illuminati, über den neuen Tom Cruise bis hin zu einer Crime-Serie auf RTL. Wer in einem solchen Umfeld diese Werbung platziert hat wenig verstanden – am wenigsten den eigenen Job, geschweige denn diesen Film, aber letztlich bleibt dies ein kleiner Schönheitsfehler. Gott sei dank!

 

#642 Das Smartphone und der Datenschutz

Nein, Sie müssen die Datenschutz-Empfehlungen für das sichere Surfen mit dem Smartphone von meetyoo.de nicht lesen oder ernst nehmen. Sollten Sie das dennoch tun, dann brauchen Sie kein Smartphone.

Wenn Sie aber tatsächlich (1) GPS deaktivieren, (2) Standortdaten für Google-Dienste deaktivieren, (3) Daten-Backups deaktivieren, (4) WLAN  und (5) Bluetooth ausschalten, (6) regelmäßig Daten-Spuren im Browser löschen (Cache, Cookies, Verlauf und Passwörter), (7) Apps auf den Zugriff auf persönliche Daten prüfen und (8) das Samtphine für den Verlustfall absichern , usw. dann brauchen Sie alles, nur kein Smartphone.

Es wird Zeit uns einzugestehen, dass wir selbst mit Schuld am Kontrollverlust haben. Den vernünftigen Umgang mit den eigenen Daten oder den Daten anderer lernt am Smartphone nicht, wer es auch sonst nicht praktiziert.

Der Umgang mit Daten ist stets ein Abwägungsprozess und perfiderweise liegt er von Haus aus nicht in unserer Hand: Sie können selbst bestimmen, dass Facebook, LinkedIn, Google oder wer auch immer ihre Adressbücher nicht ausliest, aber Sie haben keinen Einfluss darauf, ob Ihre Kommunikationspartner das ebenfalls tun.

#639 Gelesen: Das Neue Spiel

Michael Seemann, Das neue Spiel: Strategien für die Welt nach dem digitalen Kontrollverlust, Berlin, Freiburg 2014, ISBN 978-3936086799

Michael Seemann bloggt nicht nur über den Kontrollverlust unserer Daten, den wir längst erlitten haben, er hat seine Gedanken auch in einem lesenswerten Buch zusammengefasst. Vielleicht geht der Autor in dem einen oder anderem Punkt zu weit (braucht es wirklich eine eigene, neue digitale Lizenz für das Buch, wird die Query-Metapher nicht etwas überstrapaziert,…), aber gemessen an der medientheoritisch fundierten Auseinandersetzung mit dem Thema, sind das belanglose Details.

Zunächst belegt Seemann den Kontrollverlust:

„Wir haben die Kontrolle über die Daten […] auf dreifache Weise verloren: Wir wissen nicht mehr, welche Daten zu welcher Zeit erhoben werden können, weil die ganze Welt durch die allgegenwärtige Verbreitung von Sensoren digitalisiert wird. Wir bestimmen nicht selbst, was mit diesen Daten geschieht, wo sie gespeichert werden, wo sie hinkopiert werden, wer darauf Zugriff hat. Und wir können nicht ermessen, welche Dinge diese Daten potenziell aussagen. Kurz: Daten, von denen wir nicht wussten, dass es sie gibt, finden Wege, die nicht vorgesehen waren, und offenbaren Dinge, auf die wir nie gekommen wären.“

Im zweiten Teil versucht er Strategien zu entwickeln mit denen wir uns dem faktisch bereits eingetretenen Kontrollverlust stellen können, denn ein Lamentieren nützt uns nichts und auch das Hoffen auf den Staat oder andere Institutionen ist so naiv wie hoffnungslos in unserer globalisierten digitalen Welt.

Als Strategien für den Umgang mit dem Kontrollverlust stellt er 10 Regeln auf:

  • Es gilt das Neue – Wir müssen Lernen, das Alte zu Verlernen und die neuen Spielregeln annehmen.
  • Du kannst das Spiel nicht gegen den Kontrollverlust spielen – Eine Kontrolle von Datenströmen ist faktisch längst nicht mehr möglich, also dürfen wir uns auch nicht dieser Illusion hingeben.
  • Die Überwachung ist Teil des Spiels – Überwachung wird noch mehr zunehmen. Wir können das nicht verhindern, sondern lediglich versuchen, die Wirkung von Überwachung zu schwächen.
  • Wissen ist, die richtige Frage zu stellen – Die Wissensspeicherung verliert an Bedeutung, der Abruf von Wissen wird hingegen zur neuen Königsdisziplin.
  • Organisation und Streit für alle! – Die „positive“ Seite des Kontrollverlustes ist es, dass Transparenz und Vernetzung für alle offen stehen.
  • Du bist die Freiheit des Anderen – Die gesellschaftlichen Kommunikationsstrukturen haben sich geändert – hin zu einer End-to-End-Beziehung der einzelnen Teilnehmer. Die Daten gehören schließlich beiden Enden der Kommunikation.
  • Macht hat, wer die Plattform kontrolliert – Plattformen sind neue, machtvolle Akteure.
  • Staaten sind Teil des Problems, nicht der Lösung – Denn auch die Staaten sind „Opfer“ des Kontrollverlustes, haben z.B. beim Datenschutz längst den Bankrott erreicht.
  • Datenkontrolle schafft Herrschaft – Etwas paradox, denn Datenkontrolle ist ja faktisch nicht wirklich möglich, aber dort, wo man es versucht steigt die Macht der Plattformen. „Datenkontrolle zwingt zur zentralisierten Kontrolle und schwächt somit die Zivilgesellschaft.“
  • Der Endgegner sind wir selbst – Noch bevor die Geheimdienste etwas über uns herausgefunden haben, haben wir es längst selbst (oder jemand anderes für uns) auf Facebook & Co eingestellt oder es mit einer Videoüberwachung gefilmt. Wir müssen uns unserer Verantwortung annehmen.

Michael Seemann ist kein wirrer Verschwörungstheoretiker, er ist auch kein Snowden/NSA-Trittbrettfahrer. Er hat lediglich versucht ein intelligentes Fazit aus dem Thema seines Blogs und seiner Auseinandersetzung mit dem Thema Kontrollverlust zu ziehen. Natürlich kann man über Details streiten, aber eins macht die Lektüre allemal klar: Wir müssen uns dem Thema stellen, denn dieser gesellschaftliche Veränderungsprozess ist bereits weiter fortgeschritten als wir uns vorstellen können und es gibt kein zurück. Wir müssen lernen, uns in diesem veränderten Umfeld einer digitalen Welt zu bewegen und uns den neuen Herausforderungen widmen. In diesem Sinne: Eine klare Leseempfehlung!

#634 Datenschutz abschaffen!

Natürlich nur eine Polemik! Wie könnte man sonst so etwas fordern? Sind personenbezogene oder besondere personenbezogene Daten nicht besonders schützenswert? Anscheinend nicht, denn die behördlichen Datenschützer sind längst übergelaufen und haben eine Bankrotterklärung abgegeben. Im Web grassiert gerade eine sarkastische Suchmeldung nach der Bundesdatenschutzbeauftragten, die nach ihrem Amtsantritt vermeintlich nicht mehr gesehen wurde.

Eine weitere Bankrotterklärung habe ich gerade bekommen auf eine Anfrage bzgl. des Umgangs mit meinen Gesundheitsdaten durch meine Krankenkasse. Und unsere Behördenvertreter haben sich längst mit der Versicherungswirtschaft arrangiert und nahezu einen Freibrief für die Interessen der Versicherungen ausgestellt. Im konkreten Fall hatte die Krankenkasse bei einer Tarifumstellung gezielt eingereichte Abrechnungsunterlagen ausgewertet und daraus Risikozuschläge abgeleitet. Meine Argumentation im Sinne des Bundesdatenschutzgesetzes war, dass die Abrechnungsunterlagen der Krankenkasse zweckgebunden (zur Abrechnung) überlassen waren und deswegen nicht für andere Zwecke (vertragliche) ausgewertet werden dürfen. Doch dieses Verständnis spiegelt nicht die Meinung unserer obersten Datenschützer:

Die Vorgehensweise ist im Ergebnis zulässig und die eingereichten Abrechnungsunterlagen sind letztlich nicht zweckgebunden. Sie dürfen von der Versicherung im Rahmen einer möglichen Vertragsumstellung zur Risikobeurteilung herangezogen werden.

Die perfide Argumentation geht sogar weiter, die von Behörde und Versicherungswirtschaft  abgestimmten Einwilligungs- und Schweigepflichtentbindungserklärungen sehen ausdrücklich die Erhebung, Speicherung und Nutzung der Gesundheitsdaten vor soweit dies zur Antragsprüfung sowie zur Begründung, Durchführung, oder Beendigung des Versicherungsvertrages erforderlich ist. Nachdem alle solche Klauseln haben, sind wir dieser staatlich unterstützten Willkür ausgeliefert.

Wie qualifiziert dies geschieht zeigt das konkrete Beispiel: Wenn aus der Diagnose auf einem Rezept Rückschlüsse gezogen werden, dann werden schnell flüchtige, längst auskurierte Erkrankungen gleich zu systemischen Risiken, die mit unverhältnismäßigen Aufschlägen sanktioniert werden.

Solche Regelungen brauchen wir genauso wenig, wie solche Datenschützer.

Daher: Datenschutz abschaffen! Dann wissen wir wenigstens woran wir sind.

#578 Best of… Compliance

Compliance war schon das eine oder andere mal Thema auf schlossBlog, insbesondere Compliance-Themen vor dem Hintergrund von IT-Offshoring und Outsourcing:

#530 Datenschutz-Reader

Wer hat meine Daten und welche Rückschlüsse können daraus gezogen werden, fragt sich Barbara Junge für die ZEIT.

Passend hierzu auch ein Blog-Beitrag von Richard Gutjahr, der über eine Schufa 2.0 sinniert und zeigt, wie unsere sozialen Aktivitäten und Beziehungen ge-/missbraucht werden.

Die Computerwoche fragt: Was macht eigentlich ein Datenschutzbeauftragter?

Und gibt die Antwort.

Und noch mal die Computerwoche zu Compliance, BDSG (Bundesdatenschutzgesetz) und Urheberrecht – Mitarbeiterdatenschutz in IT-Projekten.

Thematisiert werden u.a. der Social Media Einsatz in Unternehmen, die Einhaltung von Urheberrechten im Unternehmen und eine die Grundfragen im Datenschutz:

  • Welche personenbezogenen Daten werden gespeichert und wie lange?
  • Welche Daten werden mit Mitarbeiterbezug abgelegt bzw. wann wird dieser Bezug entfernt?
  • Werden Daten archiviert und können sie wieder reaktiviert werden?
  • Kann der Mitarbeiter seine eigenen Daten verwalten bzw. löschen?
  • Wie werden Protokolle bzw. Logdateien ausgewertet?
  • Wie werden sensible Daten, wie beispielsweise Geburtsdatum und Wohnort, verschlüsselt?