Insbesondere die Führungsebene ignoriert ihre eigenen Datenschutzrichtlinien. Dies deckte eine aktuelle Umfrage jetzt auf.
„In einer modernen Welt der ständigen Verfügbarkeit liegt der Schlüssel zum Erfolg in der Fähigkeit, nach einem Vorfall mit Datenverlust schnell wieder den normalen Geschäftsbetrieb herzustellen.”
DIGITUS.Interview mit
Richard Agnew, Vice President EMEA, Code42
und
Robert Niedermeier, Rechtsanwalt bei CyberLegal
Selbst die stärksten Datensicherheitsbestimmungen sind menschlichen Emotionen und Verhalten nicht völlig gewachsen – analoge Verhaltensmuster gefährden also die Digitalisierung? Diese Erkenntnis legt der aktuelle Datensicherheitsreport 2018 von Code42 nahe [1]. Zumindest steht nun fest, dass es keinen einhundertprozentigen Schutz geben kann, denn Mitarbeiter in der modernen datengetriebenen Wirtschaft gehen anders mit Unternehmensdaten um, als von ihren Arbeitgebern vorgesehen. Ihre emotionale Bindung zu ihren Ideen – also der Intellectual Property (IP) – hat sogar häufig ein Verhalten zur Folge, das in Konflikt zu den vorhandenen Datensicherheitsrichtlinien steht. Das gibt durchaus Anlass zur Sorge bezüglich der Rolle von menschlichen Emotionen bei riskantem Umgang mit Datensicherheit.
Die Ergebnisse dieses Berichts unterstreichen zuvorderst die Notwendigkeit für eine realistische Datensicherheitsstrategie, die nicht nur menschliche Verhaltensweisen berücksichtigt, sondern auch die Vermeidung von Datenverlust und die Wiederherstellung von Daten. Der Report stützt sich auf das Feedback von beinahe 1.700 Sicherheits-, IT- und betrieblichen Entscheidern in den USA, dem Vereinigten Königreich und Deutschland. Er wurde von Sapio Research im Auftrag von Code42 durchgeführt. DIGITUS sprach dazu mit Richard Agnew, Vice President EMEA bei diesem Unternehmen, und Robert Niedermeier, Rechtsanwalt bei CyberLegal.
Herr Agnew, Ihr Unternehmen hat die Studie in Auftrag gegeben. Welche Erkenntnisse des Reports haben Sie besonders überrascht?
Agnew: Insbesondere die Tatsache, dass fast 80 Prozent der befragten Vorstände der Meinung sind, dass ihre Arbeitsleistung ihnen gehört, auch wenn dies in den Unternehmensrichtlinien beziehungsweise Arbeitsverträgen anders geregelt ist.
Woran kann das Ihrer Meinung nach liegen?
Agnew: Zum einen haben die CxOs das damit begründet, dass sie einen Teil von sich selbst in die Arbeit legen würden. Zudem sind 59 Prozent der Befragten der Meinung, dass es ihre persönliche Zeit ist, die in ihre Arbeit fließt, nicht die Zeit des Unternehmens. 93 Prozent der CEOs geben zu, dass sie eine Kopie ihrer Arbeit auf einem privaten Gerät vorhalten, außerhalb der relativen Sicherheit der Unternehmensserver oder Cloud-Anwendungen. Auf der anderen Seite stimmen 78 Prozent der CEOs zu, dass Ideen in Form von IP immer noch der wertvollste Vermögenswert eines Unternehmens sind. Es zeigt sich also eine Diskrepanz zwischen dem, was Verantwortliche sagen und dem, was sie tun.
Was sind die unmittelbaren Konsequenzen dieses Verhaltens?
Agnew: Fakt ist: Die Führungsebene von Unternehmen entwendet geistiges Eigentum – und das in vollem Bewusstsein. Über 70 Prozent geben in unserer Umfrage zu, dass sie IP von ihren früheren Arbeitgebern mitgebracht haben. Das sind Schäden, vor denen sich Unternehmen schützen können und müssen!
Ein Zeichen dafür, dass es auch noch „menschelt“ in Unternehmen?
Agnew: Das liegt im Auge des Betrachters, würde ich sagen. Es geht wahrscheinlich jedem so, der kreativ oder produktiv tätig ist – also Dinge entwickelt oder auf den Weg bringt. Man empfindet das schon ein wenig als eigenen Verdienst. Doch die Reglungen in Arbeitsverträgen sehen demgegenüber vor, dass dieses geistige Eigentum als Unternehmensgut zu betrachten ist. Das bringt das Angestelltenverhältnis nun einmal mit sich. Dafür erhalten Vorstände ja auch eine entsprechende Entlohnung. Widersprüchlich ist dabei, dass die Führungsebenen Datenschutzrichtlinien vorgeben und bei ihren Mitarbeitern voraussetzen, die sie selbst ignorieren.
Für Unternehmen kann ja zum Teil ein erheblicher Schaden entstehen. Wie können Firmen sich davor schützen, dass zum Beispiel vertrauliche Daten aus der Entwicklungsabteilung entwendet werden?
Agnew: Das ist die Gretchenfrage schlechthin. Der entscheidende Punkt ist das Thema Sichtbarkeit der Daten. Denn was man nicht sieht, das kann man auch nicht schützen. Wenn bekannt ist, wo Daten erstellt und aufbewahrt und wie sie innerhalb eines Unternehmens geteilt werden, ist das Risiko für den Verlust und Diebstahl von Daten geringer.
Wie äußert sich dieses Risiko in der Realität?
Agnew: Mitarbeiter geben zu, Daten auf Endgeräten zu speichern, aber die Sicherheits- und IT-Entscheidungsträger wissen nicht, wie viele Daten genau außerhalb der zentralen Speichersysteme aufbewahrt werden. 73 Prozent der Sicherheits- und IT-Entscheidungsträger gehen davon aus, dass es in ihrem Unternehmen Daten gibt, die nur auf Endgeräten aufbewahrt werden.
Welche Maßnahme ist für Sie am bedeutendsten, um eine Datenverlust wirksam zu begegnen?
Agnew: Die Mehrheit der C-Level-Führungskräfte und betrieblichen Entscheidungsträger räumt ein, dass dadurch, wie sie ihre Daten bzw. ihre Arbeit speichern, Risiken entstehen. Da Datenverlust kaum zu vermeiden ist, ist die Fähigkeit zur Wiederherstellung nach einem Sicherheitsvorfall wichtiger denn je. In einer modernen Welt der ständigen Verfügbarkeit liegt der Schlüssel zum Erfolg in der Fähigkeit, nach einem Vorfall mit Datenverlust schnell wieder den normalen Geschäftsbetrieb herzustellen. Das gilt sowohl für den Fall, dass ich mir Malware eingefangen habe als auch bei einem Datendiebstahl. Volle Sichtbarkeit auf Basis gesicherter Datensätze ermöglicht erst volle Kontrolle.
Ist diese Art des Monitorings überhaupt Datenschutz-konform?
Agnew: Das ist eine gute Frage. Dieses Thema wird in einzelnen Ländern unterschiedlich gehandhabt. In Deutschland gibt es bekanntlich einen sehr regulierten Datenschutz. Es bedarf einiger Maßnahmen zur Vorkehrung.
Die uns der Datenschützer Robert Niedermeier bestimmt beantworten kann.
Niedermeier: Das Monitoring von personenbezogenen in Verbindung mit Backup-Lösungen eröffnet für den Arbeitgeber umfassende technische Kontroll- und Auswertungsmöglichkeiten bis hin zur Erstellung von umfassenden Nutzungsprofilen der betroffenen Mitarbeiter. Diese können, wenn der Mechanismus falsch oder fahrlässig eingesetzt wird, den Rahmen des im Beschäftigungsverhältnis Erforderlichen übersteigen. In diesem Fall kann unabhängig von der tatsächlichen Nutzung der Profile das Persönlichkeitsrecht der Betroffenen beeinträchtigt sein.
Sprich, die Unternehmen legen in Arbeitsverträgen fest, dass ihnen die IP von allen Mitarbeitern gehört, können sich aber nicht schützen, wenn diese widerrechtlich entwendet wird?
Nun, in Deutschland wird der Datenschutz hochgehalten. Die neue europäische Datenschutzgrundverordnung hat noch einmal klare Richtlinien geschaffen. Damit sich Unternehmen schützen können, beispielsweise mittels Monitoring-Lösungen, müssen gewisse Voraussetzungen erfüllt werden. So kann der gemeinsame Einsatz von Monitoring und Backup-Systemen daher nur unter Beachtung der Anforderungen bestehender Gesetze, insbesondere der geltenden Datenschutzgrundverordnung, dem Bundesdatenschutzgesetz-neu sowie dem Betriebsverfassungsgesetz erfolgen.
Ziel aus datenschutzrechtlicher Sicht ist es nicht, den Einsatz dieser Technologien und Systeme zu verhindern. Vielmehr sollten sie so gestaltet werden, dass einerseits der verfolgte Sicherheitszweck erreicht wird und andererseits die Nutzung der protokollierten Daten die Rechte der betroffenen Mitarbeiter gemäß DSGVO und BDSG-neu sowie deren berechtigte Interessen nicht unzumutbar eingeschränkt werden. Das legitime Arbeitgeberinteresse ist gegen das Persönlichkeitsrecht des betroffenen Mitarbeiters abzuwägen und die für das Monitoring zwingend notwendigen Rechtsgrundlagen sicherzustellen.
Es müssen also Absprachen, unter anderem mit dem Betriebsrat, erfolgen?
Niedermeier: Rechtsgrundlage für das Monitoring könnte die Vereinbarung einer Betriebsvereinbarung sein, sofern ein Betriebsrat im Unternehmen besteht: Art. 88 Abs. 2 DSGVO eröffnet den Unternehmen die Möglichkeit, hierdurch eine Rechtsgrundlage durch den Abschluss von Betriebsvereinbarungen zu schaffen. Mit entsprechend gestalteten Betriebsvereinbarungen können Arbeitgeber und Betriebsräte einerseits die Anforderungen der DSGVO erfüllen, indem sie Transparenz schaffen und ausführen, für welche Zwecke und auf welchen technischen und organisatorischen Maßnahmen die Verarbeitung basiert.
Also ist Monitoring möglich, wenn bestimmte Voraussetzungen erfüllt sind – Unternehmen können sich demnach vorsorglich schützen?
Niedermeier: Mit der zunehmenden Bedeutung von Daten und deren Verarbeitung für den Unternehmenserfolg rücken Datenschutz und Datensicherheit immer mehr zusammen. Das eine ohne das andere geht im Zeitalter der Digitalisierung gar nicht mehr.
Der Detailgrad des Monitorings ist vor allem unter der Einhaltung geltender und kommender rechtlicher Vorgaben enorm wichtig. Es muss transparent und zweckgebunden sein und konkret durch Betriebsvereinbarungen oder auf Grundlage der genannten, rechtlichen Voraussetzungen festgehalten werden, wer wann was aus welchem Grund beobachtet. Daher ist es wichtig, dass das Monitoring auch nur zeitweise eingeschaltet werden kann, also zum Beispiel nur dann, wenn es ein konkretes Verdachtsmoment gibt.
Herr Agnew, Herr Niedermeier, wir danken Ihnen für diese aktuellen Informationen.
Code42, ein führender Anbieter von Lösungen zur Absicherung von Informationen, schützt die Ideen von mehr als 50.000 Organisationen weltweit. Dazu zählen einige der bekanntesten Marken in Wirtschaft und Bildungswesen. Durch das Erfassen und Indexieren jeder Version von jeder Datei, bietet das Unternehmen umfassende Sicherheit sowie IT- und Rechtsabteilungen lückenlose Sichtbarkeit und Wiederherstellung von Daten – egal wo sie liegen oder wohin sie bewegt werden.
Die von Robert Niedermeier und Tim Faulhaber geführte Rechtsanwaltskanzlei berät und unterstützt Unternehmen der IT-Branche, Sektorindustrien, Online-Anbieter, sowie mittlere und große Unternehmen im produzierenden Gewerbe. Die Rechtsanwälte von Cyberlegal haben bis zu zwanzig Jahre Erfahrung und Expertise in den Bereichen Datenschutz, IT-Sicherheit und Informationstechnologie.
Referenzen
[1] https://on.code42.com/go/content-data-exposure-report-dach-g/?utm_medium=pressrelease&utm_source=pr&utm_campaign=ent_security_der_brand_ww&utm_content=none_none_none
