Technische Herausforderungen im Geschäftsumfeld

Heutzutage findet sich faktisch in jedem Betrieb irgendeine Form von IT. Neben komplexen Servern ist dabei festzustellen, dass eine (bezahlbare) Mobilität Einzug gehalten hat, die noch vor wenigen Jahren unvorstellbar war: Heutige Smartphones sind leistungsfähiger als ein PC von vor 10 Jahren. Mobile Endgeräte wie Smartphones oder Tablets (wie iPad) ermöglichen dabei, in Kombination mit dem Internet, eine synchronisation von Datenbergen, die es möglich macht, quasi den gesamten Aktenbestand des eigenen Unternehmens immer in der Westentasche zu haben. Ein Traum – der zum Alptraum werden kann.

Das Problem ist, dass die zunehmend günstige Verbreitung solcher Geräte in keinerlei Verhältnis zum Sicherheitsverständnis der Betroffenen steht. Wer z.B. heute Firmenakten auf dem iPad hat, sollte sich dringend Gedanken darum machen, wie damit umzugehen ist, dass das iPad vielleicht einmal gestohlen wird. Oder wer sensible Daten über Dienste wie Dropbox synchronisiert, wie man damit umgeht, wenn dort einmal – etwa wie aktuell bei Sony – Angreifer sich einen Narren gefressen haben.

Dabei gehe ich an dieser Stelle bewusst nicht auf die Frage ein, welche formalen Voraussetzungen bei externen Diensten einzuhalten sind (etwa §11 BDSG), sondern halte den Ball recht flach.

Nun hat sich nach meinem zunehmenden Eindruck eine gewisse Sorglosigkeit, gerade in kleineren mittelständischen Betrieben breit gemacht. Zu schnell sind Daten auf USB-Sticks kopiert oder eben mit mobilen Endgeräten synchronisiert. Ganz fasziniert war ich z.B., als ich kürzlich bei einem Schornsteinfeger sah, dass sämtliche Daten seiner Kunden auf einem PocketPC abrufbar waren.

Wenn ein solches Gerät gestohlen wird, hat man dabei heute nicht nur das Problem, dass das evt. bekannt wird. Vielmehr muss man bedenken, dass hier mitunter die Pflicht besteht, von sich aus an die Öffentlichkeit zu treten und auf das „Leck“ hinzuweisen. Hintergrund ist die Informationspflicht im Rahmen des §42a BDSG, deren Missachtung mit einem Regelbussgeld bis zu 300.000 Euro belegt ist (§§42 II Nr.7, III S.2 BDSG).

Diese Informationspflicht greift u.a., wenn „Dritte unrechtmässig Kenntnis“ von bestimmten personenbezogenen Daten erlangt haben und dies mit der Gefahr „schwerwiegender Beeinträchtigungen“ für die Rechte Betroffener einhergeht. Jedenfalls wenn es um Bankdaten geht, oder um „besondere personenbezogene Daten“ (also regelmässig das, was Ärzte, Anwälte und Steuerberater erheben), ist der Anwendungsbereich des §42a BDSG eröffnet. Speziell wegen der Bankdaten, die heute nahezu ständig erhoben werden, ist die Reichweite der Norm nicht zu unterschätzen.

Wichtig ist an diesem Punkt, dass die „Kenntniserlangung“ dann zu verneinen ist, wenn zwar die Datenbestände gestohlen wurden, aber eben kein Zugriff besteht. Etwa weil das Notebook eine aktuelle und ausreichende Verschlüsselung beinhaltet, wie sie Softwareprodukte wie „Truecrypt“ anbieten. Dazu kommt, dass eine solche Sicherung nach §9 BDSG (Anlage zu §9 BDSG, Nr.3) ohnehin zu treffen sein wird.

Insofern ist es mir ein Anliegen, an dieser Stelle vor einem unbedachten Einsatz (verbreiteter) Technologien im geschäftlichen Umfeld zu warnen. Nur weil jeder ein Smartphone hat, heisst das nicht, dass man es deswegen in seiner Firma unbekümmert einsetzen kann. Selbiges gilt bei Notebooks oder Tablets. Dabei, wie immer, darf man eben auch nicht verteufeln, sondern muss sich des Risikos bewusst sein und technische wie juristische Vorkehrungen treffen. Die Zeiten, in denen ein gestohlener Laptop einfach nur „ärgerlich“ war, sind definitiv vorbei: Heute muss man im geschäftlichen Umfeld eine Fülle von Regelungen für diesen Fall beachten. Dabei lehrt die Vergangenheit, dass auch und gerade (vermeintlich) kleine Unternehmen vor einer Bloßstellung in der Öffentlichkeit nicht gefeit sind. Es droht bei falschem Verhalten ein PR-Desaster mit empfindlichen juristischen Konsequenzen in Form eines hohen Bussgeldes. Im schlimmsten Fall gefolgt von Schadensersatzforderungen der Betroffenen.