GDD-Infotag 2008

• Prof. Dr. Rainer W. Gerling "Praktisches Teufelszeug - Umgang mit USB-Sticks in der betrieblichen Praxis"
• Gerhard, Stampe / Hans Groß "Sichere Datenentsorgung - Stand der Technik"
• Lutz Neundorf "Datenschutz-Compliance in der Praxis"

Leitthema "USB-Sticks, Datenentsorgung und Datenschutz-Compliance - Praxistipps für Datenschutz- und IT-Sicherheitsverantwortliche"

Der traditionelle GDD-Informationstag bietet die Möglichkeit, aktuelle Datenschutz- und Datensicherheitsthemen mit fachkundigen Referenten zu erörtern. Am 6. März 2008 fand auf der CeBIT in Hannover der erste der beiden GDD-In­for­mati-onstage 2008 statt. Die Veranstaltung wurde nochmals mit gleichen Themen am 18. April im Hause der Fraport AG in Frankfurt am Main wiederholt. Mit der Veranstaltung 2008 wurden Empfehlungen für den Umgang mit USB-Sticks im Unternehmen und zur datenschutzkonformen Datenträgerentsorgung gegeben. Außerdem wurde das Thema „Datenschutz-Compliance“ praxisgerecht aufbereitet.

Nach Begrüßung durch die stellvertretende GDD-Vorstandsvorsitzende Dr. Astrid Breinlinger stellte Prof. Dr. Rainer W. Gerling (Datenschutz- und IT-Sicherheitsbeauftragter der Max-Planck-Ge­sell­schaft) dem Auditorium zunächst unter dem Titel „Praktisches Teufelszeug - Umgang mit USB-Sticks in der betrieblichen Praxis“ USB-Sticks verschiedener Bauformen vor. Auf Grund ihrer
Integration in Uhren, Stifte, Taschenmessern, Schmuckstücken etc. seien USB-Sticks heute nicht mehr oh­ne Weiteres als solche zu identifizieren, so Ger­ling. Hierüber müsse auch ein Werkschutz, der die Mitnahme von USB-Geräten auf das Werksgelände verhindern soll, entsprechend informiert sein.

Sog. U3-USB-Sticks seien im Privatbereich sehr nützlich. Der Einsatz derartiger USB-Sticks im Un­ternehmen sollte allerdings aus Sicherheitsgründen unterbunden werden, so Gerling, da es mittels des U3-Standards möglich sei, ein U3-kom­pa­ti­bles Programm ohne vorherige Installation direkt vom Stick auszuführen.

Gefahren bei der Nutzung eines eigenen USB-Sticks auf Fremdgeräten ergäben sich aus dem möglichen Einsatz des sog. USB-Dumpers auf dem Fremdrechner. Hierbei handele es sich um ein klei­nes Programm, das im Hintergrund läuft und jeden eingesteckten USB-Stick kopiert. Das weiterentwickelte USB-Dumper2 könne nicht nur die Informationen des eingesteckten USB-Sticks auf die Festplatte des Fremdrechners kopieren, sondern zugleich fremde (schädliche) Dateien aufspielen.

USB-Hacksaw sei ein Programm, das an einen in­fi­zierten Rechner angesteckte USB-Sticks in ein temporäres Verzeichnis kopiert und nach entsprechender Komprimierung per E-Mail verschlüsselt verschickt. USB-Switchblade stehle unbemerkt In­for­mationen wie Passwörter, Benutzernamen oder IP-Informationen, während der USB-Stick angesteckt ist. Um zu verhindern, dass ungewollt Schad­programme von einem USB-Stick gestartet werden, sei es ratsam, die Funktion Autostart/Au­to­run zu deaktivieren.

Unternehmen sei dringend zu empfehlen, Regelungen zum Umgang mit USB-Sticks zu schaffen, so Gerling. Hierin sollten die Nutzung privater USB-Sticks sowie das Starten nicht freigegebener Soft­ware von einem USB-Stick verboten werden. Ferner sollte es untersagt sein, dienstliche USB-Sticks mit personenbezogenen oder sonstigen vertraulichen Daten an unternehmensfremden Rechnern zu nutzen. Insofern sei die Verwendung eines se­pa­ra­ten USB-Stick, der über einen Schreibschutz verfügt und nur öffentliche Da­ten enthält, empfehlenswert. Dienstliche USB-Sticks mit personenbezogenen oder sonst vertraulichen Daten hätten grundsätzlich am Arbeitsplatz zu verbleiben und seien bei Nichtnutzung entsprechend weg­zu­schließen. Für den Fall, dass mittels dienstlichen USB-Sticks personenbezogene oder andere vertrauliche Daten transportiert werden sollen, ha­be eine Verschlüsselung zu erfolgen. Begleitend zu diesen Regelungen sei eine softwarebasierte Kontrolle der USB-Ports im Unternehmen angebracht.

Gerhard Stampe, GESTA Datenschutzkompetenzzentrum, Bremen, und Hans Groß, Datenschutzbeauftragter der VW-Konzerngesellschaften AUTO5000, sitech GmbH u. Design Center, Potsdam, stellten den neuen GDD-Praxisleitfaden „Datenschutzgerechte Datenträgerentsorgung nach dem Stand der Technik“ vor. Die Nutzung moderner Informations- und Kommunikationstechniken sowie Speichermedien, so die Referenten, berge erhebliche Sicherheitsrisiken, die zu riskanten Informationsabflüssen führen könnten. Wirtschaftsspionage und Konkurrenzausspähungen belasteten die deutsche Volkswirtschaft mit mehreren Milliarden Euro jährlich.

Die technischen und organisatorischen Maßnahmen zur datenschutzgerechten Entsorgung von Datenträgern müssten unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung und dem Entsorgungsprozess ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Stand der Technik sei hierbei der zu einem bestimmten Zeitpunkt erreichte Entwicklungsstand fortschrittlicher Verfahren. Hierzu gehörten angemessene Einrichtungen und Betriebsweisen, die die praktische Eignung im Hinblick auf den angestrebten Schutzzweck insgesamt als gesichert erscheinen lassen.

Der GDD-Arbeitskreis „Datenschutzgerechte Datenträgerentsorgung nach dem Stand der Technik“ habe in dem Praxisleitfaden insofern drei ver­schiedene Schutzklassen für zu vernichtende Daten beschrieben und diese den Sicherheitsstufen der DIN 32757-1 (für papierene Datenträger und Folien) bzw. der DIN 33858 (für opto-mag­ne­ti­sche und magnetische Datenträger) zugeordnet. Der Leitfaden gebe darüber hinaus Empfehlungen, wie die in der Anlage zu § 9 BDSG aufgeführten „Kontrollen“ innerhalb des Entsorgungsprozesses umgesetzt werden können. Schließlich seien eine umfassende Checkliste zur Datenträger­ent­sorgung sowie Vertragsmuster für den Fall enthalten, dass die Datenträgerentsorgung einem externen Dienstleister übertragen werden solle.

In seinem Vortrag zu diesem Thema erläuterte Lutz Neundorf, Datenschutzbeauftragter der ABB AG, Mannheim, zunächst den Begriff Compliance. In der betriebswirtschaftlichen Fachsprache werde die Bezeichnung verwendet, um die Einhaltung von Gesetzen und Richtlinien, aber auch freiwilligen Kodizes im Unternehmen zu beschreiben.

Von Unternehmen, deren Wertpapiere an US-Bör­sen gehandelt werden, und deren Töchtern sei der sog. Sarbanes Oxley Act (SOX) zu beachten. Dieser mache die Einrichtung eines internen Kontrollsystems (IKS) im Hinblick auf die Rechnungslegung sowie Verfahren zur Anzeige von Verstößen erforderlich. Im Hinblick auf letzteren Punkt, so Neun­dorf, habe die Artikel 29-Da­ten­schutz­gruppe ausdrücklich anerkannt, dass die Gewährleistung der finanziellen Sicherheit auf den internationalen Finanzmärkten und insbesondere die Verhütung von Betrug und Fehlverhalten in Bezug auf die Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung sowie die Bekämpfung von Korruption, Banken- und Finanzkriminalität oder Insider-Geschäften be­rechtigte Interessen des Arbeitgebers darstellen können, die die Verarbeitung personenbezogener Daten mittels Verfahren zur Meldung von Missständen in diesen Bereichen rechtfertigen. Er­for­derlich bleibe aber die Abwägung mit den schutzwürdigen Interessen der durch das Hinweis­system Betroffenen, so die Artikel 29-Da­ten­schutz­gruppe.

Anonyme Hinweise seien weder aus Sicht des Hin­weis­ge­bers noch des Unternehmens eine gute Lösung, so Neundorf. Zunächst hindere auch die gewährte Anonymität Kollegen vielfach nicht daran, mit Erfolg zu erraten, wer hinter einer bestimmten Anzeige steht. Im Fall einer offenen Anzeige könnten hingegen gezielte Maßnahmen ge­troffen werden, um den Hinweisgeber gegen Mobbing zu schützen. Zudem könnten Hinweissysteme, die anonyme Anzeigen fördern, zu einer Verschlechterung des Betriebsklimas führen.

Die Richtlinie 2006/43/EG über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen sei bis Juli 2008 in nationales Recht umzusetzen, so Neundorf. Nach Angaben des Lei­ters des Bereichs Revision bei der Generaldirektion Binnenmarkt der Europäischen Kommission, Jürgen Tiedje, handele es sich hierbei allerdings nicht um eine europäische Variante von SOX. Ein „Euro-SOX“ oder wie auch immer geartetes „SOX light“ werde es nach den Äußerungen von Tiedje in Europa nicht geben. Es bleibe vielmehr in der Gestaltungsfreiheit der Unternehmen, für angemessene interne Kontrollen und eine starke Revision zu sorgen.

Den Abschluss des GDD-Informationstages bildete eine Diskussionsrunde, von der insbesondere noch einmal verschiedene Aspekte der Compliance-Thematik aufgegriffen wurden. So wurde an den Referenten Neundorf die Frage gerichtet, in­wie­fern es sich bewährt habe, dass Verstöße an-zeigende Personen namentlich bekannt seien. Neundorf erklärte, man rege eine entsprechende Namensnennung seitens der Anzeigenden an, um leichtfertige Falschanschuldigungen zu vermeiden. Dennoch gehe das Unternehmen natürlich ggf. auch anonymen Hinweisen nach. Diskutiert wurde weiter, inwiefern ein Datenschutzbeauftragter zugleich Compliance Officer sein kann. Prof. Dr. Gerling erklärte, aus seiner Sicht sei die Tä­tigkeit als Compliance Officer mit der Verschwie­gen-heitsverpflichtung des Datenschutzbeauftragten nicht zu vereinbaren.