Please activate JavaScript!
Please install Adobe Flash Player, click here for download

Bericht Datenschutz und Datensicherheit 2010

Ungerechtfertigte Zugriffsberechtigungen im Personalbereich. Mitarbeiter der Deutschen Telekom, die auf Kundendaten oder die Daten von Mitarbeitern zugreifen können, erhalten hierfür Berechtigungen. Diese Berechtigungen werden nach einem Mehr­Augen­Prinzip vergeben. Das bedeutet: Mitarbeiter können sich Berechtigungen nicht selbst aus­ stellen, sondern müssen die Freigabe zumindest einer weiteren Person erhalten. Im Bereich Personal genügte ein System den organisatorischen Anforderungen nicht: In Einzelfällen erhielten Mitarbeiter trotz Vier­Augen­ Prinzip Berechtigungen zum Zugriff auf Daten, die zur Ausübung ihrer Tätigkeit nicht notwendig waren. Im Rahmen einer datenschutzrechtlichen Prüfung des Bereichs wurde dieser Sachverhalt bekannt. Die Deutsche Telekom entzog den betroffenen Mitarbeitern die nicht zulässigen Berech­ tigungen unmittelbar. Gleichzeitig wurde das Mehr­Augen­Prinzip zur Ver­ gabe von Berechtigungen in diesem Bereich neu gestaltet und ausgebaut. Damit wurde die gefundene Lücke geschlossen. Übermittlung von Log-Informationen im Rahmen der Auftrags- datenverarbeitung. Die Geschäftskunden der T­Systems benötigen zur eigenen Qualitätssi­ cherung und zur Erfüllung der gesetzlichen Vorschriften zur Auftrags­ datenverarbeitung (§ 11 Bundesdatenschutzgesetz) Übersichten über die Zugriffe des Dienstleisters auf ihre Datenbestände. Diese Übersichten wurden und werden den Kunden auf Anforderung in unterschiedlicher Form (online oder in Dokumentenform) zur Verfügung gestellt. Im Zusammenhang mit einer Überprüfung wurde festgestellt, dass die Übersichten großteils in nicht pseudonymisierter Form übergeben wurden, obwohl es zur Erfüllung der Kontrollpflichten der Kunden nicht zwingend erforderlich war, die Information mit den Klarnamen der Mitarbeiter zu über­ geben. Zusammen mit den fachverantwortlichen Stellen wird an einem neuen, standardisierten Reportingverfahren gearbeitet, das T­Systems übergreifend zentral zur Verfügung gestellt wird. Bis zur Einführung dieses Verfahrens wird durch individuelle Lösungen eine möglichst umfassende Pseudonymisierung der Informationen veranlasst. Internationale Entwicklungen. Gesetzliche Regelungen. Bis zum 15. Januar 2011 konnten Unternehmen zu der geplanten Novellie­ rung der europäischen Datenschutzrichtlinie von 1995 Stellung nehmen. Die Novelle verfolgt unter anderem das Ziel, Auswirkungen neuer Technologien für den Datenschutz zu behandeln, die Rechte von Bürgern zu stärken, die Datenschutzsituation in der Europäischen Union zu verbes­ sern sowie eine wirksamere Durchsetzung der Vorschriften zu erreichen. Die Deutsche Telekom hat sich an der Diskussion beteiligt und begrüßt ins­ besondere die geplante Harmonisierung der Datenschutzvorschriften und das Vorhaben, ein hohes Schutzniveau für Daten, die in Länder außer­ halb der Europäischen Union übermittelt werden, zu erreichen. Ebenso begrüßt sie die Überlegung, eine Datenschutz­Zertifizierung auf EU­Ebene einzuführen. Außerdem setzt sich die Telekom unter anderem dafür ein, dass Unternehmen Kundendaten für nicht vertragsnotwendige Zwecke nur dann verwenden dürfen, wenn der betroffene Kunde zuvor eingewilligt hat (so genannte Opt­In­Lösung ). Die Telekom vertritt hier bewusst eine Position, die Kundenrechte stärkt, während viele Unternehmen der Branche einen weniger eingeschränkten Umgang mit Kundendaten wünschen. Maßnahmen länderübergreifender Zusammenarbeit. Internationale Zusammenarbeit innerhalb des Konzerns. Die Deutsche Telekom erzielt mittlerweile über 50 Prozent ihres Umsatzes außerhalb Deutschlands. Sie ist als international operierendes Unterneh­ men in unterschiedlichen Ländern in und außerhalb der Europäischen Union aktiv. Vor diesem Hintergrund ist Datenschutz für das Unternehmen ein wichtiges internationales Thema und muss übergreifend und grenz­ überschreitend umgesetzt werden. In den jeweiligen Ländern gelten verschiedene datenschutzrechtliche Bestimmungen und Gesetze, die sich in der Europäischen Union weitest­ gehend aus der europäischen Datenschutzrichtlinie ableiten, sich lan­ despezifisch jedoch unterscheiden. Bei Ländern, die nicht Mitglied der Europäischen Union sind, sind die Unterschiede noch größer. Vor diesem Hintergrund ist eine enge internationale Abstimmung innerhalb des Kon­ zerns wichtig, um bei nicht einheitlichen Datenschutzvorschriften dennoch ein weltweit einheitliches hohes Datenschutzniveau im Unternehmen sicherzustellen. Hierzu verbessert die Deutsche Telekom ihre internationale Zusammenarbeit innerhalb des Konzerns stetig. So werden Instrumente wie etwa Standards für Datenschutzprüfungen von IT­Systemen oder Onlineschulungen für den länderübergreifenden Einsatz entwickelt. Bereits im Datenschutzbericht 2009 hat die Telekom angekündigt, dass eine engere Zusammenarbeit im internationalen Bereich für 2010 ange­ strebt wird. 2010 hat das Unternehmen Initiativen ausgebaut und ein­ geleitet, um länderübergreifenden Datenschutz im Interesse der Kunden sicherzustellen. 28