Please activate JavaScript!
Please install Adobe Flash Player, click here for download

Bericht Datenschutz und Datensicherheit 2011

44|45Entwicklung in den einzelnen Bereichen. Verschlüsselung ist die Behebung eingeleitet beziehungsweise abgeschlossen.  Audit Missbrauchserkennungssysteme: Für die Erkennung von Missbrauch und Leistungserschleichung durch Kunden oder Vertriebspartner betreibt die Deutsche Telekom mehrere Systeme. Diese wurden 2011 auditiert und bestätigten insbe- sondere, dass die Filtereinstellungen zur Erkennung von Missbräuchen datenschutzkonform gestaltet und protokolliert werden.  PCoC Audits bei deutschen Tochterunternehmen: Bei den Tochterunternehmen Autoscout, Friendscout und Operational Services wurde die Einhaltung der allgemeinen Datenschutz- bestimmungen der Deutschen Telekom, des Privacy Code of Conduct, kurz PCoC auditiert. Eine analoge Prüfung erfolgte bei internationalen Beteiligungen (siehe 37). Gefundene Schwachstellen wurden und werden bei sämtlichen Audits geschlossen und die Umsetzung der Maßnahmen vom Konzerndatenschutz überprüft. Ergebnissedesnationalenundinternationalen Basis-Datenschutzaudits2011. Auch 2011 wurde das jährliche Basisdatenschutzaudit durch- geführt. Ziel des Audits ist die Messung des allgemeinen Daten- schutzniveaus, das Erkennen von Verbesserungspotenzialen und die Ableitung von Gegenmaßnahmen. Hierzu wurden 40 Prozent der Konzernbeschäftigten aus Deutschland und 30 internationa- len Beteiligungsunternehmen befragt. Eine Selbsteinschätzung der Datenschutzbeauftragten in den internationalen Beteiligungs- unternehmen über die Einhaltung der Anforderungen aus dem Privacy Code of Conduct ergänzte das Basisdatenschutzaudit. Sowohl die Befragung der Mitarbeiter, als auch die Selbstein- schätzung der Datenschutzbeauftragten werden durch Stichpro- benkontrollen überprüft. Auf Konzernebene zeigt das Basisdatenschutzaudit 2011, dass die eingeführten Datenschutzmaßnahmen wirksam sind. Das relativ hohe Datenschutzniveau hat sich weiter verbessert. Die Beteiligungsquote stieg im gesamten Konzern von 43 Prozent auf 52 Prozent, in Deutschland lag sie sogar bei über 60 Prozent. Die hohe Sensibilität der Mitarbeiter für das Thema Datenschutz zeigte sich in der Frage, wie wichtig die Mitarbeiter das Thema Datenschutz erachten. Hier stuften konzernweit 87 Prozent der Mitarbeiter das Thema Datenschutz als wichtig oder sehr wichtig ein. Dies ist ein gegenüber dem Jahr 2010 weiter gestiegener Wert, der sowohl in Deutschland als auch international ein ähnlich hohes Datenschutzbewusstsein zeigt. Weitere geprüfte Themenbereiche wie etwa die Nutzung von Werkzeugen für die Verschlüsselung von Daten, die Entsorgung von Papier, die Teilnahme an Schulungen zum Thema Daten- schutz sowie die Kenntnis der Prozesse und Meldewege zum Datenschutz zeigten einen hohen Sensibilisierungsgrad der Mitarbeiter. Für die untersuchten Bereiche wurden individuelle Ergebnisse bereitgestellt, die es den Einheiten ermöglichen, ihre Stärken und Schwächen zu analysieren und an Verbesserungen zu arbeiten. Übergreifend zeigen sich lediglich Schwächen etwa im Bereich der Nutzung von vorhandenen E-Mail-Verschlüsselungs- Mechanismen oder in der Verpflichtung der Mitarbeiter auf das Daten- und Fernmeldegeheimnis bei internationalen Tochterge- sellschaften. Wie auch bei den Audits zum Privacy Code of ISO/IEC 27001-Zertifizierung. Der internationale Standard für Informationssicherheit ist in der ISO/IEC 27001 beschrieben. Er spezifiziert die Anfor- derungen für Herstellung, Einführung, Betrieb, Überwa- chung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berück- sichtigung der Risiken innerhalb der gesamten Organisa- tion. Die Vergabe von ISO/IEC 27001-Zertifikaten erfolgt durch akkreditierte Zertifizierungsinstitute. Sie umfasst die Themen Dokumentenlenkung, ständige Verbesserung des Managementsystems, Management von organisationseige- nen Werten, personelle Sicherheit, physische Sicherheit, Betriebs-/ Kommunikationsmanagement, Zugangskon- trolle, Beschaffung, Entwicklung und Wartung von IT- Systemen, Umgang mit Informationssicherheitsvorfällen, Sicherstellung des Geschäftsbetriebs (Kontinuität), Einhal- tung von Vorgaben. Die Zertifizierung ist unabhängig von der Art der Organisation und damit beispielsweise auch auf Handelsunternehmen, gemeinnützige oder staatliche Orga- nisationen anwendbar.

Pages