Sicherheit und Geheimhaltung von Informationen sind kritische rechtliche Themen, die Unternehmen auf der ganzen Welt beeinflussen. Dabei ist der Datenschutz der gesetzlich am weitesten entwickelte Bereich: In Europa wie auch in den USA ist die Verarbeitung personenbezogener Daten durch Computer und andere elektronische Geräte streng reguliert - in der EU durch die Richtlinie 95/46/EG, in den USA unter anderem durch die US-Handelsbehörde FTC.
Foto: Jeff Kubina via Flickr
Besonders für international agierende Unternehmen lohnt es sich, die Unterschiede zwischen den nationalen Ansätzen in der Datenschutz-Regulierung genauer zu betrachten. Collaboration und Informationsflüsse werden heute in beinahe jedem Staat der Welt per Gesetz geregelt - die Strafen und die Regulierungsbefugnis der Behörden unterscheiden sich jedoch enorm. Verantwortliche im Unternehmen sollten daher besonders beim Thema Collaboration und Sharing auf Compliance-Vorgaben achten.
Europa und USA: Eine für alles oder für alle etwas?
Europa wie auch die USA gehören zur Gruppe der "westlichen Staaten", deren Rechtssicherheit im Vergleich mit anderen Ländern ausgesprochen hoch ist. Entsprechend sind auch die Gesetzgebungen zum Datenschutz stärker ausgeprägt als beispielsweise in Mexiko oder Russland. EU und USA sind fest verbunden - etwa durch die spezielle Vereinbarung im Safe Harbor Program, das US-amerikanischen Firmen die Verarbeitung und Nutzung von EU-Daten gestattet, was für externe Nationen meist nicht gewährt wird. Trotzdem verfolgen beide einen grundsätzlich anderen Ansatz beim Thema Datenschutz.
In der Europäischen Union graben Richtlinien die Fahrrinne für die Datenschutzgesetze der Länder. Die Richtlinie 95/46/EG ist in die Gesetze der Mitgliedsländer eingeflossen, in Deutschland beispielsweise ins Bundesdatenschutzgesetz (BDSG). Die Richtlinie verpflichtet die Verantwortlichen für Datenverarbeitung - das sind praktisch alle Unternehmen, die über Collaboration-Plattformen verfügen - angemessene technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen.
Die Europäische Union verfolgt den Ansatz, durch die Umsetzung von Regulierungen ein breites Spektrum an Branchen gleichzeitig abzudecken. Die genannte Richtlinie gilt daher ebenso für Banker wie für Bäcker. Die Vereinigten Staaten dagegen legen ihrem Datenschutz einen sektoralen Ansatz zugrunde: Schlüsselsektoren wie das Gesundheits- oder Finanzwesen werden gesondert reguliert. Auf Staats- und Bundesebene existieren außerdem facettenreiche Gesetze zur Meldepflicht.
Was in den USA zu beachten ist
Aktive Regulatoren wie die US-Handelsbehörde FTC sind motiviert, die Gesetze mit hohen Geldstrafen und Zwangsprüfungen durchzusetzen. Bei Datenschutzverletzungen kommt es mit hoher Wahrscheinlichkeit zu einem Rechtsstreit oder einem dem Image schadenden Zivilprozess.
Die Vereinigten Staaten verfügen über kein übergreifendes Datenschutzgesetz, das für alle Branchen gilt, wie es in der EU der Fall ist. Es gibt jedoch wichtige Schlüsselgesetze, die zusammengenommen etwa den Bereich der EU-Gesetzgebung abdecken - oder dahingehend interpretiert wurden. Zu den wichtigsten drei Gesetzen gehören: der FTC Act für den Sektor Wirtschaft und Handel, der GLB Act (Gramm-Leach-Bliley Act) für den Finanzsektor und der HIPA Act (Health Insurance Portability and Accountability Act) für das Gesundheitswesen.
Wirtschaft: FTC Act
Die FTC hat mit der Sektion 5 des FTC Acts einen breiten Rechtsrahmen für Datenschutz und Datensicherheit geschaffen. Sektion 5 erklärt "trügerischen oder unlauteren" Handel durch Unternehmen als gesetzeswidrig. Laut FTC handeln Unternehmen dann trügerisch, wenn sie ihr eigenes Sicherheitsniveau falsch darstellen. Unlauterer Handel dagegen ist definiert als "Versagen, angemessene Verfahren zu implementieren, um die Sicherheit personenbezogener Daten zu garantieren."
Wenn beispielsweise ein Unternehmen eine Datenschutzrichtlinie zur eigenen Website veröffentlicht, die verspricht, Kundendaten vor Sicherheitslecks zu schützen - selbst aber keine volle Kontrolle über Collaboration und Sharing hat, um diese Sicherheit der Kundendaten zu garantieren - so würde dieses Unternehmen nach dem FTC Act des trügerischen und unlauteren Handels für schuldig befunden.
HTC America musste die Wirkung von Sektion 5 bereits kennenlernen. Der Smartphone-Hersteller hatte den Kunden in seinem Handbuch versichert, dass Dritte ohne Erlaubnis keinen Zugriff auf Kundendaten hätten, die sich auf dem Telefon befinden. Doch HTCs Smartphone-Software enthielt Codefehler, die Sicherheitslecks öffneten und die Nutzerdaten nicht ausreichend schützten. Die FTC befand HTC für schuldig; das Unternehmen musste einwilligen, sich einem 20 Jahre dauernden unabhängigen Prüfungsprozess zu unterziehen.
Die FTC kann substanzielle organisatorische Änderungen in Unternehmen erzwingen, die durch Langzeitprüfungen überwacht werden und natürlich Strafzahlungen anordnen. Das belegen zwei weitere Beispiele: CBR Systems, eine Blut- und Stammzellenbank, musste einem 20-jährigem Audit-Plan zustimmen, da sie Transportbänder mit Sicherungskopien nicht verschlüsselt hatten; die Bänder enthielten finanzielle und medizinische Informationen. Die Selbsthilfegruppe Path Inc. musste 800.000 Dollar an die FTC zahlen, damit ein Verfahren wegen der Online-Verbreitung von Informationen über Kinder ohne die Einwilligung der Eltern eingestellt wurde. Sie hatte gegen den Children Online Privacy Protection Act verstoßen.
Finanzen und Gesundheit: GLB Act und HIPA Act
Der GLB Act reguliert Finanzinstitutionen wie Banken und Versicherungen sowie Anbieter von Finanzprodukten und -dienstleistungen. Das Gesetz soll Kundendaten schützen und verpflichtet die genannten Organisationen zur Einhaltung zweier FTC-Regulierungen: die Financial Privacy Rule und der Safeguard Rule. Die Financial Privacy Rule zwingt ein Unternehmen, seine Kunden über die Weitergabe von Kundendaten zu informieren und zu erklären, mit wem diese geteilt werden. Die Safeguard Rule erfordert die Einrichtung und Erhaltung von Schutzvorrichtungen für personenbezogene und Kundendaten.
Der HIPA Act reguliert Anbieter im Gesundheitswesen und Apotheken sowie Anbieter von Datenanalysen und Datenverarbeitung. Auch hier findet sich die gesetzliche Verpflichtung, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit elektronisch geschützter Gesundheitsinformationen (ePHI - "electronic Protected Health Information") zu gewährleisten. Zum typischen Prozedere gehören Gefährdungsbeurteilungen, um offene Stellen im ePHI-Schutz zu finden und zu schließen; auch die Datenverarbeitung und deren Risiken müssen geprüft werden.
In den USA gelten Patientendaten als äußerst sensibel, daher führen Verstöße gegen den HIPA Act zu massivsten Strafen. So musste das Gesundheitsministerium des Bundesstaates Alaska im November 2012 eine Strafe von 1,7 Millionen Dollar zahlen. Das Vergehen: Man hatte keine adäquate Gefährdungsbeurteilung durchgeführt, tragbare Speichermedien mit ePHI nicht verschlüsselt und keine angemessene Arbeitsunterweisung zur Datensicherheit vorgenommen.
Weitere Gesetze
Außer den genannten existieren in den USA viele weitere Gesetze und Verordnungen, die Unternehmen dazu verpflichten, sensible Daten zu schützen und angemessene Technik zu implementieren - etwa der Federal Information Security Management Act (FISMA). Das übergreifende Thema aller Gesetzgebung ist, dass Unternehmen Gefährdungsbeurteilungen der möglichen Risiken vornehmen und passende Kontrollen einrichten sollen. Dazu gehören technische Sicherheitsvorrichtungen, aber auch schriftliche Prozesse, Regelungen und Prozeduren, Mitarbeiterschulungen und generelle Aufmerksamkeit. Ein Unternehmen, das seine Collaboration-Prozesse und Informationsflüsse nicht ganzheitlich und langfristig in den Griff bekommt, riskiert nicht nur Sicherheitslecks, sondern den Konflikt mit dem Gesetz.
Anzeige von Datenverlusten
Das Prinzip der Anzeigepflicht - dass ein Unternehmen nach einem Sicherheitsvorfall die entstandenen Schäden anzeigen muss - sorgt dafür, dass eine Organisation, die eine schweren Datenverlust durch Sicherheitslücken erlitten hat, die Betroffenen und die Behörden informiert. "Transparenz nach Versagen" ist ein schadenbegrenzendes Prinzip: Die Angst vor Transparenz soll Unternehmen als Ansporn dienen, Datenschutz und Geheimhaltungspflicht ernst zu nehmen.
Gesetze zur Meldepflicht wurden erstmals 2003 in Kalifornien eingeführt. Der Staat war wie so oft ein Vorreiter der Sicherheitsgesetzgebung in technischen Belangen - im Datenschutz etwa bereits mit dem Online Tracking Transparency Act. Die meisten US-Bundesstaaten adaptierten danach Gesetze zur Anzeigepflicht; auf Bundesebene gilt es als üblich, dass HIPA Act, GLB Act und FTC Act auch Anzeigepflichten beinhalten. Das Modell ist jedoch nicht auf die USA beschränkt: Kanada, Australien und die EU folgen hierin dem amerikanischen Ansatz.
Wenn Unternehmen also keine sichere Technik einsetzen, um ihre Collaboration- und Sharing-Prozesse zu regeln, und es dann zu einem Sicherheitsvorfall kommt, ist die Wahrscheinlichkeit hoch, dass sie zur Offenlegung gezwungen werden. Samt aller unangenehmen Konsequenzen.
Empfehlungen
Collaboration spielt in Unternehmen eine wichtige Rolle; Gesetze und Behörden regulieren den Umgang mit sensiblen Informationen und fordern Compliance. Unternehmen, die entstehende Risiken minimieren und dennoch von Collaboration profitieren wollen, sollten daher die folgenden Empfehlungen beherzigen.
Zunächst gilt es, Collaboration im Unternehmen zu lokalisieren und zu identifizieren: Wo im Unternehmen findet Collaboration statt? Zu welchem Zweck? Welche Lösungen kommen zum Einsatz? Ist dies festgestellt, folgt die Gefährdungsbeurteilung: Wie wahrscheinlich und welcher Art sind mögliche Schäden an Daten, Personen und an anderen Unternehmen, die durch Collaboration entstehen könnten? Dies schließt auch mögliche rechtliche Konsequenzen mit ein. Use Cases und Prozesse mit hohem Risiko sollten isoliert werden.
Sind genügend Erkenntnisse gesammelt, müssen die Verantwortlichen im Unternehmen grundsätzliche Entscheidungen treffen zu Anpassungen und Verbesserungen in den Collaboration-Prozessen und in der Einstellung gegenüber dem Datenschutz. Die Kernpositionen sollten schriftlich in einem System von operativen Regeln fixiert werden, die dann ins Unternehmen durch Mitarbeiterschulungen eingebracht werden. Sollte ein Unternehmen sich entscheiden, einen externen Anbieter zu wählen, der es in Collaboration-Prozessen unterstützt - etwa durch eine Enterprise-Lösung - so sollten die Verantwortlichen unbedingt eine umfassende Prüfung des Anbieters durchführen und einen angemessenen schriftlichen Vertrag aufsetzen.
Anforderungen an eine Collaboration-Lösung
Die Nutzung jeder Collaboration-Lösung sollte vollständig nachprüfbar sein. Das bedeutet: Das Unternehmen muss jederzeit prüfen können, wer wann zu welchem Zweck auf welche Daten zugegriffen hat und was damit geschehen ist. Es sollte zudem eine Lösung gewählt werden, die möglichst wenige Änderungen am Arbeitsplatz zur Folge hat. Einfach und leicht zu nutzen sollte sie sein und ihren Zweck erfüllen - der Hauptgrund, warum Mitarbeiter die Unternehmens-IT umgehen, ist die Unzufriedenheit mit der Lösung, weil sie nicht das leistet, was der Mitarbeiter braucht oder will.
Die Lösung sollte es dem Nutzer ermöglichen, schnell verschiedene Dokumente in nachvollziehbare Sicherheitsstufen einzuteilen, je nach Art der sensiblen Information. Zugriffsrechte und Privilegien sollten leicht einzustellen und granular steuerbar sein. Dokumente sollten in ihrem nativen Format geteilt werden können, da eine Konvertierung Integritätsverlust nach sich ziehen kann.
Verantwortliche sollte nach einem innovativen Einsatz von DRM und Verschlüsselung Ausschau halten, speziell im Bereich des "Tethering", sodass Zugriffsrechte zeitlich begrenzt und selbst nach dem Teilen der Informationen widerrufen werden können. Zuletzt sollte die Lösung gespeicherte Informationen verschlüsseln und besonders bei der Datenübertragung auf hohe Verschlüsselungsstufen zurückgreifen, idealerweise mit individuellen Schlüsseln für einzelne Dateien.
Anbieterwahl
Unternehmen müssen sich gerade in sensiblen Themen wie Collaboration und Datenschutz voll auf den Anbieter verlassen können. Daher sollten sie nur solche Anbieter zurückgreifen, die Erfahrung in ihrer Branche mitbringen, Schlüsselreferenzen und einen einwandfreien Hintergrund vorweisen können. Besonders vorteilhaft sind Anbieter, die auch externe Parteien unterstützen (nicht nur den zahlenden Kunden), da dies für ein Unternehmen eine operative Erleichterung ist - gerade in der Zusammenarbeit mit externen Partnern und Lieferanten. Unternehmen sollten Wert darauf legen, einen Anbieter zu suchen, der seine Kunden Einblick in sein Unternehmen nehmen lässt und sich externen Sicherheitsprüfungen unterwirft.
Fazit
Unternehmen sind selten nur in einem Land aktiv: größere Unternehmen haben Niederlassungen im Ausland, kleinere Firmen sind oft mit ausländischen Partnern und Lieferanten verknüpft - oder arbeiten einfach mit einem ausgelagerten Dienstleister zusammen. Hier lauert bereits das Compliance-Risiko, denn selbst wenn lediglich Unternehmensdaten auf einem ausländischen Server liegen, kann das Unternehmen eventuell unter die Gesetzgebung und Datenschutzrichtlinien dieses Landes fallen. Besonders die USA wird oft zum Datenlagerplatz. Unternehmen, die das bisher ignoriert haben, sollten ihr Bewusstsein der Datennutzung schärfen. Es gilt sich zu informieren, wo und wie Unternehmensdaten verarbeitet und gelagert werden und welche Richtlinien welcher Länder tatsächlich zu beachten sind. Das gilt sowohl für die interne Nutzung von Collaboration-Lösungen als auch für die Zusammenarbeit mit externen Anbietern. (sh)