Chancen, Risiken und Nebenwirkungen von BYOD

Und die 10 Gebote des BYOD


© Elvert Barnes – Flickr (CC BY SA 2.0)

Die gute Nachricht: BYOD funktioniert. Wer persönliche Geräte im Unternehmensnetz ermöglicht, hat mit geringeren Beschaffungs- und Kapitalkosten zu rechnen und bekommt höhere Produktivität. Die schlechte Nachricht: Die Probleme beginnen jetzt. Darf der Chef auf die privaten Geräte zugreifen? Wer haftet, wenn Firmendaten aus dem privaten Gerät ausgespäht werden?

Was ist BYOD?

Bring your own device, das eigene Gerät zum Arbeiten zu nutzen ist für etliche verlockend. Gleichwohl ist es in Deutschland kein Herzenswunsch der Mitarbeitenden, nur etwa 30 % wollen Berufliches und Privates verbinden. Der Rest – immerhin 70 % – wünschen sich eher eine Trennung von beruflich und privat genutzten Endgeräten und Anwendungen. Dies zeigt eine Studie von Computacenter und PAC aus dem Jahre 2014. Vgl. [10]. Zu den beruflich genutzten Geräten gehören sowohl der Computer zu Hause, der Laptop zu Hause, unterwegs oder im Büro, der Tablet-PC, das Smartphone. Jedes Gerät hat eigenen Herausforderungen und bringt unterschiedliche Betriebssysteme, Sicherheitsmechanismen, Benutzerverhalten mit. Auf diese Bedingungen müssen sich Unternehmen und Mitarbeitende einstellen. Dabei stehen für Unternehmen Sicherheitsaspekte stärker im Vordergrund als für die Mitarbeitenden, vgl. [12]. Für die lautet das Motto: „Mein Telefon, meine Regeln“. Das kollidiert in der Praxis mit Unternehmensregeln und auch mit den Anforderungen des Datenschutzes.

Welche Vorteile bringt BYOD?

Die Verwendung privater Geräte bringt natürlich beiden Seiten Vorteile. Susan Wojtkowski [8] nennt unter anderem die folgenden Aspekte, die durch Erfahrungen des Autors ergänzt wurden. Neben Vorteilen nennt sie auch Nachteile oder Risiken bei BYOD.

  • Kostenrduktion
    Die Kosten für die Technologie verringern sich. Aus Unternehmensicht ist dies ein wesentlicher Vorteil. Aus Sicht der Anwender kann es nachteilig sein, wenn sie für Anschaffung, Wartung, Reparatur und Ersatz selbst aufkommen müssen. Weiter stellt sich die Frage, wie und ob die Zeit für Updates – am privaten Gerät – als Arbeitszeit angerechnet wird. Eine Kostenreduktion kann sich auch durch erhöhte Energieefiizienz ergeben. Tragbare Geräte benötigen weniger Energie als feste Personalcomputer. Es ist zu kalkulieren, ob die Kostenrduktion bei Beschaffung und Wartung ggf. durch erhöhten Aufwand beim Benutzersupport relativiert wird.
  • Produktivitätssteigerung
    Das Empfinden der Anwender verbessert sich beim Einsatz persönlicher Geräte. Gleichzeitig damit steigt die Produktivität. Wenn die privaten Geräte jedoch weniger leistungsfähig sind als die Firmengeräte sinkt die Produktivität.  Das gilt auch, wenn unterschiedliche Versionen auf den Geräten die Funktionsfähigkeit beeinträchtigen.
  • Anwenderzufriedenheit
    Angestellte sind glücklicher, wenn sie die Geräte verwenden können, die sie lieben und besitzen. Das gilt nicht nur für Techniker, sondern auch für Mitarbeitende im Vertrieb, Einkauf, Marketing und  bis ins Management.
  • Sicherheitsrisiken
    Auf der anderen Seite sind Sicherheitsaspekte ein wesentlicher Punkt bei der Entscheidung gegen BYOD. Bei der Nutzung unsicherer WLAN-Zugänge, der Bluetooth-Verbindung oder anderer Übertragungsmöglichkeiten können Firmendaten, Betriebsgeheimnisse, personenbezogene Daten ausgespäht werden. Die Firmenregeln für Antivirussoftware, für Zugangsbeschränkungen gelten auf privaten Geräten nicht. Die IT-Abteilung ist dafür verwantwortlich, Vorkehrungen zur Abwehr einzurichten. Das wiederum erzeugt auf Unternehmensseite zusätzliche Kosten. Nicht nur Firmen sorgen sich um ihre Daten, auch Mitarbeitende sind besorgt über den Schutz ihrer personenbezogenen Daten
  • Unterstützung mehrerer Plattformen
    Mit dem konsequenten Einsatz von BYOD vervielfacht sich der Aufwand für die Unterstützung von Plattformen und Betriebssystemen. Die vorhandenen Apps im Unternehmen sind für alle Plattformen anzubieten. Damit steigt der Aufwand für die Erstellung enorm.
  • Endbenutzersupprt
    Plötzlich ist die Firmen-IT auch für Applikationen, Betriebssysteme und Plattformen zuständig, für die sie nicht ausreichend Know-How aufgebaut hat. Anwndender erwarten, dass der Helpdesk auch für ihre Geräte aussagefähig ist. Das erzeugt Irritation auf beiden Seiten.

Die Tabelle 1 zeigt die Vor- und Nachteile im Überblick.

Tabelle 1: Pro & Contra von Kriterien zur Bewertung von BYOD
Kriterium Vorteil Nachteil
Kostenreduktion
Produktivitätssteigerung
Anwenderzufriedenheit
Sicherheitsrisiken
Multi-Plattform-Support
Endbenutzersupport

Welche Datenarten liegen auf den Geräten?


© bengrey – Flickr (CC BY SA 2.0)

Je nach Unternehmensgegenstand wird die Geschäftsführung zu unterschiedlichen ERgebnissen gelangen,w as den Einsatz privater Geräte im Unternehmen (BYOD) betrifft. Darüber hinaus ist die Nutzung von eigenen Geräten je nach Abteilung sehr unterschiedlich verteilt.[15]

Tabelle 2: Verbreitung von BYOD in Abteilungen
Abteilung
BYOD [%]
Vorstand, Geschäftsführung 82
Verkauf, Vertrieb 70
ITK-Abteilungen 47
Marketing, Werbung 42
Forschung, Entwicklung 37
Kundendienst 18
andere 12
Finanzen, Rechnungswesen 11
Einkauf, Beschaffung 11
Persona 8
Produktion 7
Logistik, Lager, Transport 5

Datensicherheitskonzept gehören auch die persönlichen Geräte. Welche Daten sind auf einem persönlichen Gerät vorhanden?

Nebenbemerkung
Wie stark ist die Beißhemmung des Datensicherheitsbeauftragten oder des Datenschutzbeauftragten gegenüber dem Vorstand oder eloquenten Mitarbeitenden im Vertrieb?

Auf einem privaten Gerät sind zunächst folgende Datenarten zu erwarten

  • Private Kontaktdaten
    • Telefonnummern
    • Postadressen
    • Emailadressen
    • Kontonamen in sozialen Netzen
  • Private Fotos, Videos, Tonaufnahmen
  • Musikstücke idealerweise mit Lizenz
  • Private Dokumente

Es ist weiter davon auszugehen, dass Filesharing-Apps und Cloud-Dienste im Einsatz sind. Damit entziehen sich die Daten mitunter dem Einflussbereich deutscher oder europäischer (im Sinne der Europäischen Union) Rechtsprechung.

Zu diesen persönlichen und personenbezogenen Daten kommen nun Firmendaten. Das sind

  • geschäftliche Daten von Interessenten, Kunden, Lieferanten, Mitarbeitenden
  • Vertragsdokumente in unterschiedlichen Entwurfsstadien und unterschiedlichen Zwecken wie Arbeitsvergträge, Vertrge über freie Mitarbeit, Lieferverträge, Bestellungen, Auftragsbestätigungen, Vertragsbedingungen, Ausschreibungen
  • Strategiepapiere, Studien, Forschungsergebnisse
  • Details zu Ansprechpartnern, die auf dem Firmengerät nicht gespeichert werden dürfen

Die Herausforderung beginnt, wenn private und berufliche Daten auf einem Gerät verwenden werden. Das Trennungsgebot des Datenschutzes, s. u., fordert, dass Daten zur Nutzung unterschiedlicher Zwecke auch unterschiedlich gespeichert ewrden müssen. Wenn auf dem privaten Gerät nur eine Anwendung vorhanden ist, mit der Kontaktdaten verarbeitet werden, ist dieses Gebot bereits übertreten. Deshalb sind technische und organisatorische Maßnahmen vorzusehen, die die Mischung von persönlichen und beruflichen Daten verhindern. Das Katastrophenszenario schildert der Artikel „Die dunkle Seite von BYOD: Privatsphäre, Datenverlust und mehr (engl.) [16]

Welche Maßnahmen helfen weiter?

© chase_elliott – Flickr (CC BY SA 2.0″))

Welche Kontrollmechanismen sieht das Bundesdatenschutzgesetz vor?

Zunächst unternehme ich mit Ihnen einen kurzen Ausflug in Ebenen des Bundesdatenschutzgesetzes, ohne dessen Kenntnis es hier nicht geht. Denn zum Einen hat das Unternehmen Pfichten bei der Behandlung von personenbezogenen Daten, zum anderen auch die Nutzer der Endgeräte. Die technischen und organisatorischen Maßnahmen, die zur Einhaltung des Schutzes personenbezogener Daten beitragen, sind in der Anlage 1 zum § 9 des Bundesdatenschutzgesetzes erläutert.

Zutrittskontrolle
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
Zugangskontrolle
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
Zugriffskontrolle
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Weitergabekontrolle
4. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Eingabekontrolle
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
Auftragskontrolle
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
Verfügbarkeitskontrolle
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
Trennungsgebot
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Vgl. [18]

Wie sind diese Maßnahmen umzusetzen?

Strategie entwickeln

Wer ohne Strategie in das BYOD-Gefecht geht, wird am Ende den Kürzeren ziehen. Bevor die Pforten des Unternehmensnetzwerkes für private Geräte geöffnet werden, sollten also folgende Fragen klar beantwotet sein und mit den zustsändigen Abteilungen und Gremien eine Vereinbarung geschlossen sein, [17]

  • Welche Gerätetypen sollen generell eingesetzt werden dürfen bzw. vom Einsatz ausgeschlossen werden?
  • Welche Betriebssysteme sollen bzw. welche sollen nicht zum Einsatz kommen?
  • Welche Mitarbeiter dürfen zu welchen Zwecken Consumer-Endgeräte einsetzen?
  • Welche Informationen mit welchem Schutzbedarf dürfen mit diesen Geräten verarbeitet werden?
  • Welche dieser Informationen dürfen über welche Kanäle kommuniziert werden?

Konzepte ableiten

Ausgehend von der Strategie können dann die Konzepte innerhalb dieser Themenfelder erarbeitet werden.

  • Administration der Geräte
  • Diebstahlschutz und Vorbeugung
  • Sensibilisierung und Schulung der Mitarbeiter
  • Trennung privater und dienstlicher Daten

Maßnahmen definieren und realisieren

Die nächste Stufe der Verfeinerung des Vorgehens sind die folgenden konkreten Maßnahmen, dazu gehören: Netzwerksegmentierung, aktuelle Software und ein Maßnahmenkatalog für die Verwaltung mobiler Geräte (MDM, Mobile Device Management).

  • Verschlüsselte Verbindung nach innen
  • Richtlinien über Zulassung der Geräte
  • BYOD-Geräte sollen ein eigenens Netzsegment bekommen
  • Netzsegmentierung zwischen internen Diensten und Diensten mit Zugriff nach außen
  • Protokollierung der Zugriffszeiten
  • Zuganng nur, wenn Virenschutz und Betriebssystem aktuell sind

Win-Win-Situation

Das Verwenden von eigenen Geräten im beruflichen Umfeld ist so zu gestalten, dass es für beide Seiten einen Nutzen bringt. Das beinhaltet von Unternehmensseite den Verzicht auf den Zugriff auf private Daten und von der Seite der Mitarbeiter die Zustimmung, gewisse und abgestimmte Bereiche seines privaten Geräts für die Nutzung durch das Unternehmen freizugeben. Zur Vermeidung von Unstimmigkeiten empfiehlt sich der Abschluss einer Vereinbarung zwischen Unternehmen und Mitarbeitern. Diese Vereinbarung sollte folgende Punkte umfassen.

  • Regelungen zu technischen und organisatorischen Maßnahmen und wer für die Durchführung verantwortlich ist
  • Verhalten bei Verlust
  • Klärung zulässiger und unzulässiger Applikationen und Anwendungen
  • Synchronstionsmöglichkeiten mit Unternehmensdaten
  • Regelung über den Zugriff des Unternehmens auf die privaten Geräte
  • Regelungen für die Rückgabe von Daten

Exkurs: Wer ist für die Einhaltung des Datenschutzes auf privaten Geräten verantwortlich?

Sowohl für rein beruflich und rein privat genutzte Geräte ist die Frage nach der Verantwortlichkeit klar. Bei privat genutzten Geräten ist niemand veraantwortlich oder haftbar zu machen, denn das Bundesdatentschutzgesetz greift für die vom Eigentümer verwendeten Daten nicht. Dagegen ist es gültig für Daten, die von Unternehmen oder Ämtern und Behörden verwendet werden. Für rein beruflich genutzte Geräte ist somit klar, dass die Regelungen des Bundesdatenschutzgesetzes greifen. Verantwortlich ist damit die Geschäftsführung eines Unternehmens. Diese Verantworltichkeit umfasst auch die mögliche Haftbarmachung gemäß den Vorschriften des Bundesdatenschutzgesetzes zum Beispiel bei Verlust von Daten, bei unrechtmäßiger Verwendung personenbezogener Daten.

Wenn nun privat beschaffte Geräte für den beruflichen Einsatz verwendet werden, ist die Frage nicht mehr so klar und eindeutig zu beantworten. Im Zweifel ist davon auszugehen, dass die Persönlichkeitsrechte der Mitarbeitenden vor dem Interesse des Unternehmens rangieren.

Zusammenfassung

Lupe
© marin – FreeDigitalPhotos (CC BY 2.0)

Schlussendlich sind die Maßnahmen bei BYOD mit den folgenden Punkten zu beschreiben:

  1. Die anzustrebenden Lösungen sind unternehemensweit einzusetzen
  2. Es ist ein Sicherheitskonzept zu entwickeln
  3. Alle Nutzer sind zu sensisbilisieren und zu schulen
  4. Für alle Beteiligten sind Rechte und Pflilchten zu regeln
  5. Die 10 Gebote des BYOD sind einzuhalten

Unternehmensweite Lösungen

Der Einsatz von unternehmensweiten Lösungen ist vorzuziehen, Insellösungen ergeben zusätzliche Angriffsszenarien und erhöhen das Risiko für Datenverlust erheblich. Auf Unternehmensebene sind Mobile-Device-Management-Systeme (MDM) einzusetzen. Diese Lösungen umfassen folgende Funktionen

  • Verschlüsselungssoftware
  • Synchronisationssoftware
  • Vorbeugung vor Datenverlust
  • Wiederbeschaffung von Daten bei Diebstahl (Theft Recovery)
  • Löschen und Säubern des Gerätes aus der Ferne (Remote Wipe)
  • Zugang über ein VPN
  • Fernzugangssoftware (Remote Desktop)

Quelle [1]

Es stellt sich die Frage, ob die Anschaffung und Wartung eigener mobiler Geräte für das Unternehmen günstiger ist als der Rückgriff auf eine Vielzahl privater Geräte.

Sicherheitskonzept

Beim Einsatz von BVOD ist ein Sicherheitskonzept mit den folgenden zu erarbeiten, dass die folgenden Merkmale beinhaltet.

  • Es dürfen keine besonders schutzwürdigen Daten verarbeitet oder gespeichert werden.
  • Die Datensicherheitsstandards der Behörde / des Unternehmens müssen auch bei Smartphones und Tablet-PCs eingehalten werden.
  • Die Schnittstellen müssen kontrolliert werden.
  • Daten müssen verschlüsselt gespeichert werden.
  • Falls das Gerät verloren geht, muss es die Möglichkeit geben, die gespeicherten Daten aus der Ferne zu löschen.
  • Unternehmensdaten und private Daten dürfen nicht vermischt werden.
  • Der Softwarestand der Geräte ist aktuell zu halten.
  • Es ist für einen geeigneten und aktuellen Schutz vor Schadprogrammen zu sorgen.
  • Cloud-Dienste oder Filesharing-Apps dürfen nicht verwendet werden.
  • Die Installation von nicht lizensierter Software ist zu unterlassen.
  • Jailbreaks sind tabu.

Vgl. Quelle [2]

Schulung der Arbeitnehmer und Nutzer

Alle Nutzer von BYOD-Geräten müssen in den folgenden Punkten sensibilisiert und unterrichtet werden.

  • Arbeitnehmer ist alleiniger Nutzer des Geräts.
  • Es sind geeignete sichere Passwörter zu erzeugen.
  • Die Passwörter sind sicher zu verwalten.
  • Weitergabe der Geräte an dritte Personen, auch Familienangehörige, ist zu untersagen.
  • Der Verlust des Geräts oder der Daten sind dem Unternehmen anzuzeigen.

Quelle [1]

Rechte und Pflichten der Nutzer

Bei der Nutzung personenbezogener Daten ist die Geschäftsführung in der Pflicht. Ausgehend von den entstehenden Daten sind verschiedene Aspekte zu betrachten. Für die Geräte muss sich das Unternehmen weitgehende Rechte einräumen lassen. Sonst entsteht die Gefahr, dass das Unternehmen – die Geschäftsführung – haftbar gemacht wird. Für den Eigner der Geräte entstehen so möglicherweise Eingriffe in die Privatsphäre. Ist dies nicht geregelt, kann die Einsicht in das Gerät verweigert werden. Der Schutz der Privatsphäre hat hier größeres Gewicht als das Interesse des Unternehmens. Das dürfte regelmäßig Konfliktpotential erzeugen und ist so ein Grund mehr, die Nutzung privater Geräte im Unternehmen penibel zu regeln.

Eine Verpflichtung zur Nutzung privater Geräte für den betrieblichen Einsatz kann es nicht geben, denn die Betriebsmittel muss das Unternehmen stellen.

Die 10 Gebote von BYOD

Eine Zusammenfassung der Rechte und Pflichten beim Einsatz von privaten Geräten im Unternehmen stellen die 10 Gebote des BYOD dar.

  1. Erstelle die Regeln, bevor du die Technik beschaffst.
  2. Suche die Geräte der Menge
  3. Halte die Registrierung einfach
  4. Du sollst die Gerätekonfiguration drahtlos vornehmen
  5. Dene Anwender fordern Selbstbedienung
  6. Beachte die geheiligten persönlichen Informationen
  7. Teile das Meer der geschäftlichen und privaten Daten
  8. Verwalte deinen Datenverbrauch
  9. Behalte deine Herde im Auge, automatisch
  10. Trinke vom Brunnen des ROI

Quellen

[1.] Dr. iur. Lorenz Franck, Bring your own device – Rechtliche und tatsächliche Aspekte (GDD e.V.)

[2.] Handreichung zur Nutzung von Smartphones und Tablet-Computer in Behörden und Unternehmen (Der Hessische Datenschutzbeauftragte)

[3.] Pros and Cons of BYOD (Bring Your Own Device)

[4.] Bilanz: Die Vor- und Nachteil von BYOD (CIO)

[5.] Und bitte bringen Sie Ihr Tablet mit! (Die Welt)

[6.] Nutzung des privaten PCs im Job kann teuer werden (Die Welt)

[7.] http://smartfonearena.com/wp-content/uploads/2015/03/BYOD-benefits.jpg

[8.] BYOD Policies: The Pros and Cons (Susan Wojtkowski via Linkedin)

[9.] HP-Studie belegt: 70 Prozent der Unternehmen haben keine BYOD-Regeln

[10.] Studie: BYOD ist für die Mehrzahl der Mitarbeiter kein „Herzenswunsch“

[11.] BYOD-Studie: Mitarbeiter sorgen sich um ihre persönlichen Daten

[12.] Mobile Endgeräte und die Auswirkungen auf Firmennetze (TecChannel)

[13.] 10 Commandments of Bring Your Own Device (Rob Patey’s Comic Books & Corporate Communications Blog)

[14.] 9 Idiotic Office Rules That Drive Everyone Insane

[15.] Was aus CIO-Sicht für BYOD spricht (Computerwoche)

[16.] The Dark Side of BYOD: Privacy, personal data loss, and more

[17.] Überblickspapier BYOD (BSI)

[18.] Bundesdatenschutzgesetz . Anlage zu § 9 Satz 1 (dejure.org)

Datenkategorien im Kundenbeziehungsmanagement (CRM)

Welche Datenkategorien sind im Kundenbeziehungsmanagement (CRM) ausreichend?

Stammdaten und Kontaktdaten

Folgende Daten werden regelmäßig in CRM-Systemen erfasst

  • Stammdaten
  • Kontaktdaten
  • qualifizierte Informationen zum Kunden

Stammdaten sind

  • Name, Vorname
  • Adressen
  • Geburtsdatum

Diese Daten sind zum Aufbau und zur Pflege von bei Kundenbeziehungen erforderlich. Das Bundesdatenschutzgesetz nennt dies in § 28 Absatz 1 Satz 1 Ziffer 1 „Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses“. Somit ist die Verwendung dieser Daten zulässig. Kontaktdaten umfassen

  • Telefonnummer für Mobil- und Festnetz
  • Telefaxnummern
  • Emailadressen
  • Weitere Kontaktmöglichkeiten für soziale Netzwerke

Es ist im Einzelfall zu entscheiden, welche Kontaktangaben zur Begründung, Durchführung oder Beendigung eines Rechtsgeschäfts erforderlich sind. Das wahllose Sammeln dieser Kontaktangaben ist gemäß den Bestimmungen des Bundesdatenschutzgesetzes falsch. Das Bundesdatenschutzgesetz sieht in jedem Fall eine Zweckgebundenheit der verwendeten personenbezogenen Daten vor.

Qualifizierte Informationen zum Kunden in CRM-Systemen

Darüber hinaus sind für CRM-Systemen Daten zur Kundenhistorie gespeichert oder werden verfügbar gemacht. Dazu zählen

  • Bestellungen
  • Rechnungshistorie
  • Zahlungen, Ratenpläne und Stundungen
  • Bankdaten
  • Adresshistorien
  • Kontakthistorie

Für diese Daten ist ein Rollenkonzept vorzusehen, damit nicht jede Person im Kontaktcenter alle Daten sehen, bearbeiten und löschen kann und darf. Dazu kommen Daten von Marktforschungsunternehmen, Adresshändlern oder Scoringunternehmen, die die Güte eins Kunden oder einer Kundenadresse beschreiben. In seriösen Unternehmen werden die Daten darüber hinaus mit der Robinsonliste des Dialogmarketingverbands abgeglichen, damit Kunden nicht Werbung erhalten, die keine wünschen.

Datenkategorien in CRM-Systemen

Für die Dokumentation der im Kundenbeziehungsmanagement (CRM) eingesetzten Verfahren sind somit folgende Datenkategorien anzusetzen. Dabei erhebt diese Aufstellung keinen Anspruch auf Vollständigkeit, sie ist den individuellen Gegebenheiten vor Ort anzupassen.

  • An- und Abmeldedaten
  • Anfragedaten
  • Antwortdaten
  • Bestelldaten
  • Identifikationsdaten
  • Kontaktdaten
  • Maildaten
  • Rechnungsdaten
  • Versanddaten
  • Zahlungsdaten

Nicht personenbezogene Daten in CRM-Systemen

Im Kundenbeziehungsmanagement sind zunächst alle verwendeten Daten personenbezogen. Bei der weiteren Verwendung der Daten für das Marketing muss dieser Bezug zu einer Person aufgelöst werden. Hier endet die Zweckbezogenheit. Zur Auflösung des Bezugs zu einer Person sind folgende Methoden verwendbar.

  • Anonymisierung durch Bildung von Merkmalsaggregaten
  • Anonymisierung durch Zufallsfehler
  • Pseudonymisierung durch Ersetzen von Identifikationsmerkmalen durch Kennzeichen

Zur genaueren Beschreibung empfiehlt sich ein Blick in diesen Artikel des Virtuellen Datenschutzbüros.


Foto: © bloomsburys – Flickr (CC BY 2.0)

Achtung Kamera Checkliste

Die Frankfurter Allgemeine berichtet über Videokameras, die sich gerade von privaten Betreibern gern eingesetzt werden. Gesetzliche Vorschriften werden von den Betreibern sehr oft nicht beachtet. Dabei muss das Recht auf informationalle Selbstbestimmung der aufgenommenen Personen gegen das Recht des Betreibers auf Schutz des Eigentums o. ä. abgewogen werden

Tipp des Datenschutzbeauftragten

Die folgende Checkliste prüft das vorhandene Wissen. Checkliste zum Betrieb von Videokameras.

Zum Artikel: Beobachtet von privaten Überwachungskameras


Foto: © stokkete- Fotolia.com

Was der CFO unbedingt über die Cloud wissen muss

Datenschutz und Cloudnutzung im Unternehmen

Was der CFO über die Cloud wissen muss

Finanzdaten in der Cloud? Einige rollen die Augen, andere strahlen. Welche Vorteile überwiegen? Der Beitrag von Daleth-Datenschutz zeigt, welche Cloud-Lösungen es gibt und listet die Vor- und Nachteile der Cloud. Weiter wird eine Entscheidungshilfe dazu gezeigt, ob interne oder externe Lösungen sicherer sind. Zur Prüfung von Angeboten und Dienstleistungen wird ein Kriterienkatalog vorgestellt, eine umfangreiche Linksammlung rundet den Beitrag ab.

Welche Cloud-Lösungen sind etabliert?

Mit Cloud-Lösungen sind sehr unterschiedliche Anwendungsfälle gemeint. Allen Anwendungen ist gemeinsam, dass spezialisierte Bereiche außerhalb des eigenen Firmennetzwerkes genutzt werden. Der Lösungsanbieter stellt nicht nur die Funktion selbst zur Verfügung, sondern auch die gesamte erforderliche Infrastruktur. Daneben kümmert sich der Anbieter zusätzlich um Administration, Updates, Verfügbarkeit, Backups. Zusammengefasst lassen sich folgende Lösungen unterscheiden

  • Speicherlösungen mit erweiterten Funktionen wie Backup, Versionierung, Zugriff für Mitarbeitende
  • Bausteine für Anwendungen, sogenannte Frameworks, die Funktionen für bestimmte Einsatzzwecke bereitstellen und mit denen sich weitere Anwendungen erstellen lassen
  • Anwendungen für bestimmte Einsatzfälle wie Finanzbuchhaltung, Kommunikationslösungen
  • Systeme, die Infrastruktur wie Server, Router usw. zur Verfügung stellen.

Was sind die Vorteile von Cloud-Lösungen?

Es gibt etliche Argumente für den Einsatz von Cloud-Lösungen.

  • Mit den regelmäßigen Zahlungen sind alle Leistungen abgegolten. Es entstehen keine weiteren Kosten für Hardware, Software oder
    Mitarbeitende.
  • Der Zugriff auf die Systeme einer Cloud-Lösung erfolgt ortsunabhängig.
  • Es entsteht kein Investitionsaufwand. Der Einsatz einer Cloud-Lösung ist kaufmännisch betrachtet eine Dienstleistung.
  • Die verwendete Software ist immer aktuell. Für die Aktualisierung entstehen – kaum – zusätzliche Ausfallzeiten. Gerade in Bereichen mit sich ständig ändernder Gesetzeslage ist das ein Vorteil.
  • Für Neu- oder Ersatzinvestitionen entsteht kein Aufwand für den Ausschreibungsprozess. Außerdem sind die Lösungen schnell auf geänderte Anforderungen anpassbar.

Welche Nachteile hat eine Cloud-Lösung?

Gleichzeitig sind folgende Punkte erkennbar, die gegen den Einsatz von Cloud-Diensten sprechen

  • Es ist ein Internetzugang erforderlich, um Cloud-Dienste nutzen zu
    können.
  • Der Funktionsumfang lässt sich nicht beliebig erweitern, sondern ist vorgegeben. Mit Geld lässt sich hier sicher Einiges realisieren, aber die Nutzung einer Cloud soll ja nun gerade Geld einsparen.
  • Da sich der Funktionsumfang nun nicht beliebig erweitern lässt, muss vor Nutzungsbeginn der Cloud-Lösung geklärt werden, ob die im
    Unternehmen etablierten Prozesse mit den vom Cloud-Anbieter angebotenen Funktionen abgedeckt werden können. Wenn die Abdeckung nicht zu 100 % erfolgen kann, müssen die wesentlichen Funktionen umgesetzt werden können. Für die bleibenden Unternehmensprozesse, die nicht realisiert werden können, sind lokale Abläufe zu etablieren oder die Prozesse müssen so umgestaltet werden, dass sie mit den vorhandenen Funktionen der Cloud-Lösung verwendbar werden.
  • Der Wechsel zu einem anderen Cloud-Anbieter ist meist mit großem Aufwand verbunden.
  • Mit der Cloud-Lösung werden Daten erhoben, verarbeitet und genutzt – im weiteren verwendet -, die das Firmennetzwerk verlassen. Mit dem Cloud-Anbieter ist ein entsprechender Vertrag abzuschließen.
  • Die Nutzungsgeschwindigkeit ist niedriger als die im Firmennetz.

Der letzte Punkt ist für viele Unternehmen ein KO-Kriterium, so dass sie sich regelmäßig gegen den Einsatz von Cloud-Lösungen entscheiden. Dazu gehören Banken und Versicherungen. Auch Telekommunikationsanbieter und Logistikunternehmen oder Handelsunternehmen gehören dazu.

Wie sicher sind Daten außerhalb des Firmennetzes?

Sicher ist dabei nur, dass Daten nirgends sicher sind. Weder innerhalb des Firmennetzes noch außerhalb. Hat ein potenzieller Angreifer die Fährte aufgenommen, ist es nur eine Frage des Aufwands, ob ein Angriff lohnt oder nicht. Auch umgekehrt müssen Aufwand und Nutzen für die Absicherung von Daten in einem ausgewogenen Verhältnis stehen. Wer sich für die interne Datenhaltung entscheidet, hat Kosten für die Aktualisierung und Vorhaltung von Hard- und Software, für die Schulung der Mitarbeitenden und Ausfallzeiten für die Aktualisierung in Kauf zu nehmen. Wer Daten außerhalb speichert, hat das Risiko zu akzeptieren, dass Daten vom Cloud-Anbieter selbst ausgespäht werden.

Dabei hilft es wenig, wenn die Daten innerhalb der Cloud hochgradig gesichert sind, wenn die Daten auf den Endgeräten nicht gesichert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für diesen Basisschutz Richtlinien erarbeitet. Sie umfassen

  • Einstellungen für sichere Personalcomputer
  • Sichere Einstellungen
  • Sichere Verwendung der Technik
  • Veröffentlichte Daten
  • Individuelle Einstellungen
  • Erste Hilfe bei Notfällen
  • Schutzmaßnahmen

Cloud-Anbieter behalten sich oft das Recht vor, überlassene Daten dahingehend zu prüfen, ob sie gesetzlichen Regelungen entsprechen. Dabei
werden natürlich immer auch harmlose Daten – also Ihre Daten – gelesen  und geprüft. Aus meiner Sicht gehört großes Vertrauen zu einem Cloud-Anbieter, dass die dabei gewonnen Informationen nicht in falsche Hände gelangen. Die Tatsache, dass staatliche Stellen Daten lesen, sei es inner- oder außerhalb des eigenen Netzes – lasse ich dabei außen vor. Daraus ergibt sich aber nicht, dass ich dieses Vorgehen billige.

In Sicherheitshinsicht ist das Firmennetz sicherer, denn die Daten müssen das Netzwerk nicht verlassen. Dabei ist eine wesentliche Voraussetzung, dass die Sicherheitsvorkehrungen im Firmennetzwerk dem Stand der Technik entsprechen.

Welche Punkte sind für die Datenspeicherung in einer Cloud-Lösung zu beachten?

Für die umfassende Beurteilung einer Cloud-Lösung halte ich folgende Kriterien aus Sicht des Datenschutzes für wesentlich

  • Sind die Daten beim Cloud-Anbieter sicherer als im lokalen Netzwerk gespeichert?
  • Wurden einzelvertragliche Regelungen mit dem Cloud-Anbieter getroffen? Wurde eine Vereinbarung zur Auftragsdatenverarbeitung getroffen?
  • Garantiert der Cloud-Anbieter, die überlassenen Daten nicht selbst zu nutzen?
  • Kann der Anbieter gewährleisten, dass die technisch-organisatorischen Maßnahmen für den Datenschutz  gemäß Anlage 1 zu § 9 Bundesdatenschutzgesetz in seinem Haus umgesetzt sind?
  • Lässt der Anbieter eine dahingehende Überprüfung zu?
  • Wo hat der Cloud-Anbieter seinen Sitz? Welches Rechtssystem gilt dort?
  • Sind die Daten bei Übertragung und Speicherung ausreichend verschlüsselt?
  • Können alle Hardwareplattformen im Unternehmen auf die Cloud-Lösung zugreifen?
  • Sind Regelungen im Unternehmen vorhanden, die beschreiben, welche Daten in Cloud-Lösungen gespeichert werden dürfen?
  • Können die Daten auch außerhalb der Cloud gesichert werden? Werden sie auch gesichert?
  • Was geschieht mit den Daten nach Vertragsende beim Cloud-Anbieter?
  • Wurden alle Endgeräte mit einem zuverlässigen Basisschutz versehen?

Quellenangaben

BITKOM
BITKOM-Checkliste zur Vertragsgestaltung im Cloud Computing
BIZZWIRE
Datensicherheit und Datenschutz in der Cloud
BSI-A
Basisschutz
BSI-B
In
die Cloud – aber sicher
CEBIS
Cloud Computing für Unternehmen: Wirtschaftlichkeit contra Sicherheit
CIO-A
Bedenken gegen Workplace aus der Cloud
CIO-B
Unbegrenzte Möglichkeiten in der Cloud – und trotzdem sicher?
CIO-C
Was ist was bei der Cloud-Zertifizierung?
CLOUD COMPUTING BLOG
Vor- und Nachteile der Cloud
COMPUTERWOCHE
Cloud-Checklisten für den CIO
GERLACH
Cloud News
IP-INSIDER
Infrastructure-as-a-Service – die Königsklasse des Cloud Computings
TECCHANNEL, IT im Mittelstand
Sieben Tipps für Ihren sicheren Weg in die Cloud
SECURITY INSIDER
Risiken des Cloud Computing mit detaillierter Checkliste umgehen
SELBSTÄNDIG IM NETZ
Risiken in der Cloud – Pro und Contra von Online-Services für Selbständige
WIRTSCHAFTSWOCHE
Stiftung WarentestCloud-Dienste fallen bei Sicherheitstest durch

Foto: © cking – Flickr (CC BY SA 2.0)

Die Uber-Story: One-Night-Stand und Big-Data

In den letzten Tagen wurde größeren Kreisen bekannt, dass sich mit Big Data so Einiges anstellen lässt. Wer zum Beispiel in einer Stadt an einem Wochenende am Abend ein Auto bestellt und ein paar Stunden später in der Zielgegend wieder ein Auto bestellt, hat – so die Schlussfolgerung der Uber-Analysten – einen One-Night-Stand hinter sich. Was ist daran so bemerkenswert? Wolfang Stieler von Technology Review fasst es zusammen.

Zum Artikel: Diskretion in Zeiten von Uber


© Ed g2s – Wikimedia (CC BY SA 3.0)

Kundenvertrauen, Diskretion und Datenschutz

Nicht nur bei Ärzten wird Diskretion geschätzt. Viele Berufe leben davon, dass das Vertrauensverhältnis zwischen Anbieter und Kunden gewahrt bleibt. Und ist das Vertrauen einmal verspielt, lässt es sich nur schwer wieder herstellen. Dieser Artikel zeigt, welche Kundendaten am besten zu schützen sind und welche Maßnahmen zur Herstellung von Kundenvertrauen beitragen.



Vertrauen ist wie Papier.
Einmal zerknüllt,
wird es nicht wieder glatt.


Verfasser unbekannt

Der Arztbesuch

Ein Freund von mir war kürzlich beim Arzt und wollte gleich die Laborwerte für seine minderjährige Tochter in Erfahrung bringen. Deshalb fragte er an der Rezeption danach. Weit gefehlt, er bekam die Angaben nicht. „Das kann ich Ihnen hier nicht sagen“, teilte man ihm freundlich mit, „da könnte ja jeder zuhören. Fragen Sie im Sprechzimmer noch einmal.“ So aufmerksam sind nicht alle Dr. Thilo Weichert, beschreibt unterschiedliche Szenarien, bei denen Datenschutz in Arztpraxen wichtig ist.
Dieses Erlebnis beim Arzt zeigt die folgenden 3 Punkte, die für Datenschutz unerlässlich sind.

  • Alle müssen für Datenschutz sensibiliiert sein, sowohl Unternehmer, Management und Mitarbeiter.
  • Datenschutz spielt auch im Alltag eine Rolle. Selbst unbedarfte Fragen können einen Hintergrund haben, bei dem personenbezogene Daten ins Spiel kommen.
  • Die Umsetzung von Datenschutz beinhaltet einerseits Ablehnung, aber anderseits auch Zuwendung. Manchmal hilft eine Rückfrage, um der Problemlösung auf die Spur zu kommen. Manchmal kann die Fragestellung präzisiert werden, um Daten verwenden zu können.

Nicht nur beim Arzt können Daten öffentlich werden, die man lieber für sich behielte. Doch welche Daten genau werden von Menschen als so privat empfunden, dass sie auf die Herausgabe gern verzichten würden.

Kulturelle Unterschiede beim Diskretionsbedarf

Die Boston Consulting Group hat untersucht, welche Daten in verschiedenen Ländern als brisant empfungen werden. Dabei wurden Informationen über folgende Datenarten erhoben.

  • Alter oder Geschlecht
  • Besuchte Webseiten
  • Email
  • Finanzdaten
  • Gekaufte Artikel
  • Genauer Ort
  • Geplante Einkäufe
  • Gewählte Telefonnummern
  • Hesundheitsdaten
  • Informationen über Kinder
  • Informationen über Partner
  • Interessen
  • Kreditkartendaten
  • Markenvorzüge
  • Medienkonsum
  • Meinung über Leistungen
  • Name
  • Soziale Netzwerke
  • Persönliche Ereignisse
  • Meinung über Marken

Die befragten Länder waren USA, Kanada, Australien, Japan und ausgewählte Staaten der EU. Dabei konnte angegeben werden, ob die Daten für privat oder nicht gehalten werden. Die Zahlen für nicht privat werden im folgenden Diagramm als negative Werte dargestellt. Die genauen Angaben für alle Länder sind in der BCG-Studie auf Seite 5 enthalten.

Die Grafik zeigt, wie EU-Bürger die Schutzwürdigkeit bestimmter Datenarten einstufen. Die Angaben wurden der o. g. BCG-Studie entnommen. Es gibt für alle Datenarten einen Bereich von Untentschlossenen von bis zu 30 %.

Diese 4 Datenarten sind in EU-Staaten privat

Die folgenden Datenarten sind in EU-Staaten Deutschland, Frankreich, Spanien, Italien und Gro0britannien die Spitzenreiter.

  1. Kreditkartendaten
  2. Finanzdaten
  3. Informationen über Kinder
  4. Gesundheitsdaten

4 Datenarten, die in EU-Staaten als öffentlich betrachtet werden

Diese 4 Datenarten werden in den EU-Staaten eher als öffentlich betrachtet, die befragten Personen empfinden diese Daten nicht als so schützenswert.

  1. Meinung über Dienstleistungen
  2. Alter oder Geschlecht
  3. Markengewohnheiten
  4. Meinung über Marken

4 Tipps um Kundenvertrauen zu gewinnen

wer das Kundenvertrauen gewinnen, behalten oder zurückerhalten möchte, sollte sich zunächst auf die wichtigsten Daten konzentrieren. Darüber hinaus ist es wichtig, diese Punkte zu berücksichtigen.

  • Informieren Sie sich über die aktuelle Gesetzeslage
  • Informieren Sie Ihre Kunden, welche Daten Sie wozu einsetzen
  • Lassen Sie einen Juristen oder Datenschutzbeauftragten die Datenschutzbestimmungen zu prüfen
  • Halten Sie Ihre Datenschutzbestimmungen immer ein

Verweise


© weinstock – pixabay (CC0 Public Domain)

Entgeltabrechungen, Spesen und personenbezogene Daten

Abrechnungen für Entgelte, Spesen, Sozialleistungen

Bei der Entgeltabrechnung und der Berechnung von gesetzlichen oder
freiwilligen Sozialliestungen für alle Arten von Mitarbeitern werden sehr
viel mehr Daten verwendet. Teilweise ergibt sich deren Verwendung aus
gesetzlichen Pflichten, so dass eine Einwilligung der betroffenen Personen
entfällt, wie bei der Abführung von Lohnsteuern oder Sozialabgaben.

Datenkategorien und Personengruppen

  • Steueridentifikationsnummer,
  • Steuerklasse,
  • Familienstand,
  • Kinderanzahl
  • Reisedaten
  • Pfändungsbeschlüsse
  • Ordnungswidrigkeiten Verkehrsverstöße mit Firmenwagen
  • gesetzliche und freiwillige Sozialleistungen
  • Rentenversicherung,
  • Krankenversicherung,
  • Pflegeversicherung,
  • Betriebsrente,
  • Arbeitslosenversicherung

Maßnahmen

Bei Daten für freiwillige Leistungen des Unternehmens ist eine
Einwilligung zur Verwendung beim Betroffenen einzuholen. Diese
Einwilligung ist immer konkret zu fassen, eine allgemeine Formulierung ist
nicht ausreichend. Die Einwilligung muss also die konkreten
Datenkategorien und den konkreten Empfänger beinhalten. Auf der anderen
Seite ist der Empfänger der Daten ebenfalls zu verpflichten, die Daten
gemäß Bundesdatenschutzgesetz zu verwenden.

In der Personalbuchhaltung werden nicht nur Daten von Mitarbeitern
bearbeitet, sondern auch von weiteren Personen. Auch diese Personen oder
Personengruppen sind bei Änderungen einzubeziehen.

  • Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Bewerber
  • ausgeschiedene Mitarbeiter
  • Ruheständler, Rentner, Pensionäre
  • Unterhaltsberechtigte
  • Angehörige
  • externe Mitarbeiter

Die Verfahren der Personalbuchhaltung können im allgemeinen für die
Meldung an die Aufsichtsbehörde zusammengefasst werden. Dabei ist darauf
zu achten, dass die Meldung vollständig erfolgt.

Für die einzelnen Datenkategorien sind die gesetzlichen Bestimmungen zur
Aufbewahrung von Unterlagen zu beachten. Eine längere Aufbewahrung als
gesetzlich vorgeschrieben, ist für personenbezogene Daten nicht statthaft.

Verweise


© Jörg S. / Fotolia.com

Personalabteilung, Bewerbungsunterlagen und Mitarbeiterakten

Personenbezogene Daten im Unternehmen

Personalabteilung, Bewerbungsunterlagen und Mitarbeiterakten

In der Personalabteilung werden personenbezogene Daten in Bewerbungsunterlagen und Mitarbeiterakten verwendet. Wozu genau werden die Angaben benötigt?

  • Durchführung von Entgeltzahlungenn,
  • Verwaltung der Mitarbeiter,
  • Rückmeldung der Arbeitszeit,
  • Berechnung von Löhnen, Gehältern, Betriebsrenten, Spesen, Provisionen,
    Vertrags- und Sozialleistungen,
  • Verwaltung von Personaldaten für die Betreuung des Personals,
  • Planung der Personalentwicklung, der Aus- und Weiterbildung,
  • Ermittlung von Sozialleistungen
  • Berechnung von Lohnsteuern

Die Verwendung dieser Daten ist auf der Grundlage gesetzlicher
Bestimmung und unter Berücksichtigung des Datenschutzes zu gewährleisten.
Neben dem Arbeitsrecht gelten dabei Regelungen des
Bundesdatenschutzgesetzes, des Allgemeinen Gleichbehandlungsgesetzes und
der Sozialgesetzbücher sowie des Steuerrechts.

In diesem Artikel werden die Bereiche Personalwesen und
Personalbuchhaltung beschrieben. Dabei wird dargestellt, welche Daten in
den einzelnen Bereichen verwendet werden, welche Punkte zu klären sind und
welche Regelungen für die einzelnen Bereiche gelten. Bei der Breite des
Themas wird kein Anspruch auf Vollständigkeit erhoben.

Bewerbungen & Personalakten

Bewerbungen beinhalten Daten, die für sich genommen ein umfassendes Bild
einer Person erlauben. Ein verantwortungsvoller Umgang mit diesen Daten,
die auf der Basis reinen Vertrauens von Bewerbern an ein Unternehmen
übermittelt werden, sollte selbstverständlich sein. Das gilt sowohl für
erfolgreiche Bewerbungen als auch für Absagen. Kommt es zur Einstellung
gehen die Bewerbungsunterlagen in die Personalakte ein. Dort finden sich
nicht nur Angaben zur beschäftigten Person selbst, sondern auch zur
Familie, sofern diese Angaben zur Ermittlung des Gehalts- oder
Urlaubsanspruchs erforderlich sind.

Datenkategorien

Sowohl bei ausgeschriebenen Bewerbungen als auch bei
Initiativbewerbungen werden meist folgende Daten erfasst

  • Name
  • Geburtsdateum
  • Geburtsort
  • Geschlecht
  • ethnische Herkunft
  • Alter
  • Fotos

Mitunter finden sich auch Angaben über die Religion oder Weltanschauung,
die politische Meinung, den Gesundheitszustand oder die sexuelle Identität
in Bewerbungsunterlagen. Diese Angaben zählen zu den besondern
personenbezogenen Daten und bedürfen deshalb beonserer Beachtung durch
Management und Geschäftsführung. Werden besondere personenbezogene Daten
verwendet ist die Bestellung eines Datenschutzbeauftragten erforderlich,
denn sie unterliegen der Vorabkontrolle.()

Maßnahmen und zu klärende Punkte

Es ist zu klären, wer in die Personalakten Einsicht nehmen darf. Dabei
ist zu berücksichtigen, welches Risiko eine missbräuchliche Verwendung der
vorhandenen Daten nach sich ziehen könnte. Die Räume, in denen die
personenbezogenen Daten verwendet werden und auch die dazugehörigen
IT-Systeme sind besonders zu sichern. Die Arbeitsplätze sind so zu
gestalten, dass eine Einsichtnahme nicht unbeabsichtigt erfolgen kann. Zu
den Personalkaten gehören regelmäßig Unterlagen über Personalgespräche.
Sollten diese eine Bewertung oder eine Leistungsbeurteilung beinhalten ist
eine Mitbestimmungspflicht des Betriebsrates zu berücksichtigen. Beim
Ausscheiden eines Mitarbeiters ist darauf zu achten, dass die Daten
entsprechend gesetzlicher Bestimmungen gelöscht werden, nachdem die
Aufbewahrungsfrist abgelaufen ist. Gibt es keine Aufbewahrungsfrist ist
regelmäßig zu prüfen, ob die Voraussetzungen zur Aufbewahrung noch
existieren. Zur Prüfung eventueller Ansprüche von Bewerbern aus dem
Allgemeinen Gleichbehandlungsgesetz müssen Bewerbungen für einen
angemessenen Zeitraum aufbewahrt werden. Werden DAten an externe
Dienstleister gegeben ist zu prüfen, ob eine Auftragsdatenverarbeitung
oder eine Funktionsübertragung vorliegt.

Verweise


© Brussels Airport – Wikimedia (CC BY SA 2.0)