Schlagwort: Outsourcing
28. Juli 2017
Hackern gelang es durch einen Cyberangriff an Kontodaten von über 400.000 italienischen Kunden der UniCredit-Bank zu kommen. Das Unternehmen bestätigte den Angriff, unterstreicht allerdings auch, dass keine besonders kritischen Daten, wie Passwörter, kopiert wurden, die für einen Zugriff auf Kundenaccounts oder illegale Transaktionen genutzt werden könnten. Sicher ist jedoch, dass persönliche Informationen und die IBAN-Nummern der Kunden abhanden gekommen sind.
Bereits Ende 2016 war die UniCredit-Bank in das Visier von Hackern geraten und erlebt damit nun bereits den zweiten Cyberangriff innerhalb von zehn Monaten. Nach Angaben des Unternehmens soll der Zugriff auf die Daten über einen “unautorisierten Zugang durch einen italienischen Dienstleister” erfolgt sein.
Die UniCredit-Bank will nun 2,3 Milliarden Euro investieren, um die eigene IT-Sicherheit zu stärken. Zu beachten ist hierbei, dass das Unternehmen für die Datensicherheit ihrer Kunden und Partner stets selbst verantwortlich bleibt, auch wenn verschiedene Prozesse – wie hier – durch Outsourcing von anderen Unternehmen im Wege der Auftragsdatenverarbeitung übernommen werden. Das Outsourcing stellt aber oftmals auch ein erhöhtes Sicherheitsrisiko dar, weshalb bei der Auswahl des Dienstleisters und den zu treffenden Sicherheitsvorkehrungen höchste Sorgfalt geboten ist. Erst recht, wenn 2018 die DSGVO in Kraft tritt und solche Datenpannen mit erhöhten Bußgeldern geahndet werden können.
5. Dezember 2013
Medienberichten zufolge plant der Allianz-Versicherungskonzern seine derzeit weltweit 140 Rechenzentren in sechs regionalen Standorten zusammenzuführen und in einem einheitlichen IT-Infrastrukturbetrieb zu bündeln. Dabei plane man ein Outsourcing in Rechenzentren von IBM, die in den USA gelegen sind. Ob konzerninterne Regeln bestehen, die einen Zugriff von ausländischen Behörden auf deutsche Kundendaten ausschließen, sei nicht bekannt. Insoweit wurden bereits datenschutzrechtliche Bedenken geäußert. Die Allianz halte jedoch an dem geplanten Modell fest. Man werde die Gesamtverantwortung sowie das Design und die Datenhoheit behalten und IBM liefere lediglich operative Services. Der Schutz der Daten von Kunden, Geschäftspartnern und Mitarbeitern sei dem Unternehmen wichtig.
8. September 2011
Wie bereits im Vorfeld erwartet, reagierte die indische Regierung auf die anhaltende Kritik aus der Wirtschaft, die in Bezug auf 43a IT Act laut wurde. In einer Mitteilung vom 24.08.2011 wird nunmehr klargestellt, dass die angegriffenen Regeln ausschließlich auf indische Unternehmen, die in einem direkten Vertragsverhältnis mit einer natürlichen Person stehen, anzuwenden sind. Es wird weiterhin explizit ausgeführt, dass die Regeln nicht anwendbar sind, wenn ein Auftragsdatenverarbeitungsverhältnis mit einem indischen Unternehmen besteht.
Unternehmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, sind somit voraussichtlich durch die Neuregelung nicht betroffen. (se)
7. Juni 2011
Die Philippinen sind auf den ersten Blick kein Land, das für die deutschen Wirtschaftsbeziehungen von besonderer Bedeutung ist. Im Hinblick auf die Globalisierung, insbesondere auch im Bereich der Auftragsdatenverarbeitung, lohnt sich jedoch auch ein Blick auf vermeintliche geografische Randgebiete. Nachdem die neuen strengen Datenschutzregelungen Indiens sowohl dort selbst als auch im Ausland bereits für einigen Diskussionsstoff gesorgt haben, erfährt der Bereich Datenschutz nun auch in anderen Gegenden Asiens wie den Philippinen verstärkt Aufmerksamkeit. Anknüpfungspunkt ist auch dort weniger der Persönlichkeitsschutz als vielmehr wirtschaftliche Gründe. Potentielle Investoren, speziell aus den USA und Europa werden von allzu mangelhaften Datenschutzvorkehrungen nämlich abgeschreckt und eine positive Entwicklung für den BPO Sektor (Business Process Outsourcing), der auf den Philippinen eine erhebliche Rolle auf dem Beschäftigungssektor spielt, wird dadurch verhindert. Insbesondere das Problem des „Datendiebstahls“ stellt dort einen Risikofaktor dar.
Um diese Besorgnisse aus dem Ausland zumindest mildern zu können, sollen daher nun verschiedene datenschutzbezogene Gesetze, das Datenschutzgesetz, das Gesetz zur Errichtung eines Ministeriums für Informations- und Kommunikationstechnologie (DICT) sowie das Gesetz zur Vorbeugung von Internet – Kriminalität, verabschiedet werden. Trotz bereits erfolgter Beratung steht die endgültige Verabschiedung momentan jedoch noch aus.
Auch wenn der Gesetzesentwurf zum Datenschutzgesetz primär die BPO – Industrie begünstigt, wird jedoch auch ein Schutz von Privatpersonen, deren personenbezogene Daten bei Behörden oder Firmen gespeichert sind, bezweckt. Sollte der Entwurf verabschiedet werden, dürfte künftig keine Stelle mehr, unabhängig davon ob staatliche Behörde oder privatwirtschaftliche Firma, persönliche Informationen von Kunden oder Bürgern ohne vorheriges Einverständnis der Betroffenen weitergeben.
Es bleibt abzuwarten, wie stark sich das Datenschutzlevel von Entwicklungs- und Schwellenländern in der nächsten Zeit erhöht. Festzustellen ist jedenfalls, dass die höheren, wenn auch noch nicht unbedingt ausreichenden, Datenschutzregelungen der Industrienationen spürbare Auswirkungen auf das Datenschutzbewusstsein in anderen Ländern haben. Nicht zu vergessen ist im Datenschutz letztlich jedoch auch die technische Komponente. Denn unabhängig von dem Schutzniveau der Gesetze zeigte sich schließlich erst kürzlich bei erfolgreichen Hacker – Angriffen auf Sony oder Nintendo, wie anfällig selbst die Systeme weltweit agierender Konzerne sind, bei denen man aufgrund der finanziellen Mittel eigentlich von einer besonderen Sicherheit sowohl im juristischen als auch technischen Bereich ausgehen können sollte.
25. Mai 2011
Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als “belästigend”, “grob schädlich” oder “ethnisch verwerflich anzusehen sind.
Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.
Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.
18. Mai 2011
Wie schon im Beitrag vom 5.Mai 2011 berichtet, wurde in Indien am 13. April neue, sehr restriktive Bestimmungen für den Datenschutz vorgestellt, nachdem der Bereich des Schutzes persönlicher Daten dort für nahezu 100 Jahre unverändert blieb. Diese Neuerungen sind dabei insbesondere für Firmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, von Relevanz.
Auch wenn sich insoweit naturgemäß pauschal noch keine präzisen Maßnahmen empfehlen lassen, so sind hier zumindest erst einmal einige Tipps und Hinweise für Firmen, die aufgrund ihrer Kontakte und Beziehungen zu indischen Firmen von den neuen Regeln betroffen sein können
1. Überprüfung der aktuell bestehenden Datenschutzregeln und Maßnahmen
Untersuchung und Dokumentierung beispielsweise welche Daten bislang in Indien erhoben und gelagert werden oder welche opt-in oder opt-out Regelungen momentan zur Anwendung gelangen.
2. Einsetzen eines “Update-Teams”
Dieses Team ist für die Entwicklung und Umsetzung der nun erforderlich werdenden Maßnahmen verantwortlich. Je nach Größe der Firma können solche Mitglieder beispielsweise CIO, legal counsel, externe Berater oder bisher mit der Überwachung der Outsource- Tätigkeit befasste Personen sein.
3. Überprüfung des Kundenkontakts
Ergänzend zu 1. kann dies speziell für Firmen, die dort im Handelsbereich z.B. online-Handel tätig sind von Relevanz sein. Insbesondere im Hinblick auf telefonischen Kontakt und das schriftliche Einverständnis zu Sammlung personenbezogener Daten ist hier Vorsicht geboten.
4. Berücksichtigung der Arbeitnehmer
Auch die bei den betroffenen Firmen beschäftigten Arbeitnehmer sind zu berücksichtigen, da auch sie schließlich in nicht unerheblichem Ausmaß personenbezogene Daten zur Verfügung stellen. Insoweit ist zu prüfen, ob und in welchem Maße die neuen Regeln in diesem Bereich zu neuen Maßnahmen führen.
5. Abstimmung mit anderen Beteiligten
Auch andere Firmen können in verschiedener Form direkt oder mittelbar durch die neuen Bestimmungen betroffen sein. Zum einen ist eine Abstimmung im Hinblick auf Maßnahmen beispielsweise beim Outsourcing bestimmter Geschäftsfelder an weitere Firmen erforderlich, zum anderen kann z.B. auch die aktuelle Internetkommunikation mit dem entsprechenden Provider und seinen eventuell kollidierenden Bestimmungen betroffen sein und es können sich insoweit Konfliktfelder auftun.
5. Mai 2011
Am 13. April 2011 hat die indische Regierung neue Bestimmungen insbesondere zum Schutz “sensitiver” personenbezogener Informationen im IT-Umfeld vorgestellt, denen bereits jetzt eine erhebliche Bedeutung für die internationale Datenverarbeitung weltweit operierender Organisationen und Konzerne zugeschrieben wird.
Die vorgestellten Neuregelungen, deren zügiges Inkrafttreten nun zu erwarten steht, stellen eine erhebliche Verschärfung gegenüber der bestehenden Gesetzgebung dar und gelten umfassend für alle Organisationen, die in Indien Daten (auch von außerhalb Indiens befindlichen) Personen verarbeiten. Auch die Datenverarbeitung im Auftrag durch indische Auftragnehmer ist dabei wesentlichen Neuregelungen und Verschärfungen unterworfen.
Der Begriff der sensitiven personenbezogenen Informationen erfasst neben Gesundheitsdaten, Daten zur sexuellen Orientierung insbesondere auch biometrische Daten sowie Daten zu Bank- und Kreditkartenkonten, als auch Passwörter.
Danach soll die Erhebung und Verarbeitung entsprechender Daten zukünftig generell die vorherige freiwillige Einwilligung des Betroffenen erfordern, die schriftlich oder auch per E-Mail erteilt werden kann. Zusätzlich ist die Erhebung derartiger Informationen nur dann zulässig, wenn diese zu legalen Verarbeitungszwecken der verantwortlichen Stelle erforderlich ist. Weiterhin sehen die Bestimmungen für den Betroffenen die Möglichkeit eines jederzeitigen Widerrufs der gegebenen Einwilligung vor. Ergänzend ist die betroffene Person im Moment der Datenerhebung über die wesentlichen Datenverarbeitungsvorgänge und deren Zwecke zu informieren. Dies wird weiter flankiert von der Verpflichtung, eine detaillierte und verständliche Privacy Policy auf der Webseite der verantwortlichen Stelle verfügbar zu halten. Eine Datenübermittlung in Drittstaaten soll nach den Neuregelungen schließlich grundsätzlich nur dann zulässig sein, wenn im Empfängerland ein gleichwertiges Datenschutzniveau besteht und die Daten zur Durchführung eines Vertrags erforderlich sind oder wenn die betroffene Person in die Übermittlung ebenfalls eingewilligt hat.
Nach Inkrafttreten der neuen Gesetzgebung gilt es für Organisationen, die in Indien personenbezogene Daten verarbeiten, ihre Compliance mit den neuen Vorschriften grundsätzlich zu überprüfen. Dies betrifft sowohl ansässige Unternehmen, als auch solche, die die Verarbeitung personenbezogener Daten von Europäischen Standorten aus im Wege des Outsourcing an indische Dienstleister oder Datenverarbeitungscenter übertragen haben, da die neuen Regelungen zum Teil strengere Einschränkungen vorsehen, als dies nach hierzulande der einschlägigen EU-Gesetzgebung der Fall ist.Verstöße sollen in Indien fortan mit Freiheitsstrafe von bis zu zwei Jahren und/oder Geldstrafen von umgerechnet ca. 1.550,- € pro Datensatz belegt werden können, die insbesondere auch die Unternehmensführung treffen können, sofern der verantwortlichen Person der Beweis der Unkenntnis von dem Verstoß nicht gelingt. Soweit Verstöße von Auftragsdatenverarbeitern vorliegen, können sogar Freiheitsstrafen von zu drei Jahren und/oder umgerechnet ca. 3.100,- € verhängt werden.
Die Folgen der beabsichtigten Neuregelungen für betroffene Unternehmen und deren IT- und Backoffice-Zentren sind derzeit noch völlig unklar, sodass allgemein mit Spezifizierungen und Klarstellungen innerhalb der nächsten Wochen gerechnet wird.
