Aktuelles Januar 2016

IT-Sicherheitsgesetz: Pflichten für Ihr Unternehmen

Welche Pflichten beinhaltet das IT-Sicherheitsgesetz für Ihr Unternehmen?
2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, in Kraft getreten. Hier die wichtigsten Inhalte im Überblick.

Betreiber von Webservern z. B. für Online-Shops müssen ab sofort die eigenen IT-Systeme nach Stand der Technik und Kundendaten nach erhöhten Anforderungen schützen.

Weitere Pflichten durch das neue IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz fordert dass Telekommunikationsfirmen ihre Kunden warnen müssen, wenn ihnen auffällt, dass ihr Anschluss etwa für Angriffe über ein Botnetz missbraucht wird. Außerdem müssen sie die Betroffenen darauf hinweisen, wie sie das Problem beheben können.
Weitere Anforderungen sind:

  • Unternehmen müssen sich in Zukunft besser vor Cyber-Attacken schützen. Dafür müssen sie innerhalb von zwei Jahren bestimmte Mindestanforderungen erfüllen. Zudem müssen sie nachweisen können, dass ihre IT-Infrastruktur ausreichenden Schutz bietet.
  • Betreiber von Kernkraftwerken sind ab sofort verpflichtet, erhebliche IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit und Informationstechnik (BSI) zu melden.
  • Wird ein Unternehmen von kriminellen Hackern angegriffen, muss es dies dem BSI anonym melden. Droht der Ausfall von Systemen durch Hacker-Attacken, muss dies das Unternehmen namentlich anzeigen.
  • Auch Betreiber von so genannten Kritischen Infrastrukturen - sprich Betreibern aus den Bereichen Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – wird eine entsprechende Meldepflicht auferlegt, sobald die entsprechende Rechtsverordnung dafür konkretisiert wurde.

(Quelle: Haufe Online Redaktion)

Das sind die Trends 2016 in der digitalen Wirtschaft

Die (digitale) Wirtschaft steht vor vielen Veränderungen.
Der Bundesverband Digitale Wirtschaft (BVDW) hat einen Ausblick auf das kommende Jahr veröffentlicht mit den wichtigsten Trends der Digitalisierung. Im Fokus stehen die Themen Internet der Dinge, Automatisierung und digitales Arbeitsleben.

1. Das Internet der Dinge führt zu einem exponentiellen Anstieg an Daten
Die steigende Anzahl vernetzter Endgeräte führt zu einer stark wachsenden Datenbasis. Geschäftsmodellübergreifend werden die Erhebung, die Analyse, die Nutzung und die Verwaltung von Daten ebenso an Relevanz gewinnen wie im Zuge dessen gleichermaßen die Aspekte Datenschutz und Datensicherheit. Mit der wachsenden Datenbasis wird auch die Customer Journey, die „Reise“ des Konsumenten über alle Kanäle und Endgeräte hinweg, deutlich besser abbildbar sein und allen Marktteilnehmern wie auch den Konsumenten selbst perspektivisch erhebliche Mehrwerte bieten.
2. Das Internet der Dinge wird zum Internet der Services
Infolge der weiteren Verbreitung datenverarbeitender mobiler Endgeräte und anderer vernetzter Dinge werden sich neue Geschäftsmodelle auf Basis des Prinzips "Pay what you do" etablieren. Insbesondere Angebote der "Sharing Economy" werden im Zuge dessen einen weiteren Auftrieb erleben. Durchgehend digitalisierte Prozesse sind die Grundlage für automatisch individualisierte Services, die den Bedürfnissen der Verbraucher entsprechen.
3. Weitere Automatisierung in allen Bereichen der digitalen Wertschöpfungskette
Während sich die datengetriebene Automatisierung im Marketing bereits etabliert hat, wird sie sich künftig auf Basis einer deutlich verbesserten Datengrundlage auch durch alle weiteren Bereiche der digitalen Wertschöpfungskette ziehen. Dabei wird die zunehmende Automatisierung besonders dem wachsenden Bedarf der Personalisierung entgegenkommen. Seien es den persönlichen Präferenzen entsprechend ausgespielte Inhalte oder eine durch automatisierte Prozesse ermöglichte Massenproduktion individuell gefertigter Produkte. Wie sich das Internet der Dinge auf das Marketing auswirkt, lesen Sie hier.
4. Das vernetzte Einkaufserlebnis wird real
Die Verzahnung von ehemals separat betrachteten Kontaktpunkten zwischen Händlern und Konsumenten wird besonders durch die steigende Anzahl vernetzter Endgeräte im Internet der Dinge enorm zunehmen. Die Grenzen zwischen stationärem und digitalem Handel verwischen mehr und mehr; daraus resultiert eine ineinandergreifende Nutzererfahrung. Der Einkaufsprozess wird gänzlich digital unterstützt und ermöglicht Konsumenten ein konsistentes, kontextspezifisches Nutzungserlebnis.
5. Die digitale Arbeitswelt durchbricht räumliche und hierarchische Einschränkungen
Die voranschreitende Digitalisierung verändert die bisherige Arbeitswelt und bricht etablierte Strukturen auf. Digitale Fachkräfte werden sich eher hochspezialisierten, firmenübergreifenden Communities zugehörig fühlen als der eigenen Firma und Ordnungs- und Hierarchiesysteme in Frage stellen. Die räumliche Verortung des Leistungserbringers verliert an Bedeutung, während die Verantwortung für einen immer komplexer werdenden Aufgabenbereich wächst.
(Quelle: Haufe Online Redaktion/BVDW)

EU-Datenschutzreform - die wichtigsten Regelungen im Überblick

Nach langen und zähen Verhandlungen haben sich die EU-Instanzen jetzt auf neue Datenschutzregeln geeinigt. Mit dem Kompromiss werden die 20 Jahre alten Vorgaben abgelöst, die den Anforderungen des Internet-Zeitalters nicht mehr genügten. Neben vielen positiven Stimmen gibt es aber auch einige Kritik an dem Reformpaket.

Drei Jahre haben die Verhandlungen über die neue EU-Datenschutz-Grundverordnung gedauert, doch seit letzter Woche steht der Kompromiss, mit dem vor allem auch die großen Unterschiede zwischen den Datenschutzvorgaben in den Mitgliedsstaaten abgebaut werden und stattdessen ein einheitlicher Rechtsrahmen geschaffen werden soll.

Zufriedenheit bei Beteiligten
Als wesentlichen Erfolg sieht etwa der Verhandlungsführer des EU-Parlaments, Jan-Phillip Albrecht (Grüne/EFA), dass die Verordnung den Nutzern die Entscheidung über ihre persönlichen Daten zurückgibt. Aber auch Unternehmen profitierten von der Reform, etwa durch mehr Rechtssicherheit, weniger Bürokratie und gleiche Wettbewerbsbedingungen für alle Unternehmen auf dem europäischen Markt.

Kernpunkte
Zu den wichtigsten Neuerungen in der neuen EU-Datenschutz-Grundverordnung gehören für die Verbraucher etwa folgenden Punkte:

  • Die Daten von Verbrauchern sollen nur noch nach ausdrücklicher Zustimmung genutzt  werden können, Zudem wird es einfacher, diese Zustimmung zu widerrufen.
  • Die Verbraucher müssen besser als bisher darüber informiert werden, wie die Daten verarbeiten und genutzt werden. Diese Informationen müssen klar und verständlich sein.
  • Die Verbraucher bekommen das „Recht auf Vergessenwerden“: Unternehmen müssen deren Daten dann löschen, wenn die Betroffenen dies wünschen und es keine legitimen Gründe für eine weitere Speicherung der Daten gibt.
  • Kommt es zu Datenlecks oder erfolgreichen Hacker-Angriffen, bei denen personenbezogene Daten betroffen sind, müssen diese Vorfälle an die zuständigen Behörden gemeldet werden.
  • Um Unternehmen, die gegen die Vorgaben verstoßen, in angemessener Form sanktionieren zu können, sind Strafen bis zu vier Prozent des Jahresumsatzes möglich.
  • Verbraucher können sich künftig bei Beschwerden über Datenverstöße immer an die Datenschutzbehörde in ihrem Land wenden und dort Beschwerden einreichen, auch wenn die Unternehmen ihren Sitz in anderen Staaten haben. Die Kooperation der nationalen Datenschutzstellen soll verbessert werden.

Den Unternehmen soll die Reform u.a. folgende Vorteile bringen:

  • Durch die Datenschutzverordnung wird ein für die gesamte EU einheitliches Regelungswerk geschaffen, das die Geschäftstätigkeit erleichtert und Bürokratiekosten senkt. Allein dadurch, dass die Unternehmen künftig nur noch mit einer einzigen Aufsichtsbehörde zu tun haben, sollen bis 2,3 Milliarden Euro eingespart werden können.
  • Auch Unternehmen mit Sitz außerhalb der EU müssen sich an die Regeln halten, wenn sie Dienstleistungen in der EU anbieten wollen.
  • Eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gibt es nur noch für große Unternehmen, wenn diese in großem Ausmaß sensible Daten verarbeiten oder  das Verhalten von Verbrauchern überwachen. Kleine und mittlere Unternehmen sind von dieser Pflicht ausgenommen, es sei denn, die Verarbeitung personenbezogener oder sensibler Daten ist deren Haupttätigkeit.

Deutsches Datenschutzniveau wird teilweise gesenkt
In einem Interview mit dem Deutschlandfunk begrüßte auch der ehemalige Bundesbeauftragte für den Datenschutz, Peter Schaar, die neue Regelung. Allerdings wies er zugleich darauf hin, dass durch die Vereinheitlichung das bislang sehr hohe Datenschutzniveau in Deutschland in einigen Punkten abgesenkt wird. Als Beispiele führte er etwa folgende Punkte an:

  • Bei Scoring-Verfahren zur Ermittlung der Kreditwürdigkeit entfallen künftig konkrete Regelungen zur Zulässigkeit bzw. Nicht-Zulässigkeit bestimmter Methoden, die derzeit noch im Bundesdatenschutzgesetz enthalten sind.
  • Die strengen Vorgaben zur Zweckbindung von Daten werden durch eine allgemeinere Formulierung aufgeweicht.

So geht es weiter
Über den jetzt gefundenen Kompromiss wird das EU-Parlament wahrscheinlich im März oder April 2016 abstimmen, wobei mit einer breiten Mehrheit zu rechnen ist. Nach dem Inkrafttreten der Verordnung haben die Mitgliedsstaaten noch zwei Jahre Zeit, die neuen Vorschriften umzusetzen.
(Quelle: Haufe Online Redaktion)

Umsetzung von Compliance im Mittelstand - aktuelle Situation

Die Implementierung von Compliance-Strukturen im Mittelstand erfolgt zum Teil unstrukturiert.
Trotz des gewachsenen Bewusstseins für Compliance im Mittelstand sehen sich viele kleinere Unternehmen irrtümlicherweise weniger gefährdet als Großkonzerne. Sie vernachlässigen aufgrund des Vertrauensverhältnisses zu ihren Mitarbeitern oft interne Kontrollsysteme. Dabei sind gerade in letzter Zeit vor allem kleinere Unternehmen vermehrt ins Visier der Staatsanwaltschaften geraten.

An einigen Orten sind in den letzten Jahren verstärkt Schwerpunktstaatsanwaltschaften für Wirtschaftsstrafsachen gegründet worden. Zudem hat es in der jüngeren Vergangenheit auch Gesetzesverschärfungen im Bereich der Wirtschaftskriminalität gegeben.

Fehlende Compliance-Strukturen im Mittelstand
Eine weitere Problematik liegt darin, dass viele mittelständische Unternehmen zwar die Mängel bei der Umsetzung von Compliance erkannt haben, jedoch nur ein Teil auch entsprechende Compliance-Regelungen geschaffen haben. Insoweit besteht eine starke Diskrepanz im Denken und Handeln.
Keine strukturierte Vorgehensweise beim Compliance
Aber selbst wenn Compliance thematisiert wird, wird die Implementierung häufig nicht strukturiert angegangen. Es bestehen unklare Zuordnungen von Pflichten und Verantwortlichkeiten.  Compliance-Regelungen werden nur informell kommuniziert. Dies ist angesichts der Komplexität des Themas aber kaum in seriöser und effizienter Form möglich.
Flexibilität und Verbindlichkeit von Compliance-Regeln - ein Widerspruch?
Fehlende Verbindlichkeit von Regeln lässt die Akzeptanz der Regelungen sinken. Insgesamt ist der Mittelstand in einer Zwickmühle: Flexibilität ist ein wesentlicher Erfolgsfaktor. Daher werden starre Kontrollen gescheut. Es wird auf gegenseitiges Vertrauen gesetzt, mit einer oftmals informellen Regelung von Problemen und Verantwortungsbereichen.
Diese insgesamt eher „einfache" Handhabung beim Thema Compliance hat in vielen Fällen sicherlich auch mit der Scheu vor den mit Kontrollmechanismen verbundenen Kosten zu tun.
Mittelständische Unternehmen brauchen daher ein auf ihre Anforderungen spezifisch ausgerichtetes Compliance-Management.
An Compliance sparen heißt am falschen Ende sparen
Unternehmen, die beim Thema Compliance keine ausreichenden Maßnahmen implementieren, könnten „am falschen Ende" sparen, denn für Mittelständler gilt mehr noch als für große Konzerne, dass gerade  angesichts der hohen Strafen, beispielsweise hohe Kartellbußen, Geld- und Freiheitsstrafen, eine mangelhafte Compliance zum Existenzrisiko werden kann.
Compliance - Druck aus dem Ausland
Schließlich können sich insbesondere im Ausland tätige Unternehmen zunehmend nicht mehr der Einführung von Compliance-Maßnahmen verwehren. In Großbritannien wurde durch den UK-Bribery-Act eine faktische Verpflichtung eingeführt.
Dies betrifft auch deutsche Unternehmen unmittelbar, wenn diese Unternehmen in Großbritannien geschäftlich über eine Niederlassung tätig werden. Im Schadensfall drohen hohe straf- und zivilrechtliche Sanktionen.
Compliance-Pflicht in Deutschland über § 130 OWiG
Obgleich in Deutschland für die im mittelständischen Bereich sehr verbreitete GmbH solche Erfordernisse direkt noch nicht bestehen, lassen sich Verpflichtungen zur Implementierung von Kontrollmechanismen auch aus der bestehenden Gesetzeslage, insbesondere aus § 130 Gesetz über Ordnungswidrigkeiten (OWiG) ableiten.
Das dortige Gebot zum ordnungsgemäßen Geschäftsbetrieb gilt rechtsformunabhängig und kann als Generalnorm zum pflichtgerechten und ordnungsgemäßen Handeln beim Aufbau einer entsprechenden Unternehmensstruktur verstanden werden. Es besteht daher die dringende Notwendigkeit zum Handeln.

(Quelle: Haufe Online Redaktion)
11 praktische Tipps für Ihr E-Mail-Marketing

Damit Werbe-E-Mails gut beim Kunden ankommen.
Die Experten der Certified Senders Alliance haben die wichtigsten Tipps zu den rechtlichen und technischen Anforderungen des E-Mail-Marketing zusammengestellt. Damit Ihre Werbe-E-Mails besser - und überhaupt - beim Kunden ankommen.

Im Idealfall erreicht die Werbe-E-Mail den passenden Kunden, der sich über die Zusendung freut und eine gewünschte Interaktion ausführt. Jedoch gilt es vorher, einige rechtliche und technische Bedingungen zu erfüllen.

Rechtliche Tipps für das E-Mail-Marketing:

  1. Einwilligung: Für jede werbliche E-Mail wird ein vorheriges, ausdrückliches, transparentes und separates Opt-in benötigt. Es gibt nur eine Ausnahme von dieser Regelung: Bei einer bestehenden Kundenbeziehung, im Rahmen eines Kaufs von Ware oder Dienstleistung, reicht die Opt-out-Möglichket. Aber Achtung: Es dürfen nur ähnliche Produkte beworben werden.
  2. Keine Verschleierung: Der werbliche Charakter der E-Mail darf nicht verschleiert werden. Dies betrifft insbesondere die Absender- und Betreffzeile. Der Empfänger muss schon vor dem Öffnen der E-Mail klar erkennen können, ob es sich um eine kommerzielle Nachricht handelt.
  3. Abmeldelink: In jeder Werbe-E-Mail muss ein Abmeldelink enthalten sein.
  4. Impressum: Das Impressum darf in keinem Newsletter fehlen: Entweder als vollständiger Text oder als Link, der über maximal zwei Klicks zur Impressumsseite führt.
  5. Internationale Rechtsgrundlagen: Bei internationalem Versand von Newslettern muss man die Rechtsordnung des Ziellandes kennen – gilt grundsätzlich Opt-in oder Opt-out?

Technische Tipps für das E-Mail-Marketing:

  1. Reputation: Achten Sie auf eine gute Reputation Ihrer Versandserver. Ohne sie werden Ihre E-Mails gar nicht erst vom Internet Service Provider (ISP) angenommen.
  2. Basics: Dasselbe gilt für die Erfüllung der grundlegenden Standards. Der Hostname muss zum HELO des Servers passen, und auch ein passender rDNS muss gesetzt sein.
  3. Sender Policy Framework (SPF): Durch SPF machen Sie dem empfangenden ISP gegenüber bekannt, von welchen IP-Adressen er E-Mails in Ihrem Namen erwarten kann, und was er tun soll, wenn er E-Mails in Ihrem Namen von anderen IP-Adressen erhält.
  4. Domain Keys Identified  Mail (DKIM): Mit DKIM "unterschreiben" Sie jede Ihrer E-Mails digital und machen sie damit gegenüber E-Mails mit gefälschtem Absender, die Ihren guten Namen missbrauchen wollen, eindeutig identifizierbar.
  5. Domain-based Message Authentication Reporting Conformance (DMARC): Die neueste Waffe gegen Phishing lautet DMARC. Es ergänzt SPF und DKIM, indem Sie als Versender dem empfangenden ISP eindeutige Empfehlungen geben können, wie mit E-Mails in Ihrem Namen, die jedoch nicht von Ihnen kommen, umzugehen ist. Darüber hinaus können dank DMARC-Reports mögliche Phishing-Quellen aufgedeckt und weitere Missbrauchsfälle verhindert werden.
  6. Relevanz: Neben allen technischen Standards gilt immer noch: Seien Sie relevant und interessant. Nur wenn die Empfänger Ihre E-Mails öffnen und lesen, werden Sie auch in Zukunft eine gute Reputation haben und zugestellt werden.

Seit zwölf Jahren gibt es dank der Certified Senders Alliance (CSA) den Qualitätsstandard für E-Mail-Marketing, ins Leben gerufen vom Deutschen Dialogmarketing Verband DDV und dem Eco Verband der Internetwirtschaft. Die CSA hat sich als Standard auf dem nationalen sowie internationalen Markt etabliert und erfreut sich einer stetig wachsenden Zahl von Mitgliedern und Partnern.
(Quelle: haufe.de)