Mein Unternehmen sendet extrem sensible Daten an einen Auftragnehmer in China, sagt aber, dass dies nicht der Fall ist. Sollte ich etwas tun?

Ich arbeite als Entwickler in einem mittelständischen Startup mit rund 200 Mitarbeitern und ~50.000 Kunden.

Unsere Datenschutzrichtlinie besagt, dass wir keine Kundendaten an Dritte weitergeben, außer dass wir dies auf jeden Fall tun – wir senden die äußerst sensiblen Daten jedes Kunden zur Verarbeitung an einen Auftragnehmer in China, was uns einen enormen Preisvorteil verschafft und den Preis von uns halbiert Produkt.

Einerseits kann ich es nicht ertragen, dass extrem sensible Informationen an ein Regime gesendet werden, das ich persönlich nicht mag. Andererseits bin ich dank dieser Firma als Entwickler beruflich sehr gewachsen und sie zahlen auch gut.

Was soll ich, wenn überhaupt, dagegen tun? Hinweis: Ich habe es einmal laut (dumm) gesagt, dass unsere Datenschutzrichtlinie besagt, dass wir keine Daten an Dritte weitergeben, und wenn dies entdeckt wird, droht uns möglicherweise eine Sammelklage. Ungefähr 10 Leute hörten mich das sagen.

Gibt es neben den ethischen Fragen auch rechtliche? Vielleicht ist es eine gute Idee, mit einem Anwalt zu sprechen.
Bitte kennzeichnen Sie dies mit einem Ort, da die geltenden Gesetze offensichtlich unterschiedlich sind.
Was hat das Senden von Daten an einen chinesischen Auftragnehmer damit zu tun, dass Sie dessen Regierung nicht mögen?
@dan-klasson, Zum einen, wenn diese Informationen uigurischen Muslimen, Falun-Gong-Anhängern oder Demonstranten aus Hongkong oder chinesischen Steuerhinterziehern oder chinesischen Dissidenten gehören, unterzeichnet diese Firma möglicherweise unwissentlich ihre Haft-/Todesbefehle und die Verhaftung von ihre Familie und Freunde, indem sie es an einen Auftragnehmer in China senden.
@StephanBranczyk Sie könnten dieselbe verrückte Verschwörungstheorie auf das Senden von Daten an einen US-Auftragnehmer anwenden, und es wäre ebenso unsinnig.
Von welcher Art von Privatsphäre sprechen wir? Ein Foto der letzten Mahlzeit der Person und vielleicht ihre Adresse oder eher sensible Gesundheitsdaten von Militärangehörigen?
@nvoigt Nicht unsere Angelegenheit. OP wird sich sicherlich nicht identifizieren wollen. Er sollte den Punkt klarstellen und von seinen oberen Korridoren eine Bestätigung erhalten, dass sie sich um den rechtlichen Teil kümmern. Für sich selbst muss OP überlegen, ob sie ihr eigenes Glück im Unternehmen oder ihre moralische Haltung priorisieren. Was sie nicht einfach tun können, ist die Änderung einer wichtigen Unternehmenspolitik (was dies zu sein scheint, da es einen drastischen Marktvorteil darstellt).
Zu sagen, dass das Unternehmen äußerst personenbezogene Daten an einen Auftragnehmer in China sendet, bedeutet nicht viel, ohne anzugeben, welche Art von Daten gesendet werden, welche rechtliche Einstufung der Auftragnehmer hat, welche Gesetze Ihrer Meinung nach gebrochen werden usw. Keine Dies hängt von Ihrer persönlichen Meinung zu diesem Thema ab. Es ist eine Frage des Gesetzes. Die Tatsache, dass es dir nicht gefällt, bedeutet nichts. Sind diese Informationen rechtlich geschützt? Würde der Auftragnehmer rechtlich als Dritter oder als Partner eingestuft?
Ein Auftragnehmer, unabhängig von seinem Sitz, ist wahrscheinlich kein „Dritter“. Wenn sie für das Unternehmen handeln, dann glaube ich nicht, dass das Gesetz sie als Dritte betrachten würde. (Obwohl ich die Meinung eines Anwalts haben möchte, um sicher zu sein).

Antworten (4)

Die Interpretation von Datenschutzrichtlinien ist nicht trivial, seien Sie also aufgeschlossen, dass Sie sich irren könnten. Unterstellen Sie gleichzeitig nicht sofort Bosheit – sie könnten bereit sein, die Situation anzugehen.

Erste Anlaufstelle sollte Ihr direkter Vorgesetzter sein. Teilen Sie Ihre Bedenken mit dieser Person und sehen Sie, was sie sagt. Wenn Sie mit ihren Antworten nicht zufrieden sind, selbst nachdem Sie sie wiederholt angesprochen haben, können Sie es zu ihrem Vorgesetzten eskalieren (und erwähnen, dass Sie mit Ihrem direkten Vorgesetzten darüber gesprochen haben, und wenn Sie Ihrem direkten Vorgesetzten auch mitteilen können, dass Sie eskalieren).

Wenn selbst dies Ihr Anliegen nicht löst, erwägen Sie, es an eine andere Abteilung (z. B. die Rechtsabteilung) zu richten. Endlich können Sie es dem CEO vortragen.

Wenn alle oben genannten Maßnahmen fehlschlagen, können Sie erwägen, die Behörden zu benachrichtigen. Wenn Sie all dies getan haben und das Unternehmen das Problem immer noch nicht gelöst hat, werden Sie wahrscheinlich benachteiligt, wenn das Unternehmen den Verdacht hat, dass Sie die Behörden benachrichtigt haben. Wenn ich persönlich zu den Behörden gehe, werde ich das nur tun, wenn ich damit einverstanden bin, das Unternehmen verlassen zu müssen. Es ist eine Entscheidung, die nur Sie treffen können. Wenn Sie sich stattdessen dafür entscheiden, niedrig zu bleiben, dann schützen Sie sich unbedingt, indem Sie zB Anweisungen zum Senden der Daten usw. in E-Mails dokumentieren.

"Wenn du dich entscheidest, stattdessen niedrig zu bleiben ...", also mach weiter falsch, aber habe die Beweise, um jemand anderem die Schuld zu geben ...
Hinzufügen von mehr zu @SolarMike One, wenn die Entscheidung, Daten nach China zu senden, von Ihrer Seite kommt, müssen Sie zwischen Ethik oder Arbeit wählen, wenn Sie wissen, wer diese Entscheidung getroffen hat, dann merken Sie sich einfach seinen Namen und bleiben Sie niedrig
@SolarMike Das Unternehmen könnte auch OP verklagen, vergessen wir das nicht. Und bevor sie beginnen, den Fall zu gewinnen (vorausgesetzt, sie würden es am Ende tun), ist OP pleite, ihr Leben möglicherweise zerstört, je nachdem, wie viel Macht und Skrupellosigkeit das Unternehmen hat. Whistleblowing hat einen Preis, den die Gesellschaft gerne zahlt.

Wenn es sich um eine Datenübertragung von der EU nach China handelt, müssen Regeln ( https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_en ) befolgt werden .

Ich gehe davon aus, dass ähnliche Regeln für Datenübertragungen von den USA nach China gelten, aber es ist ein gewisses juristisches Fachwissen erforderlich, um zu verstehen, ob diese Datenübertragungen durch „Privacy Shields“ geschützt sind.

Im Allgemeinen sind diese Gesetze nicht einfach durchzusetzen, ohne dass jemand zum Whistleblower wird!

Wenn Sie sich NICHT zu 100 % sicher sind, dass das, was das US-Unternehmen tut, illegal ist, sprechen Sie einfach Ihre Bedenken gegenüber Ihren Vorgesetzten an.

WENN Sie der Meinung sind, dass diese Datenübertragung zu 100 % illegal ist (aufgrund von Tatsachen, die von der US-Firma selbst und/oder Ihrem Anwalt geteilt werden), UND (+) die US-Firma versucht, eine Lösung des Problems zu vermeiden (beantwortet Ihre Fragen in E-Mails in um KEINE Beweisspur auf Papier zu hinterlassen!), UND (+) gleichzeitig denken, dass ein Skandal Ihrer Karriere schaden könnte, ein anonymer Whistleblower bei den Behörden werden. WENN all diese 3 Faktoren nicht gleichzeitig vorhanden sind, sprechen Sie Ihre Bedenken einfach gegenüber Ihren Vorgesetzten an.

Ich kann es nicht ertragen, dass extrem sensible Informationen an ein Regime gesendet werden, das ich persönlich nicht mag.

Was soll ich, wenn überhaupt, dagegen tun?

Du sagst, dass du es nicht ertragen kannst, aber bisher hast du es getan.

Wenn dich das Regime genug stört, solltest du dir einen neuen Job suchen und diesen verlassen.

Bevor Sie sich entscheiden, sich woanders umzusehen, möchten Sie vielleicht sicherstellen, dass der Auftragnehmer in China im Zusammenhang mit den öffentlichen Erklärungen Ihres Unternehmens, keine Daten an Dritte zu senden, als „Drittpartei“ gilt. Ich habe einmal für ein Unternehmen gearbeitet, das eine Tochtergesellschaft in Indien hatte. Das wurde nicht als "Drittanbieter" angesehen.

Sie könnten gut bedient sein, um das Problem mit Ihrem Chef zu besprechen und zu sehen, was Sie lernen können.

Es ist nicht Ihr Problem, dieses Problem zu lösen. Wenn sie mit sensiblen Daten umgehen, gibt es gesetzlich vorgeschriebene Verfahren, die dies tun. Und es würde regelmäßig geprüft werden.

Wenn Sie den Wirtschaftsprüfern, Ihrem Unternehmen und den Behörden nicht vertrauen, sollten Sie überlegen, ob Sie weitermachen möchten.

Wenn Sie Ambitionen haben, Ihre Karriere zum Absturz zu bringen, und andere Risiken eingehen, einschließlich vielleicht alles umsonst zu tun, was das übliche Ergebnis ist, dann machen Sie einen Aufschrei. Ansonsten mach einfach deinen Job oder geh.

Aus dem Beitrag geht nicht hervor, welchen Standort OP hat und welche Prüfmechanismen vorhanden sind, es gibt keine.
Wie kann man so viele Vermutungen anstellen? Ich finde deine Antwort nicht konstruktiv.
@ChrisFNZ welche Annahmen, es gibt kein einziges Land ohne Gesetzgebung in diesen Angelegenheiten. Es sei denn, es handelt sich vielleicht um einen Schurkenstaat, in diesem Fall wäre dies nicht einmal ein Problem
@Kilisi Nicht jedes Land hat tatsächlich Gesetze zu diesen Angelegenheiten. Sie gehen davon aus, dass die Gesetzgebung Verfahren vorgeschrieben hat und dass alles regelmäßig überprüft wird.
@ChrisFNZ nennen Sie einen, NZ hat es definitiv ... und prüft regelmäßig. Sie prüfen meine Sachen sehr gründlich und ich muss auch Rechtsdokumente haben, die Verfahren und Prüfungen durch Dritte beschreiben.
@Kilisi Es hängt davon ab, was Sie als sensible Daten definieren. PCI ist eine Sache, PII eine andere. Es gibt viele andere Formen sensibler Daten. Wer in Neuseeland überprüft regelmäßig sensible Daten für jede Organisation?
@ChrisFNZ NZFUI fällt mir ein, aber es gibt noch andere. Alles, was Grenzen überschreitet. Ich verstehe jedoch Ihren Punkt, es liegt in der Definition von sensibel...
@Kilisi Wer ist NZFUI? Nennen Sie bitte auch andere.
@ChrisFNZ oops NZFIU, ich werde keine anderen nennen ... Sie sind derjenige mit dem Problem, lesen Sie die neuseeländische Gesetzgebung, die ich habe, da sie Teil meiner Arbeit ist. Ich lebe nicht einmal in Neuseeland, habe aber ständig damit zu tun.
@Kilisi Es tut mir leid, aber deine Aussage ist irreführend. Die NZFIU hat den Auftrag, „die neuseeländische Financial Intelligence Unit (FIU) zu sammeln, zu analysieren und Finanzinformationen in Bezug auf verdächtige Transaktionen/Aktivitäten, Geldwäsche und Terrorismusfinanzierung zu verbreiten“. Ich kann Ihnen zu 100 % versichern, dass sie nicht jede Organisation in Neuseeland hinsichtlich ihrer Behandlung sensibler Daten prüfen. Das ist unpraktisch und absurd. Was die NZFIU in Bezug auf AML/CTF tut, unterscheidet sich von dem, worauf sich OP bezieht.
NZFIU erledigt die AML/CFT, IRD und der Zoll erledigen andere, FCC deckt Biometrie in einigen Aspekten ab und es gibt noch mehr ... es ist ziemlich eng in NZ ... also hören Sie auf, ein totes Pferd zu schlagen ... es ist bereits tot ... und Jammern Sie nicht und markieren Sie meine Kommentare nicht, wenn Sie keine Antworten haben. Obwohl dies Teil meines Geschäfts ist, lese ich Gesetze und Prüfungsberichte nicht zum Spaß.
@Kilisi Ich werde auf deinen Kommentar antworten. Unternehmen können eine Vielzahl sensibler Daten in ihren Systemen speichern, ohne dass die Regierung davon Kenntnis hat oder beaufsichtigt wird. Das war mein Punkt. Und ich werde deine Kommentare markieren, wenn sie respektlos sind. Ich lasse es dort.
Mein Unternehmen sendet extrem sensible Daten an einen Auftragnehmer in China, sagt aber, dass dies nicht der Fall ist. Sollte ich etwas tun?
AntwortenHierDatenschutz-Bestimmungen1y, 0v