Anzeige

Justitia

Die EU-Datenschutzgrundverordnung (kurz DSGVO) hält fast alle Unternehmen auf Trab, die sich innerhalb der EU befinden oder personenbezogene Daten von EU-Bürgern verarbeiten. Sie verpflichtet sie dazu, geeignete organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und diese vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen. 

Was hat Awareness-Training mit der DSGVO zu tun? 

Viele Unternehmen konzentrieren sich dabei auf rein technische Maßnahmen wie Verschlüsselung, Anti-Virus und Co; vernachlässigen dabei aber die Schulung ihrer Mitarbeiter in sicherheitsrelevanten IT-Themen komplett. Dabei ist Security-Awareness-Training keine Option, sondern ein Must-have!

Bei der Wahl der geeigneten Anbieter und Lösungen, gibt es zwei Fragen, deren Antworten einen  enormen rechtlichen Unterschied machen: Wo werden die erhobenen Daten gespeichert und aus welchem Land stammen die datenverarbeitenden Unternehmen?

Der Patriot Act wirft seinen Schatten nach Europa

Viele Awareness-Lösungsanbieter kommen aus den USA und sind dem Patriot Act unterworfen. Ursprünglich konzipiert als Anti-Terror Waffe, um die Sammlung von Überwachungsdaten zu erleichtern und den Informationsaustausch zwischen den amerikanischen Bundesbehörden zu verbessern, stellt er für viele US-Unternehmen und ihre Kunden ein echtes Problem dar. Der prominente Fall von Microsoft aus dem Jahr 2014 hat gezeigt, dass die US-Regierung die Herausgabe von Daten auch dann erzwingen kann, wenn sich die Daten außerhalb der USA befinden, in diesem Fall auf irischen Servern. 

Daran konnte auch das seit Juli 2016 geltende EU-US Privacy Shield nichts ändern, der Nachfolger des Safe Harbor Abkommens, das angesichts der PRISM-Enthüllungen im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das EU-US Privacy Shield gibt US-Recht immer noch den Vorrang und nennt sogar sechs Fälle in denen Massenüberwachung nach wie vor zulässig ist.

Der jahrelange Rechtsstreit zwischen Microsoft und der US-Regierung mündete im März 2018 im CLOUD Act, der den Zugriff auf personenbezogene Daten von US-Bürgern ermöglicht, die in der EU gespeichert sind und ebnete gleichzeitig den Zugriff auf Daten von EU-Bürgern in den USA. Zusätzlich macht der CLOUD Act die Herausgabe der Daten nicht davon abhängig, ob zwischen dem betroffenen Land und den USA ein Rechtshilfeabkommen besteht. US-Unternehmen sind damit verpflichtet US-Recht zu folgen und werden im Ernstfall vor die Entscheidung gestellt entweder gegen die DSGVO oder den CLOUD Act zu verstoßen. 

Zusammenfassend kann man sagen, dass die DSGVO mit dem Patriot Act, dem CLOUD Act und dem EU-US Privacy Shield kollidieren kann, wenn US-Unternehmen involviert sind bzw. Unternehmen deren Datenserver sich in den USA befinden. Nimmt man die Dienste dieser Unternehmen in Anspruch, begibt man sich in eine gefährliche Grauzone. „Wo kein Kläger da kein Richter“ endet dann, wenn z.B. Mitarbeiter gegen diese Praxis Beschwerde bei den Aufsichtsbehörden einlegen. Dies kann im Worstcase-Szenario in einem Bußgeld von 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes münden.

Butter bei die Fische – So gelingt DSGVO-konformes Awareness-Training

Es gibt also viele Gründe, um aktiv einen Weg aus dieser rechtlichen Grauzone zu suchen. Doch wie kann nun eine Lösung dieser verzwickten Situation aussehen? Die Lösung ist so einfach wie auch konsequent – entscheiden Sie sich für einen Awareness-Lösungsanbieter aus der EU, dessen Server sich ebenfalls in der EU befinden. So lösen Sie auf einen Schlag die oben aufgeführten rechtlichen Fallstricke und die damit verbundenen, erheblichen finanziellen Risiken sowie potenzielle Imageschäden.

Bei der Einführung von Awareness-Lösungen findet sich sehr oft ein weiterer wichtiger Player am Verhandlungstisch – der Betriebsrat. Kein Wunder, denn nach § 87 BetrVG betritt man bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ seinen Einflussbereich. 

Da bei modernen Awareness-Lösungen automatisierte Phishing-Tests und E-Learning Plattformen eingesetzt werden, stellt sich für den Betriebsrat schnell die Frage, wie sichergestellt werden kann, dass der Mitarbeiter nicht in Angst leben muss, dass ein schlechtes Abschneiden bei den Trainingsmaßnahmen negative Konsequenzen für ihn haben kann. 

Die Lösung besteht in anonymisiertem Awareness-Training und Phishing-Tests sowie transparenter Kommunikation. So kann sichergestellt werden, dass nicht gefühlt „gegen“, sondern „mit“ dem Mitarbeiter gearbeitet wird und der Mitarbeiter kann sich so ganz auf das Lernen konzentrieren. In Verbindung mit Edutainment, also einer Kombination von spannenden Lerninhalten, mundgerechten Micro-Lernmodulen, einer spielerischen Aufbereitung und dem berüchtigten „Lernen am Objekt“, kann so ein effektives Awareness-Training gestaltet und ein nachhaltiger Lernerfolg erzielt werden.

Als Full-Service-Lösungsanbieter, bietet Ihnen SoSafe ein Rundum-sorglos-Paket, bestehend aus automatisierten Phishing-Test und einer modernen und motivierenden E-Learning Plattform. Als deutscher Anbieter mit Servern innerhalb der EU können Sie gedanklich den Haken hinter DSGVO-Konformität setzen und haben dank anonymisiertem Awareness-Training, welches sogar noch Spaß macht, sowohl Ihre Mitarbeiter als auch Ihren Betriebsrat auf Ihrer Seite.

Besuchen Sie das kostenlose Webinar von SoSafe, um noch mehr über DSGVO-konformes Awareness-Training zu erfahren Zum Webinar.

www.sosafe.de

Dr. Niklas Hellemann, Geschäftsführer
Dr. Niklas Hellemann
Geschäftsführer, SoSafe GmbH
Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

menschliche Firewall
Jun 22, 2020

Die Mitarbeiter zur „menschlichen Firewall“ aufbauen

Dass die Mitarbeiter das Einfallstor Nr.1 bei Cyberattacken sind, ist nicht neu. 9 von 10…
Aufmacher SoSafe Coverstory
Jun 22, 2020

Phishing in der aktuellen Krise - Wie Hacker den „Faktor Mensch“ ausnutzen

Die Corona-Krise hat der Digitalisierung einen ordentlichen Schub gegeben. Die Nutzung…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!