Einhaltung der DSGVO: Richtiger Datenschutz bei ansteigendem Datenvolumen

Unternehmen verfügen im Zusammenhang mit Vertragsabschlüsse, Adressen oder Kontonummern über personenbezogene Daten ihrer Mitarbeiter und Kunden, die heute digital erfasst, gelagert und ausgetauscht werden. Die 2018 in Kraft getretene DSGVO legt deshalb genau fest, wie Unternehmen mit diesen Daten zu verfahren haben.

Verstöße haben schwerwiegende Folgen: Es drohen hohe Geldstrafen sowie Vertrauens- und Imageschäden. Gerade in Zeiten von Remote-Arbeit sollten Unternehmen daher Konzepte zur Datensicherheit entwickeln und dabei ihre Mitarbeiter mit ins Boot holen, um das erhöhte Sicherheitsrisiko, das von Heimnetzwerken ausgeht, zu verringern. Die folgenden Best Practices zeigen, wie Unternehmen und Mitarbeiter gemeinsam das Home-Office sicher machen können, um  den Schutz von kritischen Daten außerhalb des Büros zu gewährleisten und Bußgeldern in Höhe von bis zu 20 Millionen Euro zu entgehen.

Anzeige

Aktionstag für den Datenschutz: Es bleibt viel zu tun

Das Thema Datenschutz hat spätestens seit dem offiziellen Inkrafttreten der Datenschutzgrundverordnung (DSGVO) immer mehr an Aufmerksamkeit in der Öffentlichkeit und insbesondere bei Unternehmen gewonnen. IT- und Datenschutzverantwortliche standen jedoch gerade im Frühjahr 2020 vor der Aufgabe, klaffende Sicherheitslücken zu schließen, die es wenige Wochen vorher noch gar nicht gegeben hatte. Dabei mussten sie sich vor allem auch klarmachen, dass durch die neue Arbeitsweise außerhalb einer abgesicherten Büroumgebung quasi jeder Mitarbeiter zu seiner eigenen IT-Sicherheitsabteilung wurde. Somit waren nicht nur technische Lösungen gefragt, sondern die Schaffung eines Bewusstseins für Risiken und deren Abwehr bei der gesamten Belegschaft.

Am 28. Januar 2022 fand der auf Initiative des Europarats ins Leben gerufene Europäische Datenschutztag bereits zum 16. Mal statt – für viele Unternehmen ein Anlass, ihre Sicherheitsstrategie einer kritischen Prüfung zu unterziehen. Dabei zeigt sich: Selbst absolute Grundlagen wie häufig wechselnde, möglichst komplexe Passwörter sind längst nicht überall Standard. „Password123“ und dergleichen sind nach wie vor in Gebrauch. Es erübrigt sich zu sagen, dass „work from anywhere“ und Gefahren wie Ransomware-Attacken wesentlich weitergehende Sicherheitsvorkehrungen erfordern. Denn bei gezielten Angriffen bestehen nicht nur hohe Risiken für die Verfügbarkeit von Services und Infrastrukturen, sondern auch für den Missbrauch von Nutzerdaten. 

Gelegenheit macht (Daten-)diebe

Das Risiko-Level des Jahres 2022 hatten Unternehmen selbst einige Jahre davor noch nicht antizipiert. Als zahlreiche, in vielen Unternehmen sogar alle Mitarbeiter praktisch über Nacht ins Home Office wechselten, waren nur wenige IT-Abteilungen in der Lage, ad hoc für sichere Remote-Arbeitsplätze zu sorgen. Das galt insbesondere für KMU, die häufig gar keine eigene in-house IT unterhalten. Ungesicherte Heimnetzwerke sind das virtuelle Äquivalent zu einer offenen Haus- oder Bürotür. Diese Situation rief Cyberkriminelle auf den Plan, die sich den improvisierten und mitunter chaotischen Wechsel zur Distanzarbeit zunutze machten. 

Prompt stieg die Zahl der datenschutzrelevanten Vorfälle deutlich an. 28% der Geschäftsführer und Führungskräfte aus IT-Sicherheit und Datenschutz von über 500 deutschen Unternehmen, die in der so genannten Datenklaustudie der Prüfungs- und Beratungsgesellschaft EY befragt wurden, beobachteten eine gegenüber 2019 gestiegene Anzahl von Attacken in den Pandemiejahren 2020 und 2021. Fast alle Befragten (98 Prozent) gehen davon aus, dass das Problem von Datenklau und Cyberangriffen weiter zunehmen wird. Wenn es um Datenverlust geht, ist es daher von Vorteil, auf jedes Szenario vorbereitet zu sein. Mit den folgenden Maßnahmen kann eine Absicherung von Daten sowie maximale Sicherheit für Unternehmen sowie Mitarbeit gewährleistet werden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Best Practices: Risikomanagement für mehr Sicherheit im Unternehmen und im Home-Office

Sicherheitsrichtlinien und -verfahren lassen sich jedoch nur sinnvoll entwickeln, wenn regulierte Daten definiert und die entsprechenden Richtlinien auf Menschen, Prozesse und Systeme abgestimmt sind. Von Unternehmensseite ist es daher wichtig, zunächst Governance-Maßnahmen zu definieren und zu verwalten, um Arbeitnehmern Richtlinien und Anwendungen für das sichere Arbeiten im Home-Office zur Verfügung zu stellen. Dazu gehört auch die Löschung personenbezogener Daten gemäß der DSGVO-Richtlinien.

Ein funktionierendes Löschkonzept kann dazu beitragen, dass Unternehmen die Löschpflichten gemäß der DSGVO einfach und zuverlässig umsetzen können. Daten müssen zum einen immer gelöscht werden, wenn die betroffene Person darum im Rahmen ihres Rechts auf Löschung bittet. Darüber hinaus besteht die Löschpflicht seitens des Datenverantwortlichen in einer Reihe von gesetzlich geregelten Fällen. Beispielsweise wenn die Verarbeitung der Daten unrechtmäßig war, die Daten nicht mehr für bestimmte Zwecke benötigt werden oder die betroffene Person Widerspruch gegen die Weiterverarbeitung der Daten eingelegt hat. Allerdings gibt es für bestimmte Unterlagen auch Aufbewahrungsfristen, die beachtet werden müssen. In diesen Fällen können personenbezogene Daten nicht gelöscht werden, bevor die entsprechenden Fristen abgelaufen sind. So müssen Lohnunterlagen beispielsweise sechs Jahre lang aufbewahrt werden.

Informaticas Data Privacy Solution kann Unternehmen helfen,  Datenschutzvorgaben und branchenspezifische Vorschriften zu erfüllen. Das Tool ermöglicht es Unternehmen, Geschäfts- und Technologierichtlinien, Verantwortlichkeiten, Prozesse und Datenbedingungen zu definieren, zu dokumentieren und zu messen. Die Nutzung von Automatisierungsfunktionen zur kontinuierlichen Messung von Datenschutzrisiken und deren Aufzeichnung hilft, die wichtigsten Risikoindikatoren (Key Risk Indicators, KRI) für Datenschutz- und Compliance-Programme auf dem aktuellen Stand sind. 

Daten verstehen, um sicher mit ihnen zu arbeiten

Technische Lösungen können jedoch immer nur ein Teil eines Gesamtkonzepts für Datensicherheit sein. Letzten Endes kommt es immer auch auf die Nutzer an. Zu einem umfassenden Risikomanagement gehört deshalb auch eine Unternehmenskultur, in der Mitarbeiter für den Umgang mit personenbezogenen Daten sensibilisiert werden und sich bei sicherheitsrelevanten Vorfällen ohne Angst vor Sanktionen vertrauensvoll an interne Ansprechpartner wenden können. 

Unternehmen befinden sich heute im Besitz großer Mengen sensibler Daten. Das bringt eine enorme Verantwortung für Geschäftsleitung und Mitarbeiter mit sich, die ihr Datenverständnis und -wissen ständig erweitern müssen. Um Risiken in verschiedenen Umgebungen zu vermeiden, ist es wichtig, Daten zu lokalisieren, zu klassifizieren und zu analysieren. Häufig sind Mitarbeitern die Folgeschäden von Informationsverlusten nicht bewusst, was dazu führt, dass sensible Daten häufig auf unsichere und ungeschützte Arten übermittelt werden. Zwar sieht die DSGVO keine Belehrungspflicht bezüglich Datenschutz für Mitarbeiter vor, jedoch kann eine Datenschutzunterweisung sinnvoll sein, wenn Mitarbeiter Verantwortung für DSGVO-konforme Datenverarbeitung in Unternehmen haben. 

Die Anonymisierung und Pseudonymisierung sensibler Daten ist ein weiterer entscheidender Baustein im Sicherheitskonzept. Um zusätzlich ein höheres Maß an Sicherheit für diverse Daten zu gewährleisten, sollte jeder Mitarbeiter zudem nur auf die für ihn erforderlichen Daten zugreifen können. Beispielsweise muss die Buchhaltungsabteilung in der Lage sein, alle Konten einzusehen, muss allerdings keinen Zugriff auf die gesamte Kundenkommunikation haben. Softwarelösungen weisen Mitarbeitern klare Zugriffsrechte zu, so dass nur diejenigen Mitarbeiter Zugang zu sensiblen Daten haben, die mit diesen tatsächlich arbeiten müssen. Zusätzlich ist es angesichts der steigenden Zahl von Mitarbeitern, die außerhalb der Sicherheit des Büronetzwerks arbeiten, wichtiger denn je, sicherzustellen, dass Remote-Arbeitsplätze vor Cyberangriffen geschützt sind.

Daten schützen bedeutet Mitarbeiter weiterbilden

Die meisten Unternehmen verfügten beim Wechsel zur Distanzarbeit nicht über geeignete Verfahren für das sichere Arbeiten im Home Office. Angestellte erhielten übereilt Geräte, die oft nicht ordnungsgemäß gesichert waren, oder mussten persönliche Geräte für die Büroarbeit verwenden. Aus dieser Erfahrung hat man gelernt, dass das Home Office zur Sicherheitslücke werden kann, wenn Mitarbeiter nicht richtig ausgestattet, nicht richtig geschult oder beides sind.

Beispielsweise kann es bei der Eingabe von persönlichen und vertraulicher Daten im Home-Office, wie etwa der Anmeldung mit bestehenden Accounts wie Google, Facebook oder Apple-ID passieren, dass Passwörter gehackt oder gestohlen werden. Die Multi-Faktor-Authentifizierung fügt hier eine zusätzliche Authentifizierungsebene ein, die es Datendieben schwerer macht, an persönliche Accounts zu gelangen. Auch die Verlagerung des Home Office in öffentliche Netzwerke wie beispielsweise Cafés oder Bibliotheken – etwa, weil das heimische Netzwerk ausgefallen ist – birgt Risiken, die Angestellte kennen müssen. Öffentliche Netzwerke sind zwar oft kostenlos, doch bestehen hier erhöhte Risiken für Datendiebstahl oder für das Einschleusen von Schadsoftware. Falls öffentliche Netzwerke nicht vermieden werden können, sollten Unternehmen Mitarbeitern einen VPN zur Verfügung stellen, auf den sie in solchen Fällen zurückgreifen können.

Fazit

Unternehmen haben seit vielen Jahren Datenschutzauflagen zu erfüllen. Seit 2018 sind diese auch gesetzlich in der europäischen DSGVO verankert. Die gestiegenen Datenmengen und ihre Handhabung in ungesicherten Umgebungen macht die Erfüllung der rechtlichen Vorgaben jedoch nicht gerade leicht. Für die Unternehmen besteht die große Herausforderung darin, ihr Geschäftsmodell und ihre Prozesse mit den bestehenden Rechtsvorschriften und einem wirksamen Risikomanagement zu vereinbaren. Das kann jedoch nur gelingen, wenn auch die Mitarbeiter wissen, was Datenschutz beinhaltet und was dabei beachtet werden muss. Zusätzlich sollten Unternehmen auch auf die Unterstützung von geeigneten technischen Maßnahmen zurückgreifen, wie z. B. die Implementierung von Datenschutzsoftware, die die Sicherheit der in ihrem Besitz befindlichen personenbezogenen Daten gewährleistet. Derartige Lösungen tragen dazu bei, Risikoanalysen für personenbezogene Daten zu erstellen, Richtlinien festzulegen und automatische Kontrollen einzuführen, um den erforderlichen Schutz kritischer Daten auch außerhalb des Büros zu garantieren.

Christian

Geckeis

General Manager DACH

Informatica

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.