Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

DSGVO Datentransfer 777193192 700

In fünf Wochen gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) verbindlich für jedes europäische Unternehmen. „Es genügt allerdings nicht, nur die Kommunikation mit Kunden oder die Website abzusichern. Auch die interne Unternehmenskommunikation muss DSGVO-konform gestaltet werden“, mahnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group.

Die unternehmensinterne Kommunikation ist bei den meisten Unternehmen tatsächlich umfangreicher, als es auf den ersten Blick scheint: Über Intranet, Social Media, Apps und Cloud-Dienste werden personenbezogene Daten erhoben, gespeichert und verarbeitet. Zahlreiche Tools und IT-Systeme stoßen auf IP-Adressen, es wird Dokumentenzugriff gewährt, Aufenthaltsorte und Nutzungszeiten der Mitarbeiter sind ersichtlich.

„Das wird mit der EU-DSGVO problematisch. Für Datensicherheit und Datenschutz sind gerade die Schnittstellen dieser Anwendungen und Geräte eine der häufigsten Schwachstellen. Deshalb muss sich jeder Mitarbeiter, der sich mit interner Kommunikation befasst, mit der Thematik Datenschutz und Datensicherheit auseinandersetzen. Es muss zumindest ein grundlegendes Verständnis geschaffen werden, um Änderungen in der internen Kommunikation für jeden Mitarbeiter nachvollziehbar und damit anwendbar zu machen“, so Christian Heutger.

EU-DSGVO-konforme Tools und mobile Geschäftsanwendungen

Die Zeiten und Arbeitsweisen haben sich geändert: Mitarbeiter sind heutzutage mobil, flexibel, agil. Einige Kollegen verfügen nicht einmal über einen festen PC-Arbeitsplatz – und müssen dennoch zwingend in die interne Kommunikation einbezogen werden. Oft und gern nutzen Abteilungen, die standortübergreifend zusammenarbeiten, Dienste wie Google Drive, Dropbox oder andere US-Anbieter, um gemeinsam vertrauliche Dokumente zu bearbeiten. Auf einige Dokumente haben auch Kunden Zugriff. Und nicht wenige Unternehmen setzen auf Mitarbeiter-Apps: Geschäftsanwendungen sind als Apps zeit- und ortsunabhängig überall erreichbar.

Dabei sind solche Apps mit etlichen Features ausgestattet, um die gesamte unternehmensinterne Kommunikation zu bündeln. „Meist ist die Kommunikation aus den verschiedenen Social Media-Kanälen einsehbar. Zudem sind häufig externe Systeme integriert und Gruppenchats sowie Privatnachrichten erlauben es, untereinander zu interagieren. Um es auf den Punkt zu bringen: Apps dieser Art sammeln persönliche und sensible Informationen in Massen. Deshalb ist es unabdingbar, mögliche interne Mitarbeiter-Apps auf ihre EU-DSGVO-Konformität zu überprüfen“, erinnert Heutger.

Problemfall Messenger Dienste

Messenger-Dienste erfreuen sich auch im Unternehmensumfeld größter Beliebtheit. Gerade der bekannteste und beliebteste Dienst, WhatsApp, zeigt sich nicht sonderlich datenschutzfreundlich: Erst kürzlich wurde bekannt, dass Facebook trotz Ende-zu-Ende-Verschlüsselung Nachrichten von WhatsApp mitlesen kann. „Das Problem bei solchen Lösungen ist die Datenübermittlung zwischen dem jeweiligen Anbieter und dem Endgerät. So gleichen einige Messenger, darunter WhatsApp, automatisch das Adressbuch mit den Daten auf dem Server ab. Telefonnummern sowie IP-Adressen sind jedoch personenbezogene Daten“, erklärt Christian Heutger und rät zur Verwendung alternativer Dienste: „Threema Work beispielsweise ist eine der wenigen kommerziellen Lösungen, die einen datenschutzkonformen Einsatz in Unternehmen möglich machen. So lassen sich mit Threema etwa einzelne Kontakte vom Datenabgleich ausschließen. Die gesamte Kommunikation verläuft Ende-zu-Ende-verschlüsselt und auf dem Smartphone gespeicherte Chats und Medien sind ebenfalls verschlüsselt.“

In diesem Zusammenhang sollten Unternehmen prüfen, welche Technologien aktuell für die interne Kommunikation überhaupt genutzt werden. Wer E-Mails bislang intern unverschlüsselt versendet, sollte das ändern, beispielsweise mit einer Gateway-Lösung. „Um einen ersten Schritt in Richtung einer ganzheitlichen Sicherheitskultur zu gehen, ist eine konsequente Ende-zu-Ende-Verschlüsselung empfehlenswert. Nur die jeweiligen Kommunikationspartner können die Nachricht dann entschlüsseln und E-Mails sowie Anhänge sind sicher vor ungebetenen Mitlesern und vor Manipulation“, rät der Experte.

Auch Mitarbeiter brauchen Compliance

Schatten-IT, leicht knackbare Passwörter oder sensible Informationen im privaten Postfach: Mitarbeitern unterlaufen immer wieder diverse Fehler bezüglich des Datenschutzes und bilden damit die Schwachstelle Nummer 1 in der internen Kommunikation. „Eine DSGVO-konforme interne Kommunikation lässt sich nicht ohne Schulungen, Seminare und dem Aufbau einer Compliance aufsetzen. Von heute auf morgen ändern Menschen allerdings ihre Gewohnheiten nicht. Es ist deshalb unabdingbar, Mitarbeiter beim Übergang in die neue Datenschutz-Ära intensiv zu unterstützen. Mein Rat ist, Mitarbeiter an die Hand zu nehmen, sie intensiv schulen zu lassen und ihnen eine Chance zu geben, sich auf die neuen Bedingungen, die mit der EU-DSGVO auf alle zukommen, einzustellen“, rät Heutger.

psw-group.de
 

GRID LIST
EU-Flagge und USA-Flagge

CLOUD Act - Schatten über der DSGVO

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In…
Verschlüsselungslösung

Tool „Panda Full Encryption“ ist da

Sie kommt als umfassende Verschlüsselungslösung für Laufwerke von PCs, Laptops und…
E-Mail

MTA-STS: Neuer Verschlüsselungsstandard zwischen Mailservern

MTA-STS steht für “Mail Transfer Agent – Strict Transport Security”. Der neue Standard…
Datenschutzbehörde Brief

Fünf Tipps gegen DSGVO-Bußgelder

Jede Woche ergehen rund 450 Millionen US-Dollar Strafe wegen Verstoß gegen die…
Datenschutzrecht

Aktuelle Entwicklungen im Datenschutzrecht

Die EU-Datenschutzgrundverordnung (DSGVO) und das neu gefasste Bundesdatenschutzgesetz…
Facebook-LikeButton

EuGH zu Facebook-Like Button - Wer trägt die Datenschutz-Verantwortung?

Viele Websites binden Facebooks «Like»-Button und andere ähnliche Plug-ins ein, die Daten…