Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

DSGVO Justizia

Lange Zeit war es nach anfänglich großer Sorge der KMU-Unternehmen dann doch sehr ruhig geworden um das Thema Bußgelder im Zusammenhang mit der EU-DSGVO. Kürzlich dann erhitzte ein Gerichtsurteil aus Österreich die Gemüter.

Darin ging es um Mieter-Klingelschilder, die aufgrund des Datenschutzes entfernt werden müssten. Zunächst gab es konkrete Handlungsempfehlungen einer größeren Grundbesitzervereinigung, dann das Dementi der obersten Datenschützerin in Deutschland. Andere Datenschutz-Landesvorsteher blieben der Meinung treu, dass namentliche Klingelschilder der Vergangenheit angehören.

Auch Praxen setzten die neuen DSGVO-Richtlinien nur halbherzig um. Noch immer sind Patientenakten bei der Anmeldung teilweise einsehbar. Nur in wenigen Fällen wird auf das namentliche Aufrufen von Patienten verzichtet.

Hohes Bußgeld für portugiesisches Krankenhaus

Nun ist vom EU-Nachbarland Portugal zu hören, dass ein 400.000 € Bußgeld gegen ein KMU-Unternehmen verhängt worden sei, das knapp 300 Ärzte beschäftige. Laut Público habe die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) dieses Bußgeld gegen das Krankenhaus Barreiro Montijo sowie weitere 100.000€ für andere Vorkommnisse verhängt.

Der Vorwurf: Man habe es mit den Benutzerberechtigungen nicht genau genug genommen. Es seien dreimal mehr Zugänge für Patientendaten eingerichtet gewesen als Ärzte angestellt waren. Eine „kleine Schlamperei“, wie sie in vielen Unternehmen vorkommt, die keine klaren und kontrollierten Prozesses zur Schließung von Benutzerkonten beim Ausscheiden von Mitarbeitern etabliert haben. Zudem hätten Techniker-Zugänge bestanden, die unnötiger Weise ebenfalls auf Patientendaten Zugriff gehabt hätten. Auch dies ist ein typischer Fehler: Administratoren mehr Zugänge zu geben als notwendig oder eben die Techniker einfach machen zu lassen, weil man möchte, dass die IT einfach nur läuft.

Allgemeine praktische Probleme

Zwar kann ein hochrangiger Admin sich selbst auf fast alle Daten Zugang gewähren, doch diese Berechtigungsänderungen werden in der Regel protokolliert. Datenzugriffe für IT Admins sind überdies oft notwendig, denn wie sonst soll dieser beispielsweise eine beschädigte Datei reparieren. Doch dürfen solche Zugänge nicht ohne Konzept und Kontrolle vergeben werden; Wildwuchs ist unbedingt zu vermeiden. Überhöhte Berechtigungen schleichen sich ein, weil und insofern alle Anwender inkl. der Admins häufig genervt davon sind, zahlreiche verschiedene Passwörter nutzen oder mühsam Berechtigungsfreigaben einholen zu müssen, kostet dies schließlich wertvolle Arbeitszeit – so die Empfindung.

Vielen Unternehmensverantwortlichen ist noch nicht bewusst, dass im Industrie 4.0 Zeitalter zwar vieles schneller geht und schnelllebiger geworden ist, doch eben auch größere Risiken bestehen als im Papierzeitalter: Früher war es gar nicht so leicht, einen Aktenordner mitgehen zu lassen, denn das große schwere Ding musste am Pförtner vorbei, Kollegen konnten einen beim Transport auf dem Flur beobachten usw. Die Daten aller Patienten zu entwenden, war so fast unmöglich. Einen USB-Stick in der Manteltasche dahingegen sieht niemand, findet kaum ein Metalldetektor – und dieser winzige Stick kann alle Patientendaten enthalten.

Gestiegene Risiken des Datenmissbrauchs

Die Risiken für Datenmissbrauch sind ergo immens gestiegen. Nicht nur die Arbeit ist im Zeichen der Digitalisierung einfacher geworden, auch illegitime Machenschaften sind es. Daher sollte jedem Unternehmen bewusst werden, dass u.a. Berechtigungskonzepte und Kontrollen unumgänglich sind – und zwar unabhängig von aller Kritik an der DSGVO.

Selbstverständlich entstehen für Konzepte und Kontrollen Kosten. Diese sind jedoch weit geringer als die durch modernes Arbeiten im Sinne der Industrie 4.0 erzielten Einsparungen und Effizienzsteigerungen. Günstiger als 400.000€ Bußgelder ist die Etablierung geeigneter Maßnahmen zumindest für den Mittelstandsunternehmer allemal.

Empfohlene Maßnahmen

Die Erstellung eines simplen Berechtigungskonzepts kann mittels einer Excel-Tabelle erfolgen, die sämtliche Zugänge für die verschiedenen Datenlaufwerke und Anwendungen auflistet. In einem weiteren Tabellenblatt werden die Benutzergruppen, deren Berechtigungsstufe dem jeweiligen Zugang zugeordnet. Das dritte Tabellenblatt führt dann alle Benutzer auf, die den jeweiligen Gruppen zugeordnet sind.

Dieses beispielsweise von der Personalabteilung gepflegte Berechtigungskonzept kann sodann der internen oder externen IT-Abteilung zur Umsetzung oder regelmäßigen Kontrolle übergeben werden. Weiterhin eignen sich Stichproben, ob und welche Benutzerzugänge für ausgeschiedene Zugungsberechtigte ggf. noch bestehen.

Weitere Informationen:

Das Mahr EDV Systemhaus hilft gerne bei der Umsetzung von Berechtigungskonzepten und der Implementierung von Kontrollsystemen. Weiterhin steht die Mahr EDV Checkliste zur DSGVO einschließlich zahlreichen Vorlagen zum Abruf bereit: https://www.mahr-edv.de/checkliste-und-vorlagen-dsgvo

Die Mahr EDV Checkliste zur DSGVO stellt zwar keine Rechtsberatung dar und erhebt auch keinen Anspruch auf Vollständigkeit, ist aber eine ziemlich umfangreiche Unterstützung für viele Unternehmen. Das Barreiro Montijo Krankenhaus könnte dieser Checkliste beispielsweise entnehmen, dass für deren Webseite eine Verschlüsselung (https) eine sinnvolle Maßnahme ist, die diese noch nicht umgesetzt haben (www.chbm.min-saude.pt). Die https-Verschlüsselung ist im Hinblick auf die EU-DSGVO zumindest dann zwingend erforderlich, wenn durch Kontaktformulare Daten der Nutzer übertragen werden.

www.mahr-edv.de
 

Ricoh_Whitepaper Unterm_DSGVO_Radar_Sicherheit_im_Druck
Nov 12, 2018

Unterm DSGVO-Radar: Sicherheit im Druck- und Dokumentenmanagement

Dieses Whitepaper zeigt, warum eine Optimierung der IT-Sicherheit notwendig ist und was…
GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…