Datenschutz und Sicherheit, welche Maßnahmen ergreifen

Datenschutz und Sicherheit

Der Start in die neue Woche verläuft im besten Fall stressfrei und ohne weitere Vorkommnisse. Im besten Fall…

Es gibt aber auch Tage die nicht optimal beginnen. Sie fahren morgens auf das Betriebsgelände, parken Ihr Fahrzeug und gehen wie jeden Tag den gleichen Weg zu ihrem Büro. Nichts Ungewöhnliches. Aber als Sie die Bürotür erreichen, stellen Sie fest, dass ihr Schlüssel heute überfällig ist. Zerbrochene Scheiben und ein Stein lassen schlimmes erahnen. Sie rufen die Polizei. Als diese endlich vor Ort ist, beginnen die Beamten mit der Spurensuche. Tausende Gedanken gehen Ihnen durch den Kopf… Diesen Arbeitstag werden Sie auf keinen Fall vergessen.

Als die Ermittlungen abgeschlossen sind, dürfen Sie endlich in das Gebäude. Sie stellen fest, dass die Einbrecher ein unbeschreibliches Chaos hinterlassen haben. Statt Rechnungen zu buchen und Angebote auszufüllen, werden Sie nun aufräumen und versuchen halbwegs stressfrei durch den restlichen Tag zu kommen. Allerdings stellen Sie beim Sortieren fest, dass einige Unterlagen fehlen. Hefter mit vertraulichen Kunden- und Mitarbeiterdaten, Rechnungen und Kontoauszüge. Personenbezogene Daten von Ihnen, ihren Kollegen, ihren Kunden und Geschäftspartnern. Der Albtraum für jeden, den das Thema Datenschutz betrifft.

Datenschutz vor Diebstahl

Vor Einbrüchen und Diebstahl ist niemand sicher. Allerdings können wir eine Menge tun, um gewisse Vorsorgemaßnahmen zu treffen. Vor allem im Bereich der sensiblen Daten ist diese Vorsorge besonders wichtig.

Welche Maßnahmen ergreifen

Da Diebstahl ebenso über den IT-Bereich erfolgen kann, sind auch da Sicherheitsvorkehrungen zu treffen. Diese können Passwortsperren sein, Zugangsberechtigungen, System- und Netzwerkprotokolle, Verschlüsselungssysteme und die Sicherung der Daten auf externen Festplatten. Gerade in der Welt der digitalen Daten sollte jeder möglich viele Schutzmaßnahmen ergreifen. Um personenbezogene und besonders schützenswerte Daten gut zu sichern, ist es wichtig, Türen und Fenster nach Feierabend laufend verschlossen zu halten. Außenjalousien oder Gitter halten Einbrecher womöglich ab. Noch bevor die Übeltäter diese öffnen, wird der Bewegungsmelder aktiviert, die Alarmanlage ertönt und Sicherheitspersonal erscheint. Sollte es dennoch passieren, dass sich jemand unbefugten Zutritt in die Unternehmensräume verschafft, sind alle relevanten Akten, Dokumente oder Karteianlagen in dafür vorgesehenen, verschließbaren Schränken unterzubringen.

Im Sicherheitsbereich wird eine Vielzahl an Möglichkeiten geboten.

Tipp: Egal für welche Diebstahlsicherung Sie sich entscheiden, bedenken Sie, dass neben Geld und besonderen Waren, auch sensible Daten geschützt werden müssen. Schon ein einfacher Bewegungsmelder oder eine Videokamera, können mögliche Räuber von vornherein abwehren.

Technische Maßnahmen zum Schutz personenbezogener Daten

Neben den physischen Sicherheitsvorkehrungen spielen technische Maßnahmen eine zentrale Rolle beim Schutz personenbezogener Daten. Die DSGVO fordert in Art. 32 ausdrücklich, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den wichtigsten technischen Maßnahmen gehören:

• Verschlüsselung: Sowohl die Verschlüsselung von Daten bei der Übertragung (Transport-Verschlüsselung mittels TLS/SSL) als auch die Verschlüsselung gespeicherter Daten (Data-at-Rest-Encryption) sind wichtig. Besonders bei mobilen Endgeräten wie Laptops, Tablets und Smartphones ist eine Vollverschlüsselung der Festplatte dringend empfohlen. Bei einem Diebstahl des Gerätes sind die Daten so für Unbefugte nicht zugänglich.
• Zugangskontrolle: Starke Passwörter in Kombination mit einer Zwei-Faktor-Authentifizierung erschweren den unbefugten Zugriff erheblich. Jeder Mitarbeiter sollte nur Zugang zu den Daten haben, die er für seine Arbeit tatsächlich benötigt (Need-to-Know-Prinzip).
• Regelmäßige Backups: Eine durchdachte Backup-Strategie schützt vor Datenverlust durch Diebstahl, Hardware-Defekte oder Ransomware-Angriffe. Wichtig ist dabei, dass Backups an einem separaten, gesicherten Standort aufbewahrt werden und regelmäßig auf ihre Wiederherstellbarkeit getestet werden.
• Firewall und Netzwerksicherheit: Eine professionell konfigurierte Firewall, Intrusion-Detection-Systeme und eine segmentierte Netzwerkarchitektur bilden die Basis einer sicheren IT-Infrastruktur.

Organisatorische Maßnahmen nicht vergessen

Technik allein reicht nicht aus. Organisatorische Maßnahmen sind ebenso entscheidend für den Schutz personenbezogener Daten. Dazu gehören klare Richtlinien zum Umgang mit vertraulichen Informationen, die schriftlich dokumentiert und allen Mitarbeitern zugänglich gemacht werden sollten.

Ein wesentlicher Baustein ist die regelmäßige Datenschutzschulung der Mitarbeiter. Viele Datenschutzverletzungen entstehen nicht durch ausgefeilte Hackerangriffe, sondern durch menschliches Fehlverhalten. Phishing-E-Mails, unsachgemäße Entsorgung von Dokumenten oder das Vergessen, den Bildschirm zu sperren, sind häufige Ursachen für Datenpannen.

Außerdem sollte jedes Unternehmen über einen Notfallplan verfügen, der genau regelt, was im Falle eines Sicherheitsvorfalls zu tun ist. Wer muss informiert werden? Welche Schritte sind einzuleiten? Gemäß Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Clean-Desk-Policy als einfache Sofortmaßnahme

Eine der einfachsten und gleichzeitig wirkungsvollsten Maßnahmen ist die Einführung einer Clean-Desk-Policy. Diese Richtlinie besagt, dass Mitarbeiter ihren Arbeitsplatz so hinterlassen, dass keine vertraulichen Informationen offen einsehbar sind. Dokumente werden in verschlossenen Schränken aufbewahrt, Bildschirme gesperrt und Drucker-Ausdrucke zeitnah abgeholt.

Gerade in Großraumbüros oder bei Unternehmen mit Publikumsverkehr ist eine Clean-Desk-Policy besonders wichtig. Sie verhindert, dass Besucher oder unbefugte Personen beiläufig vertrauliche Informationen einsehen können.

Datenschutz als Unternehmenskultur verankern

Datenschutz und Datensicherheit dürfen nicht als lästige Pflicht betrachtet werden, sondern sollten fester Bestandteil der Unternehmenskultur sein. Nur wenn alle Mitarbeiter verstehen, warum der Schutz personenbezogener Daten wichtig ist, werden sie die notwendigen Maßnahmen auch konsequent umsetzen.

Der Datenschutzbeauftragte spielt dabei eine Schlüsselrolle. Er berät das Unternehmen nicht nur bei der Umsetzung gesetzlicher Anforderungen, sondern unterstützt auch bei der Sensibilisierung der Belegschaft. Regelmäßige Audits und Kontrollen stellen sicher, dass die getroffenen Maßnahmen auch tatsächlich wirksam sind und eingehalten werden.

Letztlich profitieren Unternehmen, die Datenschutz ernst nehmen, nicht nur von der Vermeidung hoher Bußgelder, sondern auch von einem gesteigerten Vertrauen ihrer Kunden und Geschäftspartner. In einer Zeit, in der Datenskandale regelmäßig Schlagzeilen machen, ist ein nachweisbar hoher Datenschutzstandard ein echter Wettbewerbsvorteil.

Videoüberwachung als Schutzmaßnahme – Datenschutz beachten

Eine Videoüberwachung kann ein wirksames Mittel gegen Einbrüche und Diebstahl sein. Allerdings ist bei der Installation und dem Betrieb von Überwachungskameras der Datenschutz besonders zu beachten. Art. 6 Abs. 1 lit. f DSGVO erlaubt die Videoüberwachung grundsätzlich auf Basis eines berechtigten Interesses, etwa zum Schutz des Eigentums. Dabei ist jedoch laufend eine Interessenabwägung vorzunehmen.

Wichtig ist, dass Mitarbeiter und Besucher über die Videoüberwachung informiert werden. Hinweisschilder müssen gut sichtbar angebracht sein und die wesentlichen Informationen gemäß Art. 13 DSGVO enthalten: den Verantwortlichen, den Zweck der Überwachung, die Speicherdauer und die Kontaktdaten des Datenschutzbeauftragten. Die Aufnahmen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. In der Regel empfehlen die Aufsichtsbehörden eine Speicherdauer von maximal 72 Stunden.

Bereiche wie Umkleideräume, Sanitäranlagen oder Pausenräume dürfen grundsätzlich nicht videoüberwacht werden, da hier die schutzwürdigen Interessen der Betroffenen überwiegen. Auch eine heimliche Überwachung von Mitarbeitern ist nur in eng begrenzten Ausnahmefällen zulässig und bedarf einer vorherigen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

Versicherungsschutz und Dokumentationspflichten

Neben den physischen und technischen Sicherheitsmaßnahmen sollten Unternehmen auch ihren Versicherungsschutz überprüfen. Eine Cyberversicherung kann im Falle eines Datendiebstahls oder einer Datenschutzverletzung die finanziellen Folgen abmildern. Viele Versicherer verlangen als Voraussetzung für den Versicherungsschutz jedoch den Nachweis angemessener Sicherheitsmaßnahmen.

Außerdem sind Unternehmen nach der DSGVO verpflichtet, alle getroffenen Sicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und muss bei einer Prüfung durch die Aufsichtsbehörde vorgelegt werden können. Ein strukturiertes Sicherheitskonzept, das regelmäßig aktualisiert wird, bildet die Grundlage für einen umfassenden Schutz sensibler Daten im Unternehmen.

Checkliste: Datenschutz nach einem Einbruch

Sollte es trotz aller Vorsichtsmaßnahmen zu einem Einbruch kommen, bei dem personenbezogene Daten betroffen sein könnten, ist strukturiertes Handeln gefragt. Folgende Schritte sollten unverzüglich eingeleitet werden:

• Prüfen Sie, ob personenbezogene Daten entwendet oder eingesehen wurden.
• Dokumentieren Sie den Vorfall umfassend mit Datum, Uhrzeit und Art der betroffenen Daten.
• Informieren Sie Ihren Datenschutzbeauftragten und prüfen Sie gemeinsam, ob eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO erforderlich ist.
• Benachrichtigen Sie gegebenenfalls die betroffenen Personen gemäß Art. 34 DSGVO.
• Leiten Sie Sofortmaßnahmen ein, um weitere Datenverluste zu verhindern.
• Analysieren Sie die Ursachen des Vorfalls und verbessern Sie Ihre Schutzmaßnahmen entsprechend.

Ein vorbereiteter Notfallplan, der diese Schritte bereits im Vorfeld definiert, spart im Ernstfall wertvolle Zeit und hilft, die gesetzlichen Fristen einzuhalten.