Auch gut vier Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gibt es noch viel Unklarheit darüber, wie man als Unternehmen datenschutzkonform arbeitet. Nachrichtenbeiträge über Datenlecks und Datenschutzverstöße – und mit ihnen einhergehende Bußgelder in Millionenhöhe – sind an der Tagesordnung. Dabei können schon einfache Tricks helfen, nicht in die Datenschutzfalle zu tappen. Im Folgenden erläutert Conceptboard fünf der gängigsten Stolperfallen bei der Datenverarbeitung – und wie man sie umgeht.
Unsichere persönliche Arbeitsweisen im Alltag
Eine der Hauptursachen für einen Verstoß gegen den Datenschutz im Rahmen eines Datenlecks stellen unsichere Praktiken im Arbeitsalltag dar. Insbesondere der sichere Umgang mit Passwörtern ist in vielen Organisationen noch problematisch: Passwörter und PINs werden aufgeschrieben, weitergereicht und wiederverwendet. Zudem gestalten User ihre Passwörter so, dass sie leicht zu merken und schnell einzutippen sind. Dies ist mehr als verständlich, arbeiten Mitarbeiter doch mit einer Vielzahl von Lösungen. Die Gefahr hierbei: Hacker können einfache Passwörter knacken oder sie anderweitig abgreifen. Denn: Es dauert durchschnittlich nur etwa 97 Sekunden, um ein 8-stelliges Passwort aus Kleinbuchstaben zu entschlüsseln.
Was hilft? Starke Passwortpraktiken wie ein regelmäßiger Wechsel von Passwörtern, ausreichende Länge und Komplexität. Besser noch: Eine 2- oder Multifaktorauthentifizierung, die Nutzernamen und Passwort um einen oder mehrere sichere Faktoren (Security-Token, Fingerabdrucksensor, SMS-TAN) erweitert.
Unrechtmäßige Verarbeitung personenbezogener Daten
Die DSGVO regelt die Art und Weise, wie Unternehmen mit personenbezogenen Daten arbeiten dürfen. Bei vielen Mitarbeitern – auf sämtlichen Ebenen – existiert allerdings kein Bewusstsein dafür, welche Daten sie auf welche Weise wann verarbeiten dürfen. Die Verordnung setzt Unternehmen einen strengen Rahmen, wie mit personenbezogenen Daten umgegangen werden muss. Sei es bei der Sammlung von Daten, der Verwendung oder der Löschung. Verwendet eine Organisation beispielsweise eine Liste mit Namen und Adressen für andere Zwecke als ursprünglich angedacht – etwa im Rahmen einer Umfrage oder eines Gewinnspiels – besteht darin eine Zweckentfremdung. Die Folgen für solche Verstöße können unangenehm sein und Bußgelder in Höhe von vier Prozent des Jahresumsatzes oder 20 Millionen Euro mit sich ziehen – je nachdem, was höher ist.
Was hilft? Mitarbeiter im Umgang mit sensiblen Daten schulen, und das regelmäßig. Einfache Broschüren, die Dos and Don’ts aufzeigen, können einen ersten Schritt zu mehr Sensibilität darstellen. Dedizierte Schulungen und Auffrischungen festigen das Wissen und sensibilisieren Mitarbeiter.
Nutzung unsicherer Cloud-Lösungen
Cloud-Dienste sind mittlerweile aus dem Unternehmensalltag nicht mehr wegzudenken. Sie helfen dabei, große Mengen an Daten zu sammeln, zu verarbeiten und zu speichern und entlasten unternehmenseigene IT-Infrastrukturen durch ihre hohe Skalierbarkeit. Zudem sind sie schnell aufgesetzt und bieten oftmals flexible Kostenmodelle an. Jedoch gibt es auch hier ein paar Fallstricke. Der wohl relevanteste: Cloud-Dienstleister, die Informationen in US-amerikanischen Rechenzentren speichern, müssen diese Daten auf Anfrage dortiger Geheimdienste preisgeben – legitimiert durch den Cloud Act. US-Behörden können somit Zugriff auf persönliche bzw. firmeninterne Daten erlangen, was durch die DSGVO untersagt ist. Hierbei haftet allerdings nicht der Cloud-Provider, der sich an geltendes Recht hält: Das nutzende Unternehmen wird stattdessen zur Rechenschaft gezogen.
Was hilft? Achten Sie bei der Auswahl ihrer Cloud-basierten Lösungen darauf, dass Daten in europäischen oder – besser noch – deutschen Rechenzentren gespeichert werden. Viele Anbieter werben aktiv damit, Daten ausschließlich in hiesigen Rechenzentren zu speichern und somit DSGVO-Konformität zu gewährleisten. Kommen Cloud-Lösungen aus regulatorischen oder anderen Gründen nicht in Frage, schaffen Onpremises-Modelle Abhilfe.
Mangelhafte Datenschutzerklärungen
Seit Einführung der DSGVO müssen Unternehmen ihre Datenschutzerklärungen auf Webseiten deutlich detaillierter gestalten als vorher. Eine veraltete Datenschutzerklärung kann einen Datenschutzverstoß bedeuten und Bußgelder können die Folge sein.
Was hilft? Rechtskonforme Datenschutzerklärungen gibt es mittlerweile im Internet vorgefertigt zur Nutzung für den eigenen Web-Auftritt. Unternehmen sollten im Zweifelsfall die eigene Rechtsabteilung zu Rate ziehen oder externe Berater mit ins Boot holen.
Datenspeicherung
Die Archivierung von Daten stellt einen zentralen Punkt im Unternehmensalltag dar, zudem ist sie gesetzlich vorgegeben, beispielsweise in Form der Speicherungspflicht von Rechnungen. Die DSGVO sieht vor, personenbezogene Daten auf Anfrage betroffener Personen sofort und unwiderruflich zu löschen. Insbesondere bei Unternehmen, in denen eine Vielzahl von Cloud- und lokalen Speichern in Benutzung ist, kann der Überblick schnell verloren gehen: Wo sind Dokumente mit entsprechenden Daten überall gespeichert? Existieren Backups, die nicht katalogisiert sind? Haben Mitarbeiter gar eigene Sicherheitskopien auf USB-Sticks oder Endgeräten erstellt? Können Unternehmen nicht nachweisen, auf Anfrage alle entsprechenden Daten gelöscht zu haben, drohen Bußgelder im Rahmen eines DSGVO-Verstoßes.
Was hilft? Eine genaue Katalogisierung aller sensiblen Daten ist ein Muss. Nur so ist sichergestellt, dass im Rahmen einer Löschanfrage alle relevanten Informationen gefunden und gelöscht werden. Achten Sie zudem darauf, ein Bewusstsein bei Mitarbeiter für den sicheren Umgang mit Daten zu schaffen (siehe Punkt 1). Somit senken sie nicht nur das Risiko für Datenschutzverstöße – auf diese Weise können Unternehmen zudem ihre IT-Sicherheit und Resilienz gegenüber Cyber-Angriffen stärken.
Ausblick
Der Datenschutz wird auch in Zukunft eine zentrale Rolle für Unternehmen spielen – und Verstöße gegen die DSGVO werden mit Sicherheit auch in Zukunft passieren. Damit Entscheider nicht das eigene Unternehmen in ungewollten Schlagzeilen vorfinden, lohnt es sich, verbreitete Risiken und gängige Stolperfallen im Bezug auf die DSGVO zu kennen. Nicht nur als Datenschutzbeauftragter, sondern auf jeder Hierarchieebene.
#Conceptboard