Blogbeitrag 10 DSVGO Fallen

10 DSGVO-Fallen für Sie und Ihre Mitarbeiter

Dieser Artikel ist Nummer 8 von 8 im Special "Datenschutzgrundverordnung 2018"

Verwirrung oder Sorglosigkeit?

Mehr Selbstbestimmung im Netz, was die persönlichen Daten angeht, die so im Netz kursieren. Das ist das Ziel der neuen Datenschutz-Grundverordnung. Doch erst einmal sind alle, die nicht unmittelbar mit der DSGVO zu tun haben, verwirrt.

Man konzentriert sich auf die Abläufe in den Unternehmen und vergisst, dass gerade bei ungeschulten Mitarbeitern die eine oder andere Schwachstelle liegt, die in eine der DSGVO-Fallen führt, was sich als fatal erweisen könnte.

Falle 1: Der Papierkorb

Im Zuge der Digitalisierung vergisst man immer häufiger, dass doch noch genügend Papier im Umlauf ist. Und Vorsicht, auch Druckerzeugnisse können personenbezogene Daten enthalten!  Landen die im Papierkorb, könnte hier ebenfalls ein unberechtigter Zugriff möglich sein. Mittlerweile gibt es Datenschutztonnen, die die geforderte sichere und dokumentierte Datenvernichtung gewährleisten. Größere Aktenmengen sollten sogar von einem externen Dienstleister übernommen werden.

Für Ihre Mitarbeiter gilt, dass Akten ordnungsgemäß durch Schreddern entsorgt werden müssen, was jetzt noch wichtiger ist als in der Vergangenheit.  

Falle 2: Private Geräte am Arbeitsplatz

Immer mal wieder wird von zuhause z. B. ein USB-Stick mitgenommen, um in der Pause Privates am Arbeitsplatz zu erledigen oder man nimmt Unterlagen aus dem Unternehmen mit nach Hause, um da weiterzuarbeiten. Man denkt nicht daran, dass die Geräte vielleicht infiziert sind. Das kann sich im Betriebssystem ausbreiten und eine Gefahr für Ihre Daten darstellen. Verbieten Sie private Geräte und statten Sie firmeneigene Geräte mit Verschlüsselungen aus, denn hier lauert:

Falle 3: Firmengeräte werden privat genutzt

Im Zuge der Digitalisierung ist es völlig problemlos geworden, im Homeoffice oder auch unterwegs zu arbeiten. Doch die zur Verfügung stehenden Laptops, Tablets und Smartphones werden häufig auch privat genutzt. Das birgt Gefahren, besonders wenn man über öffentliches WLAN geht, vor allem, wenn Festplatten oder USB-Sticks zudem auch noch unverschlüsselt sind. Öffentliches WLAN darf in keinem Fall verwendet werden, denn das macht firmeninterne Daten angreifbar.  

Falle 4: Private E-Mail-Accounts

Gerade bei Mitarbeitern, die ein Homeoffice betreiben, wird das private E-Mail-Konto oft zum Übermitteln betrieblicher Dokumente genutzt. Diese können vielleicht vertrauliche persönliche Daten enthalten. Das mag aus Unwissenheit oder Bequemlichkeit passieren oder auch tatsächlich, weil man die Dokumente auch privat nutzen möchte. Hacker suchen genau nach solch unsicheren Übertragungsmethoden. Die Verwendung privater Accounts sollte daher grundsätzlich ausgeschlossen werden. Für Dateianhänge gibt es automatisierte Tools, die die Anhänge verschlüsseln.

Falle 5: Ein Passwort für alle Accounts

Auf gar keinen Fall können wir Account-Sharing empfehlen! Vor allem für Mitarbeiter, die personenbezogene Daten verarbeiten, sollten immer eigene Accounts eingerichtet werden. Die müssen allerdings dann auch mit sicheren Passwörtern geschützt sein. Wer kennt es nicht, dass Menschen sich einfache und leicht zu merkende Passwörter aussuchen und dann möglichst immer das gleiche benutzen. Fehler Nr. 1 im Datenschutz! Es leuchtet ein, dass, wenn ein Passwort einmal geknackt ist, der Zugang zu allen Nutz-Accounts und somit auch zu personenbezogenen Daten frei ist.

Richten Sie Ihre Seiten so ein, dass die Mitarbeiter gezwungen sind, sich ein sicheres Passwort einzurichten und dieses dann auch regelmäßig ändern müssen!

Falls 6: Kommen Sie doch herein!

Jeder kann Ihre Büroräume betreten und hier fröhlich durchflanieren und sich umschauen?  Lassen Sie betriebsfremde und unbekannte Besucher nicht einfach in Ihren Räumen unbeaufsichtigt herumspazieren. Nur ein einziges vergessenes Dokument mit persönlichen Daten kann hier Folgen für den Datenschutz in Ihrem Unternehmen haben.

Falle 7: Brisanz Telefonie

Schulen Sie alle Ihre Mitarbeiter, die Ihre Telefone im Unternehmen bedienen, genau und präzise darauf, welche Informationen wann weitergegeben werden dürfen! Wenn Daten über Personen unberechtigt an unbefugte Dritte herausgegeben werden, sollten Sie bedenken, dass eine unbefugte Datenweitergabe mit einem Bußgeld von 300.000 Euro belegt werden kann. Auskunftsansprüche können bestehen (z. B. von Seiten der Polizei) sind aber immer zu überprüfen. Auch wenn die DSGVO nicht explizit eine Verpflichtungserklärung der Mitarbeiter verlangt, empfehlen wir aber, diese nicht auszulassen. Sie sind verantwortlich, dass Mitarbeiter nach Ihrer Anweisung agieren.

Falle 8:  Chaos am Arbeitsplatz

Frei zugängliche Daten wie Verträge, Notizen mit persönlichen Daten und  Informationen dürfen nie ungeschützt und frei zugänglich auf dem Schreibtisch zurückgelassen werden. Das bedeutet Alarm für Ihren Datenschutz! Wach- oder Reinigungspersonal oder tatsächlich sogar betriebsfremde Personen können an sensible Informationen kommen.
Setzen Sie in Ihrem Unternehmen auf eine Clean-Desk-Policy! Auch wenn Sie oder Ihre Mitarbeiter nur kurz ins Meeting gehen oder in die Mittagspause – setzen Sie alle Dokumente mit personenbezogenen Daten unter Verschluss. Für Ihren PC gilt ein passwortgeschützter Bildschirmschoner.

Falle 9: Datenmüll auf dem PC

Ein ganz wesentlicher Bestandteil der DSGVO ist die Löschung der Daten. Daten dürfen nur solange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Haben Sie auch immer noch ein restlos volles E-Mail-Postfach? Gewöhnen Sie sich an, dieses regelmäßig zu leeren. Und achten Sie darauf, dass personenbezogene Daten, die auf Ihrer Festplatte noch im Verborgenen schlummern, in den Papierkorb verschoben werden. Und denken Sie daran, auch immer mal wieder Ihren Papierkorb zu leeren. Natürlich müssen Sie die Aufbewahrungsfristen wahren!

Falls 10: Schwerwiegende Beeinträchtigung durch Datenpannen

Kein Mensch und kein Unternehmen ist gegen Fehler gefeit. Und generell besteht das größte Risiko oder der Verstoß im Verschweigen. Hier können Ihnen unabsehbare Schäden entstehen. 

Alle Datenpannen, die Ihnen passieren, müssen dokumentiert werden (vgl. Art. 33 Abs. 5 EU-DSGVO). Datenpannen, bei denen sogar eventuell ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen zudem binnen 72 Stunden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Betroffene müssen allerdings nur informiert werden, wenn durch die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht (vgl. Art. 34 Abs. 1 EU-DSGVO).

Schulen Sie Ihre Mitarbeiter, gehen Sie beispielhaft voran und geben Sie auch offen zu, wenn Schäden entstanden sind. Und noch wichtiger: Tun Sie alles, um die Mitarbeiter für den Datenschutz zu sensibilisieren, machen Sie ihnen die Bedeutung klar und thematisieren Sie Datenschutz und seine Folgen immer wieder aufs Neue. So vermeiden Sie im Sinne der DSGVO schwerwiegende Beeinträchtigungen und deren eventuelle weitreichende Folgen.

 

Weitere Beiträge dieser Serie« Security Header: Ist Ihre Verbindung safe?

Diesen Beitrag bewerten

0 Kommentare

Dein Kommentar

Möchtest du mitdiskutieren?
Fühl dich frei, beizutragen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.