Datenschutz auf der Agenda?

Ein Blogbeitrag von unserem wertgeschätzten Experten Sebastian Tausch

So holen Sie mehr aus dem Thema Datenschutz für Ihr Unternehmen heraus.

Kommt das Thema Datenschutz auf die Tagesordnung läuft den meisten Unternehmern und Führungskräften ein Schauer über den Rücken. Datenschutz, ein Haufen Paragraphen, jede Menge IT-Fachjargon und vermeintlich viel unnötig bedrucktes Papier, welches im Prinzip niemand liest. Jetzt, knapp ein Jahr vor der Einführung der EU Datenschutzgrundverordnung landet das Thema „Datenschutz“ bei vielen Verantwortlichen wieder auf der Agenda. Das ist ein sehr guter Grund das Thema Datenschutz anders anzugehen als bisher. Denn dann können Sie mehr aus dem Datenschutz herausholen als einen „Haufen Papier“.

Bisher häufig genutzt: die Quick & Dirty Lösung

In der Praxis erlebe ich es sehr häufig, dass eine „Quick & Dirty Lösung“ gesucht und meistens auch gefunden wird. Ein oder mehrere Berater werden bestellt, bevorzugt aus einer Prüforganisation oder einer Kanzlei, die dann den oben angesprochenen „Haufen Papier“ produziert. Die Unternehmensleitung hakt das Thema ab, auch wenn nach dem Besuch eines Beraters ein offener Maßnahmenkatalog zurückbleibt.

Trügerische Sicherheit

Oft wiegen sich die Unternehmen dann auch in falscher Sicherheit, denn das reine Vorhalten einer Dokumentation ist noch lange kein vernünftiger Datenschutz. Hinzu kommt, dass ein externer Berater immer nur den aktuellen Zustand aufnimmt und aufgrund der festgelegten Zeit meistens nur an der Oberfläche „kratzen“ kann. Er kommt dann zum Ergebnis, dass u. a. der Zugriff auf Programme mit Benutzername und Passwort gesichert ist, ein Virenschutz und eine Firewall im Einsatz sind.

Ein zweiter Blick zeigt dann oft eine ganz andere Situation. Zwei Beispiele aus der Praxis sollen dies verdeutlichen.

Beispiel 1: Smartes Arbeiten

Ein Mitarbeiter will auch von unterwegs auf seine geschäftlichen Unterlagen zugreifen. Das Unternehmen stellt Notebooks, der Mitarbeiter möchte aber lieber mit seinem – privaten – Tablet arbeiten. Um die Dateien auf sein Gerät zu bringen nutzt er einfach einen entsprechenden Dienst, wie Google Drive oder Dropbox.

Ihr Problem: sind in den Dateien personenbezogene Daten enthalten, z. B. Kundenlisten, liegt hier oft ein Datentransfer in ein Drittland vor. Für die meisten Unternehmer und Führungskräfte dürfte aber viel bedeutender sein, dass dadurch ein Kontrollverlust stattfindet. Denn die Dateien befinden sich auf dem privaten Gerät und in einem privaten Cloud-Konto.

Andere Variante, ähnliche Problematik: die Dateien werden einfach per E-Mail an eine private E-Mail-Adresse geschickt.

Beispiel 2: Zugriff auch für ehemalige Mitarbeiter

Bis vor einiger Zeit war es meistens nicht schlimm, wenn Benutzerzugänge bei Austritt eines Mitarbeiters nicht zeitnah deaktiviert wurden. Denn ohne Zugang zu einem Unternehmenscomputer war kein Zugriff auf die entsprechenden Anwendungen möglich.

Doch das ändert sich derzeit. Immer mehr Anwendungen können – ortsunabhängig – via Browser bedient werden. Online-Kundenverwaltungssysteme, Verkaufsplattformen und Portale sind oftmals von jedem Computer mit Internetzugang erreichbar.

Also auch von ehemaligen Mitarbeitern, sofern Ihre Organisation es versäumt, die Zugänge entsprechend zu deaktivieren.

So bekommen Sie mehr Nutzen

Als Datenschutzbeauftragter und Chefredakteur eines Fachmagazins für den technischen Datenschutz könnte ich Ihnen unzählige weitere Beispiele nennen. Wichtiger jedoch ist für Sie folgende Erkenntnis daraus: die EU Datenschutzgrundverordnung legt einen hohen Wert auf die technischen und organisatorischen Maßnahmen. Wenn Ihr Unternehmen im Bereich Daten- und IT-Sicherheit keinen großen Unterschied zwischen personenbezogenen und nicht personenbezogenen Daten macht, sollten Sie die Aktualisierung der Datenschutzvorschriften nutzen um sich einen Gesamtüberblick zu verschaffen.

Der Aufwand ist im ersten Schritt natürlich etwas höher als bei der Quick & Dirty Lösung, aber mit der richtigen Herangehensweise auch von KMU machbar. Wichtig dabei ist es alle Prozesse / Verfahren und Anwendungen einmal zu durchdenken, inkl. der verwendeten Technik. Und keine Sorge, das Ergebnis bedeutet nicht immer einen großen finanziellen Invest. Am oben genannten Beispiel 2 könnte eine organisatorische Maßnahme, wie z. B. eine „Mitarbeiter-Austritt Checkliste“ helfen.

  •  Risiko Kontrollverlust minimieren
    Wird damit erreicht, dass die Benutzerkonten von Mitarbeitern die austreten zeitnah deaktiviert werden, haben Sie nicht nur viel für den Datenschutz in Ihrem Unternehmen getan, sondern auch einen echten Nutzen. Denn welches Unternehmen möchte dass ein ehemaliger Verkäufer weiterhin auf seinen Kundenstamm zugreifen kann, wenn er bei einem Wettbewerber arbeitet.
  • Datensicherheit und IT-Sicherheit erhöhen
    Zudem erhöht sich mit einem vernünftigen Datenschutz auch die Daten- und IT-Sicherheit im Unternehmen. Gerade in Zeiten in denen immer häufiger auch Daten auf mobilen Geräten verarbeitet werden und kaum eine Woche vergeht in welcher die Medien nicht über Online-Angriffe und Schadsoftware berichten ist dies ein wichtiger Nutzen.

Unser Steinbeis BMI Tipp:

Investieren Sie smart und präventiv , um „IT-Katastrophen“ im Vorfeld zu kalkulierbaren Risiken zu machen.

Wir – als Steinbeis-Transfer-Institut for Business Management and Innovation –
begleiten und unterstützen Sie auf Augenhöhe mit unserem Fachseminar „Datenschutz & Datensicherheit  kompakt für Entscheider“ auf Schloss Benkhausen.

Mit herzlichem Gruß,
Ihr Steinbeis BMI Team
[der Mensch macht’s!] – gerade in der Sicherheit

Bildquelle: pixabay.com/ Sicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.