espionage, data theft, steal-3181151.jpg

Wie sicher ist die Verarbeitung?

Datenschutzrecht / / Art. 32 DSGVO, Datenschutz-Grundverordnung, mobiles Arbeiten, personenbezogene Daten, Sicherheit der Verarbeitung / Von

Dieser Artikel geht auf die Sicherheit der Datenverarbeitung ein und gibt Beispiele zu technischen und organisatorischen Maßnahmen wie Berechtigungskonzepte, Regelungen zum mobilen Arbeiten, dem datenschutzkonformen Einsatz der E-Mail-Kommunikation und Regelungen zum Gebrauch von Passwörtern.

Kritische Sicherheitsvorfälle bei Unternehmen und Behörden sind leider Alltag und zeigen, dass sowohl Cyberangriffe als auch Fehlverhalten innerhalb der Organisation erhebliche Schäden beim Unternehmen aber auch deren Kund:innen hervorrufen können. Angriffsziele waren in der Vergangenheit u. a. Kreditkartendaten, E-Mail-Adressen samt Passwörtern oder gar Gesundheitsdaten.

Berechtigungsmanagement
Bei der Sicherheit der Verarbeitung geht es nicht nur darum, böswillige Attacken von außen abzuwehren, sondern auch solchen Risiken mit Sicherheitsmaßnahmen zu begegnen, die sich aus dem „normalen“ Arbeitsalltag ergeben. Die DSGVO erwähnt daher ausdrücklich, dass die eigenen internen Abläufe im Betrieb so organisiert sein müssen, dass es auch dort nicht zu Sicherheitsverletzungen kommt. Eure Pflicht ist es daher festzulegen, wer auf welche Daten für welchen Zweck in den jeweiligen Systemen zugreifen darf. Sofern euer Team wächst und neben den Gründer:innen nun auch Praktikant:innen oder Angestellte im Unternehmen arbeiten, ist ein Berechtigungskonzept unbedingt umzusetzen.

Ihr solltet hierbei nach dem Motto verfahren, jeweils nur die absolut erforderlichen Rechte zu erteilen. Ein Benutzername und ein Passwort für eine ganze Gruppe sind vielleicht bequem, jedoch meist nicht angebracht, da damit weder eine belastbare Vorgangsprotokollierung möglich ist noch für einen ausreichenden Zugriffsschutz gesorgt werden kann.

Mobiles Arbeiten mit IT-Systemen
Werden mobile IT-Systeme außerhalb eures Unternehmenssitzes verwendet oder seid ihr dezentral organisiert, habt ihr in besonderem Maße dafür Sorge zu tragen, dass Dritte keine Kenntnis von Informationen erhalten können, die mit dem mobilen IT-Systemen verarbeitet werden.

Sofern nachfolgend von mobilen IT-Systemen die Rede ist, sind darunter ausnahmslos alle mobilen Geräte zu verstehen, mit denen Informationen elektronisch verarbeitet oder übertragen werden können. Dazu gehören insbesondere Laptops, Tablets, Telefone, Mobiltelefone und Speichermedien.

Soweit technisch möglich, sind Daten auf den mobilen IT-Systemen verschlüsselt zu speichern und die Beschäftigten dürfen die ihnen zur Verfügung gestellten mobilen IT-Systeme nicht anderen Personen zur Nutzung überlassen.

Weitere Grundregeln beim mobilen Arbeiten sind:

  • Besonders schutzbedürftige Informationen sollten nach Möglichkeit nur an Orten verarbeitet werden, die von Dritten nicht einzusehen sind.   
  • Sollte dies nicht möglich sein, müssen die Beschäftigten einen Ort bzw. Platz zur Verarbeitung von Daten wählen, der gewährleistet, dass der Bildschirm nicht von Dritten eingesehen werden kann.
  • Daten sind grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten zu speichern, die kein Eigentum eures Unternehmens sind.
  • Die Speicherung von Daten hat grundsätzlich in den Verzeichnissen/Ordnern von Servern bzw. zentralen IT-Systemen eures Unternehmens zu erfolgen, die für die Nutzerinnen und Nutzer freigegeben sind.
  • Beschäftigte, die mobil arbeiten, haben sicherzustellen, dass andere keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten. Dies gilt insbesondere für Personen, die im selben Haushalt leben. Beschäftigte müssen daher beim Verlassen des „mobiles Arbeiten“-Arbeitsplatzes unverzüglich eine Bildschirmsperre aktivieren, die nur mit einem Passwort aufgehoben werden kann, dass nur der/dem Befugten bekannt ist.

Datenschutzkonformer Einsatz der E-Mail-Kommunikation
Folgende Grundregeln sollten bei der E-Mail-Kommunikation beachtet werden.

Kontrolliert vor dem Versand einer E-Mail, ob der richtige Empfänger im
Adressfeld steht. Hier liegt eine große Fehlerquelle, wenn mehrere Leute einen ähnlichen Namen oder eine ähnliche E-Mail-Adresse haben. Durch solche Verwechslungen sind schon extrem vertrauliche Informationen an die Öffentlichkeit gekommen. Beachtet auch den Unterschied zwischen „To:/An:“ (Empfänger), „CC:“ (Kopie) und „BCC:“ (Blindkopie): Jeder Empfänger der E-Mail sieht sämtliche andere Empfänger, die im To:- bzw. CC:-Feld stehen. Soll ein Empfänger für die anderen nicht sichtbar sein,  muss er ins BCC: -Feld eingefügt werden.

Außerdem ist Vorsicht bei Phising und Scamming-E-Mails angebracht. Oft fordern solche E-Mails dazu auf, einen Link in der E-Mail zu klicken oder eine bestimmte Seite
aufzurufen und dort euer Passwort oder andere Daten einzugeben. Phishing-Mails zielen darauf ab, eure Passwörter, Zugangsdaten oder sonstige vertrauliche Informationen „abzufischen“.

Vertraut auch nicht auf die E-Mail-Absenderangaben im E-Mail-Header. Diese lassen sich problemlos anpassen; nur aus dem Quelltext der E-Mail kann der tatsächliche Absender der E-Mails ermittelt werden. Seid auch vorsichtig  bei E-Mails mit Anhängen. Oftmals enthalten diese Anhänge Schadprogramme (Viren).

Regeln für den Passwort-Gebrauch
Soweit technisch möglich, sind alle IT-Systeme und Applikationen erst nach hinreichender Authentifizierung des Nutzers bedienbar. Die Authentifizierung erfolgt in der Regel durch die Verwendung der Kombination Benutzername/Passwort. Soweit möglich, solltet ihr auch Zwei-Faktor-Authentifizierungs-Systeme (also z. B. einen Bestätigungscode auf euer Mobiltelefon) verwenden.

Passwörter müssen eine Mindestlänge von 8 Zeichen haben. In Abhängigkeit von Einsatzzweck und Schutzbedarf müssen sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort muss so komplex sein, dass es nicht leicht zu ermitteln ist. Das Passwort darf nicht zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden. Bei der Auswahl der nachfolgenden Kategorien ist zu beachten, dass die Länge des Passwortes der Komplexität eines Passwortes vorzuziehen ist. Unter Beachtung des oben Gesagten, wird empfohlen, 3 von 4 folgenden Kriterien zu wählen, sofern die Passwortlänge 8 Zeichen beträgt. Bei längeren Passwörtern können entsprechend weniger Kriterien verwendet werden:

  • Großbuchstaben,
  • Kleinbuchstaben,
  • Sonderzeichen und
  • Ziffern.

Passwörter sollten nicht mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung muss ein eigenständiges Passwort verwendet werden. Ein Passwort muss gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.

Weitere wichtige Hinweise zur IT-Sicherheit, wie die Notwendigkeit von Backups (Datenverfügbarkeit), Aktualisierung von Hard- und Software (Patchmanagement) und regelmäßige Schulungen zum Thema finden sich auf der Website des Bundesamts für Sicherheit in der Informationstechnik, BSI (https://www.bsi.bund.de/DE/Home/home_node.html).

Eins ist also ganz klar: Der Datenschutz braucht die IT-Sicherheit!

Und nun weiter mit der Frage zur Notwendigkeit eines Datenschutzbeauftragten: https://gumbrecht.org/benoetige-ich-einen-datenschutzbeauftragten/

Verwandte Beiträge

Nach oben scrollen
Cookie Consent Banner von Real Cookie Banner