DE | Deutsch
Wie Sie Datenpannen vermeiden: 8 Maßnahmen für Unternehmen.
Seit mehr als einem Jahr ist die EU-Datenschutzgrundverordnung (DSGVO) wirksam. Die Zahl der Datenpannenmeldungen, die bei der Aufsichtsbehörde für Datenschutz und Informationssicherheit Baden-Württemberg im Vergleich zum Vorjahreszeitraum eingegangen sind, hat sich mehr als verzehnfacht. Und das hohe Niveau hält bis heute an. Was können Unternehmen tun, um auf der sicheren Seite zu sein?

Artikel teilen

Das erste Unternehmen, das wegen eines DSGVO-Verstoßes ein Bußgeld bezahlen musste, kam vergleichsweise glimpflich davon. 20.000 Euro musste das Chatportal knuddels.de zahlen, da es Passwörter seiner Nutzer im Klartext gespeichert hatte. Der Fall wurde bekannt, nachdem Angreifer ins Unternehmensnetzwerk eingedrungen waren und die Daten im Darknet veröffentlicht hatten. 


In der Zwischenzeit kamen nach Angaben des Landesbeauftragen für Datenschutz und Informationssicherheit Baden-Württemberg neun weitere Bußgeldfälle hinzu. Insgesamt mussten die Unternehmen 207.140 Euro Strafe zahlen. Davon lagen die beiden höchsten Geldbußen bei jeweils 80.000 Euro. Was war passiert? 


Im ersten Fall veröffentlichte ein Unternehmen aus dem Gesundheitsbereich aufgrund unzureichender interner Kontrollmechanismen in einer digitalen Publikation Gesundheitsdaten, die versehentlich personenbezogene Daten enthielten. Im zweiten Fall entsorgte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß.


Um Kundendaten richtig zu schützen, empfiehlt Alvar Freude, Referent für technischen Datenschutz und Informationsfreiheit der Aufsichtsbehörde Baden-Württemberg, folgende Maßnahmen. 
 

  1. 1.
  2.  
  3. Die Verantwortung annehmen.
  4. Das Unternehmen oder die Behörde, die eine Software einsetzt oder einen Dienst beauftragt, ist für die rechtmäßige Verarbeitung der Daten verantwortlich – nicht, wie häufig angenommen, der Hersteller der Software oder der beauftragte Dienstleister. Daher müssen die Verantwortlichen die Rechtmäßigkeit der jeweiligen Datenverarbeitung prüfen. Liegt eine Auftragsverarbeitung durch einen Dienstleister vor, muss das Unternehmen einen Auftragsdatenverarbeitungsvertrag schließen. Nutzt ein Dienstleister Daten auch zu eigenen Zwecken, liegt in der Regel eine gemeinsame Verantwortung vor und das Unternehmen muss sicherstellen, dass die Verarbeitung rechtmäßig erfolgt.

  5.  

  1. 2.
  2.  
  3. Den Stand der Technik beachten.
  4. Die DSGVO fordert in Artikel 32 in Bezug auf die IT-Sicherheit unter anderem die Beachtung des Stands der Technik sowie des Risikos für die Rechte und Freiheiten der Betroffenen. Der oder die Verantwortliche im Unternehmen muss also den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen beachten, der nach Auffassung führender Fachleute das Erreichen des vorgegebenen Ziels gesichert erscheinen lässt. Es gilt also, aktuelle Entwicklungen in der IT-Sicherheit zu verfolgen und sich beispielsweise am BSI-Grundschutz zu orientieren.

  5.  

  1. 3.
  2.  
  3. Zugriffsrechte beschränken.
  4. Für alle Daten gilt die Absicherung nach dem Need-to-know-Prinzip: Nur wer die Informationen für seine Aufgaben benötigt, sollte in der Lage sein, sie einzusehen. Selbst der IT-Administrator sollte keinen direkten Zugriff auf Informationen in Datenbanken oder Applikationen haben, das gilt insbesondere für sensible Daten. Dabei muss technisch sichergestellt sein, dass ein Zugriff auf solche Daten nicht möglich ist, beispielsweise durch Verschlüsselung.

  5.  

  1. 4.
  2.  
  3. Datenträger verschlüsseln.
  4. Ein sehr häufiger Grund für Datenpannen sind seit jeher verlorene oder gestohlene Datenträger, wie zum Beispiel Mobilgeräte, USB-Sticks, Festplatten, Speicherkarten oder Notebooks. Insbesondere Mobilgeräte sollten daher verschlüsselt werden. Jedes moderne Betriebssystem bringt eigene Verschlüsselungsverfahren mit (etwa BitLocker, FileVault, LUKS oder GELI).

  5.  

  1. 5.
  2.  
  3. E-Mails verschlüsseln. 
  4. Die Verantwortlichen sollten E-Mails und Dateianhänge mit Ende-zu-Ende-Verschlüsselung versenden und empfangen. Die Technologie steht bereits seit Jahrzehnten bereit. Eine alleinige Transportverschlüsselung reicht insbesondere bei sensiblen Daten oft nicht aus, da sie lediglich den Transportweg sichert.  
  5.  

Weitere Informationen siehe IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik.

 

  1. 6.
  2.  
  3. Fernwartungszugänge absichern. 
  4. Unternehmen sollten ihre externen Kommunikationsverbindungen beispielsweise über VPN und eine Zwei-Faktor-Authentifizierung absichern. Die Daten sollten ausschließlich verschlüsselt mit einem Verschlüsselungsverfahren nach dem aktuellen Stand der Technik übertragen werden.


  5. Näheres dazu im IT-Grundschutzkatalog.

  6.  

  1. 7.
  2.  
  3. Tracking durch Drittanbieter reduzieren. 
  4. Mit der DSGVO gelten auch neue Regelungen für Tracking auf Webseiten und in Smartphone-Apps. Bei einer Reichweitenanalyse durch Dritte ist oftmals eine informierte, freiwillige, aktive, vorherige und widerrufbare Einwilligung der Betroffenen nötig. 

  5.  

     

    Weitere Informationen siehe FAQ des Landesbeauftragten für Datenschutz und Informationssicherheit.

  6.  

  1. 8.
  2.  
  3. Datenpanne melden
  4. Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, greift die Meldepflicht. Innerhalb von 72 Stunden muss das Unternehmen die Datenschutzverletzung bei der zuständigen Datenschutzbehörde melden. Zu den meldepflichtigen Fällen zählt bereits ein Datenverlust. Die Verantwortlichen müssen außerdem prüfen, ob die Betroffenen über den Vorfall zu informieren sind. Dies hängt davon ab, wie hoch das Risiko für die persönlichen Rechte und Freiheiten ist.

  5.  

 

Grundsätzlich gilt: Unternehmen dürfen die Datenschutz-Aufsichtsbehörde als Unterstützer verstehen. Denn im Vordergrund ihrer Arbeit steht die Beratung, nicht die Kontrolle. Im Jahr 2018 liefen insgesamt 4.440 Beratungsanfragen ein – im Unternehmens- und Behördenbereich eine Steigerung zum Vorjahr um 50 Prozent, im privaten Bereich um ganze 270 Prozent. 


Wer sich beraten lässt, erfährt unter anderem, dass die Schreckensmeldungen in den Medien – zum Beispiel „Kita schwärzt Erinnerungsfotos“, „Klingelschilder dürfen Namen nicht mehr zeigen“ oder „Schule verbietet Eltern das Fotografieren“ – kein Grund zur Sorge sind. Alvar Freude bezeichnet sie als maßlos übertrieben: „Diese Themen sind weder gesetzlich so gedacht, noch werden sie von den Behörden so ausgelegt oder gar verfolgt.“


 

 
Noch Fragen? Sprechen Sie uns an. 

Bechtle berät und begleitet Unternehmen und Behörden zu den Themen Datenschutz, IT-Sicherheit und IT-Recht. Unsere qualifizierte Spezialisten bieten Workshops und Schulungen für die Datenschutzsensibilisierung, bieten herstellerunabhängige Lösungen für die Unternehmensorganisation, stellen externe Datenschutzbeauftragte, übernehmen operative Verantwortung und führen Datenschutz-Audits durch. 

 

INFOS UND KONTAKT

 

 

Ansprechpartner.

Heiner Golombek

Leitung Bechtle Competence Center Datenschutz und Datensicherheit
Bechtle IT-Systemhaus Neckarsulm

heiner.golombek@bechtle.com

 

Zum Thema.

 

Newsletter. 

Erhalten Sie die besten Artikel aus dem Bechtle update alle zwei Monate direkt in Ihr Postfach. Hier geht's zur Anmeldung:
 

NEWSLETTER

 

 

Weitere aktuelle Themen.

Vierfach vergrößert: Wachstum am Bechtle Platz 1.

Bechtle steigt aufs Rad für ein gutes Klima.

Der Bechtle Corporate Workspace auf der Citrix Synergy.

Veröffentlicht am 17.07.2019.