- Anzeigen -

Sie sind hier: Home » Markt » Hintergrund

DSGVO-konformer Umgang mit sensiblen Daten


DSGVO – 1 Jahr danach: Ein Datenschützer zieht Bilanz
Laut der DSGVO bedarf die Übermittlung personenbezogener Daten aber einer Rechtsgrundlage

- Anzeigen -





Am 25. Mai 2019 jährt sich das Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, das erste Mal. Grund genug, Bilanz zu ziehen. Während sich im Vorfeld die Kritik an dem Gesetz häufte und in den Medien beispielsweise von Abmahnwellen die Rede war, blieben die Befürchtungen der Unternehmen diesbezüglich weitestgehend unbestätigt. "Doch auch ein Jahr nach Inkrafttreten gehört ein DSGVO-konformer Umgang mit sensiblen Daten noch immer nicht zum Alltag vieler Unternehmen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG. Besonders wenn es um gesetzeskonforme Websites, sichere Passwörter oder die Nutzung von Diensthandys geht, besteht weiterhin Handlungsbedarf. "Unternehmen sehen nicht immer den Sinn der DSGVO, sondern lediglich einen größeren Arbeitsaufwand. Aber immerhin schließen wir auch die Tür ab, wenn wir das Haus verlassen, obwohl dies einen zusätzlichen Aufwand bedeutet", betont Hösel.

Sensibilisierung schaffen
Ziel der DSGVO ist der Schutz personenbezogener Daten. Als personenbezogen beziehungsweise personenbeziehbar gelten dabei nicht nur Namen, sondern ebenfalls Daten wie Telefonnummern, Kfz-Kennzeichen oder IP-Adressen. Unternehmen, die über mehr als zehn Mitarbeiter verfügen, verpflichtet die DSGVO dazu, einen internen oder externen Datenschützer zu benennen. Dieser übernimmt sowohl unterrichtende als auch beratende Tätigkeiten und fungiert als Ansprechpartner für Mitarbeiter, die Geschäftsführung sowie betroffene Personen. Mittlerweile haben die viele Unternehmen diese Vorgabe bereits umgesetzt.

Aber auch wenn die Überwachung der Einhaltung der Datenschutzgesetze sowie der EU-DSGVO zu den Aufgaben eines Datenschützers gehört, müssen Mitarbeiter im Alltag selbst auf die Berücksichtigung achten. Hierfür genügt es nicht, ihnen lediglich DSGVO-konformes Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint. Hösel erklärt: "Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden." Ebenso sollten Mitarbeiter keine öffentlichen WLAN-Netzwerke nutzen, da diese in den meisten Fällen nicht als sicher gelten, sondern stattdessen virtuelle private Netzwerke, sogenannte VPNs.

Vorsicht bei Diensthandy und -laptop
Jede Homepage verfügt über eine individuelle Struktur mit unterschiedlichen Plug-ins, Cookies oder Tracking-Tools und erfasst beziehungsweise verarbeitet unterschiedlichste Daten. Es genügt daher nicht, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der Website zu veröffentlichen. Außerdem stoßen Datenschützer in Unternehmen häufig noch immer auf unsichere Passwörter für Dienstcomputer oder Laptops. Ein sicheres Kennwort besteht aus acht bis zwölf Zeichen in Groß- und Kleinschreibung und enthält sowohl Buchstaben als auch Ziffern und Sonderzeichen. Zudem sollten Mitarbeiter ihre Passwörter regelmäßig ändern.

Gleiches gilt auch für den Schutz von Diensthandys, die sich ebenfalls mithilfe eines Passworts statt einer kurzen Zahlenkombination oder eines einfachen Wischmusters schützen lassen. Ein weiteres Problem, das bei der Nutzung von Diensthandys häufig auftritt, sind Messengerdienste. Die deutschen Aufsichtsbehörden für Datenschutz erachten viele von ihnen, darunter WhatsApp, als nicht datenschutzkonform. Manche Dienste haben nicht nur Zugriff auf alle in einem Smartphone gespeicherten Telefonnummern und Kontaktdetails, sondern übermitteln sie zusätzlich in weitere Staaten wie die USA, die als Drittländer gelten.

Laut der DSGVO bedarf die Übermittlung personenbezogener Daten aber einer Rechtsgrundlage. Wer nicht auf Kurznachrichten verzichten möchte, kann auf dem Markt andere datenschutzkonforme Apps finden oder SMS versenden. Bei der physischen Weitergabe von Daten, beispielsweise mit einem USB-Stick, stehen Unternehmen ebenfalls vor einer Herausforderung. Diese Speichermedien verfügen selten über die nötigen Sicherheitsvoraussetzungen, wie beispielsweise einen Sicherheitscode beziehungsweise Verschlüsselung, der bei Verlust oder Diebstahl davor schützt, dass Außenstehende auf sensible Daten zugreifen können.

Mehr als bürokratischer Aufwand
Häufig fehlt in Unternehmen noch immer das Bewusstsein darüber, dass die DSGVO nicht nur den Umgang mit Kundendaten betrifft, sondern auch Mitarbeiter- sowie Lieferantendaten. So haben Beschäftigte in der Personalabteilung eine besondere Verantwortung. Sie müssen Personalunterlagen unter Verschluss halten und darauf achten, Mitarbeiterdaten per E-Mail ausschließlich verschlüsselt zu übermitteln. Auch dem Auskunftsrecht kommt eine besondere Bedeutung in der DSGVO zu. Wenn Mitarbeiter Auskunft über ihre Daten fordern – beispielsweise im Falle einer Kündigung – müssen Personalverantwortliche innerhalb eines Monats eine Kopie jeglicher personenbezogenen Daten, deren Verarbeitung erfolgt, aushändigen. Es empfiehlt sich daher, bereits im Vorfeld hierzu bestimmte Prozesse festzulegen. "Generell sollten Führungskräfte auch weiterhin beharrlich über die Wichtigkeit des Datenschutzes aufklären. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein", so Haye Hösel abschließend.
(Hubit Datenschutz: ra)

eingetragen: 07.06.19
Newsletterlauf: 05.07.19

Hubit Datenschutz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Cyberbetrug als CEO Fraud oder Chef-Betrug

    In Zeiten von Home Office ändert sich eine Sache ganz entscheidend: Die Kommunikation mit besonderem Augenmerk auf den genutzten Kanal. Sitzen alle im Büro, ist der Weg zu einem persönlichen Gespräch und darin besprochenen Anweisungen des Vorgesetzten nicht weit. Wenn aber alle zu Hause sind, steigt das E-Mail Aufkommen drastisch. Auch Konferenztelefonate nehmen rapide zu. Nun ist dies zunächst einfach eine andere Art miteinander zu sprechen, doch leider steigen damit ebenso die Risiken einer Fehlkommunikation oder aber nutzen Kriminelle diese Unsicherheiten für sich aus. Immer wieder passiert es, dass man etwas falsch einschätzt. Fehlinterpretationen von Situationen und Begebenheiten sind nicht selten. Eine Textnachricht kann oftmals missverstanden werden. Die geschieht leicht, indem die emotionale Betonung des Gegenübers falsch gedeutet wird. Was ist die logische Konsequenz im Business-Alltag? Befolge genau, was geschrieben wurde und frag am besten nicht nach. Doch genau diese Einstellung ist fatal und hat dramatische Folgen, sollte die Nachricht nicht wirklich von der oberen Etage stammen.

  • Reform des Netzwerkdurchsetzungsgesetzes

    Der Bundesrat beriet den Gesetzentwurf der Bundesregierung zur Änderung des Netzwerkdurchsetzungsgesetzes (NetzDG). Bayerns Justizminister Georg Eisenreich hierzu: "Im Kampf gegen Hass im Netz müssen wir Plattformbetreiber stärker in die Pflicht nehmen. Der Gesetzentwurf bringt wichtige Fortschritte. Die Regeln müssen aber für alle gelten - auch für Videoplattformen wie YouTube. Liegt der Unternehmenssitz nicht in Deutschland, würde die allgemeine Löschpflicht nach dem Entwurf eingeschränkt werden. Dieser Rückschritt ist nicht nachvollziehbar. Hier muss nachgebessert werden."

  • Datenmanagement fördert Compliance

    Unabhängig vom konkreten Anlass oder Thema: Sobald Daten eine Rolle spielen, bestimmen sofort Begriffe wie "Sicherheit", "Privatsphäre" und "Datenschutz" die Diskussion. Gleichzeitig gab es allerdings seit ihrem Inkrafttreten im Mai 2018 europaweit bereits über 160.000 Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Grund genug für einen Appell, die Datenhoheit der eigenen Kunden ernster zu nehmen. Seit Oktober vergangenen Jahres ist Gaia X in der IT-Landschaft und darüber hinaus in aller Munde: Das ambitionierte Cloud-Projekt des Bundeswirtschaftsministers Peter Altmaier hat es sich zur Aufgabe gemacht, eine unabhängige Dateninfrastruktur für den europäischen Raum zu schaffen. Das Ziel dahinter: mehr Sicherheit, Rechte und Vertrauen für die Nutzer, weniger Abhängigkeit von den großen internationalen Cloud-Providern.

  • Bußgelder in Millionenhöhe?

    Seit dem Inkrafttreten der DSGVO im Mai 2018 werden Datenschutzverstöße immer häufiger geahndet. Auch von der Verhängung von Bußgeldern berichten die Medien in den letzten Monaten immer wieder. Häufig handelt es sich dabei um Forderungen gegen große Konzerne wie Facebook und Google. "Nur, weil man von Millionenstrafen für Facebook und Co. hört, heißt das jedoch nicht, dass kleinere Unternehmen mit solchen enormen Summen belastet würden. Sanktionen sollen grundsätzlich bewirken, dass sich Unternehmen an die DSGVO halten und sich mit ihr auseinandersetzen. Oft erfolgen zunächst Mahnungen und eventuell folgende Strafen müssen verhältnismäßig sein", erklärt Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG, und ergänzt: "Insgesamt können Verstöße nach den neuen Vorschriften jedoch deutlich höher sanktioniert werden. Nach dem alten Bundesdatenschutzgesetz lag die maximale Bußgeldforderung bei 300.000 Euro. Nun sind nach Artikel 83 der DSGVO bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes möglich."

  • Strafrecht fit machen für die digitale Welt

    Bayerns Justizminister Georg Eisenreich will das Strafrecht den Erfordernissen der digitalen Welt anpassen: "Unsere Welt wird immer digitaler. Das bringt neue Chancen, aber auch neue Herausforderungen für Gesellschaft und Rechtsstaat mit sich. Datenleaks und Hackerangriffe auf Unternehmen haben bereits gezeigt, wie verwundbar die digitale Gesellschaft ist. Gefordert sind zum einen die Unternehmen selbst: Sie müssen für einen ausreichenden Schutz ihrer Systeme sorgen und sich gegen Cyberangriffe wappnen. Aber auch der Rechtsstaat ist gefordert: Durch ein zeitgemäßes Strafrecht muss er seinen Beitrag zu einer sicheren digitalen Welt leisten." Eisenreich weiter: "Wir müssen das Cyberstrafrecht fit für die digitale Welt machen. Es ist nicht nachvollziehbar, dass die Strafrahmen bei Datendelikten niedriger ausfallen als bei vergleichbaren Straftatbeständen in der analogen Welt. Auch kann es nicht sein, dass bei besonders schweren Fällen, wie Angriffen auf kritische Infrastrukturen, aufgrund einer Lücke im Gesetz derzeit keine härteren Strafen möglich sind."