Nun ist sie wirksam, die DSGVO, und viele Verantwortliche in Unternehmen werden jetzt denken: „Bitte nicht noch einen Artikel dazu!“ Verständlich, hat doch die Einführung der Datenschutzgrundverordnung hauptsächlich für viele nervige eMails, Nachrichtenbeiträge und vor allem für große Verwirrung gesorgt. Doch auch wenn Sie alle technischen Voraussetzungen geschaffen, ein Update Ihrer Homepage durchgeführt und einen Vertrag zur Auftragsdatenverarbeitung (AV) abgeschlossen haben, bleibt immer noch ein entscheidender Sicherheitsfaktor, um den es sich hier drehen wird: Der eigene Mitarbeiter!
Menschen machen Fehler – das ist bekannt, aber Menschen neigen auch zur Sorglosigkeit. Vor allem, wenn Routine im Spiel ist und die ist bei den meisten Jobs halt einfach gegeben. Daher gilt es seine Mitarbeiter auf die folgenden Datenschutzfallen aufmerksam zu machen:
Akten im Papierkorb
Wie schön ist doch die digitale Welt. Kaum ein Unternehmen, das sich nicht „papierlos“ und „umweltfreundlich“ auf die Fahnen schreibt. Trotzdem werden täglich Millionen E-Mails und andere Dokumente ausgedruckt und landen später im Papierkorb. Schlecht für die Umwelt und ganz schlecht in Bezug auf Datenschutz, wenn diese Ausdrucke personenbezogene Daten enthalten. Gedruckte Dokumente gehören daher in eine Aktenvernichter-Tonne, um sie vor unberechtigtem Zugriff zu schützen. Dienstleister bestätigen dann die ordnungsgemäße Vernichtung und das Unternehmen ist aus dem Schneider.
Übrigens: Auch ein vergessenes Dokument im Drucker kann fatale Folgen für den Datenschutz haben. Vor allem, wenn der Drucker in einem anderen Raum steht, zu dem jeder Zutritt hat. In den meisten Unternehmen gelangt man durch einen “Spaziergang zum Drucker“ zu brisanten Unternehmensneuigkeiten!
Privatgeräte am Arbeitsplatz
Mitarbeiter, die private Laptops oder Speichermedien an das von außen gut abgeschirmte Firmennetzwerk anschließen, bergen eine große Gefahr: Ihre Privatgeräte können mit Schadsoftware infiziert sein, die sich dann im gesamten Betrieb ausbreiten und Daten ausspionieren kann. Privatgeräte gehören daher nicht ans interne Netzwerk. Wer Arbeitsunterlagen mit nach Hause nehmen möchte, um z. B. am Wochenende an Projekten weiterzuarbeiten, sollte auf firmeneigene Geräte mit entsprechender Verschlüsselung zurückgreifen.
Firmengeräte und private Nutzung
Gleiches gilt natürlich im Umkehrfall: Wer firmeneigene Geräte auch privat nutzt, hat eine besondere Sorgfaltspflicht. Bei Verlust können vertrauliche Unterlagen gestohlen werden. Öffentliche WLAN Netze sind daher genauso tabu wie die Speicherung unverschlüsselter bzw. nicht durch Passwörter geschützter Dokumente.
Vorsicht bei privaten eMail-Accounts
Gerade wenn die private Nutzung von Firmengeräten erlaubt ist, passiert schnell mal, dass vertrauliche Dokument über den privaten Account versendet werden – natürlich unverschlüsselt. Solche eMails sind aber vergleichbar mit Postkarten, die im Prinzip jeder mitlesen und die dementsprechend auch schnell in ungewünschte Hände gelangen kann. Daher sollte die Nutzung privater eMail-Accounts für dienstliche Zwecke strikt untersagt werden.
Müllhalde Computer
Apropos eMail: Laut Datenschutzgrundverordnung ist die Speicherung von personenbezogenen Daten nur für einen begrenzten Zeitraum zulässig, meist nur so lange, wie für die Bearbeitung eines Anliegens notwendig ist. Wer also eMails mit Daten nach Erledigung einfach in den Papierkorb des eMail Clients schiebt, diesen aber nie löscht, verstößt gegen den Datenschutz. Gleiches gilt übrigens auch für auf der Festplatte gespeicherte Daten, die in Ordnern abgelegt und vergessen wurden. Unternehmen sollten daher eine Aufbewahrungs- und Löschfrist einführen und Festplatten nach Aussortierung ausbauen und shreddern.
Ein Passwort für alles: qwert123
Ist einfach, aber eben auch kreuzgefährlich: Wer nur ein Passwort für alle Dienste verwendet, ist schnell seine Daten los. Vor allem, wenn man auch noch ein schnell zu erratendes Passwort gewählt hat. Daher gilt: Zu jeder Anwendung gehört ein eigenes, nicht zu erratendes Passwort in dem Zahlen, Sonderzeichen und Groß- und Kleinbuchstaben enthalten sind. Wichtig ist natürlich auch: Passwörter nirgendwo notieren – auch nicht unter der Schreibtischunterlage – und regelmäßig ändern. Passwortrichtlinien sollten gerade für Mitarbeiter, die personenbezogene Daten verarbeiten, verpflichtend sein und die Einhaltung regelmäßig überprüft werden.
Auskünfte am Telefon
Personenbezogenen Daten dürfen nicht herausgegeben werden. Was für den digitalen Weg gilt, wird auf dem „kleinen Dienstweg“ oder am Telefon schon mal vergessen. Dabei ist es unerheblich, ob der Gesprächspartner aus dem Unternehmen kommt oder nicht. Wer möchte schon, dass seine private Handynummer einfach im Unternehmen oder bei Anrufen bekannt gemacht wird? Gerade Berufseinsteiger oder Aushilfen in der Telefonzentrale sollte daher klar kommuniziert werden, welche Auskünfte möglich sind und welche eben nicht.
Tag der offenen Tür – unverschlossene Büroräume
Auch das Büro bietet reichlich Möglichkeiten gegen den Datenschutz zu verstoßen – vor allem wenn betriebsfremde Personen ohne Begleitung Zugang zu Büros, Serverräumen oder Druckern haben. Oft wird z.B. Wartungspersonal oder Reinigungskräften blauäugig der Zugang zu neuralgischen Punkten im Unternehmen gestattet – ohne Aufsicht. Die Gefahr ist dann natürlich groß, dass Dokumente schnell in unbefugte Hände gelangen können.
Daher sollte gelten: Zugang zu Betriebsräumen in den Daten verarbeitet werden sollte nur unter Aufsicht gestattet werden.
Aufgeräumte Arbeitsplätze dank Clean-Desk-Policy
In diesen Zusammenhang gehört auch das Verständnis, dass der eigene Schreibtisch kein hermetisch abgeriegeltes Sperrgebiet ist – gerade, wenn man selbst nicht dran sitzt. Wer also Feierabend macht und Ausdrucke oder Vertragsunterlagen für den nächsten Arbeitstag auf seinem Tisch liegen lässt, handelt nicht nur unter Datenschutz Gesichtspunkten grob fahrlässig. Idealerweise gilt im Unternehmen eine Clean-Desk-Policy, d. h. die Strategie des aufgeräumten Arbeitsplatzes. Vertrauliche Unterlagen müssen demnach beim Verlassen des Arbeitsplatzes weggeschlossen und Computer gesperrt werden – nicht nur zum Feierabend oder zur Mittagszeit. Neuralgische Büros sollten zudem immer abschließbar sein.
Fazit: Der Teufel steckt im Detail, gerade was den Datenschutz angeht. Eine Sensibilisierung der Mitarbeiter im Hinblick auf die o. a. Themen ist daher enorm wichtig. Jedem Mitarbeiter muss klar sein, dass im Unternehmen alle für Datenschutz verantwortlich sind – nicht nur die IT! Dazu gehört auch ein offener Umgang bei Verstößen. Sollte ein Mitarbeiter versehentlich gegen den Datenschutz verstoßen haben, so hilft Offenheit besser weiter, als Vertuschung. Jährliche Schulungen, damit das Thema nicht in Vergessenheit gerät, tut ein Übriges.