Blog: Welche Fehler sind beim Datenschutz unbedingt zu vermeiden?

Die häufigsten Fehler:

Wer kann Ihr Büro betreten und sich die dort befindlichen Unterlagen ansehen? Betriebsfremden Personen sollte nur unter Aufsicht Zugang zu Ihrem Büro gestattet werden. Sperren Sie Ihren PC-Bildschirm, wenn sie den Raum verlassen müssen. Können Fremde in öffentlich zugänglichen Bereichen sehen, was Sie am Zentraldrucker ausgedruckt haben? Sind die technischen Komponenten und die Serverräume vor unbefugtem Zugriff geschützt und versperrt? Dazu können organisatorische Maßnahmen getroffen werden, die sehr wirkungsvoll sind.

Haben sie die Unterlagen, die Sie bearbeiten am Tisch, oder türmen sich die Papiere vom Vortag oder der Vorwoche auch im Raum? Welche Unterlagen könne von Ihren Gesprächspartnern im Raum potentiell gelesen werden? Gibt es USB-Sticks, die abgezogen werden könnten? Wichtig ist, dass nichts offen im Büro verbleibt, wenn Sie es verlassen, und dass Sie Ihren PC sperren.

Die Absicherung von Benutzerkennungen hat mit sicheren Passwörtern zu erfolgen. Dabei ist vor allem darauf zu achten, dass Passwörter entsprechend lang sind und nicht in einem Wörterbuch gefunden werden können. Jedenfalls soll vermieden werden, dass aus Bequemlichkeit immer das gleiche einfache Passwort verwendet wird und dass es nicht für Dritte zugänglich ist. Kriminelle Hacker werden mit dem gehackten Passwort alle weiteren Accounts angreifen. Eine gute Möglichkeit, dies zu ordnen ist, dass die Veränderung der Passwörter technisch vorgegeben ist. Grundsätzlich kann davon ausgegangen werden, dass ein Passwort umso sicherer ist, je länger es ist.

Welche Auskünfte dürfen am Telefon erteilt werden? Insbesondere jüngere und unerfahrenere MitarbeiterInnen können von kriminellen ausgetrickst werden. Es ist also genau darzulegen, welche Auskünfte überhaupt telefonisch gegeben werden und an wen. Social Engineering ist ein häufiger Angriffsweg, der von Kriminellen versucht wird. Dabei werden im Vorfeld möglichst viele Informationen zusammengetragen, damit den Opfern etwas vorgegaukelt wird und sie in die Falle tappen.

Wenn Unternehmensdaten über private E-Mail-Accounts versendet werden, weil dies bequemer ist oder wenn die E-Mail-Accounts der Firma für das Versenden von privaten Mitteilungen verwendet werden können sich Risiken ergeben. Unsichere Transfermethoden können von kriminellen Datendieben ausgenützt werden, um vertrauliche Firmengeheimnisse oder auch schützenswerte personenbezogene Daten zu kopieren und diese missbräuchlich zu verwenden. Die Versendung von Unternehmensdaten über private E-Mail-Accounts ist somit zu verbieten.

Was passiert, wenn festgestellt wird, dass es zu einem sogenannten Data Breach gekommen ist. In diesen Fällen besteht die Pflicht zur Meldung an die Datenschutzbehörde. Oftmals werden diese Fehler aber nicht offengelegt, sondern verschwiegen. Sollte ein Verstoß nicht ordnungsgemäß gemeldet worden sein, wird dies von der Datenschutzbehörde bei der Bearbeitung des Falles in die Beurteilung des Sachverhaltes einfließen.

Die Verwendung von Übertragungsmedien wie USB-Sticks oder externe Festplatten kann Gefahren nach sich ziehen, ganz besonders, wenn diese Speichermedien auch privat von MitarbeiterInnen eingesetzt werden. MitarbeiterInnen können das Ziel von kriminellen Angriffen sein, die privaten Geräte können mit Schadsoftware verseucht sein oder die Speichermedien können verloren gehen.

Die Nutzung von firmeneigenen Computern für private Zwecke kann Risiken beinhalten. Auch wenn diese beispielsweise im Home Office oder auf Dienstreisen verwendet werden. Wenn die Laptops bei Ihren MitarbeiterInnen zu Hause anderen Personen zugänglich sind. Unbefugte Dritte könnten, bei Diebstahl oder wenn die Geräte verloren gehen, Einblick in vertrauliche Daten des Unternehmens bekommen. Daher sind die Laptops, die USB-Sticks oder die externen Festplatten zu verschlüsseln. Eine Risikoquelle können auch öffentliche WLAN-Netze sein.

Grundsätzlich sollten die Unternehmensdaten möglichst sicher verwahrt und gespeichert sein. Allerdings ist in der DSGVO auch der Grundsatz der Datenminimierung verankert, aus dem hervorgeht, dass personenbezogene Daten nur so lange gespeichert und verarbeitet werden dürfen, als sie für den ursprünglich vereinbarten Zweck notwendig sind. Somit sind beispielsweise auch E-Mail-Speicher gemeint, die regelmäßig überprüft werden sollen, damit dem Grundsatz entsprochen wird. Zu beachten sind jedoch die relevanten rechtlichen Aufbewahrungsfristen.

Unterlagen werden einfach weggeworfen, landen im Papierkorb oder in der Mülltonne: sämtliche Unterlagen aus ihren Büros, Ausdrucke von Briefen, Berichte oder Statistiken, eigentlich alles, womit sie in Ihrem Unternehmen arbeiten. Es könnte jemanden geben, den dies interessiert, der diese Informationen verwendet, um daraus einen Vorteil zu bekommen oder um Ihnen zu schaden. Akten sind ordnungsgemäß zu entsorgen, am besten durch einen zertifizierten externen Dienstleister.

Mag. Rudolf Urban, MSc
Geprüfter Datenschutzexperte
zertifizierter Datenschutzbeauftragter