(Dezember 2018)
Die Einführung der Bestimmungen der Datenschutzgrundverordnung ist nun ein gutes halbes Jahr her - haben Sie sich im Zusammenhang damit auch mit dem Thema Datensicherheit beschäftigt? In vielen Betrieben wurde das Augenmerk darauf gelegt, die Bestimmungen wie Datenregister, etc. umzusetzen. Es bleibt aber wichtig, laufend auch darauf zu achten, dass kein Datenmissbrauch stattfinden kann. Es kann zu einem unbefugten Zugriff von Außentätern oder nicht dazu berechtigten Mitarbeitern kommen, oder IT-Komponenten (PC, Laptop, USB-Sticks) und/oder Datenträger gehen verloren oder werden gestohlen.
Wenn bekannt wird, dass dadurch persönliche Daten systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, müssen diese unverzüglich verständigt werden, daneben muss eine Meldung an die Datenschutzbehörde ergehen. Im Zusammenhang mit Arbeitsverhältnissen empfiehlt es sich, die betriebliche und private Nutzung der firmeneigenen IT-Infrastruktur zu regeln. Inwieweit darf im Betrieb Internet und E-Mail auch für private Zwecke genutzt werden? Sehr wichtig ist in dem Zusammenhang ein guter Virenschutz, sei es technisch durch Virenschutzprogramme, die laufend aktualisiert werden, Sicherheitseinstellungen der Internetbrowser, Einstellungen in E-Mail-Programmen (z.B. die Einstellungen, dass Attachments nicht automatisch geöffnet werden), aber auch durch die Aufmerksamkeit der Benutzer. E-Mails von unbekannten Sendern sollten nicht geöffnet werden, Dateien mit bestimmten Endungen wie .com, .exe, .bat, etc. oder mit doppelten Dateiendungen wie z.B. .gif.exe sind verdächtig und können Schadsoftware enthalten. Internetlinks in Mails sollten nur bei vertrauenswürdigen Absendern geöffnet werden, denn oft täuscht die angezeigte Website über die tatsächliche URL. Spammails oder Werbemails sollten nie beantwortet werden, auch nicht mit der Aufforderung, Zusendungen zu unterlassen - der Absender bekommt dadurch nur die Bestätigung, dass er eine gültige E-Mail-Adresse angeschrieben hat.
Wie ist die Datensicherheit auf Diensthandys oder Laptops, die auf das Firmennetzwerk zugreifen können gesichert? Folgende Maßnahmen sollten dabei unbedingt umgesetzt werden: Die mobilen Geräte dürfen nicht unbeaufsichtigt (im Auto, etc.) gelassen oder anderen Personen übergeben werden, sie müssen durch Passwörter/PINs gesichert sein. Auf den mobilen Geräten müssen Virenschutzprogramme betrieben werden und der Zugriff auf Firmendaten darf nur über verschlüsselte Kanäle erfolgen. Auf den Geräten sollten Apps installiert sein, mit denen man die Daten aus der Ferne löschen kann, sollten die Geräte verloren gehen; auch dürfen auf den mobilen Geräten nur vertrauenswürdige Apps und Software installiert werden. Nach Beendigung der Firmennutzung müssen alle am mobilen Gerät vorhandenen Daten gelöscht werden, am besten mit "factory reset", d.h. Zurücksetzen auf den Zustand, in dem man das Gerät geliefert bekommen hat.
In vielen Unternehmen ist Telearbeit, Home Office bzw. der laufende Kontakt über mobile Geräte zwischen Mitarbeiter und Firma Standard - bitte überprüfen Sie zusammen mit Ihrem IT-Betreuer im eigenen Interesse ob Ihre Firmen-/Kundendaten dabei möglichst sicher sind.