Die DSGVO und der Faktor Mensch
Die ab Ende Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) setzt Unternehmen einem großen Druck aus. Einerseits gilt der verstärkte Persönlichkeitsschutz der Mitarbeiter, anderseits halten sich diese oft nicht an die internen Richtlinien, besonders bezüglich der Datensicherheit.
Viele Unternehmen und Institutionen zittern dem 25. Mai 2018 entgegen. Denn dann wird die zwei Jahre vorher offiziell in Kraft getretene neue Datenschutzgrundverordnung (DSGVO oder DS-GVO, englisch: GDPR) EU-weit rechtsverbindlich. Bei Nichteinhaltung der Grundsätze drohen dann Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes oder maximal 20 Millionen Euro. Letztere sollen in erster Linie natürlich eine abschreckende Wirkung haben, aber die Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ verlangt den Unternehmen Einiges ab. In Betrieben mit ab zehn Mitarbeitern muss zum Beispiel ein Datenschutzbeauftragter benannt werden. Außerdem gilt die absolute Dokumentations- und Nachweispflicht nach dem Motto „Unwissenheit schützt vor Strafe nicht“.
Mehr Datenleck-Risiken denn je
Gravierende Datenschutzverletzungen müssen unverzüglich den zuständigen nationalen Behörden gemeldet werden, um zu gewährleisten, dass der Nutzer geeignete Maßnahmen treffen kann, um seine persönlichen Daten und gegebenenfalls sein Bankkonto zu schützen. Das Problem ist aber, dass personenbezogene Daten längst nicht mehr nur zentral erhoben, erfasst und aufbewahrt werden, sondern zunehmend sich auch zunehmend auf mobilen Geräten der Beschäftigten und in der Cloud befinden. Dabei wird es laut DMSFACTORY für die IT-Abteilung fast unmöglich, „den Überblick zu behalten, zu behalten, wer was wann wo gespeichert, abgefragt und verwendet hat“.
Mit der wachsenden Zahl von stationären und mobilen Systeme im Büro, im Homeoffice oder auf Geschäftsreisen erhöht sich auch das Risiko, dass personenbezogene Daten nicht mehr geschützt sind und nach draußen gelangen könnten. Die Unternehmen sind daher nicht nur angehalten, die Daten DSGVO-konform zu schützen, sondern auch ihre Mitarbeiter zu schulen.
Vom Schussel bis offenen Revoluzzer
„Datenanhänge wie Bewerbungen, eingeschleuste Medien und Phishing-Mails sind noch immer top-aktuelle Angriffsvektoren für Cyberkriminelle“, heißt es einer Studie des Sicherheitssoftware-Anbieters eset zur DSGVO, die den „Faktor Mensch“ als Problem Nummer 1 sieht. Denn viele Datenlecks werden durch die Mitarbeiter hervorgerufen. Problem Nummer 2 ist für die Macher der eset-Studie die unzureichende „Passworthygiene“: In 81 Prozent der Fälle war diese 2017 ursächlich für einen Hack, 2016 waren es „nur“ knapp über 60 Prozent.
Die im Kopierer vergessenen vertraulichen Dokumente sind der Klassiker bei den Vorkommnissen für Informationslecks. Aber es gibt auch viele Verstöße gegen die Unternehmensrichtlinien, deren sich Mitarbeiter oft gar nicht bewusst sind oder die sie aus Bequemlichkeit bewusst übergehen.
Das zeigt eine bei Data Elements gefundene Studie von Sharp Business Systems und dem Marktforschungsinstitut Censuswide auf Basis einer Umfrage bei 6.045 Bürokräften in neun europäischen Ländern, 1.015 davon in Deutschland.
Demnach haben 25 Prozent der Befragten zugegeben, dass sie Arbeitsinformationen in der öffentlich zugänglichen Cloud speichern und damit wissentlich gegen die Unternehmensrichtlinien verstoßen haben. Erschreckend: Ein Drittel davon kommt aus dem HR-Bereich, wo dem DSGVO-konforme Umgang mit sensiblen Mitarbeiterdaten eigentlich besonders beachtet werden sollte.
Der Arbeitgeber bleibt in der Verantwortung
27 Prozent der Befragten in Deutschland nutzen File-Sharing-Dienste ohne Zustimmung ihrer Arbeitgeber. 40 Prozent der Deutschen gegenüber 29 Prozent der Befragten in den anderen europäischen Ländern gaben sogar offen zu, die Unternehmensvorgaben bewusst zu ignorieren und regelmäßig Arbeitsdokumente nach Hause zu nehmen.
Wie die Datenschutzexperten von Data Elements betonen, bleibt der Arbeitgeber bei jedem Verstoß durch die Beschäftigten in der Verantwortung. Er müsse die Mitarbeiter daher besser unterstützen und sensibilisieren für den Datenschutz. Statt zum Beispiel zu tolerieren oder gar zu fördern, dass Daten über die öffentliche Cloud wandern und zu riskieren, dass damit eine konstante Datensicherheit nicht gewährleistet werden kann, müssten den Mitarbeitern im Homeoffice oder auf Geschäftsreisen die geeigneten Mittel zum Schutz vertraulicher Informationen an die Hand gegeben werden, über einen unternehmensinternen VPN-Anschluss etwa.
Quelle: Titelbild: iStock / Urban-Photographer
