Das Security-Management personenbezogener Daten auf Rechnern, Smartphones, Tablets und sonstigen mobilen Geräten in Unternehmen und Organisationen liegt meist im Verantwortungsbereich der IT-Abteilung. Hier hat sich in den letzten drei Monaten gezeigt, wie gut die zweijährige Übergangsfrist genutzt wurde: Mancherorts klappte das meiste, in einigen Unternehmen brach Chaos aus.
Bei regelmäßigen Aufgaben wie der Berichterstattung haben sich bereits Best Practices herauskristallisiert. Aber auch einige Schwachstellen traten ans Licht. Folgende Ratschläge und Tipps sollen IT-Administratoren ihre tägliche Arbeit rund um DSGVO-relevante Aufgaben erleichtern.
Vorsicht vor blindem Aktionismus
Trotz der langen Vorbereitungszeit folgte für viele Unternehmen am 25. Mai der sprichwörtliche Sprung ins kalte Wasser. Aus Unwissenheit oder Unsicherheit wurden viele unnötige Maßnahmen ergriffen oder Verträge abgeschlossen, die überflüssig oder gar ordnungswidrig sind.
Administratoren sitzen dabei oft am Ende einer Entscheidungskette und müssen kurzfristig für Abhilfe sorgen, selbst wenn eine Aktion nicht sinnvoll erscheint oder sich als nicht nachhaltig erweist. Als Administrator schützt man sich am besten durch fundierte Kenntnisse vor „DSGVO-Aktionismus“. Falls noch nicht geschehen, sollten sich IT-Mitarbeiter eigeninitiativ weiterbilden, um den Vorgesetzten oder Datenschutzbeauftragten mit stichhaltigen Argumenten überzeugen zu können, dass bestimmte Einwilligungserklärungen oder Datenverschlüsselungen überflüssig sind.
Defizit „interne Kommunikation“
Selbst wenn die DSGVO gemäß den Vorgaben umgesetzt wurde, hapert es oftmals noch daran, dass alle Betroffenen effektiv davon erfahren. Man erinnere sich an die E-Mail-Flut rund um den 25. Mai: Informationen dazu, wie ein Unternehmen mit Kundendaten umgeht, wurden allumfassend an die Kunden weitergegeben.
Gleichzeitig herrscht aber bei der Kommunikation nach innen noch Nachholbedarf. Es hapert insbesondere an folgenden Stellen, wenn es darum geht, Mitarbeiter und Mitarbeiterinnen über ihre Rechte und Pflichten zu informieren:
- Einheitliche Regelungen für Arbeiten im Home Office
- Regelungen für Nutzung von Software, webbasierten Anwendungen und E-Mail-Programmen
- Passwortrichtlinien und Passwortschutz für mobile Geräte
- Einwilligungen für die Nutzung von Bildern von Mitarbeitern (ggf. auch nach Verlassen des Unternehmens) oder Besuchern von Firmen-Events. Außerdem sollten für folgende sicherheitsrelevante Bereiche schriftliche Dokumentationen vorliegen, die von involvierten Mitarbeitern eingesehen werden können.
- Prozesse für die Auskunftserteilung an Betroffene: Welche Daten sind über einen Betroffenen in sämtlichen IT-Systemen gespeichert – auch lokale Quellen wie E-Mail-Adressbücher müssen hier beachtet werden.
- Konzept für Löschung von Daten und den dazugehörigen Aufbewahrungsfristen
- Konzept für die E-Mail-Archivierung und eine revisionssichere Langzeitarchivierung.
- Konzepte für Firewalls und Backups
- Berechtigungskonzepte für Fileserver und für Applikationen
Regelmäßig Austausch mit anderen Abteilungen suchen
Häufige Fehlerquelle ist eine unstrukturierte Herangehensweise: Werden Themen nur punktuell bearbeitet und die Zusammenhänge mit anderen Bereichen nicht beachtet, sind einzelne Maßnahmen am Ende nicht unternehmensweit wirksam.
Ein Beispiel: Der schriftliche Hinweis auf die Einhaltung der DSGVO für Kunden, Mitarbeiter und Bewerber auf der Unternehmenswebsite ist wichtig. Versäumt das Unternehmen jedoch, an geeigneter Stelle darauf zu verweisen, etwa in der E-Mail-Signatur aller Mitarbeiter, ist das Ganze fragwürdig. Stellt man im Nachhinein fest, dass die Kommunikation mit einigen Kunden bisher immer per Post lief, muss zusätzlich postalisch informiert werden. So wird aus einem schlecht geplanten Prozess schnell doppelte Arbeit.
Auch die Berichterstattung über die vorhandenen Kundendaten ist so ein Fall: Das Erstellen solcher Berichte ist dank moderner Verwaltungstools per Knopfdruck möglich. Fehlt aber der Austausch mit den Abteilungen, die diese Daten typischerweise in ein CRM-System einpflegen, sind sie gar nicht oder nur bruchstückhaft digital vorhanden.
Laut DSGVO ist auch die Quelle, aus der die persönlichen Daten ins Unternehmen gelangt sind, nachzuweisen. Ein häufiges Versäumnis ist, dafür im CRM ein Pflichtfeld zu definieren.
Grundsätzlich gilt daher: Werden Prozesse oder Konzepte definiert, die die Mitwirkung anderer Abteilungen als der IT erfordern, ist es wichtig, den Prozess gemeinsam zu entwickeln und zu testen.
Blinder Fleck „Ausgedrucktes“
Der Schutz personenbezogener Daten steht im Mittelpunkt der DSGVO. Sobald sie ausgedruckt sind, erscheinen sie manchen Mitarbeitern paradoxerweise weniger sensibel. IT-Admins sind zwar nicht primär für ausgedruckte Daten verantwortlich, kommen aber oft damit in Berührung, etwa wenn der Drucker streikt. Nicht selten liegen noch die Unterlagen des letzten Bewerbers im Papierausgabefach oder stapeln sich alte Kundenkorrespondenzen auf der Ablage vor dem Schredder.
Sprechen Sie solche Dinge bei den Kollegen an: Was nützt die Datenverschlüsselung, wenn die Daten letztlich ausgedruckt jedem zugänglich sind?
Schwachstelle mobile Geräte
Das „mobile Office“ hält in Deutschland Einzug in den Arbeitsalltag. Viele Mitarbeiter arbeiten im Home Office oder auf dem Weg zur Arbeit mit Smartphones und Touch Pads. Der Verlust oder der Diebstahl mobiler Geräte wird besonders dramatisch, wenn die Geräte nicht ausreichend geschützt waren oder gar Vorkehrungen zur Fernlöschung nicht getroffen wurden. Gerät ein gestohlener Laptop in kriminelle Hände, stehen schnell geschäftskritische, aber auch persönliche Daten auf dem Spiel – das ist für Unternehmen in Bezug auf den Datenschutz ein Desaster.
Aber selbst DSGVO-Standard-Aufgaben wie die Umsetzung des „Recht auf Vergessenwerden“ kann schnell einen Berg Arbeit für die IT bedeuten: Wurden entsprechende Vorkehrungen nicht getroffen, etwa die Installation einer dedizierten Geräteverwaltungslösung, kann schon die Löschung aller Daten einer einzelnen Person von allen Geräten im Unternehmen Tage dauern.
Ein verbindliches Konzept für den Schutz und das Remote Management mobiler Geräte gehören daher zum Pflicht-Programm für die IT. Die Verschlüsselung von Mobilgeräten und verbindliche Regelungen zur Nutzung privater Geräte sind hier wichtige To-do´s.
Auch die Nutzung von Software, die sich automatisiert Zugriff auf Adressbücher verschaffen kann wie Messenger-Dienste sollte mit Plan und Ziel eingeschränkt werden.