Nicht erst seit den weitreichenden Datenpannen bei Facebook und Twitter, dem Hacker-Angriff WannaCry oder den jüngsten Hacks auf Politiker ist das Thema Datensicherheit eines, das uns alle betrifft; Privatpersonen, Selbstständige und Unternehmen jeder Größe. Vor allem die für die Sicherheit Ihrer Firma zuständigen Mitarbeiter sollten wissen, was es wo und wie zu schützen gibt. Wir geben Ihnen in einer fünfteiligen Serie einen Überblick zum Thema.
Unterschied: Datenschutz und Datensicherheit
Zunächst müssen wir zwischen Datenschutz und Datensicherheit unterscheiden. Beim Datenschutz handelt es sich um einen Sammelbegriff für die unterschiedlichen Gesetze zum Schutz des Individuums und seiner Privatsphäre vor unberechtigten Zugriff von außen, insbesondere, was die personenbezogenen Daten angeht. Die Datensicherheit wiederum dreht sich um technische und organisatorische Maßnahmen, die dem Schutz von Daten vor Verfälschung, Zerstörung, Diebstahl oder unzulässiger Weitergabe dienen. Letztendlich finden sich beide Begriffe jedoch auf derselben Seite einer Medaille wieder, gelingt ein umfangreicher Datenschutz doch nur mit der entsprechenden Datensicherheit.
Wichtig ist in diesem Zusammenhang die Datenschutz-Grundverordnung, kurz DSGVO, die im Mai 2018 in Kraft getreten ist. Die von der EU erlassene Verordnung vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten seitens privater Unternehmen und öffentlicher Stellen EU-weit. Die DSGVO sieht vor, dass sämtliche Datenpannen oder Verletzungen personenbezogener Daten dokumentiert und binnen 72 Stunden mitgeteilt werden. Die Vernichtung von Daten, deren Verlust, Veränderungen an ihnen, das Weitergeben an Dritte ohne Einwilligung oder die fehlende Berechtigung zur Datenverarbeitung fallen darunter. Wird eine Meldung unterlassen, drohen teils empfindliche Strafen.
Wen schützt der Datenschutz?
Datenschutz ist ein großer und für viele unüberschaubarer Begriff. Zwar sollten Sie sich im Zweifel immer besser bei einem Rechtsanwalt erkundigen, wen und was Sie in Ihrem Unternehmen schützen müssen, doch ein paar wichtige Richtlinien gibt es:
- Der Datenschutz sieht vor, dass Unternehmen nur das nötige Minimum an personenbezogenen Daten erheben und diese Daten vor dem Zugriff durch Dritte schützen.
- Das Bundesdatenschutzgesetz schützt die viel zitierten personenbezogenen Daten, also jene, die eine bestimmte Person betreffen, ganz gleich wie wichtig oder unwichtig die erfassten Daten Ihnen erscheinen.
- Betroffen sind alle Daten über eine natürliche Person, also persönliche und sachliche Informationen.
- Wichtig: Die betreffende Person muss nicht einmal namentlich genannt werden, um schutzberechtigt zu sein. Ein Bezug wie Telefonnummer oder E-Mail-Adresse reicht.
- Juristische Personen, also beispielsweise eine Firma, werden nicht vom Bundesdatenschutzgesetz geschützt – solange nicht natürliche Personen genannt werden.
Die Dokumentation
In der DSGVO finden sich keine konkreten Angaben dazu, was Sie als Firmeninhaber unternehmen müssen, um dem Datenschutz gerecht zu werden. Dafür gibt es Auflagen, was Sie dokumentieren müssen. Nachfolgend haben wir jene Bereiche Ihres Unternehmens aufgelistet, von denen erwartet wird, dass Sie sie in geeigneter Form dokumentieren – wohlgemerkt nach eigener Einschätzung des Risikos der verarbeiteten personenbezogenen Daten:
- Verschlüsselung
- Vertraulichkeit
- Wiederherstellung von Daten
- Unterweisung unterstellter Mitarbeiter
- Pseudonymisierung
- Integrität
- Belastbarkeit Ihrer Systeme
Die Kontrollen
Die technischen und organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz (BDSG) festgelegt sind, sehen auch verschiedene Arten der Kontrolle vor, die Sie durchführen oder für die Sie sorgen müssen:
- Eingabekontrolle
- Weitergabekontrolle
- Auftragskontrolle
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Verfügbarkeitskontrolle
- Trennung von Daten für unterschiedliche Zwecke
Stichworte im Zusammenhang mit Datenschutz und Datensicherheit
Phishing • Trojaner • Hybride IT-Umgebung • Cloud-Speicher • Cloud-Security • Cloud-Access Security Broker (CASB) • Shadow-IT • On-Premise-Schutz • DSGVO • Dark Data • Share-Point-Website • Need-to-know-Prinzip • WannaCry • Malware • Exploits