Ungeschulte Mitarbeiter als grosse Sicherheitslücke

Häufige Schwachstelle für den Datenschutz im Unternehmen sind unerfahrene oder sorglose Mitarbeiter. Datenpannen wiegen mit dem Start der strengen Datenschutz-Grundverordnung der Europäischen Union und dem daran ange­passten Schweizer Datenschutzgesetz künftig noch schwerer. Was sind fatale Datenschutz-Fehler und wie lassen sie sich vermeiden?

Der Papierkorb

Im digitalen Zeitalter wird  immer wieder vergessen, dass auch Druckerzeugnisse personenbezogene Daten enthalten können. Gedruckte Dokumente und Datenträger, die im Papierkorb landen, sind vor unberechtigten Zugriffen nicht geschützt. Akten müssen ordnungsgemäss vernichtet werden. Oft ist es vorteilhaft, die Aktenvernichtung an externe Dienstleister abzugeben. Es ist einfacher, die Dokumente in Datenschutztonnen zu vernichten, als den Schredder zu benutzen.

Privates am Arbeitsplatz

USB-Sticks, externe Festplatten und Cloud-Speicher sind beliebt, um private Angelegenheiten am Arbeitsplatz zu erledigen oder Firmenunterlagen für die weitere Arbeit nach Hause zu nehmen. Hier lauert Gefahr! Die Geräte können mit Schadsoftware infiziert sein, die sich im Betriebssystem ausbreitet und eine Gefahr für Daten darstellt. Betriebsintern müssen daher private Geräte verboten und firmeneigene Geräte mit Verschlüsselungen ausgestattet sein.

Private Nutzung der Geräte

Homeoffice und unterwegs arbeiten erfreuen sich immer grösserer Beliebtheit. Regelmässig werden die zur Verfügung gestellten Arbeitsmittel (Laptops, Tablets, Smartphones) auch für private Zwecke genutzt. Dadurch können unbefugte Dritte, insbesondere bei Verlust oder Diebstahl, leicht Einblick in vertrauliche Firmenunterlagen erhalten. Festplatten und USB-Sticks müssen deshalb unbedingt verschlüsselt und die Nutzung des öffentlichen WLAN verboten werden.

Private Mail fürs Geschäft

Viele Mitarbeiter nutzen private E-Mail-Adressen zum Versenden von betrieblichen Dokumenten mit vertraulichen, personenbezogenen Daten. Die oft genannten Gründe: Bequemlichkeit, Unerfahrenheit mit E-Mail-Programmen des Unternehmens, Nutzung der Dokumente für private Zwecke. Dabei nutzen sie unsichere Transfermethoden. Leider wissen das auch viele Hacker, die immer auf der Suche nach Möglichkeiten sind, vertrauliche Daten zu stehlen. Die Nutzung privater E-Mail-Accounts für betriebliche Zwecke ist daher zwingend zu untersagen. Für die Verschlüsselung von Dateianhängen sollten automatisierte Tools eingesetzt werden.

12345: Ein Passwort für alles

Mitarbeitern, die personenbezogene Daten verarbeiten, müssen für jede Anwendung eigene Accounts eingerichtet werden. Account-Sharing ist ein No-Go. Die Accounts sind allerdings sinnlos, wenn sie nicht durch sichere Passwörter geschützt sind. Aus Bequemlichkeit werden gern einfache Passwörter genutzt und am liebsten immer das gleiche. Ein fataler Datenschutz-Fehler. Ist ein Passwort einmal geknackt, besteht so die Möglichkeit auf alle Nutzer-Accounts zuzugreifen und somit Zugang zu vertraulichen Daten zu erlangen. Passwörter sollten eine Mindestlänge haben. Je länger ein Passwort, desto sicherer. Dabei helfen Eselsbrücken wie die Anfangsbuchstaben eines Satzes: «Seit dem Jahr 2018 ist mein Passwort sicher»: SdJ2018imPs.

Betriebsfremde im Büro

Büroräume bieten einige Gefahren für diverse Datenschutzverstösse. Insbesondere wenn betriebsfremde Personen in Büroräume gelassen werden und ohne Begleitung umherspazieren können. Ein offenes Büro, ein unverschlossener Serverraum, ein vergessenes Dokument auf dem Drucker können fatale Folgen für den Datenschutz von Kunden und Mitarbeitern haben. Der Zugang zu den Büroräumen darf Betriebsfremden nur für Betriebszwecke gestattet sein und das auch nur unter Aufsicht.

Zu viel Auskunft am Telefon

Vor allem bei den unerfahrenen Telefonisten kann es passieren, dass Auskünfte zu personenbezogenen Daten gegenüber einem unberechtigten Zuhörer gemacht werden. Zur Vermeidung ist es unerlässlich, alle Mitarbeitenden schon im Voraus gründlich darin einzuweisen, welche Auskünfte gemacht werden dürfen und welche nicht.

Datenberge auf dem Schreibtisch

Vertrauliche Briefe, Verträge, Notizen mit Passwörtern, USB-Sticks und das alles auf einem Haufen. Wenn dann auch noch jeder x-beliebige Mitarbeitende diesen Haufen sehen kann, ist das Datenschutz-Chaos perfekt. Eine Clean-Desk-Policy, welche vorsieht, dass bei Verlassen des Arbeitsplatzes keine Unterlagen mit vertraulichen Dokumenten zurückgelassen werden dürfen, ist dringend zu empfehlen. Computer müssen gesperrt werden.

Der Computer als Mülldeponie

Einer der Grundsätze des Datenschutzrechts ist die Speicherbegrenzung. Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Bestes Beispiel ist das überquellende E-Mail-Postfach. Dieses muss regelmässig geleert werden. Dokumente mit personenbezogenen Daten, die auf der Festplatte gespeichert sind, aber nicht benötigt werden, müssen in den Papierkorb verschoben werden. Achtung: Aufbewahrungsfristen beachten.

Nicht gemeldete Datenpannen

Jeder Mensch macht mal Fehler. Um Ärger mit den Vorgesetzten zu vermeiden, neigen Mitarbeiter dazu, Datenpannen zu verschweigen. Folge sind Schäden für Betroffene und das Unternehmen. Mitar­beiter müssen für den Datenschutz und dessen Bedeutung sensibilisiert werden. Schulungen und ständige Thematisierung des Datenschutzes sind dafür erforderlich.

Schulungen können helfen

Obwohl es viele technische Möglichkeiten gibt, Datenschutzpannen zu vermeiden, bleibt immer der berühmte «Risikofaktor Mensch». Dennoch zeigt die Fülle an möglichen und immer wieder vorkommenden Datenschutzfehlern: Mitarbeiter müssen regelmässig geschult und für den Datenschutz sensibilisiert werden. Um Risiken (und Bussgelder) zu vermeiden, muss die Ausbildung der Mitarbeiter fester Bestandteil des Datenschutzmanagements im Unternehmen sein.

Allerdings wird jeglicher Einsatz nicht von Erfolg gekrönt sein, wenn Schulungen zum Datenschutz als unnötig, «leidig» und langweilig empfunden werden. Der Ernst der Lage wird viel zu oft erst dann erkannt, wenn es bereits zu einem schwerwiegenden Datenschutzvorfall gekommen ist. Deshalb hat es sich bewährt, nicht nur die («langweilige») Theorie zu vermitteln, sondern regelmässig das richtige Verhalten bei Datenschutzvorfällen in praktischen Trainings einzuüben.