Eine Datenpanne ist ärgerlich und kann teuer werden. Die folgenden Tipps helfen Ihnen dabei, Ihr Risiko für Datenpannen zu senken.
Von einer Datenpanne oder Datenschutzverletzung spricht man, wenn etwas Ungewolltes mit den personenbezogenen Daten passiert. Das kann beispielsweise der Fall sein, wenn versehentlich zu viele Empfänger im "An"-Feld der E-Mail gelandet sind oder wenn ein Spam-Link angeklickt wurde oder wenn im Büro eingebrochen wurde oder oder oder ... Der Kreativität sind keine Grenzen gesetzt. ;-)
Sobald ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, muss die Datenpanne an die zuständige Datenschutzaufsichtsbehörde gemeldet werden - und zwar innerhalb von 72 Stunden ab Kenntnisnahme.
Doch was können Sie tun, damit es gar nicht erst soweit kommt?
1) Verbindliche Regelungen schaffen
Regeln Sie Abläufe in Ihrem Unternehmen so, dass jeder weiß, wie welche Daten verarbeitet werden soll. Machen Sie beispielsweise konkrete Vorgaben dazu, wo Unterlagen abgelegt werden sollen, welche Dokumente mit einem Passwortschutz versehen werden müssen, welche Unterlagen in verschlossenen Schränken verwahrt werden sollen und so weiter. Auch das Verbot der Privatnutzung geschäftlicher Geräte und Kommunikationsmittel sowie die Verpflichtung der Beschäftigten zur Vertraulichkeit sind sehr empfehlenswerte Maßnahmen.
Gefahren lauern insbesondere auch beim mobilen Arbeiten, deswegen macht es Sinn, auch hier genau zu regeln, welche Geräte genutzt werden dürfen, wo Daten zu speichern sind und wie die Daten im Homeoffice verwahrt bzw. transportiert werden sollen.
Weiterhin sollten Sie eine interne Meldekette etablieren. Jeder Beschäftigte sollte genau wissen, was er im Fall einer Datenpanne oder bei einer Datenschutzanfrage einer betroffenen Person zu tun hat.
2) Technische Voreinstellungen zur Fehlervermeidung
Noch besser als organisatorische Maßnahmen sind technische Maßnahmen. Denn organisatorische Regelungen dokumentieren erstmal nur, wie etwas ablaufen SOLL. Wenn Sie jedoch über eine technische Maßnahme sicherstellen, dass Beschäftigte beispielsweise gar keine Rechte haben, Software auf geschäftlichen Geräten zu installieren, dann können hier auch keine Fehler passieren. Gleiches gilt für Passwortvorgaben: Wenn Sie die Software so einstellen, dass Passwörter nur mit einer bestimmten Länge und einer bestimmten Buchstaben-/Zahlenkombination vergeben werden dürfen, ist das besser, als nur aufzuschreiben, wie ein sicheres Passwort aussehen soll. Und eine automatische Sperrung des Computers nach einer gewissen Zeit der Inaktivität ist besser als die Bitte, den PC zu sperren, wenn man den Arbeitsplatz verlässt.
Als Faustregel gilt also: Alles, was Sie technisch erzwingen können, um Fehler zu vermeiden, ist besser als eine organisatorische Regelung. Die organisatorischen Maßnahmen sollten Sie daher für die Fälle verwenden, wo eine technische Voreinstellung unmöglich ist. So ist es beispielsweise schwer machbar, jegliche Privatnutzung aus technischer Sicht zu verbieten oder es technisch unmöglich zu machen, falsche E-Mail-Empfänger einzutragen oder die Nutzung eines Aktenvernichters zu erzwingen. Durch entsprechende schriftliche Regelungen können Sie aber das Bewusstsein bei den Beschäftigten stärken und den Raum für Datenpannen reduzieren.
3) Schulung der Beschäftigten
Das A und O bei der Prävention sind die Kenntnisse und Fähigkeiten der Beschäftigten. Je besser sie Bescheid wissen, was beim Thema Datenschutz zu beachten ist und je besser sie verstehen, warum das Thema wichtig ist und welche Strafen drohen, desto besser können sie die Vorgaben in der Praxis umsetzen und ein Gespür dafür entwickeln, wann es besser ist, den Rat eines Kollegen oder Vorgesetzten einzuholen.
Dies gilt beispielsweise für das Erkennen von Spam-Mails und die Information über interne Abläufe und Zuständigkeiten. Geben Sie den Beschäftigten die Möglichkeit, Fragen zu konkreten Themen ihres Arbeitsalltags zu stellen. Davon profitieren alle! Sie erkennen mögliche Sicherheitslücken und die Beschäftigten sind sensibilisiert, worauf sie achten sollen. Solche Schulungen sollten regelmäßig, mindestens einmal im Jahr, stattfinden.
Rechtlicher Hinweis: Ich beschäftige mich zwar regelmäßig mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.