Keine einmalige Angelegenheit
Unternehmen müssen Datenschutzniveau dauerhaft prüfen
Fortsetzung des Artikels von Teil 1
Datenschutz durch Technikgestaltung
Dass Security-Lösungen bereits vor der Einrichtung auf Datenschutz-Vorgaben ausgerichtet sind, erleichtert den Nutzern die Einhaltung der zahlreichen Richtlinien. Software-Hersteller sind daher angehalten, den Datenschutz-Aspekt unbedingt in ihre Entwicklung einzubeziehen.
In der DSGVO ist mit dem Artikel 25 zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by design“ und „Privacy by default“) eine wichtige Neuerung festgelegt: Verantwortliche müssen bei der Festlegung der Mittel zur Verarbeitung von personenbezogenen Daten geeignete technische und organisatorische Maßnahmen ergreifen. Diese Maßnahmen müssen die Datenschutzgrundsätze umsetzen und die Rechte der Betroffenen schützen. Genauso muss sichergestellt sein, dass durch die Voreinstellungen nur soche personenbezogenen Daten verarbeitet werden, die dringend erforderlich sind. Security-Lösungen müssen also bereits so konzipiert sein, dass die verwendete Technik in der Grundeinstellung Datenschutz gewährleistet.
Mitarbeiterdaten sind schützenswert: die EU-DSGVO geht alle an
Auch Unternehmen, die in erster Linie Daten von juristischen Personen erfassen, sind von den Neuerungen der EU-DSGVO nicht ausgenommen, denn wenn es um den Datenschutz von Mitarbeitern geht, ist die Verordnung für alle Betriebe relevant. Es gibt in der neuen Verordnung zwar noch keine Regelungsvorschrift, die sich explizit mit dem Beschäftigtendatenschutz auseinandersetzt – dies ist allerdings in Planung – dennoch gelten Mitarbeiter immer als natürliche Personen und so fällt auch die Verarbeitung von ihren schützenswerten Daten in den Anwendungsbereich des europaweiten Gesetzes. Zu Schwierigkeiten kann es in Betrieben kommen, wenn im Falle von Datenlecks genau dokumentiert werden muss, wo welche Informationen verloren gegangen sind. Genau an dieser Stelle können Unternehmen in die Bredouille kommen, schließlich untersagt die Regelung auch eine Überwachung von Mitarbeitern. Der Einsatz solcher Späh-Software würde die Privatsphäre verletzen. Dennoch könnte das Datenleck aber genau am Rechner eines Mitarbeiters entstanden sein. Im Schadensfall muss also nachgewiesen werden können, wo die Daten verloren gegangen sind.
Um Persönlichkeitsrechte der Mitarbeiter nicht zu verletzen, können Unternehmen auf das 4-6 Augenprinzip zurückgreifen. Das heißt, Administratoren oder Geschäftsführer, die alleine nicht in der Lage sind, Mitarbeiter zu überwachen, können zusammen mit dem Betriebsrat und/oder dem Datenschutzbeauftragten des Unternehmens Protokolldaten von Benutzern einsehen. Dies wird aber nur genehmigt, wenn tatsächlich eine rechtliche Relevanz vorliegt und ein Datenleck dringend nachgewiesen werden muss.
Da in kleinen und mittelständischen Betrieben oder öffentlichen Einrichtungen meist nicht ausreichend Fachpersonal vorhanden ist, haben sie Schwierigkeiten, die Vorgaben der EU-DSGVO umzusetzen. Mit einer effizienten Security-Lösung an der Hand, die die neuen Gesetzesvorgaben zum Datenschutz bereits in den Voreinstellungen berücksichtigt, sind sie allerdings gut gerüstet. Zwingend notwendig sind dabei Tools, die die datenschutzrelevante Situation im Firmen-Netzwerk überprüfen und für den Ernstfall gesetzeskonform protokollieren. Greifen Nutzer auf eine Sicherheitslösung zurück, die die Analyse von Daten mit den entsprechenden Schutzmodulen kombiniert, bleiben Daten zusätzlich vor Diebstahl oder Fahrlässigeit bewahrt.
Sergej Schlotthauer ist CEO von EgoSecure
- Unternehmen müssen Datenschutzniveau dauerhaft prüfen
- Datenschutz durch Technikgestaltung
Lesen Sie mehr zum Thema
