Umfangreiche Regelungen für neue, versetzte und ausscheidende Mitarbeiter zu berücksichtigen

[datensicherheit.de, 21.05.2019] Fast jeder kennt diese vordergründig banale Aussage: „Jedes IT-Sicherheitssystem ist nur so gut wie das schwächste Glied der gesamten Kette.“ In den meisten Fällen ist das allerdings der einzelne Mitarbeiter. Das gilt insbesondere bei der Einstellung neuer Belegschaftsmitglieder, aber auch bei deren Austritt. Zum Thema Datensicherheit bei Einstellung und Austritt von Mitarbeitern hat die PSW GROUP Consulting eine übersichtliche Checkliste zusammengestellt – sie steht im PDF-Format zum Download bereit.

Über Strategie zur Informationssicherheit und einzuhaltende Sicherheitsmaßnahmen informieren!

„Neu eingestellte Mitarbeiterinnen und Mitarbeiter müssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch in die unternehmensinternen Gepflogenheiten und Verfahrensweisen. Dazu gehört auch, über die Strategie zur Informationssicherheit und die einzuhaltenden Sicherheitsmaßnahmen zu informieren“, unterstreicht Christian Heutger, „CTO“ der PSW GROUP Consulting.
Neue Mitarbeiter müssten in die wichtigsten IT-Systeme eingewiesen werden, die IT-Verantwortlichen bzw. IT-Ansprechpartner kennenlernen und die Sicherheitsziele des Unternehmens kennen. Zu Beginn eines Arbeitsverhältnisses müsse geklärt werden, worauf ein Mitarbeiter Zugriff erhält.

Rechtezuteilung und -entzug kontrollieren und regeln!

Bei der Rechtezuteilung gelte: „So wenig wie möglich, so viel wie nötig.“ Zu regeln sei auch, welche Daten auf welchen Geräten gespeichert werden dürfen. Heutger: „Hier bieten sich Sicherheitsrichtlinien an, die fürs gesamte Unternehmen verbindlich gelten. Einfacher wird das Ganze, wenn die Informationen in Datenschutzklassen und Verantwortlichkeiten unterteilt werden – beispielsweise in die Klassen Null bis Drei, wobei Daten der Klasse Null keiner Vertraulichkeit unterliegen und die der Klasse Drei höchster Vertraulichkeit“.

© PSW Group

Christian Heutger: Zutrittsregelung auch bei Funktionsänderung von Mitarbeitern anpassen!

Ebenfalls vor dem Eintritt ins Unternehmen sei zu klären, wie mit Daten jedweder Art umgegangen wird. Beispiele seien hier etwa die vertrauliche Vernichtung von sensiblen Daten, die Datensicherung oder das Weiterleiten von Informationen intern sowie extern. Daneben müsse festgehalten werden, „was nach dem Austritt eines Mitarbeiters mit den Daten auf seinem Rechner passiert, wer darauf in welchem Umfang zugreifen darf“.

Sämtliche betrieblichen Dokumente und Informationen unterliegen dem Datenschutz

Im Verlauf eines Arbeitsverhältnisses sammeln sich sehr viele Daten an, die auf Rechnern oder auf externen Tools wie Smartphone, USB-Stick und Tablet gespeichert werden. „Es muss geklärt sein, dass bei Weggang eines Mitarbeiters geschäftliche Daten keinesfalls mitgenommen werden dürfen. Das bedeutet, dass sichergestellt werden muss, dass weder eine Datensicherung, zum Beispiel auf einem USB-Stick, erfolgen darf, noch die Daten auf andere Art in das neue Unternehmen umziehen. Sämtliche Dokumente und Informationen unterliegen dem Datenschutz und sind somit im Unternehmen zu belassen“, verdeutlicht Heutger die Herausforderung.
Der ausscheidende Mitarbeiter sollte zudem verpflichtet werden, alle ihm zur Verfügung gestellten Arbeitsmittel, inklusive externer Speichermedien, bis zum Ende des Arbeitsverhältnisses herauszugeben. „In vielen Unternehmen ist es Mitarbeitern gestattet, private E-Mails auf dem Firmenrechner zu verwalten. Auch hier muss eine klare Regelung darüber her, was mit diesen E-Mails und den gespeicherten Informationen des E-Mail-Accounts nach Ausscheiden des Mitarbeiters geschieht“, gibt Heutger in Hinblick auf das Fernmeldegeheimnis zu bedenken. Denn greift ein Unternehmer ohne Erlaubnis auf das E-Mail-Account eines Ex-Mitarbeiters zu, könne er sich strafbar machen. „Bezüglich der Löschung privater Daten in E-Mail-Accounts, IT-Systemen, Telefonen und so weiter verfassen Unternehmen deshalb idealerweise eine Pflichtenliste“, so der IT-Sicherheitsexperte.

Verschwiegenheit: Auch nach dem Ausscheiden bleiben Erklärungen in Kraft

Ein weiterer wichtiger Punkt sei das Thema Verschwiegenheit: Auch nach dem Ausscheiden eines Mitarbeiters blieben sämtliche Verschwiegenheitserklärungen in Kraft. Keine während der Arbeit erhaltenen Informationen dürften weitergegeben werden. Zudem sollte ausgeschiedenen Mitarbeitern der Zugang zum Firmengelände, vor allem zu den Räumlichkeiten der IT-Sicherheit, untersagt werden.
Heutger führt aus: „Dies gilt übrigens auch bei Funktionsänderung von Mitarbeitern. Dann ist zu prüfen, inwieweit Zutrittsberechtigungen zu bestimmten Räumlichkeiten anzupassen sind.“

Weitere Informationen zum Thema:

PSW CONSULTING
Nutzen Sie unsere Checkliste zur IT-Sicherheit bei Mitarbeitereinstellung und –austritt und seien Sie auf der sicheren Seite.

datensicherheit.de, 17.05.2019
Phishing-Attacken bei WordPress und eBay

datensicherheit.de, 23.04.2019
Sicherheitsforschern gelang Hacker-Angriff auf Klärwerk

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

[datensicherheit.de, 02.12.2011] Laut einer aktuellen Mitteilung des Bundesministeriums für Wirtschaft und Technologie wurde das Gesetz zur Aufhebung von Vorschriften zum Verfahren des elektronischen Entgeltnachweises (ELENA) am 2. Dezember 2011 im Bundesgesetzblatt verkündet – damit tritt es am 3. Dezember 2011 in Kraft:
Ab diesem Zeitpunkt entfällt die Pflicht des Arbeitgebers, monatliche Meldungen zu Entgeltdaten im ELENA-Verfahren an die Zentrale Speicherstelle zu erstatten. Gleichzeitig werden keine Arbeitnehmerdaten mehr angenommen und alle bisher gespeicherten Daten unverzüglich gelöscht.
Es sei gut, dass ELENA noch vor Jahresende 2011 endgültig aufgehoben werde, so der Bundesminister für Wirtschaft und Technologie, Dr. Philipp Rösler. Dies sei vor allem für die durch ELENA besonders belasteten kleinen und mittleren Unternehmen eine gute Nachricht. Jetzt gelte es, aus den bislang gesammelten Erfahrungen zu lernen und künftig ein praktikables und unbürokratisches Verfahren für die elektronische Übermittlung von Entgeltdaten zu entwickeln. Eine vollständige oder teilweise Massenspeicherung von Daten wie im ELENA-Verfahren müsse jedoch vermieden werden.

Weitere Informationen zum Thema:

ELENA
Website für das ELENA-Verfahren

[datensicherheit.de, 05.11.2011] Das Gesetz zur Aufhebung von Vorschriften über das Verfahren des elektronischen Entgeltnachweises (ELENA) hat am 4. November 2011 den Bundesrat passiert:
Damit sei der Weg frei, um das ELENA-Verfahren noch vor Jahresende 2011 einzustellen. Die Einstellung sei eine gute Nachricht, vor allem für die durch ELENA besonders belasteten kleinen Unternehmen, so der Bundesminister für Wirtschaft und Technologie Dr. Philipp Rösler. Die Wirtschaft werde von der zuletzt bestehenden Doppelbelastung durch Papierbescheinigungen und elektronische Meldungen befreit. Es biete sich nun die Chance, aus den bei ELENA gesammelten Erfahrungen zu lernen und ein praktikables und unbürokratisches Verfahren für die elektronische Übermittlung von Entgeltdaten zu entwickeln. Eine vollständige oder teilweise Massenspeicherung von Daten wie im ELENA-Verfahren müsse vermieden werden.
Das ELENA-Verfahren regelt die elektronische Übermittlung von Entgeltdaten durch den Arbeitgeber an eine zentrale Speicherstelle. Der Bundestag hatte die zur Einstellung von ELENA erforderlichen Gesetzesänderungen bereits Ende September 2011 beschlossen. Das Gesetz muss nun noch vom Bundespräsidenten ausgefertigt und anschließend im Bundesgesetzblatt verkündet werden. Ab Inkrafttreten des Gesetzes am Tag nach seiner Verkündung sind die Arbeitgeber von den elektronischen Meldepflichten befreit – es werden dann keine Arbeitnehmerdaten mehr angenommen und alle bisher gespeicherten ELENA-Daten unverzüglich gelöscht.

[datensicherheit.de, 18.07.2011] Das Bundesministerium für Wirtschaft und Technologie und des Bundesministerium für Arbeit und Soziales haben am 18. Juli 2011 gemeinsam die Einstellung des ELENA-Verfahrens verkündet:
Beide hätten sich demnach „nach eingehender Überprüfung“ darauf verständigt, das ELENA-Verfahren schnellstmöglich einzustellen. Grund sei die fehlende Verbreitung der qualifizierten elektronischen Signatur. Umfassende Untersuchungen hätten jetzt gezeigt, dass sich dieser Sicherheitsstandard, der für das ELENA-Verfahren datenschutzrechtlich zwingend geboten sei, trotz aller Bemühungen in absehbarer Zeit nicht flächendeckend verbreiten werde – davon aber hänge dessen Erfolg ab.
Die Bundesregierung werde dafür Sorge tragen, dass die bisher gespeicherten Daten unverzüglich gelöscht und die Arbeitgeber von den bestehenden elektronischen Meldepflichten entlastet würden. Das Bundesministerium für Wirtschaft und Technologie werde in Kürze einen entsprechenden Gesetzentwurf vorlegen.
Es sei der Bundesregierung ein wichtiges Anliegen, Lösungen aufzuzeigen, die die bisher getätigten Investitionen der Wirtschaft aufgriffen. Das Bundesministerium für Arbeit und Soziales werde ein Konzept erarbeiten, wie die bereits bestehende Infrastruktur des ELENA-Verfahrens und das erworbene Know-how für ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung genutzt werden könnten.

Weitere Informationen zum Thema:

BMWi, 18.7.2011
ELENA-Verfahren wird eingestellt