[datensicherheit.de, 10.07.2019] In deutschen Unternehmen gibt es mit den „Human Resources“ einen Bereich, in dem Datenverarbeitung immer gleichbedeutend mit der Verarbeitung personenbezogener Daten ist – denn Personaldaten haben definitionsgemäß stets einen Personenbezug und weisen damit in den meisten Fällen einen erhöhten Schutzbedarf auf.

DSGVO diktiert Regeln auch für Personaldaten

Selbstverständlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) angemessen zu schützen. Bereits das Bundesdatenschutz-gesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben:

• Rechtsgrundlage zur Datenverarbeitung ist erforderlich.
• Daten dürfen nicht unbegrenzt gespeichert werden.
• Verarbeitung der Daten darf nur für den beabsichtigten Zweck erfolgen.
• Datenschutzverletzungen sind meldepflichtig.
• Daten sind angemessen zu schützen.

Doch darüber hinaus fordert die DSGVO bei Zuwiderhandlungen empfindliche Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes. Besonders heikel ist, dass Pflichtverletzungen im Datenschutzbereich Geschäftsführer und Vorstände persönlich ersatzpflichtig machen können – diese haften dann gegebenenfalls auch mit ihrem Privatvermögen. In Extremfällen können sogar Gefängnisstrafen verhängt werden. Viele Unternehmen setzen daher laut Uniscon „auf vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume“.

Privilegierter Zugriff als Risiko

Doch selbst, wenn die üblichen „technischen und organisatorischen Maßnahmen“ zum Schutz der Daten getroffen werden, bleibt ein nicht zu unterschätzendes Restrisiko: Dieses besteht selbst dann, wenn die personenbezogenen Daten in einem virtuellen Datenraum oder einer „Business Cloud“ abgelegt sind. Denn gerade organisatorische Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich laut Uniscon „mit verhältnismäßig überschaubarem Aufwand umgehen“.
Darüber hinaus können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das aber bringt die Verantwortlichen in Bedrängnis, denn diese haben die Integrität der Daten sicherzustellen.
Um personenbezogene Daten wie Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, „braucht es eine technische Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet“. Herkömmliche Public-Cloud-Angebote könnten diese Anforderung in der Regel nicht erfüllen. Sogar viele „Business Clouds“ täten sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden – „die meisten klassischen Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken“.

Abhilfe: Privilegierten Admin-Zugriff gar nicht erst vorsehen

Einen besseren Ansatz verfolgten betreibersichere Infrastrukturen: Dort würden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen ließen.
Die Server seien hermetisch abgeriegelt, ein privilegierter Admin-Zugriff sei nicht vorgesehen – „eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer“.

Betreibersichere Infrastrukturen mit hohem Datenschutzniveau

„Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und Datenraum-Angebote setzen, sind damit rechtlich auf der sicheren Seite“, so Uniscon. Stehen die Server noch dazu in einem EU-Land mit besonders hohem Datenschutzniveau wie etwa Deutschland, schaffe dies zusätzlich Vertrauen. Die passenden Zertifikate erleichterten den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten.
Betreibersichere Infrastrukturen seien eine noch recht junge Alternative zu herkömmlichen Cloud-Infrastrukturen und würden wegen ihres hohen Datenschutzniveaus seit einigen Jahren zunehmend im geschäftlichen Umfeld eingesetzt. Dazu zählten unter anderem die versiegelte Cloud der Deutschen Telekom und die „Sealed Platform“ der TÜV SÜD-Tochter Uniscon GmbH.

Weitere Informationen zum Thema:

Wikipedia
Sealed Cloud

datensicherheit.de, 07.07.2019
Nutzerstudie 2019: Datenschutz und Datensicherheit in KMU

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 30.08.2018
Personaldaten: Richtig agieren mit Daten- und Berufsgeheimnis

datensicherheit.de, 20.09.2009
Neue Bestimmungen zum Beschäftigtendatenschutz erster wichtiger Schritt

[datensicherheit.de, 30.08.2018] Aktenschredder, Klauseln zur Mailnutzung, Verschlüsselung von sensiblen Dokumenten oder Weiterbildung von Mitarbeitern: Die vor gut 100 Tagen in Kraft getretene Europäische Datenschutz-Grundverordnung (EU-DSGVO) zwingt Unternehmen und Mitarbeiter gleichermaßen zu einem sensibleren Umgang mit Personal- und Unternehmensdaten. Der Datenschutzexperte René Rautenberg von ER Secure klärt auf: „Es gilt nach der Änderung einiges im Umgang mit Personaldaten zu beachten. Das Datengeheimnis nach Paragraph 5 des BDSG ist zwar mit dem 25. Mai entfallen, das unbefugte Erheben, Verarbeiten und Weiterleiten von Daten bleibt jedoch verboten.“

Mitarbeiter richtig informieren

„Mitarbeiter müssen mit geeigneten Maßnahmen mit der neuen Verordnung vertraut gemacht werden. Es gibt allerdings keinen Grund für regelmäßige Schulungen wie viele Unternehmen annehmen. Um das Gesetz zu erfüllen, sollten die Mitarbeiter das Datengeheimnis nach Paragraph 5 samt dazugehörigem Merkblatt ansehen“, erklärt Rautenberg. Nach europäischem Recht und dem Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten alle Informationen die natürliche Personen betreffen. Die Maßnahmen sind essentiell, werden aber noch nicht von allen Unternehmen richtig umgesetzt. „Seit dem Inkrafttreten der DSGVO hat es bis zu zehn Mal mehr Beschwerdefälle von Mitarbeitern gegeben, in denen sie auf mögliche Datenschutzverstöße von Unternehmen hinweisen“, betont Rautenberg.

Sorgfalt bei Dokumenten

„Wenn Papierdokumente personengezogene Daten enthalten und diese im Hausmüll entsorgt werden, sieht sich ein Unternehmen schnell den Behörden gegenüber. Ein Aktenvernichter ist ein Muss“, erklärt Rautenberg. Er empfiehlt einen Cross-Kart-Schredder, der auf zwei Zentimeter eingestellt ist. „Sollten Unternehmen auf einen externen Aktenvernichter zurückgreifen, ist der Abschluss eines Datenschutzvertrages anzuraten“, sagt der Experte.  Auch bei digitalen Dokumenten ist Vorsicht geboten. „Unternehmen dürfen beim Ausscheiden eines Mitarbeiters nur auf den Email-Account zugreifen, wenn die Privatnutzung zuvor entsprechend geregelt worden ist. Wird der Account auch für private Zwecke genutzt, muss der Mitarbeiter vor dem Ausscheiden sämtliche private Unterhaltungen löschen. Ist die Privatnutzung verboten, darf das Unternehmen auf das Postfach zugreifen“, betont Rautenberg.

Geheimnisse sind zu wahren

Das Konzept „Bring your own device“ ist bei Unternehmen beliebt: Rautenberg warnt jedoch vor der Nutzung privater Geräte für den dienstlichen Gebrauch: „Wenn Mitarbeiter ihre eigenen Geräte ins Büro mitbringen und darauf ihre Arbeit verrichten, birgt das Risiken für den Datenschutz. Besonders, wenn personenbezogene Daten vom Unternehmen auf diesen Geräten gespeichert werden. In dem Moment, wo Dateien vom Server auf den Desktop gezogen werden, lässt sich das kaum vermeiden.“  Auch bei der Online-Kommunikation mit externen Dienstleistern muss der Datenschutz gewährleistet sein. „Wenn Sie sensible Daten an Anwälte oder Steuerberater per Email senden, ist dies kritisch. Ob PDF, Word-Dokument oder Excel-Tabelle: Die Daten müssen mit einem Passwort verschlüsselt sein“, erklärt Rautenberg.

Datenschutz-Tools können Unternehmen helfen

Laut Rautenberg nutzen viele Firmen Datenschutz-Management-Tools. Mit Hilfe von Fragebögen, Aufgaben, Checklisten und Videoanleitungen können sie so auf ihr Unternehmen zugeschnitten schrittweise alle Anforderungen prüfen, anpassen und dokumentieren. Nach seinen Erfahrungen haben besonders kleine Unternehmen Ressourcenprobleme, das Thema anzugehen. Ihnen rät er, jetzt ihre Hausaufgaben zu machen. „Viele Prozesse sind Fleißarbeit. Gleichzeitig sollten gerade kleine Unternehmen nicht den Fehler begehen und das Thema auf jemand abwälzen, der gerade verfügbar ist. Die EU-DSGVO betrifft alle Unternehmensbereiche und sollte von jemanden angegangen werden, der komplex und vernetzt denken kann.“

Weitere Informationen zum Thema:

ER Secure GmbH
Externer Datenschutzbeauftragter Bundesweit

datensicherheit.de,  25.07.2018
DSGVO-Audits: Hohe Durchfallquote erwartet

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen