YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 02:52 Minuten

Online Schulung für Datenschutz

Herzlich willkommen zur online Datenschutzschulung. Unsere Datenschutzbeauftragten erklären Ihnen nun in kurzen Videos alle essentiellen Grundlagen des Datenschutzes.

Die Schulung dauert ungefähr 40 Minuten und bei den Prüffragen können Sie mehrere Antworten wählen.

Bedeutung des Datenschutzes

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 04:57 Minuten

Das oberste Prinzip des Datenschutzes ist der Schutz natürlicher Personen vor dem Missbrauch ihrer Daten. Dabei garantiert der Datenschutz jeder natürlichen Person das Recht, selbst zu bestimmen:

  • Wem die eigenen Daten zugänglich sind
  • Welche Daten Dritten zugänglich gemacht werden
  • Wann und zu welchem Zweck die Daten Dritten zugänglich gemacht werden

Was sind personenbezogene Daten?

Nach dem Bundesdatenschutzgesetz und der europäischen Datenschutzgrundverordnung (DSGVO) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.

Beispiele:

Name, Adresse, Geschlecht, Geburtsdatum, Mailadresse, Qualifikation, Telefonnummer, KFZ-Kennzeichen, Kreditkartennummer, Bankverbindung, Foto- / Videoaufnahmen, Einkommen, Stellung/Position, Familienstand, Krankenkasse

Besondere personenbezogene Daten

Des weiteren gibt es besondere personenbezogene Daten, welche besonders schützenswert sind. Hierzu zählen beispielsweise Angaben über die ethnische Herkunft, religiöse oder philosophische Überzeugung, Gesundheitsdaten, Sexualleben, politische Meinung, Gewerkschaftszugehörigkeit sowie biometrische und genetische Daten. Kundendaten sowie Personaldaten von Beschäftigten gehören ebenso zu den personenbezogenen Daten.

Wann dürfen Daten verarbeitet werden?

Eine Datenverarbeitung ist nur in außerordentlichen Fälle ohne eine gesonderte Einwilligung erlaubt. Ein Erlaubnistatbestand liegt vor, wenn entweder eine vertragliche Grundlage (Arbeitsvertrag) vorhanden ist oder das berechtigte Interesse des Unternehmens gewahrt werden muss (Beispiel wäre eine Bonitätsprüfung, Schufa). Ebenso ist keine Einwilligung erforderlich, wenn Daten aus öffentlich zugänglichen Quellen, wie beispielsweise dem öffentlichen Telefonbuch erhoben werden.

Zusätzlich dürfen Daten einer natürlichen Person ohne Einwilligung erhoben werden, wenn diese durch andere gesetzliche Grundlagen oder Vereinbarungen geregelt werden (Beispiel wären Meldegesetze, Sozialgesetzbuch, Abgabenordnungen oder Betriebsvereinbarungen).

Einwilligung

Wenn kein Erlaubnistatbestand vorliegt, muss eine Einwilligung über die erhobenen Daten vorliegen. Einwilligungen müssen bestimmte Anforderungen erfüllen damit Sie gültig und bindend sind. So muss eine Einwilligung stets schriftlich, freiwillig, informiert und unmissverständlich für die einwilligende Person sein. Es dürfen der betroffenen Person weder Nachteile entstehen noch darf der Text verschiedene Auslegungsmöglichkeiten bieten.

Darüber hinaus muss ein Hinweis auf den Zweck und den Umfang der Erhebung, Verarbeitung oder Nutzung enthalten sein. Ebenso hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen und muss in Gänze über alle Betroffenenrechte aufgeklärt werden.

Gesetzliche Grundlagen des Datenschutzes

Seit dem 25.05.2018 ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten und regelt den Umgang mit personenbezogenen Daten für alle Mitgliedsstaaten der europäischen Union. Die EU DSGVO wird dabei durch nationale Regelungen der individuellen Länder ergänzt. In Deutschland gilt ebenfalls das Bundesdatenschutzgesetz (BDSG) in seiner neuen Fassung. Aber auch in anderen Gesetzen finden sich Regelungen die den Datenschutz beeinflussen. Dazu zählen:

  • § 203 Strafgesetzbuch (StGB) (Verletzung von Privatgeheimnissen)
  • Berufsordnungen (z.b. §§ 9,10 MBO, Ärzte)
  • Bürgerliches Gesetzbuch (BGB):  Vertragsrecht
  • Sozialgesetzbuch (SGB) V: KV, MDK, Krankenkassen
  • Telemediengesetz (TMG), Telekommunikationsgesetz (TKG)

Grundlegend muss jedes Unternehmen nach der DSGVO handeln und sollten zusätzliche nationale Regelungen im eigenen Land existieren, müssen diese ebenfalls beachtet werden.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 07:04 Minuten

Formale Anforderungen

Die DSGVO fordert von jedem Unternehmen, welches  eine automatisierte Verarbeitung von personenbezogenen Daten vornimmt, ein Datenschutz Management System zu führen.

Zu einem Datenschutz Management System gehören unter anderem ein Datenschutzkonzept, Richtlinien und Prozessdefinitionen, die Erstellung eines Verarbeitungsverzeichnisses sowie die detaillierte Dokumention der einzelnen Verarbeitungen.  Ferner gehört die Dokumentation der technisch organisatorischen Maßnahmen sowie die Sensibilisierung der Personen, die mit personenbezogenen Daten arbeiten, dazu. Die Sicherstellung der Auftragsverarbeitung durch einen externen Dienstleister ist zwingend notwendig.

Die Bestellung eines Datenschutzbeauftragten ist nur in Ausnahmefällen unabdingbar. Die Informationspflicht gegenüber Betroffenen, Kunden, Mitarbeitern oder anderen Personen ist ein notweniger Bestandteil der formalen Anforderungen der DSGVO. Wie im Kapitel „Bedeutung des Datenschutzes“ erwähnt, ist die Einwilligung von Mitarbeitern erforderlich. Ein Prozess der Datenschutzverstöße sollte im Datenschutz Management System vorhanden sein.

Basisanforderungen des BDSG und der EU DSGVO

Das BDSG und die EU DSGVO haben folgende Anforderungen:

  • Zweckbindung
  • Datenvermeidung und Datensparsamkeit
  • Transparenz
  • Vertraulichkeit
  • Datensicherheit (Integrität, Verfügbarkeit, Belastbarkeit)

Personenbezogene Daten dürfen nur erhoben werden, wenn eine Zweckbindung vorliegt. Wenn diese entfällt, sollten die personenbezogenen Daten gesperrt oder nach der gesetzlichen Aufbewahrungsfrist gelöscht werden.

Je weniger personenbezogene Daten, desto besser der Datenschutz!

Nicht nur die Datensparsamkeit ist wichtig, sondern auch die Transparenz gegenüber Betroffenen ist ein wichtiger Bestandteil der Basisanforderungen des BDSG und der EU DSGVO.

Erhobene personenbezogene Daten sollten stets vertraulich behandelt werden!

Natürlich sollte in jedem Unternehmen die Datensicherheit in Bezug auf Integrität, Verfügbarkeit und Belastbarkeit dokumentiert werden. Dies wird Ihnen im Thema technisch organisatorische Maßnahmen im Detail erklärt.

Verstöße und deren Folgen

Die DSGVO hat grundlegende Veränderungen im Bereich der Verstöße und deren Folgen mit sich gebracht. Es können Strafen bis zu 20 Mio € oder 4 % des weltweiten Jahresumsatzes der zuständigen Landesdatenschutzbehörde ausgesprochen werden. Diese ausgesprochene Strafe sollte wirksam, verhältnismäßig und abschreckend wirken. Ebenso können Schadensersatzansprüche erhoben werden. Neben Ordnungswidrigkeiten können arbeitsrechtliche Konsequenzen, wie eine Abmahnung oder Kündigung durch den Arbeitgeber möglich sein.

Datenschutz vs. Datensicherheit

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 01:49 Minuten

Datenschutz und Datensicherheit sind zwei grundsätzlich verschiedene Dinge.

Der Datenschutz schützt natürliche Personen und deren Daten. Dazu zählen in Unternehmen Daten von z.B. Interessenten, Kunden, Lieferanten, Klienten, Patienten, Mandanten und Mitarbeitern. Bei einem Datenschutzverstoß ist somit die Gefahr der Verletzung von Persönlichkeitsrechten gegeben.

Die Datensicherheit schützt materielle Güter wie z.B. Hardware, Software und Daten im Allgemeinen. Hierbei werden technische Maßnahmen ergriffen, um IT-Systeme vor dem unbefugten Zugriff durch Dritte zu schützen. Die Gefahr bei einem Datensicherheitsleck sind primär wirtschaftlicher Natur und können von Datenverlust und -missbrauch  über Spionage bis hin zu Betriebsausfällen reichen.

Somit ist Datensicherheit eine Maßnahme zur Wahrung des Datenschutzes in digitalen Systemen. Die Überschneidung von Datenschutz und Datensicherheit sind im Artikel 24 der EU DSGVO geregelt.

Technische und organisatorische Maßnahmen
(optional)

Technische und organisatorische Maßnahmen (TOM) dokumentieren die Maßnahmen der IT-Sicherheit zum Schutz personenbezogener Daten. Sie beinhalten Richtlinien und Prozesse zur Wahrung der Datenschutzanforderungen, welche die EU DSGVO stellt. Die TOMs sind interne Prozesse, welche das Unternehmen dokumentieren, aber nicht veröffentlichen muss. Hierbei gilt nur die Ausnahme einer Vereinbarung zur Auftragsverarbeitung. Diese müssen die TOMs als Anlage aufführen und detailliert im Bezug auf die Datenverarbeitung beschreiben.

Begriffe der technischen und organisatorischen Maßnahmen

  • Vertraulichkeit = Wie werden die Daten vor dem Zugriff durch Fremde gesichert?
  • Zutrittskontrolle = Wer kann wie das Gebäude und die Räumlichkeiten betreten?
  • Zugangskontrolle = Wer kann sich wie an elektronischen Systemen anmelden?
  • Zugriffskontrolle = Wer kann wie bestimmte Daten einsehen / verarbeiten?
  • Pseudonymisierung (Art. 32 Abs. 1lit. A DSGVO) = Sind personenbezogene Daten so gespeichert, dass man die Person nicht identifizieren kann?
  • Integrität = Wie wird sichergestellt, dass die Daten vollständig und richtig sind?
  • Weitergabekontrolle = Wie wird verhindert, das Dritte bei der Weitergabe Kenntnis der Daten erlangen?
  • Eingabekontrolle = Wie wird die Eingabe oder Änderung von Daten in den Systemen protokolliert?
  • Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit.b DSGVO) = Was wird getan um die Systeme vor Ausfällen zu schützen und Ihre Nutzbarkeit zu garantieren?
  • rasche Wiederherstellbarkeit = Wie schnell sind Systeme und Daten nach einem Ausfall wieder nutzbar?
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 04:40 Minuten

Betroffenenrechte

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 03:40 Minuten

Betroffene haben nach den aktuellen Datenschutzgesetzen folgende Rechte:

Recht auf Auskunft

Jede natürliche Person hat das Recht eine Auskunft über ihre personenbezogenen Daten zu erhalten. Hierzu muss der Verarbeitungszweck, die Datenarten, geplante Speicherdauer, Empfänger und Herkunft der Daten unverzüglich (binnen 4 Wochen) mitgeteilt werden.

Recht auf Löschung sowie Sperrung

Jede natürliche Person hat das Recht auf Löschung ihrer personenbezogenen Daten. Dieses Recht finde nur dann Anwendung, wenn die Daten nicht mehr für interne Prozesse benötigt werden sowie keine gesetzliche Aufbewahrungsfristen vorliegen. Wenn die Daten nicht gelöscht werden können, kann das Recht auf Sperrung (Recht auf Einschränkung) Anwendung finden. Das bedeutet, dass die Daten weiterhin im Unternehmen vorgehalten werden können, jedoch kein direkter Zugriff mehr erfolgen kann.

Recht auf Information und Benachrichtigung

Jede natürliche Person hat das Recht auf Information über den Umgang ihrer personenbezogenen Daten. Sollte ein Datenschutzvergehen vorkommen, welches eine Benachteiligung einer natürlichen Person hervorruft, muss diese darüber informiert werden.

Recht auf Berichtigung

Jede natürliche Person hat das Recht unverzüglich die Berichtigung ihrer unrichtigen personenbezogenen Daten zu verlangen.

Recht auf Datenübertragbarkeit

Jede natürliche Person hat das Recht auf Datenübertragbarkeit ihrer personenbezogenen Daten. Das bedeutet, dass eine Kopie der verarbeiteten Daten in elektronischer Form zur Verfügung gestellt werden muss.

Beschwerderecht der Aufsichtsbehörde

Jede natürliche Person hat das Recht bei der Aufsichtsbehörde eine Beschwerde einzureichen.

Datenschutzbeauftragte

Der Datenschutzbeauftragte stellt die Kontrollinstanz des Datenschutzes im Unternehmen dar. Es kann entweder ein interner Datenschutzbeauftragter (Mitarbeiter), oder ein externer Datenschutzbeauftragter (Dienstleister) bestellt werden.

Die Aufgabe des Datenschutzbeauftragten ist es, die Art und Weise, wie mit vertraulichen Daten im Unternehmen umgegangen wird, zu prüfen, zu dokumentieren und im Falle von Mängeln die Geschäftsführung auf diese aufmerksam zu machen. Des weiteren ist er dafür zuständig die Mitarbeiter und die Geschäftsführung zu schulen und zu sensibilisieren, damit die EU-DSGVO auch korrekt eingehalten wird.

Gleichzeit dient der Datenschutzbeauftragte als Ansprechpartner in Datenschutzfragen und -verstößen für die Mitarbeiter sowie die Geschäftsführung. Dementsprechend ist der Datenschutzbeauftragte auch die Anlaufstelle der Aufsichtsbehörde bei eventuellen Kontrollen, Rückfragen etc..

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 02:50 Minuten

Datenschutz & IT-Sicherheit im Unternehmensalltag

In jedem Unternehmen gibt es viele verschiedene Potenziale für Datenschutzverstöße und Informationssicherheitslecks. Einige davon finden sich direkt an Ihrem Arbeitsplatz und haben im Einzelfall auch wenig mit der IT zu tun.

Damit Sie den Anforderungen an den Datenschutz und der IT-Sicherheit gerecht werden können, gibt es viele einfache Dinge die Sie beachten sollten. Hierzu zählt, das Sie die Einsicht auf Ihren Bildschirm oder allgemein Ihren Arbeitsgeräten auf sich selbst eingrenzen. Sorgen Sie dafür, das niemand außer Ihnen selbst Einsicht auf Ihren Bildschirm nehmen kann. Dies kann mit einem automatischen Bildschirmschoner und der korrekten Positionierung des Arbeitsplatzes im Raum geschehen. Weiter sollten Sie Ihren PC vor unbefugtem Zugriff durch eine Passwortsperre schützen. Diese Passwortsperre ist im besten Fall mit dem Bildschirmschoner gekoppelt und verbietet sowohl die Einsicht als auch den Zugriff im selben Maße. Ferner sollten Sie Ihr Büro bei Verlassen verschließen.

Passwörter sind die größte Schwachstelle der Sicherheit in jedem Unternehmen. Tragen Sie selbst Sorge dafür, Ihr Passwort regelmäßig zu ändern (z.B. alle 4 – 8 Wochen) und wählen Sie ein sicheres Passwort. Sichere Passwörter bestehen sowohl aus Groß– und Kleinbuchstaben, Zahlen und Sonderzeichen bei einer Mindestlänge von 8 Zeichen. Wir empfehlen hierzu den Einsatz eines Passwortsafes und haben dabei gute Erfahrungen mit den Produkten LastPass und 1Password gemacht.

Netzwerke, in denen Daten verarbeitet werden, sollten immer vor unbefugtem Zugriff geschützt werden. Dies geschieht durch Maßnahmen wie Firewalls, Virenschutzprogramme und natürlich einer Authentifizierung der Benutzer. Letzteres ist gerade bei drahtlosen Netzwerken (WLAN) extrem wichtig. Hierbei sollte mindestens ein sicheres Passwort für den Zugang gewählt und im besten Fall der Name des Netzwerks versteckt werden (SSID unsichtbar machen).

Eines der am wenigsten beachteten Probleme für Datenschutzverstöße ist der Arbeitsplatz selbst. Auf diesem werden häufig Akten zwischengelagert und verbleiben dort, was bedeutet dass alle Personen, denen die Räumlichkeiten offen stehen, potenziellen Zugriff auf diese Akten haben. Mehr noch können Unbefugte ggf. Einsicht nehmen oder die Information gar vervielfältigen oder entwenden. Sorgen Sie dafür, dass Ihr Arbeitsplatz aufgeräumt ist, alle Akten ordnungsgemäß in Schränken verschlossen sind und Sie eine „Clean Desk Policy“ in Ihrem Team und Unternehmen vorleben, falls das nicht bereits Teil Ihres Alltags ist.

Im Umgang mit Ihrem PC oder anderen Endgeräten stellen Sie sicher, dass Sie Daten nicht lokal, sondern nur auf zentralen Dateiablagen des Servers speichern und verarbeiten. Hierbei können Cloudsysteme wie das verschlüsselte TeamDrive hilfreiche Möglichkeiten darstellen, um die Flexibilität der Arbeit zu wahren. Ebenso ist es essenziell, aktuelle Virenschutzprogramme zu verwenden und das Einspielen von Sicherheitsupdates zentral im Netzwerk für alle Geräte zu verwalten. Sollten Sie keine zentrale Verwaltung haben, so fragen Sie regelmäßig bei Ihrem Kollegen im IT Support nach den Updates und dem aktuellen Stand.

Führen Sie KEINE Veränderungen an jeglicher Hard- oder Software des Unternehmens durch und nutzen Sie keine privaten Datenträger für Unternehmenszwecke. Dies sollte durch eine Richtlinie im Unternehmen allgemein verboten werden, damit die IT-Administratoren Veränderungen geplant vornehmen können und einen aktuellen Überblick über alle sicherheitsrelevanten Aspekte haben.

Ebenso sollten physikalische Dokumente (Akten, etc.) ordnungsgemäß entsorgt und sicher vernichtet werden. Prüfen Sie dazu, ob die entsprechende Maßnahme datenschutzkonform ist und welches Unternehmen die Entsorgung von digitalen Datenträgern übernimmt.

In unserem Wimmelbild haben wir 10 der häufigsten Problemzonen für Datenschutz und IT-Sicherheit am Arbeitsplatz zusammengefasst und werden diese hier erläutern.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 12:18 Minuten

Herausforderungen und Lösungen von 1 – 10

  1. Offene Dokumente am Arbeitsplatz
    Räumen Sie stets Ihren Arbeitsplatz auf
  2. Ungesicherter PC mit Zugriff für Unbefugte
    Stellen Sie einen automatischen Bildschirmschoner mit Passwortsperre ein
  3. Ungeschredderte Akten im Papierkorb
    Schreddern Sie alle datenschutzrelevanten Akten immer sofort
  4. Zettel mit Passwort unter der Tastatur
    Schreiben Sie Passwörter niemals auf und erwägen Sie die Nutzung eines zentralen Passwortsafe
  5. Datenträger im offenen Zugriff
    Verschließen Sie Datenträger wie auch alle anderen Akten sicher
  6. Schrank mit steckendem Schlüssel und Akten außerhalb aufbewahrt
    Sichern Sie Ihre Datenablagen und prüfen Sie die korrekte Verwendung regelmäßig
  7. Verbliebene Originaldokumente im Scanner / Kopierer
    Definieren Sie eine Prüfprozess, um regelmäßig die Scanner / Kopierer zu überprüfen
  8. Einblick durchs Fenster für Fremde gegeben
    Moderieren und überprüfen Sie den Raumzutritt regelmäßig
  9. Reinigungskraft im Raum während der Arbeitszeit
    Räumen Sie Ihren Arbeitsplatz stets auf (Clean Desk)
  10. Private Datenträger im offenen Zugriff durch alle Mitarbeiter
    Sprechen Sie eine Nutzungsverbot für private Datenträger aus und kontrollieren Sie die Einhaltung

Internetnutzung & Social Media

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 04:29 Minuten

Das Internet ist ein sehr wichtiges Thema im Datenschutz, schließlich lauern gerade dort viele Gefahren.

Vornehmlich muss darauf geachtet werden, dass keine Handlungen durchgeführt werden, die dem Unternehmen schaden können. Dabei handelt es sich nicht nur um Datenschutz im Sinne der persönlichen Daten, sondern auch oft um Urheber- und Bildrechte.

Sollten z.B. bei einer betriebsinternen Veranstaltung Bilder oder Videos aufgenommen werden, könnte man diese später auf der Unternehmenswebseite wiederfinden. Sollte der Arbeitgeber jedoch zuvor keine Einwilligung der Arbeitnehmer eingeholt haben, würde er schon einen Verstoß begehen. Eine Möglichkeit, diese Genehmigung einzuholen, wäre ein „Model-Release-Vertrag“. Andersherum kann dies allerdings auch schnell von Seiten der Mitarbeiter geschehen.

Stellen Sie sich vor, Sie würden einen Text für Ihr Unternehmen verfassen und suchen sich noch ein hübsches Bild um den Hintergrund etwas schöner abzusetzen. Wenn Sie an diesem Punkt nicht aufpassen, kann es sehr schnell zu Schadensersatzansprüchen kommen, da Sie möglicherweise gerade eine Urheberrechtsverletzung begangen haben. Genau so präsent im Internet sind natürlich die sozialen Medien. Jedoch darf man sich bei den sozialen Medien nicht nur rein auf das Internet beschränken.

Der Begriff Soziale Medien umfasst sämtliche öffentlich zugänglichen Medien, auch Zeitungen, da diese zwar zu den klassischen Massenmedien gehören, jedoch heutzutage auch digital abgerufen werden können. Bei der Erstellung von Inhalten in den sozialen Medien muss immer eine klare Trennung zwischen geschäftlichen und privaten Äußerungen existieren. Sie könnten nicht ohne weiteres Inhalte, z.B. von dem Facebook-Account des Unternehmens, posten die mit Ihren persönlichen Einstellungen oder Überzeugungen zusammenhängen, da Sie damit eine andere Meinung als die des Unternehmens vertreten, und im schlimmsten Fall das Unternehmen schädigen und seinen Ruf in Mitleidenschaft ziehen.

Zusätzlich werden seriöse Auftritte im Internet immer reguliert, sei es durch den Betreiber der Plattform und/oder geltende Gesetze, wie das Telemediengesetz, welches beispielsweise vorgibt, welche Angaben auf einer Website hinterlegt werden müssen.

E-Mail Kommunikation

E-Mails sind fortwährend äußeren Einflüssen unterlegen. Beachten Sie, dass eine E-Mail, die nicht verschlüsselt übertragen wird, im Datenstrom des Internet im jederzeit im Klartext von Unbefugten eingesehen werden kann. Vergleichen Sie es mit einer Postkarte, die vom Postboten gelesen werden kann.

E-Mails sind gerade wegen ihrer Freizügigkeit leicht zu beeinflussen. Es kann Ihnen von einem Ihnen bekannten Absender eine gefälschte Mail gesendet werden, da es technisch möglich ist, den Absender einer „bösen“ Mail zu fälschen. Sie kennen das mit Sicherheit bereits: Es wird Ihnen eine Information zugestellt, bei der Sie genau wissen, dass diese nicht von der Adresse kommen kann, die Ihnen angezeigt wird. Über diese Art der Veränderung kann Ihnen natürlich auch etwas zugestellt werden, was sich im ersten Augenblick nicht als falsch verkauft. Gerne werden beispielsweise Mails von Ihrem Internetanbieter mit angehängter Rechnung versendet. Öffnen Sie nun den Anhang, kann es geschehen dass sich eine Schadsoftware (Virus) auf Ihrem Rechner verteilt. Eventuell sammelt man auch Informationen von Ihnen über Kreditkarten oder Portalzugänge (Phishing). Jeder sollte das Thema Spam kennen: Informationen auf die man nicht gewartet hat.

Wichtig ist, dass jede E-Mail, die geschäftlicher Natur ist, wie ein Geschäftsbrief behandelt werden muss. Das bedeutet, dass die Form des Inhaltes nach rechtlichen Regeln – je nach Unternehmenstyp – aufgebaut sein muss. In jedem Fall muss der Unternehmensname und die rechtliche Form, sowie der Absender im Footer enthalten sein. Geschäftskorrespondenz muss für die finanzrechtliche Betrachtung archiviert werden. Damit muss ein Unternehmen Mails archivieren. Das bedeutet, dass die Mails mit allen Anhängen im Originalformat unveränderbar für die Zeit der gesetzlichen Aufbewahrungsfristen sicher aufbewahrt werden müssen.

Damit in einem Unternehmen keine Schädigung durch Mailverkehr hervorgerufen wird, kann die Administration eine Untersuchung der Mail auf Schadcodes durchführen. Virenscanner, Pishing- und Spamfilter sind heute überall verbreitet. Das bedeutet aber auch, dass es sein kann, dass personenbezogene Daten von Berechtigten eingesehen werden dürfen. Dies wird mit dem Verbot auf private Mails in einem Unternehmen rechtlich untermauert. Da auch beim Inhalt der Mails der Datenschutz gilt, ist es wichtig, dass im Inhalt keine personenbezogenen Daten übermittelt werden. Nutzen Sie Mailverschlüsselungen. Dies ist aufwendig, aber gewährleistet den Datenschutz.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 04:24 Minuten

Mobile Geräte und Datenträger

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Laufzeit : 04:54 Minuten

Mobile Geräte sind in Bezug auf die Datensicherheit erheblichen Risiken ausgesetzt. Mobile Endgeräte, wie z.B. Smartphones oder Notebooks, aber auch mobile Datenträger wie USB-Sticks, beschreibbare DVDs oder auch externe Festplatten können leicht in unbefugte Hände geraten.

Dann kann der „neue“ Besitzer sehr leicht auf Daten zugreifen, wenn kein zusätzlicher Schutz aufgebaut wurde. So ein Schutz kann eine Verschlüsselung des kompletten Gerätes (Datenträger) sein. Es reicht nicht aus, wenn eine passwortgeschützte Anmeldung an einem derartigen Gerät gefordert wird. Ein Massendatenträger, wie eine Festplatte ist leicht auszubauen und über ein anderes Gerät auslesbar. Deshalb sollten die Daten auf der Festplatte verschlüsselt abgelegt werden. Es gibt USB-Sticks die über spezielle Mechanismen verschlüsselte Daten tragen.

Beachten Sie, dass dennoch der Diebstahl derartiger mobiler Geräte verhindert werden sollte. Eine hundertprozentige Sicherheit gibt es nicht und ein Gerät, welches in der absoluten Hoheit eines Spezialisten ist, kann korrumpiert werden.

Die Nutzung von Geräten, die wichtige Informationen enthalten, sollte so erfolgen, dass dritte Personen keinen Einblick in die Nutzung erhalten. Deshalb sollte ein Bildschirmschoner und eine Verringerung des Blickwinkels bei der Nutzung vorgesehen sein. Stellen Sie sich vor, Ihr Nachbar im Flugzeug kann Ihnen beim Schreiben eines als „geheim“ eingestuften Berichtes zuschauen; Wollen Sie das? Nein, sie müssen es verhindern, weil Sie eventuell gegen Verträge verstoßen, die Ihr Arbeitgeber mit einem Kunden abgeschlossen hat.

Auch ein Smartphone ist sehr leicht zu korrumpieren. Deshalb sollte die Installation von Apps bei professioneller Nutzung unterbunden werden. Die Nutzung von Cloudspeichern muss immer daraufhin untersucht werden, in wie weit Fremde Zugriff auf die Daten erhalten können. Hier gelten zusätzliche Regeln des Datenschutzes, die es verbieten, personenbezogene Daten auf Servern außerhalb der EU zu hosten.

Unternehmen sind angehalten, Richtlinien für die Passwortregelung, die Datensicherung und die Nutzung von mobilen Systemen zu erstellen, so dass jeder Mitarbeiter weiß, wie mit diesen Geräten umzugehen ist. Es besteht die Möglichkeit, über zentrale Verwaltungssysteme von Seiten der Systemadministration Einfluss auf den Zugriff zu nehmen. Dies kann zusätzlich zum Virenschutz eine vollständige Sicherung des Systems und die Zerstörung der Daten bei Benutzung von Unbefugten sein.

Abschlussprüfung und Zertifizierung

Überzeugt? Dann bestellen Sie jetzt Ihr Zertifizierungskontingent!