In Schweizer Unternehmen spielt der Datenschutz eine grosse Rolle, insbesondere wenn diese die Richtlinien der europäischen Datenschutzverordnung (DSGVO) erfüllen müssen, weil sie beispielsweise mit Kunden und deren Daten aus dem EU-Raum zu tun haben. Wir zeigen Ihnen, wie Sie Ihre Firmen- und Kundendaten effektiv schützen.
Datenschutz – wozu überhaupt?
Unternehmen haben die Pflicht, die informationelle Selbstbestimmung zu schützen. Das heisst, dass sie insbesondere mit personenbezogenen Daten gesetzeskonform umgehen müssen.
Finanzieller Schaden und Imageverlust
Gelangen aufgrund eines Hackerangriffs sensible Daten in die Hände von Unbefugten, kann das fatale Folgen für ein Unternehmen haben. Handelt es sich dabei beispielsweise um Daten von Kunden oder Geschäftspartnern, hat das Unternehmen seine Pflicht zum Datenschutz verletzt, und kann von den Geschädigten verklagt werden.
Damit geht nicht nur ein finanzieller Schaden einher, sondern es gefährdet auch die Reputation des Unternehmens, weil der Vorfall zeigt, dass Datenschutz im Unternehmen nicht ernstgenommen wird.
Einbüssen von Wettbewerbsvorteilen
Auch wenn es sich nicht um personenbezogene Daten handelt, die von unbefugten Dritten abgegriffen werden, sondern um sensible, firmeninterne Daten, endet dies oft in einem finanziellen Nachteil für das Unternehmen. So kann es beispielsweise von Cyberkriminellen erpresst werden, wenn diese damit drohen, sensible Informationen beispielsweise an die Konkurrenz zu verkaufen.
Dem betroffenen Unternehmen entsteht also entweder ein finanzieller Schaden durch Zahlen des Lösegelds, oder ein wirtschaftlicher Nachteil, wenn Informationen aus Produktion oder Entwicklung an Wettbewerber weitergegeben werden.
Dies sind nur zwei Szenarien, die im Zuge der Digitalisierung immer häufiger vorkommen. Deswegen ist es wichtig, dass Unternehmen erst gar keine Datenlecks entstehen lassen, denn Prävention ist der beste Schutz gegen Datendiebstahl.
Massnahmen für mehr Datensicherheit
Gleichgültig, ob ein Unternehmen mit personenbezogenen Daten arbeitet oder nicht: Die Datensicherheit zu gewährleisten, ist für alle von höchster Relevanz, um sich weder angreifbar zu machen, noch die Existenz zu gefährden.
Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz
Datensicherheit und Datenschutz ist nicht nur Aufgabe der IT-Abteilung. Alle Mitarbeitenden im Unternehmen – gleich ob und wieviel diese mit der Verarbeitung von personenbezogenen oder sensiblen Daten zu tun haben – müssen für das Thema „Datenschutz“ sensibilisiert werden. Dies erfolgt am besten in regelmässigen Schulungen, in denen auf aktuelle Gefahren hingewiesen wird und wie man sich datenschutzkonform verhält.
Datenschutzbeauftragter für grössere Unternehmen
Das Einhalten und Durchsetzen der Datenschutzverordnung obliegt der Geschäftsführung. Diese ist in der Pflicht, die Unternehmensprozesse so zu gestalten, dass diese mit den Datenschutzregelungen vereinbar sind.
In grösseren Unternehmen wird dieser Verantwortungsbereich häufig an einen Datenschutzbeauftragten übertragen. Dieser dient dann als Ansprechpartner, sowohl für Geschäftsführung als auch für Mitarbeiter, nimmt regelmässig an Schulungen teil und gibt sein Wissen dann in internen Schulungen an die Mitarbeiter weiter. Er unterstützt die Geschäftsführung als Berater, z.B. wie datenschutzkonforme Prozesse implementiert werden.
Klare Richtlinien festlegen für die Datenablage
Es sollte festgelegt werden, wo welche Daten zu speichern sind. So stellen Sie sicher, dass bestimmte Daten nur an der für sie vorgesehenen Stelle (z.B. auf einem verschlüsselten Cloud-Laufwerk) gespeichert werden. Die Mitarbeiter müssen dann im Rahmen von Schulungsmassnahmen darauf hingewiesen werden, dass diese Richtlinien stets einzuhalten sind. Nur so ist gewährleistet, dass Daten nicht irgendwo abgelegt werden, wo sie unzureichend geschützt sind.
Verschlüsselung nutzen
Bei Kundendaten oder anderen hochsensiblen Daten sollten Sie zusätzliche Verschlüsselungssoftware nutzen, um diese gegen unbefugten Zugriff abzusichern.
Dasselbe gilt auch für das Versenden von Emails, wenn in diesen vertrauliche Daten oder Dokumente intern oder extern verschickt werden. Auf diese Weise stellen Sie sicher, dass nur der Empfänger, der den Schlüssel hat, den Inhalt der Email lesen kann.
Nutzerrichtlinien festlegen
Nicht jeder Mitarbeiter sollte in alle Firmendaten Einblick haben. Daher ist es ratsam, Nutzerrichtlinien festzulegen, wo der Zugriff auf bestimmte Firmenlaufwerke geregelt ist. Ein Mitarbeiter aus der Produktionsabteilung hat somit keinen Zugriff auf die Daten der Finanzabteilung – und umgekehrt.
Passwort-Management-Tools nutzen
Dass Passwörter möglichst komplex sein sollten, hat sich bereits herumgesprochen. Hinzu kommt, dass für verschiedene Anwendungen unterschiedliche Passwörter vergeben werden und regelmässig geändert werden sollten. Diese Umstände haben in den letzten Jahren dazu geführt, dass viele Angestellte resigniert haben, weil sie sich die Passwörter nicht mehr merken können.
Die Folge: Es wird ein möglichst einfaches Passwort gewählt, das für jede Anwendung benutzt und nur dann geändert wird, wenn die Anwendung dies fordert. So ist keine Datensicherheit gewährleistet.
Um diese Problematik zu vermeiden, ist es sinnvoll, Passwort-Management-Tools zu verwenden. Diese speichern und verwalten nicht nur die Passwörter für alle Anwendungen des Nutzers, sondern ändern auch die Passwörter in regelmässigen Abständen, sodass sich der Nutzer nicht mehr darum kümmern muss. Das Passwort-Management-Tool übernimmt also selbstständig das Eintragen des Passworts in das Login-Fenster. Der Nutzer identifiziert sich dann nur gegenüber des Passwort-Managers und muss sich somit keine komplexen Passwörter mehr merken.
Regelmässige Backups und Updates
Die Daten auf den Mitarbeiter-PCs sollten niemals nur dort gespeichert werden, sondern entweder auf einem Server oder in einem sicheren Cloud-Laufwerk. Die IT-Abteilung oder ein externer IT-Dienstleister sind dann in der Pflicht, sich um regelmässige Backups der Daten zu kümmern. Geht die Festplatte auf dem Mitarbeiter-PC kaputt, können auf diese Weise die gespeicherten Daten vom Server oder aus der Cloud wieder auf eine neue Festplatte gespielt werden.
Die IT-Abteilung oder der Dienstleister haben darüber hinaus auch die Pflicht, die Anwendungen und Betriebssysteme auf sämtlichen Firmenrechnern und -geräten stets aktuell zu halten. Das heisst, es müssen zeitnah die aktuellsten Sicherheitsupdates eingespielt werden und Investitionen ständig gemacht werden.
Datenschutz – auch im Home Office?
Unternehmen sollten sich darauf einstellen, dass die Herausforderungen bezüglich des Datenschutzes und der Datensicherheit in Zukunft nicht geringer werden, sondern zunehmen.
Angestellte werden immer häufiger vom Home Office aus arbeiten. Auch hier ist der Arbeitgeber in der Pflicht, für eine sichere IT-Infrastruktur zu sorgen, damit der Datenschutz auch auf Geräten, die sich ausserhalb der Firma befinden, gewährleistet ist. In diesem Rahmen ist es essenziell, Mitarbeiter darauf zu sensibilisieren, dass sie im Home Office den Datenschutz genauso ernst nehmen wie am Arbeitsplatz in der Firma.
Des Weiteren sollten Angestellte nur die Anwendungen verwenden, die sie auch in der Firma benutzen und nicht etwaige Software auf ihren Privatgeräten. Ansonsten entsteht eine sogenannte Schatten-IT, über die der Arbeitgeber keine Kontrolle hat.
Letztendlich sind Datenschutz und Datensicherheit ein Gemeinschaftsprojekt, das nur gelingt, wenn alle kooperieren und jeder Einzelne sich über die Tragweite einer Datenschutzverletzung bewusst ist.