JETZT TESTEN
dracoon-login-w
Menu
JETZT TESTEN
LOGIN
Signet-Animation_Header

Datenschutz

Das müssen Unternehmen und Mitarbeiter beachten

Inhaltsverzeichnis

  1. Was bildet die Grundlage für den Datenschutz in Deutschland?
  2. Was versteht man unter Datenschutz?
  3. Warum ist Datenschutz wichtig?
  4. Wer prüft den Datenschutz?
  5. Wie ist der Datenschutz in Deutschland geregelt?
  6. Wie können Sie Ihre Daten schützen?
  7. Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
  8. Wie funktioniert Datensicherheit in Unternehmen und wie kann man sie gewährleisten?
  9. Warum ist IT-Sicherheit für Unternehmen wichtig?

 

 

 

Was bildet die Grundlage für den Datenschutz in Deutschland?

Der Datenschutz in Deutschland wird hauptsächlich durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geprägt. Alle Grundlagen zum Datenschutz werden in Deutschland in der sogenannten EU-Datenschutzgrundverordnung (DSGVO) geregelt. Sie bedeutet ein verbindliches Datenschutzrecht für alle Personen und Unternehmen, die in Deutschland bzw. Europa leben oder ihren Firmensitz haben. Die neue Datenschutzgrundverordnung trat bereits am 24. Mai 2016 in Kraft. Seit dem 25. Mai 2018 sind alle darin enthaltenen Maßnahmen zum Datenschutz verbindlich in den jeweiligen Mitgliedsstaaten anzuwenden. Damit gilt die EU-Datenschutzgrundverordnung auch vor dem jeweiligen nationalen Recht.

Exkurs: Datenschutz und Datenschutzgesetze in den USA

Im Vergleich zu Deutschland und Europa existiert in den USA kein umfassendes und allgemein gültiges Datenschutzgesetz. Hier gelten für unterschiedliche Bereiche jeweils eigene Gesetze, beispielsweise für das Gesundheitswesen, den Finanzsektor oder auch für die Sparte Wirtschaft und Handel. In den USA zählt der Datenschutz zum Verbraucherschutzrecht und stellt damit einen Teil des Wirtschaftslebens dar. In Deutschland und Europa dagegen gehören personenbezogene Daten schlichtweg zu den Grundrechten eines jeden Bürgers. Daher unterschätzen viele deutsche und europäische IT-Entscheider die Auswirkung des ebenfalls 2018 in Kraft getretenen CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz legt fest, dass Daten, die physisch zwar nicht in den USA gespeichert, aber von US-Unternehmen verwaltet werden, ohne vorhergehenden Beschluss eines Richters übergeben werden müssen. Und genau durch diese Regelung befindet sich der CLOUD Act in einem völligen Widerspruch zur DSGVO. Die Regelungen betreffen fast alle Daten, die sich in der Obhut, der Kontrolle oder dem Besitz eines Unternehmens befinden. Betroffen sind nicht nur personenbezogene Daten, sondern ebenso Patente, unternehmensbezogene Auswertungen und Daten, aber auch Mess- und Telemetriedaten und damit sämtliche Daten, die normalerweise besonders geschützt werden.

In Deutschland steht im Fokus, dass die Grundrechte und Grundfreiheiten von natürlichen Personen im besonderen Maße geschützt werden – allen voran das Recht auf informationelle Selbstbestimmung. Durch die Verordnung werden vor allem die Verbraucherrechte gestärkt. Insbesondere datenverarbeitende Stellen müssen sich an sehr strenge Regularien halten, denn um besonders sensible personenbezogene Daten verarbeiten zu dürfen, muss zwingend eine vorherige Einwilligung des Betroffenen vorliegen.

Deutsche Firmen mit mehr als 10 Mitarbeitern müssen zwingend einen Datenschutzbeauftragten benennen. Gleiches gilt in anderen EU-Staaten ab 20 Mitarbeiter. Aber vor allem Unternehmen, die sich überwiegend mit der Erhebung und der Verarbeitung von personenbezogenen Daten beschäftigen, benötigen (unabhängig von der Unternehmensgröße) zwingend einen Datenschutzbeauftragten.

Für kleine Betriebe gelten Ausnahmen: Und zwar dann, wenn regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut sind. In dem Fall können Sie als Geschäftsführer selbst den Datenschutz übernehmen. Die Anzahl der Mitarbeiter bemisst sich übrigens nicht danach, ob es sich bei den Beschäftigten um Voll- oder Teilzeitkräfte oder Freiberufler handelt. Hier wird jede Person voll gewertet. Ein Datenschutzbeauftragter kann ein Mitarbeiter des Unternehmens sein, er kann jedoch auch extern bestellt werden. Er muss seine Fachkunde im Datenschutz durch entsprechende Fortbildungen, z. B. bei der Industrie- und Handelskammer belegen können. Sie sind außerdem verpflichtet, die Kontaktdaten der/des Beauftragten auf Ihrer Website zu veröffentlichen. Räumen Sie deshalb bereits im Vorfeld potenzielle Interessenskonflikte, die die Zuverlässigkeit der/des Beauftragten infrage stellen könnten, aus.

Generell ist die Weiterverarbeitung von Daten vom jeweiligen Zweck abhängig. Das bedeutet, dass personenbezogene Daten, die erhoben wurden, nicht zweckentfremdet werden dürfen und jeder Vorgang der Datennutzung transparent und nachvollziehbar gestaltet sein muss. Inzwischen gilt der Anwendungsbereich auch für Unternehmen aus Drittländern, sobald es sich um Daten von EU-Bürgern handelt. Die Zustimmung zur Verarbeitung muss laut Gesetz aktiv erfolgen – beispielsweise durch ein Kontrollkästchen auf einer Website. Sind unterschiedliche Datenverarbeitungsvorgänge geplant, muss die Einwilligung für jeden einzelnen Vorgang gesondert erfolgen. Diese Einwilligung muss jederzeit vom Betroffenen ohne weitere Begründung auf einfache und verständliche Art und Weise widerrufen werden können.

Außerdem muss es möglich sein, dass der Betroffene aktiv gegen einen einzelnen Zweck der Datenverarbeitung widersprechen kann. Abgesehen davon dürfen Verträge gemäß dem sogenannten Koppelungsverbot nicht mehr davon abhängig gemacht werden, ob eine Einwilligung zur Datenverarbeitung erteilt wurde. Die Datenschutzgrundverordnung schreibt außerdem vor, dass im Zuge des Auskunftsrechts auch Angaben zur jeweiligen Rechtsgrundlage der verarbeiteten und erhobenen Daten, aber auch die Dauer der Speicherung bzw. deren Kriterien genannt werden müssen.

Unternehmen müssen außerdem in der Lage sein, die Daten eines Betroffenen in einem portablen und dennoch sicheren Format auf dessen Wunsch hin direkt an einen Dritten zu übergeben. Wurden Daten an Dritte weitergegeben, müssen die öffentlichen und nichtöffentlichen Stellen im Falle eine Pflicht zur Löschung von falschen oder veralteten Daten die jeweiligen Ansprechpartner kontaktieren und über die Fehlerhaftigkeit informieren.

Treten Fehler oder Pannen auf, können Betroffene vom Datenverarbeiter entsprechende Schadensersatzansprüche geltend machen. Bei Verstößen gegen den Datenschutz sieht das Bundesdatenschutzgesetz (BDSG) ein Bußgeld bis 300.000 Euro oder eine bis zu 2jährige Freiheitsstrafe vor. Die Sanktionen in der EU-Datenschutzgrundverordnung (EU-DSGVO) können wiederum eine Geldbuße von bis zu 4 % des weltweiten Unternehmenssatzes oder bis zu 20 Millionen Euro nach sich ziehen.

 

 

 

Was versteht man unter Datenschutz?

Unter dem Begriff „Datenschutz“ versteht man den Schutz vor einer missbräuchlichen Verarbeitung von personenbezogenen Daten und den Schutz des Rechts auf eine informationelle Selbstbestimmung: Jeder einzelne kann grundsätzlich darüber entscheiden, welche personenbezogenen Daten er preisgibt und ob sie verwendet werden dürfen.

Ein Schutz von personenbezogenen Daten ist dann erforderlich, wenn verantwortliche Stellen gemäß der Datenschutzgrundverordnung personenbezogene Daten verarbeiten. Beim Datenschutz geht es generell darum, Informationen zu schützen, die nicht für die Allgemeinheit gedacht sind. Personenbezogene Daten sind insbesondere private und persönliche Daten, die Rückschlüsse auf eine Person zulassen. Es handelt sich also vor allem um Kontaktdaten wie den Namen, Telefonnummer, Anschrift, E-Mail-Adresse, Geburtsdatum, aber auch die IP-Adresse.

Unter Datenschutz versteht man also den Schutz des Persönlichkeitsrechts nach Artikel 1 und 2 des Grundgesetzes bei der Verarbeitung von Daten und den Schutz der eigenen Privatsphäre des Menschen. Verstöße gegen den Datenschutz werden mit Bußgeldern von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes der verantwortlichen Stelle bestraft. Auch eine Freiheitsstrafe von bis zu 3 Jahren ist möglich.

 

 

 

Warum ist Datenschutz wichtig?

Mit Hilfe des Datenschutzes lassen sich personenbezogene Daten vor einem Datenmissbrauch schützen. Gerade im Zusammenhang mit der fortschreitenden Digitalisierung spielt ein derartiger Schutz eine immer größere Rolle.

So wurden beispielsweise Daten der Teilnehmer eines Gewinnspiels der Krankenkasse AOK für Werbezwecke eingesetzt, obwohl diese einer Verwendung für Marketingmaßnahmen nicht zugestimmt hatten. Die Krankenkasse hatte zwar versucht, durch technische und organisatorische Maßnahmen sicher zu stellen, dass ausschließlich Personen kontaktiert werden, die ihre Zustimmung erteilt hatten, aber diese Maßnahmen erwiesen sich nach den gesetzlichen Vorgaben als unzureichend. Die zuständige Landesbehörde verhängte daraufhin ein Bußgeld von 1,24 Millionen Euro.

Für Betroffene kann es auch schwerwiegende Folgen haben, wenn z. B. die private E-Mail-Adresse bekannt wird und schützenswerte Details über die eigene Krankheitsgeschichte oder Chatverläufe von privaten Gesprächen öffentlich zugänglich gemacht werden. Gleiches gilt natürlich auch für sensible Bankdaten. Im Zuge der Digitalisierung hat der Datenschutz enorm an Bedeutung gewonnen, gerade weil beispielsweise auch durch das Surfverhalten zahlreiche Daten und somit Informationen über das Nutzerverhalten von Dritten gesammelt werden können.

 

 

 

Wer prüft den Datenschutz?

Die Einhaltung des Datenschutzes wird durch die jeweils zuständige Aufsichtsbehörde überwacht. Für Unternehmen bedeutet das, dass die jeweiligen Beauftragten für den Datenschutz der Länder diese Aufgabe übernehmen. Zudem soll der Datenschutzbeauftragte als unabhängige Instanz im Unternehmen auf die Einhaltung der Regularien hinwirken. Damit übernimmt er quasi auch eine Kontrollfunktion, die eigentlich auch den Aufsichtsbehörden obliegen würde. Datenschutzverstöße werden mittlerweile ebenfalls dem Verbraucherschutz zugeordnet, u. a. deswegen, weil sie auch eine rechtliche Relevanz haben. Daher können Verstöße auch durch die Verbraucherschutzorganisationen oder etwaige Mitbewerber durch Abmahnungen geahndet werden.

Generell ist Datenschutz jedoch Chefsache, das bedeutet, das sich auch der Geschäftsführer einer GmbH darum kümmern muss, dass der Datenschutz eingehalten wird. Seit Inkrafttreten der EU-DSGVO haftet dieser auch erst einmal für die vermeintlichen Fehler seiner Mitarbeiter. Im Zuge dessen ist der Verantwortliche auch in der Beweislast bzw. der Nachweispflicht, dass er alle Regeln befolgt hat. Um eine unabhängige Beurteilung zu erhalten, können sich Unternehmen einem sogenannten Datenschutzaudit unterziehen. Passende Auditoren werden beispielsweise über den Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) und der Gesellschaft für Datenschutz und Datensicherheit (GDD) vermittelt.

Exkurs: Wie kann man einen Verstoß gegen die DSGVO melden?

Wenn Sie als Person betroffen sind, wenden Sie sich an den Datenschutzbeauftragten des Unternehmens. Liegt die Verantwortung im nicht-öffentlichen Bereich, ist dafür die zuständige landesspezifische Aufsichtsbehörde. Jedes Bundesland verfügt über einen Landesbeauftragten für den Datenschutz. Für öffentliche Einrichtungen auf Bundesebene liegt die Zuständigkeit beim Bundesbeauftragten für Datenschutz und Informationsfreiheit. Sind Sie als Unternehmen betroffen, erfolgt die Meldung in dem Bundesland, in dem die Verletzung aufgetreten ist. Auf den Websites der jeweiligen Aufsichtsbehörden der Bundesländer gibt es für diesen Fall entsprechende Formulare.

 

 

 

Wie ist der Datenschutz in Deutschland geregelt?

In Deutschland gilt wie oben beschrieben die Datenschutzgrundverordnung. Hergeleitet wird das Datenschutzrecht aus dem Recht auf informationelle Selbstbestimmung. Darin ist festgelegt, dass jeder grundsätzlich selbst entscheiden kann, wie mit seinen personenbezogenen Daten umgegangen werden soll. Der Begriff der „personenbezogenen Daten“ spielt im Datenschutzrecht eine zentrale Rolle. Denn nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen (also z. B. bei Namen, Geburtstag, Adresse, E-Mail-Adresse, IP-Adresse oder der Bankverbindung), kommt das Datenschutzrecht zur Anwendung.

Zu den wichtigsten Grundsätzen des Datenschutzrechts gehören:

  • Verbot mit Erlaubnisvorbehalt 
    Ein Umgang mit Daten darf nur dann erfolgen, wenn es dazu eine gesetzliche Grundlage gibt oder der Betroffene zugestimmt hat.
  • Rechtmäßige Verarbeitung nach Treu und Glauben, Transparenz 
    Die Datenverarbeitung muss auf rechtmäßiger Weise, nach dem Grundsatz von Treu und Glauben und in eine für die betroffene Person nachvollziehbare Weise erfolgen.
  • Zweckbindung
    Daten, die für einen bestimmten Zweck erhobenen bzw. gespeicherten Daten wurden, dürfen auch nur für diesen Zweck verwendet werden.
  • Datenminimierung 
    Nach dem Grundsatz der Datenminimierung müssen die personenbezogenen Daten dem Zweck angemessen und für diesen erheblich sein. Die Daten sind auf das notwendige Maß zu beschränken, das für die Verarbeitung notwendig ist.
  • Speicherbegrenzung 
    Ist der verfolgte Zweck erreicht ist, müssen die Daten gelöscht werden.
  • Richtigkeit der Daten 
    Die erhobenen und verarbeiteten Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  • Integrität und Vertraulichkeit 
    Personenbezogene Daten müssen mit geeigneten technischen und organisatorischen Maßnahmen in einer Weise verarbeitet werden, die eine Identifikation der betroffenen Person nur so lange ermöglicht, wie es für den Zweck der Datenbearbeitung erforderlich ist.
  • Rechenschaftspflicht
    Der im datenschutzrechtlichen Sinne Verantwortliche muss die Einhaltung der oben genannten Grundsätze nachweisen können.

 

 

 

Wie können Sie Ihre Daten schützen?

  • Datenschutz bei Cloud-Anbietern - verwenden Sie für die Speicherung und Verwaltung Ihrer Daten einen zertifizierten File Service
    Es ist essentiell, dass auch Ihr Cloud-Anbieter Datenschutz als wichtiges Thema sieht. Achten Sie darauf, dass Sie Ihre Daten unter maximalen Sicherheitsvorkehrungen speichern können. Ideal ist hier ein cloudbasierter Datenspeicher eines zertifizierten Anbieters, der über eine clientseitige Verschlüsselung verfügt. So haben Sie an jedem Ort gesichert Ihre persönlichen Daten zur Verfügung. Nur so können Sie auch beim Datenschutz in der Cloud der DSGVO gerecht werden.
  • Medizinische Daten und Datenschutz
    Gerade bei Daten aus dem Gesundheitswesen spielt der Datenschutz eine große Rolle. Vor allem wenn personenbezogene Daten, die zudem auch noch Informationen zu Erkrankungen und aktuellen Befunden umfassen, ist höchste Vorsicht geboten. Wenn Untersuchungsergebnisse, Laborberichte oder umfangreiche Gesundheitsdaten in falsche Hände gelangen, ist der Schaden immens. Moderne und zertifizierte Enterprise File Services liefern jedoch die Basis dafür um dennoch Daten sicher und in Echtzeit an den Stellen, an denen sie benötigt werden, bereitzustellen (Verlinkung zu Branchenseite „Gesundheit“).
  • Setzen Sie auf verschlüsselte Download-Freigaben
    Der Versand von ungesicherten Dateianhängen kann großen Schaden anrichten. Nicht selten werden gerade E-Mail-Anhänge gehackt und so geraten sensible Daten in falsche Hände. Auch die EU-Datenschutzgrundverordnung (DSGVO) verbietet es inzwischen, personenbezogene Daten per Mail-Anhang zu versenden. Über ein Add-In zur E-Mail-Verschlüsselung können Sie verschlüsselte Download-Freigaben erstellen. Zudem können Sie alle Dateien in ihrer Verfügbarkeit begrenzen oder aber auch zusätzlich mit einem gesonderten Passwort absichern.
  • Geben Sie so wenig an persönlichen Daten wie möglich preis
    Überlegen Sie sich genau, welche Informationen sie angeben möchten.
  • Lesen Sie immer die Datenschutzbestimmungen
    Generell ist jeder an die Datenschutzgesetze gebunden. Achten Sie darauf, welche Daten zu welchem Zweck erhoben, verarbeitet und gespeichert werden.
  • Achten Sie auf die Vertrauenswürdigkeit des Anbieters und eine sichere Verschlüsselung
    Geben Sie persönliche Daten nur auf vertrauenswürdigen Websites ein, die über eine sichere https-Verbindung verfügen.
  • Verwenden Sie sichere Passwörter
    Ein sicheres Passwort besteht aus einer Kombination von Buchstaben (Groß- und Kleinschreibung) sowie Sonderzeichen und Zahlen. Achten Sie darauf, dass Sie jedes Passwort nur einmal verwenden und halten Sie dieses Passwort geheim. Hilfreich sind auch spezielle Programme, mit den Sie sichere Passwörter generieren oder verwalten können.
  • Optimieren Sie die Sicherheitseinstellungen Ihres Browsers
    In Ihrem Internetbrowser können Sie weitere Einstellungen zur Wahrung Ihrer Daten vornehmen. Überprüfen Sie diese regelmäßig und achten Sie auch hier auf eine maximale Sicherheit durch regelmäßige Updates.
  • Schützen Sie Ihre Geräte
    Ihre verwendeten Geräte können Sie dadurch schützen, indem Sie eine geeignete Sicherheitssoftware installieren, diese auf dem neuesten Stand halten und nur gesicherte (verschlüsselte) W-LAN-Verbindungen nutzen. Verwenden Sie auf Ihrem Computer eine geeignete Antiviren-Software und achten Sie auf eine Firewall.
  • Vorsicht bei der Nutzung öffentlicher Computer
    Seien Sie besonders vorsichtig, wenn Sie öffentliche Computer z. B. in der Schule oder in einem Internetcafé nutzen. Verwenden Sie an diesen Geräten am besten keine allzu sensiblen Daten (wie z. B. Bankdaten). Wenn Sie sich hier auf einer Website einloggen, denken Sie unbedingt daran, dass Sie sich auch zum Schluss wieder ausloggen. Nutzen Sie verschlüsselte Seiten.
  • Ignorieren Sie Spam-E-Mails
    Beantworten Sie weder Fragen noch teilen Sie mit, dass Sie künftig keine E-Mails mehr von diesem Absender möchten. Damit würden Sie nämlich nur bestätigen, dass es sich bei Ihrer Mailadresse um eine gültige E-Mail handelt – und umso mehr Spam bekommen Sie später.
  • Vermeiden Sie einen Datenklau durch Phising-E-Mails
    Geben Sie keine Bank- oder sonstige Zugangsdaten im Internet oder per Mail weiter. Wenn Sie unsicher sind, kontaktieren Sie Ihre Hausbank. Prüfen Sie regelmäßig Ihre Kontoauszüge auf inkorrekte Abbuchungen. Durchschnittlich braucht es 37 Tage, bis ein Datenmissbrauch entdeckt wird.
  • Öffnen Sie nicht alle Attachments
    Klicken Sie keine unbekannten Dateianhänge aus E-Mails an – sie könnten Spyware, die persönliche Daten auf Ihrem Computer ausspioniert oder Viren enthalten.
  • Hinterfragen Sie Ihr Online-Verhalten
    Seien Sie sich darüber im Klaren, dass alle Daten, die Sie im Internet stellen, für gewöhnlich weltweit zugänglich und über Suchmaschinen auffindbar sind.
  • Prüfen Sie die Privatsphäre-Einstellungen in sozialen Netzwerken
    Über die Privatsphäre-Einstellungen von Anwendungen können Sie festlegen, wer welche Informationen von Ihnen einsehen kann und wer sie weiterverarbeiten darf. So können Sie beispielsweise einschränken, dass nur tatsächliche Freunde alle Beiträge sehen können.
  • Werden Sie bei Verstößen gegen den Datenschutz aktiv
    Nehmen Sie ggf. mit der Landesdatenschutzbehörde oder der Verbraucherschutzzentrale https://www.verbraucherzentrale.de/beschwerde auf. Wenn Daten gestohlen werden, ist dies außerdem ein Fall für die Polizei.
  • Nutzen Sie Nicknames
    Verwenden Sie – wenn möglich – anonyme Nicknames anstelle Ihres richtigen Namens. In sozialen Netzwerken könnten Sie beispielsweise auch Ihren Zweitnamen verwenden.
  • Verwenden Sie mehrere E-Mail-Adressen
    Legen Sie sich bei einem Gratis-Anbieter eine E-Mail-Adresse an, die keine Rückschlüsse auf Ihre Person zulässt. Verwenden Sie diese Adresse, um sich auf Websites zu registrieren, in Blogs zu posten oder in Foren mitzudiskutieren.
  • Löschen Sie Ihre persönlichen Daten
    Achten Sie darauf, dass Sie sämtliche persönlichen Daten löschen, bevor Sie ein Gerät (Smartphone, Tablet oder PC) verkaufen.
  • Augen auf bei der Installation von Apps
    Prüfen Sie vor der Installation einer App, für welche Daten Sie den Zugriff autorisieren. Manchmal versteckt sich gerade im Kleingedruckten die wichtigste Information.

Der Schutz von Daten ist einfacher, als Sie denken!

Sichern Sie sich hier Ihre kostenlose Vollversion von DRACOON mit 10 Usern und 10 GB hochsicherem Cloud-Speicher und speichern, versenden und verwalten Sie Ihre Daten auf eine sichere Weise.

Devices_free-promo_dracoon2

 

 

 

 

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Die Datensicherheit schützt vor Verlust und Manipulation. Sie spielt vor allem im Zusammenhang mit unternehmensspezifischen Daten eine tragende Rolle. Sie bezieht sich auf alle Daten, die in einem Unternehmen genutzt bzw. verarbeitet werden. Damit beinhaltet sie auch die Informationen um personenbezogene Daten. Als klassische Beispiele zählen Projektdaten, Betriebsgeheimnisse, aber auch Daten aus der Personalabteilung. Die Regelungen zur Datensicherheit sind in § 9 des Bundesdatenschutzgesetzes verankert. Hier ist z. B. vorgeschrieben, dass der Schutz der Daten durch technische und organisatorische Maßnahmen sichergestellt werden muss.

Der Datenschutz dient u. a. dem Schutz der persönlichen Privatsphäre eines jeden Bürgers. Er ist fester Bestandteil der Grundrechte und der Persönlichkeitsrechte und bezieht sich auf die Regelungen, die im Zusammenhang mit personenbezogenen Daten gelten. Die entsprechende Gesetzgebung kann im Bundesdatenschutzgesetz und in den Datenschutzgesetzen der Länder eingesehen werden. Der Datenschutz besagt unter anderem, dass es verboten ist, ohne gesetzliche Erlaubnis bzw. Einwilligung Daten zu Personen zu erheben und / oder zu verarbeiten.

 

 

 

Wie funktioniert Datensicherheit in Unternehmen und wie kann man sie gewährleisten?

Damit die Daten in einem Unternehmen auch tatsächlich vor den Zugriffen Unbefugter beispielsweise vor einem Verlust, einer Manipulation oder einer unrechtmäßigen Verarbeitung geschützt sind, ist es wichtig, entsprechende Vorkehrungen zu treffen. Unter anderem sollte sichergestellt werden, dass nur autorisierte Personen Zugriff auf die verschiedenen Informationen haben.

  • Befassen Sie sich mit den Grundlagen zum Datenschutz und zur Datensicherheit
    Die entscheidenden Informationen sind in §9 BDSG verankert.
  • Führen Sie eine Schutzbedarfsanalyse durch
    Das Ergebnis zeigt Ihnen auf, welche Art von Schutz angemessen ist, um die Daten in Ihrem Unternehmen zu schützen.
  • Datensicherheit in der Cloud: Nutzen Sie einen sicheren Enterprise File Service
    Grundsätzlich ist es sinnvoll, sich einer sicheren Collaboration-Plattform für den Datenaustausch zu bedienen bzw. diese den Mitarbeitern zur Verfügung zu stellen. Das kann heute auch eine Business Cloud-Lösung sein. Denn wenn sie die oben genannten Kriterien zur Datenverschlüsselung erfüllt, ist sie wesentlich sicherer als viele Wege, auf denen Unternehmen alternativ Daten austauschen und ablegen – wie E-Mail-Anlagen, File Server oder die häufig von Mitarbeitern genutzten, kostenfreien Cloud-Lösungen.
  • Stellen Sie sicher, dass nur autorisierte Personen einen Zugriff auf die Daten haben
    Nutzen Sie rollenbasierte Berechtigungen und passen Sie den Zugriff auf sensible Daten an. Mitarbeiter, die beispielsweise über Administratorenrechte verfügen, können mehr Daten einsehen als ein Mitarbeiter, der nur über Leserechte verfügt. Außerdem sind Zugriffskontrollen sehr hilfreich.
  • Nutzen Sie Protokollierungen
    Viele Unternehmen merken gar nicht, dass sie zum Opfer von Wirtschaftsspionage geworden sind – höchstens, wenn es bereits zu spät ist und eine Neuentwicklung, in die viel investiert wurde, plötzlich an anderer Stelle angeboten wird. Moderne Reportingtools zeichnen den Zu- und Abfluss von Daten auf. Darüber lässt sich auch nachvollziehen, welche Daten gespeichert oder bearbeitet wurden. Diese Tools sollten Sie regelmäßig prüfen.
  • Datenspeicherung in zertifizierten Rechenzentren 
    Neben der Datenverschlüsselung ist auch der Ort, an dem die Daten vorgehalten werden, ein Sicherheitskriterium. Im Gegensatz zu Rechenzentren in den USA oder anderen Ländern müssen Datenzentren in Deutschland nach der ISO/IEC-Norm 27001 zertifiziert sein, die ein umfassendes Informationssicherheits-Managementsystem gewährleistet.
  • Ernennen Sie einen Datenschutzbeauftragen
    Bei deutschen Unternehmen mit mehr als 10 Mitarbeitern ist ein Datenschutzbeauftragter verpflichtend. Gleiches gilt jedoch auch, wenn sich die Tätigkeit eines Unternehmens vorwiegend auf die Erhebung und Verarbeitung von personenbezogenen Daten konzentriert. Generell kann ein Datenschutzbeauftragte auch extern bestellt werden. Er kümmert sich um die Einhaltung aller Richtlinien und Gesetze, die mit dem Schutz von Kunden- und Unternehmensdaten im Zusammenhang stehen.
  • Spielen Sie regelmäßig Patches und Updates ein, um Ihre technischen Systeme zu schützen und Sicherheitslücken zu schließen zu schließen
    Es klingt trivial, ist aber noch immer eine der häufigsten Schwachstellen in Unternehmen, denn wenn das Patch-Update nur auf einem einzigen Gerät übersehen wird, einsteht eine Sicherheitslücke; das gilt auch für mobile Endgeräte.
  • Achten Sie auf einen aktuellen Viren- und Firewall-Schutz
    Besonders in mittelständischen Unternehmen gehören Angriffe durch Viren, Würmer, Trojaner und Web-Apps zu den häufigsten Ursachen für Datenverluste. Daher sind konsequent durchgeführte Updates auf allen Geräten, auch den mobilen Endgeräten, Basis jeder Sicherheitsstrategie.
  • Schützen Sie Ihre Daten vor Ransomware
    Ransomware bezeichnet man heimtückische Schadprogramme, die Daten und Systeme verschlüsseln und diese dadurch unbrauchbar machen. Ransomware sperrt die befallenen Systeme und Rechner, bis das geforderte Lösegeld („Ransom“) bezahlt wird. Ein ganzes Unternehmen kann somit durch den Fehler eines einzigen Benutzers lahmgelegt werden. Mit DRACOON verlieren Sie bei einem Ransomware-Angriff keine einzige Datei.
  • Bewertung der IT von Geschäftspartnern 
    Wenn bei der Zusammenarbeit mit Partnern gemeinsame Infrastrukturen oder Lösungen genutzt werden, entstehen durch die Vernetzung Risiken, die in der Informationsstrategie berücksichtigt werden sollten. Insbesondere Spionageangriffe erfolgen häufig über die schwächere Infrastruktur von Geschäftspartnern.
  • Erhöhen Sie den Datenschutz durch IT-Sicher­heits­konzepte
    Nicht erst seit Inkrafttreten der EU-Datenschutzgrund­verordnung bestimmen IT-Sicherheitskonzepte unsere digitale Arbeitswelt. Sie nehmen maßgeblich Einfluss auf die IT-Infrastruktur und den Datenschutz. IT-Sicherheitskonzepte sind zentrale und wichtige Bestandteile des IT-Sicherheitsmanagements bzw. Information Security Management System (ISMS). Sie beschreiben festgelegte Sicherheitsziele, mit deren Hilfe Risiken identifiziert und bewertet werden. 
  • Setzen Sie auf eine sichere Verschlüsselung
    Unter Verschlüsselung versteht man Verfahren und Algorithmen, die Daten mittels elektronischer Codes oder Schlüssel in eine nicht lesbare Form umwandeln. Bei einer clientseitigen Verschlüsselung verschlüsselt der Anwender seine Daten mit einem eigenen Schlüssel und überträgt diese anschließend auf den Server. Der Schlüssel, der die Daten codiert, verlässt dabei niemals den Rechner des Nutzers. Auf dem Server selber besteht daher keine Möglichkeit, die Dateien zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. Daten und Schlüsselmaterial sind also an zwei physikalisch getrennten Orten. So hat kein Dritter, nicht einmal der Plattform-Betreiber, Zugriff auf die gespeicherten Daten.
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz
    Eine der größten und in vielen Unternehmen stark unterschätzten Bedrohungen für sensible Daten geht von den eigenen Mitarbeitern aus. Viele Anwender sind sich nicht bewusst, welche Sicherheitslücken sie beispielsweise durch unzureichend gesicherte mobile Endgeräte oder durch das Nutzen unsicherer Cloud-Lösungen schaffen. Schulungen und eine regelmäßige Auffrischung der Sicherheitsinformationen für Mitarbeiter sind daher unerlässlich. Hier ist auch das Management gefragt.

 

 

 

Warum ist IT-Sicherheit für Unternehmen wichtig?

Die IT-Sicherheit ist heute wichtiger denn je. Gerade in Zeiten, in denen jeder online ist und fast schon das ganze Leben eng mit dem Internet verknüpft ist, sind Daten zu einem hochsensiblen und wertvollen Gut geworden. Doch wenn Daten in falsche Hände geraten, kann dies fatale Folgen haben.

Deshalb sollten vor allem Unternehmen darauf achten, dass sie geeignete technische Systeme einsetzen, die sie dabei unterstützen, die Vorgaben der EU-DSGVO einzuhalten und Daten maximal zu schützen. Kommen Sie diesen Verpflichtungen nicht nach, ist mit hohen Bußgeldern zu rechnen. Der Bußgeldkatalog der DSGVO sieht Geldbußen von bis zu 20 Millionen Euro vor. Die Aufsichtsbehörde darf aber auch Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres als Geldbuße verhängen. Maßgeblich ist der höhere der beiden Werte. Neben dem finanziellen Schaden ist jedoch auch der Reputationsverlust in der Öffentlichkeit und demzufolge beim Kunden immens.

Für hinreichenden Datenschutz sollten auch die folgenden Themen beachtet werden.

Daten vor Ransomware schützen

Als Ransomware bezeichnet man heimtückische Schadprogramme, die Daten und Systeme verschlüsseln und diese dadurch unbrauchbar machen. Ransomware sperrt die befallenen Systeme und Rechner, bis das geforderte Lösegeld („Ransom“) bezahlt wird. Ein ganzes Unternehmen kann somit durch den Fehler eines einzigen Benutzers lahmgelegt werden. Mit DRACOON verlieren Sie keine einzige Datei.

Mehr zu Schutz vor Ransomware

Datenschutz dank IT-Sicherheit

Primäres Ziel der IT-Sicherheit ist der Schutz vor Gefahren, mit denen wirtschaftlichen Schäden abgewendet werden sollen. 
 
IT-Sicherheit kann von der EDV-Abteilung eines Unternehmens allein kaum noch gewährleistet werden. Aus diesem Grund werden immer mehr Services in die Cloud ausgelagert. Dies hat den Vorteil, dass die Anbieter von Cloud-Diensten auf IT-Sicherheit spezialisiert sind. DRACOON ist Experte im Bereich Cloud-Sicherheit und beschäftigt sich täglich damit, wie die IT-Sicherheit in der Cloud weiter verbessert werden kann und wie Benutzer wieder die Souveränität über ihre Daten erhalten.
 
Mehr zu IT-Sicherheit

Diese Verschlüs­selungs­ver­fahren schützen Ihre Daten wirklich

Unter Verschlüsselung versteht man Verfahren und Algorithmen, die Daten mittels elektronischer Codes oder Schlüssel in eine nicht lesbare Form umwandeln.

Dafür gibt es verschiedene Verschlüsselungsverfahren, wie symmetrische, asymmetrische und hybride Verschlüsselungsmethoden. 

Mehr zu Verschlüsselung

Sonderfall Due Diligence - Erhöhte Anforderung­en an den Daten­schutz

In virtuellen Datenräumen wird die Möglichkeit geboten, Unternehmensdaten im Rahmen der Due Diligence bereitzustellen. Hierbei werden erhöhte Anforderungen an den Datenschutz gestellt. Ein Unternehmen, das zum Verkauf steht, stellt ein umfassendes Dokumentenmanage­ment zur Verfügung, das es ermöglicht, Kauf­interessen­ten und potenziellen Investoren Einblicke in alle relevanten Unternehmens­daten zu geben und bei Bedarf an gemeinsamen Dokumenten zu arbeiten.

Diese meist cloudbasierten Datenräume müssen durch besondere Maßnahmen abgesichert sein, z.B. durch User-Authentifizierungen in mehrfachen Stufen, um unberechtigte Einblicke in Unternehmensdaten zu verhindern.

Mehr zu Due Diligence

Datenschutz durch IT-Sicher­heits­konzepte

Nicht erst seit Inkrafttreten der EU-Datenschutzgrund­verordnung bestimmen IT-Sicherheitskonzepte unsere digitale Arbeitswelt. Sie nehmen maßgeblich Einfluss auf die IT-Infrastruktur und den Datenschutz.

Ende-zu-Ende-Verschlüsselungen spielen eine ebenso wichtige Rolle wie moderne Zugriffs­kontroll­mechanismen, die dafür sorgen, dass unternehmens­eigene und externe Mitarbeiter nur jene Daten „sehen“, die sie sehen dürfen und für ihre Arbeit benötigen.

Mehr zu IT-Sicherheitskonzepten

DSGVO-konforme E-Mail-Verschlüsse­lung über ein Outlook Add-In

„Ich schicke Ihnen den Vertrag dann im Anschluss per E-Mail.“ – Diesen Satz hat wohl jeder schon einmal gehört.
Denn die E-Mail ist nach wie vor die beliebteste Art, um Informationen und Dateien auszu­tauschen.

Aber kaum jemanden ist bewusst, dass sämtliche Informationen im Klartext versendet werden.
Das ist besonders im Geschäftsumfeld verheerend, da E-Mails und E-Mail-Anhänge mit relativ geringem Aufwand abgefangen werden können.Viele Unternehmen suchen daher nach einer Lösung, um sensible Dateien trotzdem sicher und DSGVO-konform per E-Mail versenden zu können.

Mehr zur E-Mail-Verschlüsselung

Maximaler Datenschutz durch clientseitige Verschlüs­se­lung

Bei einer clientseitigen Verschlüsselung verschlüsselt der Anwender seine Daten mit einem eigenen Schlüssel und überträgt diese anschließend auf den Server. Der Schlüssel, der die Daten codiert, verlässt dabei niemals den Rechner des Nutzers. Auf dem Server selber besteht daher keine Möglichkeit, die Dateien zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. Daten und Schlüsselmaterial sind also an zwei physikalisch getrennten Orten. So hat kein Dritter, nicht einmal der Plattform-Betreiber, Zugriff auf die gespeicherten Daten.

Mehr zur clientseitigen Verschlüsselung

Angemessener Datenschutz - mit Sicherheit nicht mit Microsoft OneDrive

Gerade bei der Verwendung von Microsoft-Produkten stoßen Nutzer spätestens beim zweiten Blick auf nicht unerhebliche Probleme, denn die Datenspeicherung zeigt aktuellen Schätzungen zufolge hohe Risiken. Dies belegt auch eine Datenschutzfolgenabschätzung (DSFA), die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit vom Unternehmen Privacy Company durchgeführt wurde.

Mehr zu Datenschutz und Microsoft OneDrive

Datenschützer warnen: US CLOUD Act bedroht europäische IT-Sicherheit

Im US CLOUD Act wird die Handhabung von Daten festgelegt, die physisch zwar nicht in den USA gespeichert, aber von US-Unternehmen verwaltet werden. Es verpflichtet neben Unternehmen aus den USA auch andere Unternehmen, die Daten mit Unternehmen aus den USA tauschen oder Teil eines Unternehmens aus den USA sind dazu, diese sogar ohne vorherigen richterlichen Beschluss preiszugeben. 

Damit steht der CLOUD Act absolut im Widerspruch zur in Europa geltenden EU-Datenschutzgrundverordnung (DSGVO). 

Mehr zum US CLOUD Act

Nehmen Sie Kontakt zu uns auf

Sie haben Fragen zum Thema Datenschutz oder wünschen einen Rückruf?
Mit diesem Kontaktformular erreichen uns Ihre Anliegen am schnellsten:

Sie hätten gerne ein persönliches Gespräch?
Dann vereinbaren Sie einfach direkt einen Termin mit einem unserer Experten, indem Sie hier im Kalender ein für Sie passendes Datum auswählen.