Was ist Datenschutz und Datensicherheit und wie kann man diese im Unternehmen umsetzen?

Das Thema Datensicherheit, gerade auch im Bereich personenbezogener Datenverarbeitung, wird in vielen Unternehmen und Organisationen gerne vernachlässigt, da es bisher noch nie zu Problemen gekommen ist. Ein Blick auf die Seiten des „Projekt Datenschutz“ zeigt hingegen, dass es sehr häufig zu Problemen bei der Datensicherheit, gerade bei personenbezogenen Daten, kommt. Daher besteht die Notwendigkeit, das Thema ernst zu nehmen und Forderungen der betreffenden Normen ISO 27001 oder ISO 9001 zu erfüllen. In den letzten Jahren häuften sich Pannen in der Datenverarbeitung immer weiter und das „Projekt Datenschutz“ versucht einen Überblick über die Vielzahl an Skandalen und Vorfällen im Hinblick auf Kunden- und Unternehmensdaten zu geben. Hieraus wird deutlich wie wichtig funktionierender Datenschutz für das Unternehmen ist und es sich für alle Mitarbeiter lohnt die Grundlagen des Datenschutzes zu kennen. Ebenfalls gibt die Datenschutz-Grundverordnung (DSGVO) Vorschriften zum Zweck des Datenschutzes vor und bildet im Zweifelsfall die Rechtsgrundlage.

---

Wie lautet die Definition von Datenschutz und Datensicherheit?

Im Folgenden erläutern wir Ihnen einige Grundbegriffe zur Thematik, damit Sie ein Grundverständnis für die Begriffe Datenschutz und Datensicherheit erhalten:

---

---

Datenschutz

Datenschutz ist der Schutz von Datenmaterial vor Missbrauch im Allgemeinen. Unter Missbrauch versteht man hier besonders unberechtigte Einsicht, zweckfremde Verwendung oder Fälschung von Daten.

Datensicherung

Datensicherung fasst alle Maßnahmen zusammen, die ergriffen werden, um den Verlust von Daten zu verhindern. Im allgemeinen Sprachgebrauch spricht man von der Anfertigung von Sicherungskopien.

Datensicherheit

Datensicherheit ist der Soll-Zustand, der durch Einführung und dauerhafte Anwendung von Maßnahmen des Datenschutzes erreicht werden soll, aber durch die technischen Möglichkeiten nur annähernd erreicht werden kann.

---

Wo liegen die grundlegenden Probleme bei der Datensicherheit?

Bevor es zur Planung und Erarbeitung von konkreten Maßnahmen des Datenschutzes oder der zielgerichteten Einführung eines ISMS (Informationssicherheitsmanagementsystem) kommen kann, muss die Unternehmensführung zuerst die Notwendigkeit von Datenschutz im Allgemeinen anerkennen. Nur so ist bei der späteren Umsetzung eines ISMS gewährleistet, dass die Datenschutzbeauftragten Akzeptanz für ihre Arbeit finden und die Maßnahmen auch im Unternehmen greifen können. Die Diskussion zur Annäherung an das Thema Datenschutz kann mit folgenden Fragen angegangen werden:

• Welche Daten benötigen Schutz?
• Wodurch sind die Daten gefährdet?
• Was sind Ursachen von Gefahren?
• Gab es in der Vergangenheit bereits problematische Vorfälle?
• Was fordert der Gesetzgeber?

Das Gesetz stellt die grundlegende Forderung nach informationeller Selbstbestimmung auf, d. h. jede Person hat das Recht selbst zu entscheiden, was mit ihren persönlichen Daten passiert. Also inwiefern diese verarbeitet und gespeichert und kann somit auch verfügen, dass diese keinesfalls an Dritte weitergegeben werden dürfen. Ohne die Einwilligung der Betroffenen dürfen keine personenbezogenen Daten verarbeitet oder gespeichert werden. Somit ist der Schutz personenbezogener Daten, z. B. von Kunden oder Mitarbeitern, ein wichtiger Aspekt beim Thema Datenschutz.

---

Wie hängt der Datenschutz mit der ISO 9001 zusammen?

Die ISO 9001 weist ausdrücklich darauf hin, dass personenbezogene Daten Eigentum des Kunden sind und daher besondere Sorgfalt beim Umgang mit personenbezogenen Kundendaten erforderlich ist. Da es ohne Erfassung von Kundendaten in den meisten Unternehmen nicht zur Erbringung von Leistungen kommen kann, werden Forderungen des Datenschutzes gleichzeitig auch zu Forderungen des Qualitätsmanagement. Jede Organisation muss personenbezogene Daten kennzeichnen, verifizieren und schützen.

---

Ihre Ansprechpartnerin bei Fragen zum Datenschutz

---

Subjekte und Objekte in Datenschutz und Datensicherheit

Bei der Planung eines ISMS muss der erste Schritt immer die Feststellung sein, welche Daten, Materialien und Objekte im Unternehmen besonders geschützt werden müssen. Besonders ist hier auf den Schutz vor bereits erkannten Gefahren zu achten:

Wo sind wir gefährdet bzw. verwundbar?

Datenverarbeitungsanlagen sind besonders anfällig. Fertigen Sie daher eine Aufstellung aller verwendeten Anlagen, die mit der Verarbeitung oder Speicherung personenbezogener Daten befasst sind, an.

Welche Maßnahmen zum Dazenschutz können ergriffen werden?

Erkannte Bedrohungen müssen eliminiert werden, indem Sie beispielsweise präventive Schutzmaßnahmen definieren.

Welche spezifischen Bedrohungen und Gefahren gibt es?

Um feststellen zu können, ob es bereits Schädigungen gab oder bevorstehen ist es wichtig den Bedrohungsstatus zu spezifizieren.

---

---

Mit welchen Maßnahmen können wir die Sicherheit von Daten gewährleisten?

Im Folgenden stellen wir Ihnen Maßnahmen zum Schutz von Daten am Beispiel des PCs am Arbeitsplatz dar:

• Sie können ihre Rechner online auf mögliche Sicherheitsrisiken überprüfen lassen. Hierzu können Sie spezifische Internetseiten nutzen. Besonders interessant sind hierbei Seiten zum Browser-Check oder E-Mail-Check.
• Risikoverringerung lässt sich durch Untersuchung der verwendeten Software erreichen. Software unterscheidet sich oft nicht in wesentlich in den Funktionen, aber bei der Anfälligkeit auf externe Zugriffe können deutliche Unterschiede beobachtet werden.
• Datenverschlüsselung schützt Ihre Daten vor Einsicht und Änderung der Daten durch Dritte.
• Eine ebenfalls sehr effiziente Maßnahme ist die Bereitstellung von gesonderten PCs zur Nutzung des Internets. Somit können Sie das Internet und das interne Firmennetzwerk voneinander trennen und so Zugriffe auf Ihre Daten verhindern.

---

Datensicherheit am Arbeitsplatz durch sichere Rechner

Bei der operativen Arbeit ist besonders der Grundsatz der „Organisationskontrolle“ zu beachten, der explizit im Bundesdatenschutzgesetz verankert ist. Hier geht es insbesondere um drei wesentliche Punkte der Organisation von Berechtigung und Verantwortlichkeit in personeller Hinsicht.

Abwehr von Bedrohungen aus dem Internet, die v. a. mit folgenden Maßnahmen sichergestellt werden kann

• regelmäßige Installation von sicherheitsrelevanten Updates
• die Nutzung von Antiviren-Software zur Abwehr von Trojanern und anderen Viren
• die Errichtung von Firewalls für Hard- und Software
• Entwicklung und Schulung von Verhaltensregeln im Umgang mit Phishing

Datenschutz – Versehentliche Weitergabe persönlicher Daten verhindern, indem

• solche Daten nur an vertrauenswürdige und bekannte Anbieter weitergeleitet werden
• Anonymisierungsverfahren bei der Nutzung des Internets angewendet werden
• Temporäre Internetdateien im Browser regelmäßig gelöscht werden
• Mitarbeiter für betrügerische E-Mails sensibilisiert werden
• Sie bei Datenlöschung immer auf komplette Löschung achten, um eine Wiederherstellung der Daten zu verhindern
• vor dem Versand von Dokumenten geheime Inhalte entfernt

Verhinderung von Zugriffen Dritter durch

• verbindliche Festlegung von Sicherheitspasswörtern und deren Gültigkeitsdauer, Sicherheitsstufe und Aufbewahrung
• Verhinderung von automatisch gespeicherten Passwörtern bei Online-Formularen
• Deaktivierung von Programmen, die in ständiger Verbindung mit dem Server stehen
• Prüfung und ggf. Rückgängigmachung von Freigaben für Netzwerkverbindungen
• Verschlüsselungen von kabellosen Internetverbindungen
• Verbot der Nutzung externer Datenspeichergeräte, wie persönliche USB-Sticks usw.

Hinweise zur Datensicherung – Datensicherheit

Fehler bei der Datensicherung machen sich meist erst bemerkbar, wenn eine Rücksicherung durchgeführt wird. Um diesen Fall frühzeitig zu erkennen, sollten regelmäßige Test-Rücksicherungen durchgeführt werden. Als weiteren wichtigen Hinweis sollten Sie darauf achten, dass Sie Sicherungsdateien niemals alle an einem Ort lagern. Eventuelle Brände oder andere Einflüsse führen dann gegebenenfalls zu einer Vernichtung des kompletten Datenmaterials.

Datensicherung und Archivierung von Daten

Festplattendefekte führen oftmals zu vollständigem Datenverlust, deshalb sollten regelmäßig Sicherheitskopien. Hier eignen sich beispielsweise CDs. Diese können Sie dann an unterschiedlichen Orten lagern. In komplexen Organisationen oder bei Daten, die mehrere Mitarbeiten gleichzeitig benutzen, sollte man ein Datensicherungskonzept entwickeln. Dies legt die Verhaltensweisen für jeden Mitarbeiter verbindlich fest. Das meistverwendete Konzept zur Datensicherung ist das sogenannte Generationenprinzip (GVS). Hierbei werden täglich Sicherungskopien durchgeführt, die dann wöchentlich überschrieben werden. Am Ende der Woche sollten Sie das gesamte Material speichern und erst nach frühestens vier Wochen wieder überschreiben.

Zusätzlich wird am Monatsende eine komplette Sicherungskopie erstellt, die für mindestens ein Jahr eingelagert wird. Durch diese Methode wird sichergestellt, dass jederzeit Rücksicherungen möglich sind und ein eventueller Datenverlust auf bis zu einem Jahr wieder rückgängig zu machen ist. Zur Durchführung eines Systems der Datensicherung und Archivierung ist darauf zu achten, dass die nötigen Ressourcen sowie genügend Speicherkapazitäten oder unabhängige Server zur Verfügung stehen.