Unterschied Datenschutz Datensicherheit
Datenschutz und Datensicherheit im Unternehmen
Obwohl Unternehmen beide Elemente - Datenschutz und Datensicherheit - beachten müssen, bleiben diese Themen in ihrem Geschäftsalltag aufgrund ihrer Komplexität oft hintenangestellt. Dabei sind Datenschutz und Datensicherheit überaus wichtig und Maßnahmen zu deren Umsetzung und Befolgung auch von nicht zu unterschätzender wirtschaftlichen Relevanz. Es bedarf deshalb eines genauen Blicks auf die Unterscheidung von Datenschutz und Datensicherheit. Zumal können Verstöße gegen diese zu Abmahnungen, hohen Bußgeldern und sogar Imageverlusten führen.
Beim Datenschutz geht es vor allem darum, „wann“ und „wie“ Daten von natürlichen Personen verarbeitet werden dürfen. Mit dem Schutz dieser Daten befasst sich das Datenschutzrecht. Dieses ist seit Mai 2018 in der Datenschutzgrundverordnung (DSGVO) geregelt.
Eine genaue Definition des Begriffs „Datensicherheit“ ist nicht möglich, da es zu ähnlichen Bereichen (wie IT-Sicherheit) an einer klaren Abgrenzung mangelt. Jedoch liefert die Antwort der Wortlaut selbst: es geht darum, Daten "sicher zu machen" und diese vor unbefugten Zugriffen zu schützen.
Datensicherheit & Datenschutz
Nicht erst seit den neuen gesetzlichen Vorgaben im Zusammenhang mit der DSGVO handelt es sich bei dem Wort „Datensicherheit“, um einen vielsagenden Begriff, der oft auf vollkommen verschiedene Art definiert wird. Doch wann sind Daten eigentlich „sicher“? Und welche Voraussetzungen müssen erfüllt sein, damit mit Hinblick auf eine verlässliche Datensicherheit keine Wünsche mehr offenbleiben?
Das erwartet dich heute:
Der Begriff „Datensicherheit“ umfasst nicht nur den umfassenden Schutz der Daten vor Verlust, sondern auch Maßnahmen, die einer Verfälschung und Löschung vorbeugen sollen. Da Daten auf verschiedene Weise, zum Beispiel manuell und über Software gefährdet sein können, ist es extrem wichtig, dass auch die Datensicherheit eines Unternehmens auf unterschiedlichen Ebenen agiert. Unter anderem können mit den entsprechenden Maßnahmen auch Aktivitäten aus dem Bereich der Cyberkriminalität vorgebeugt werden.
Ziele der Datensicherheit
Wenn du in einem Unternehmen auf Maßnahmen setzt, die die Datensicherheit unterstützen, profitierst du unter anderem davon, dass diese Maßnahmen wichtige Details zu Projekten, Aufträgen und Co. vor unbefugten Dritten schützen.
Wie wichtig es ist, hier zu investieren und auf dem aktuellsten Stand zu bleiben, zeigt sich immer dann, wenn Mängel in diesem Bereich dafür gesorgt haben, dass Daten nach außen dringen, gelöscht oder vervielfältigt werden konnten. Die Schäden können hier (je nach Ausmaß) immens sein.
Hauptziel der Datensicherheit ist es dementsprechend, firmeninterne Daten zu schützen und gleichzeitig sicher abzuspeichern.
Selbstverständlich spielt der Begriff der Datensicherheit jedoch auch im privaten Bereich eine tragende Rolle. In Zeiten von Online Banking und Online Shopping solltest entsprechende Vorsichtsmaßnahmen nicht vernachlässigen.
Warum Datensicherheit wichtig ist…
Die Wichtigkeit von Datensicherheit zeigt sich in vielen unterschiedlichen Bereichen.
Unternehmen (und Privatpersonen) sind hierbei berechtigterweise unter anderem darauf bedacht…:
Firmengeheimnisse bzw. sensible Daten zu bewahren
einem Missbrauch der entsprechenden Informationen vorzubeugen
sich gegen Angriffe der Konkurrenz bzw. aus dem Bereich der Cyberkriminalität zu schützen.
Schäden, die im Zusammenhang mit einer Vernachlässigung der Datensicherheit auftreten, können sich nicht nur negativ auf den Geschäftsalltag auswirken, sondern noch dazu das Budget stark belasten. Immerhin führen Lücken in der Datensicherheit manchmal dazu, dass Kriminellen buchstäblich „Tür und Tor“ geöffnet wird und diese (manchmal über einen vergleichsweise langen Zeitraum) mit Passwörtern, Logins und vertraulichen Details arbeiten können.
Vor allem im geschäftlichen Alltag werden die beiden Begriffe „Datensicherheit“ und „Datenschutz“ immer wieder durcheinander geworfen. Dabei liegen für beide Bereiche klare Definitionen vor.
Um die besonderen Charakteristika noch ein wenig besser zu verdeutlichen, eignet sich ein Blick auf die folgende Tabelle:
Datensicherheit Datenschutz Spielt vor allem (,aber nicht nur) im Zusammenhang mit unternehmensspezifischen Daten eine tragende Rolle Dient unter anderem dem Schutz der persönlichen Privatsphäre eines jeden Bürgers Bezieht sich auf alle Daten, die in einem Unternehmen genutzt bzw. verarbeitet werden und beinhaltet damit auch die Informationen mit Hinblick auf Personen Ist fester Bestandteil der Grundrechte und der Persönlichkeitsrechte Klassische Beispiele: Daten zu Projekten, Betriebsgeheimnissen, jedoch auch Daten aus der Personalabteilung Bezieht sich auf die Regelungen, die im Zusammenhang mit personenbezogenen Daten gelten Datensicherheit schützt vor Verlust und Manipulation Die entsprechende Gesetzgebung kann im Bundesdatenschutzgesetz und in den Datenschutzgesetzen der Länder eingesehen werden Regelungen zum Thema Datensicherheit sind in §9 BDSG verankert (hier ist unter anderem vorgeschrieben, dass der Schutz der entsprechenden Daten durch technische und organisatorische Maßnahmen sicherzustellen ist) Datenschutz besagt unter anderem, dass es verboten ist, ohne gesetzliche Erlaubnis bzw. Einwilligung, Daten zu Personen zu erheben bzw. zu verarbeiten
Kurz: sowohl mit den Maßnahmen mit Hinblick auf eine verlässliche Datensicherheit als auch im Zusammenhang mit dem Datenschutz soll dem Zugriff Unbefugter auf Daten vorgebeugt werden. Während sich die Datensicherheit jedoch auf Firmendaten UND Personendaten bezieht, dient der Datenschutz den persönlichen Daten des Menschen und ist unter anderem auch als Grundrecht verankert.
Hat die Datensicherheit negative Auswirkungen auf den Datenschutz?
Die Tabelle zeigt auf, dass sich Maßnahmen aus den Bereichen Datensicherheit und Datenschutz durchaus gegenseitig bedingen können. Dennoch ist es im Alltag durchaus möglich, dass sich Datenschutz und Datensicherheit auch negativ beeinflussen.
Dies gilt vor allem dann, wenn die entsprechenden Daten in einer Cloud abgelegt werden.
Denn: einerseits sollen auf diesem Wege die Daten sicher abgespeichert werden (pro Datensicherheit), andererseits gehen mit dieser Strategie auch verschiedene Risiken einher, die nicht unterschätzt werden sollten.
So darf die besagte Speicherung über die Cloud nur dann in Anspruch genommen werden, wenn dieser Schritt rechtlich fundiert ist bzw. auf einer Einwilligung beruht. Zudem müssen weitere Voraussetzungen erfüllt werden, wenn der Anbieter der jeweils genutzten Cloud seinen Sitz in einem Drittland in der Nicht-EU bzw. außerhalb des EWR hat. Daher entscheiden sich viele Firmen, die auf besagte Cloud Lösung zurückgreifen für einen Anbieter innerhalb Deutschlands.
Datensicherheit & Datenschutz
Ein weiterer Begriff, der im Zusammenhang mit dem Bereich der Datensicherheit immer wieder angesprochen wird, ist die Informationssicherheit. Doch worum handelt es sich hierbei eigentlich genau? Auch hier sorgt natürlich wieder eine fixe Definition dafür, dass beide Begriffe vergleichsweise gut gegeneinander abgegrenzt werden können.
Was ist Informationssicherheit?
Alle Bestimmungen, die mit Hinblick auf den Bereich der Informationssicherheit wichtig werden, sind in den IT-Grundschutzkatalogen des BSI und in der ISO 27001 festgelegt.
Wie der Name schon vermuten lässt, ist es auch das Ziel der Informationssicherheit, Informationen zu schützen. Wie umfangreich dieser Begriff jedoch ist, zeigt sich unter anderem auch darin, dass von der Informationssicherheit…:
digitale
analoge
personenabhängige
personenunabhängige
Daten betroffen sind. Viele Experten sind in der Vergangenheit auch bereits dazu übergegangen, die Datensicherheit als Bestandteil der Informationssicherheit anzusehen.
Was sind die Unterschiede zwischen Informationssicherheit und Datensicherheit?
Um die grundsätzlichen Unterschiede zwischen Informations- und Datensicherheit noch besser aufzeigen zu können, lohnt es sich, einen Blick in die folgende Tabelle zu werfen.
Datensicherheit Informationssicherheit Mit Hilfe der Datensicherheit sollen Informationen vor Verlust, Manipulation und Weitergabe geschützt werden Beinhaltet sowohl IT Daten als auch analoge Daten Die jeweiligen Vorgaben müssen unter anderem über die Informationssicherheit realisiert werden Mit Hilfe der Informationssicherheit sollen somit auch Anlagen, Maschinen, Niederlassungen usw. geschützt werden Mit Hinblick auf die Regelungen zur Datensicherheit ist es unerheblich, ob diese sich auf eine Person oder andere Teilbereiche eines Unternehmens beziehen Die entsprechenden Regelungen können sich sowohl auf Daten zu Personen als auch auf allgemeine Daten beziehen
Damit die Daten in deinem Unternehmen auch wirklich vor den Zugriffen von Unbefugten bzw. vor…:
Verlust
Manipulation
Verarbeitung
geschützt sind, ist es natürlich wichtig, entsprechende Vorkehrungen zu treffen. Unter anderem musst du sicherstellen, dass nur autorisierte Personen Zugriff auf die verschiedenen Informationen haben. Damit dir dies auch gelingt, macht es Sinn, sich mit unserer Schritt für Schritt Auflistung zu befassen. Anhand dieser To Do Liste wird „ganz nebenbei“ auch aufgezeigt, wie umfangreich das Thema „Datenschutz“ letztendlich ist.
Betreibst du eine eigene Website ist das Thema Datenschutz nicht unwichtig. Jede Website benötigt eine Datenschutzerklärung, die natürlich den Vorschriften der DSGVO entspricht.
Schritt für Schritt: wie du deine Daten im Unternehmen sicherst
Befasse dich mit den Grundregelungen zu den Themen Datenschutz und Datensicherheit. Viele Informationen hierzu findest du in §9 BDSG. Führe eine Schutzbedarfsanalyse durch. Das Ergebnis verrät dir, welche Art von Schutz dafür angemessen ist, die Daten in deinem Unternehmen zu schützen. Stelle sicher, dass nur autorisierte Personen auch Zugriff auf die entsprechenden Daten haben. Du kannst dies mit Hilfe einer Zutrittskontrolle gewährleisten. Moderne Lösungen im Bereich Passwortmanagement erlauben es dir, auf eine verlässliche Zugangskontrolle zu setzen. Viele Systeme bieten zudem die Möglichkeit, Zugriffe mit den jeweiligen Passwörtern chronologisch zu dokumentieren. So kannst du immer in Erfahrung bringen, wann sich wer einloggt. Ähnliche Sicherheitsmaßnahmen existieren auch im Zusammenhang mit der Veränderung und der Löschung von Daten im System. Wer hier auf die passende Technik setzt, kann problemlos nachvollziehen, welcher Mitarbeiter Informationen gegebenenfalls ergänzt hat. Nutze rollenbasierte Berechtigungen, um die Sichtbarkeit der sensiblen Daten noch weiter einzuschränken. Mitarbeiter, die beispielsweise über Administratorenrechte verfügen, können mehr einsehen als Mitarbeiter mit einem Basiszugang. Der positive Effekt zeigt sich gleich auf zwei Ebenen. So stehen den berechtigten Mitarbeitern uneingeschränkt alle Informationen zur Verfügung, während andere sich ausschließlich auf ihren Arbeitsbereich fokussieren können. Achte darauf, dass keine Daten im Zusammenhang bei einem elektronischen Übermitteln oder manuell weitergegeben werden! Als klassischste Lösung kann hier in besonders sensiblen Bereichen des Betriebes die manuelle Kontrolle von Taschen und Co. zum Einsatz kommen. Unter anderem kannst du jedoch auch vorschreiben, dass die entsprechenden Daten nach der firmenspezifischen Nutzung vernichtet werden. Sichere dich gegen „höhere Gewalt“ ab! Der Verlust von Daten muss natürlich nicht immer im Zusammenhang mit dem Zugriff eines unbefugten Dritten einhergehen! Manchmal sind es auch besondere Ereignisse, wie zum Beispiel ein Gewitter, welches für einen Stromausfall gesorgt hat, die für den „worst case“ sorgen.
Um Szenarien wie diese zu verhindern, setzt du am beste auf Notstromaggregate und sorgst für eine regelmäßige Speicherung deiner Daten. Stelle zudem auch sicher, dass alle Mitarbeiter wissen, welche Vorkehrungen im Notfall zu treffen sind. Eine entsprechende To Do Liste kann beispielsweise im Zuge von Schulungen besprochen werden. Ernenne einen internen oder beauftrage einen externen Datenschutzbeauftragten, der sich um die Einhaltung jeglicher Richtlinien und Gesetze im Hinblick auf den Schutz deiner Kunden- und Unternehmensdaten kümmert.
Datensicherheit bei der Nutzung von (Online-)Tools
Unternehmen nutzen bekanntermaßen verschiedene Tools, um die Datensicherung zu gewährleisten. Doch sind deine Daten wirklich sicher? Im Folgenden soll auf gängigste Optionen und deren Charakteristika Bezug genommen werden.
Die Dropbox und ihre Datensicherheit
Im Zuge der Dropbox Lösung und einer entsprechenden Speicherung der Daten wird (laut Anbieter) auf der Basis einer AES Verschlüsselung mit einer Schlüssellänge von 256 Bit gearbeitet. Somit sollen die Daten vor einem Zugriff Unbefugter geschützt werden.
Wer sich für diese Lösung entscheidet, sollte jedoch auch immer im Hinterkopf behalten, dass Dropbox selbst auf die abgelegten Daten jederzeit Zugriff hat.
Slack und Datensicherheit – welche Standards gelten hier?
Slack hat, unter anderem nach der Einführung der neuen DSGVO Richtlinien neue Tools eingeführt, mit denen die Sicherheit der Daten noch weiter optimiert werden soll. Zudem setzt der Anbieter laut eigener Aussage auf bestimmte Sicherheitsfunktionen, beispielsweise in Form von…:
einer Datenverschlüsselung während der Übertragung bzw. der Speicherung der Informationen
einem SAML basierten SSO
der Möglichkeit, Nachrichten benutzerdefiniert abzuspeichern.
Datensicherheit in der Cloud – Ist das möglich?
Wer seine Daten in einer Cloud abspeichert, nutzt natürlich den Vorteil, praktisch von „jedem Ort der Welt“ auf die entsprechenden Informationen zugreifen zu können. Was sich auf den ersten Blick unglaublich modern und komfortabel anhört, birgt jedoch auch gewisse Risiken.
Risiken einer Cloud
Unter anderem waren es diverse Berichte in den Medien, die immer wieder Zweifel an der Sicherheit von Clouds aufkommen ließen. Auch wenn das Risiko im Zusammenhang mit deutschen bzw. EU Anbietern hier sicherlich als vergleichsweise gering angesehen werden kann, ist es wichtig, sich über die Risiken einer entsprechenden Nutzung bewusst zu werden.
Diese liegen unter anderem darin, dass die Gefahr von…:
Datenmanipulation
Zugriffen auf die jeweiligen Daten
Datenverlust
mangelnder Verfügbarkeit (zum Beispiel bei einem Internetausfall)
durchaus gegeben ist. Je nach Anbieter ist es jedoch üblich, genau diese Risiken abzusichern.
Daher solltest du die verschiedenen Dienste eingehend miteinander vergleichen.
Eine beliebte Lösung, wenn es um die Vorteile einer verlässlichen Cloudbuchhaltungssoftware geht, ist übrigens die Datenübermittlung via sevDesk. Deine entsprechenden Informationen werden via TLS Verschlüsselung gesichert. Weiterhin setzt das zertifizierte Programm auf mehrere Hardware gestützte Firewalls, einen Server Standort in Deutschland, getrennte Datenspeicherung und weitere hilfreiche Funktionen, wie zum Beispiel automatische Auswertungen und einen separaten Zugang für Deinen Steuerberater.
Tipp Sichere deine Unternehmensdaten und Buchhaltung ab, indem du eine sichere Buchhaltungssoftware wie sevDesk nutzt.
Egal, ob im beruflichen oder im privaten Alltag: mit den passenden Vorkehrungen ist es oft einfacher als gedacht, die Datensicherheit im Internet noch weiter zu erhöhen. Am besten nimmst du dir einige Minuten Zeit, um dein eigenes Datensicherheitskonzept zu erstellen bzw. zu ermitteln, wie sicher du bis jetzt im „www“ surfst.
So erstellst du ein Datensicherheitskonzept
Das Erstellen eines Datensicherheitskonzeptes ist nicht schwer und kann auch von Computerlaien vergleichsweise rasch umgesetzt werden. Orientiere doch hierzu am besten an unseren Tipps!
Sorge für die Sicherheit deines Browsers! Dies erreichst du unter anderem damit, indem du nach einer Sitzung am PC deine Cookies löschst, so dass diese nicht an fremde Server weitergegeben werden können. Verzichte auch unbedingt auf das Abspeichern von Passwörtern. Apropos „Passwörter“! Wähle deine Passwörter mit Bedacht! Am besten setzt du hierbei auf einen Mix aus Groß- und Kleinbuchstaben, Zahlen und Zeichen. Wechsle diese individuellen Zugangsdaten regelmäßig. Falls du Hilfe brauchst, kannst du dir deine Passwörter auch ganz einfach an einem Generator zusammenstellen lassen. Bleibe in deinen sozialen Netzwerken nur eingeloggt, solange du sie auch aktiv nutzt. Melde dich ab, wenn du deinen PC-Platz verlässt. Vertraue lediglich auf Seiten, die mit einer sicheren Verbindung aufwarten. Diese erkennst du an „https://“. Fühle dich nicht zu sicher! Auch wenn du dich an die entsprechenden Richtlinien hältst, kann es immer sein, dass sich unbefugte Dritte Zugriff auf deine Daten verschaffen. Solltest du verdächtige Aktivitäten feststellen, leite unbedingt weitere Schritte ein. In einem Unternehmen ist oft der zuständige Systemadmin dein richtiger Ansprechpartner.
Fazit
Die gesetzlichen Regelungen und die technischen Möglichkeiten haben es im Laufe der letzten Jahre geschafft, das Internet und die Bereiche…:
Datensicherheit
Informationssicherheit
Datenschutz
und Co. noch sicherer werden zu lassen. Dennoch ist die Gefahr von Informationsdiebstahl, Hackerangriffen und weiteren Risiken noch lange nicht gebannt.
Am sichersten ist es dementsprechend, nicht nur auf die passenden Tools zu setzen, sondern auch seine Mitarbeiter zu schulen und selbst immer sensibel mit Hinblick auf den Schutz der eigenen Daten zu bleiben.
Gleichzeitig solltest du natürlich auch immer die gesetzlichen Regelungen im Auge behalten. Deren Aufgabe ist es nicht, Internetnutzer mit immer wieder neuen Vorschriften zu „drangsalieren“, sondern vielmehr mit den passenden Lösungen dafür zu sorgen, dass das Surfen im „www“ und das Abspeichern von Daten noch sorgenfreier vonstatten gehen kann.
Datensicherheit: Tipps und Maßnahmen wie Sie Ihr Unternehmen sicherer machen
Wir erläutern Ihnen, was Datensicherheit überhaupt ist, worin der Unterschied zum Datenschutz liegt und wie Sie mit einfachen Tipps die Daten in Ihrem Unternehmen sicherer machen können.
Sowohl ein umfassender Datenschutz als auch die Datensicherheit sind heutzutage in der medialen Welt von enormer Relevanz – zum einen für jeden, der Daten von sich preisgibt, zum anderen aber auch für jedes Unternehmen, das mit Daten arbeitet. Unklar ist jedoch oft, was mit Datensicherheit gemeint ist.
Was ist unter Datensicherheit zu verstehen? Der Begriff Datensicherheit umschreibt den generellen Schutz von Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Dabei geht es bei dem Thema Datensicherheit nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen. Vielmehr geht es um die Frage, welche Maßnahmen ergriffen werden müssen, um den Schutz der Daten zu gewährleisten und damit schließlich die bestmögliche Datensicherheit zu erreichen. Dieser angestrebte Zustand kann durch eine Vielzahl an Maßnahmen erreicht werden. Und welches Ziel verfolgt die Datensicherheit? Datensicherheit hat das primäre Ziel, Daten jeglicher Art gegen Manipulation, Verlust, Klau und andere Bedrohungen zu sichern. Im Kontext des Datenschutzes im Unternehmen ist so die Datensicherheit durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Datenschutz und Datensicherheit gehen somit Hand in Hand. Denn der Zustand der Datensicherheit lässt sich nicht ohne die Maßnahmen des Datenschutzes erreichen. Umgekehrt ist eine hinreichende Datensicherheit die Voraussetzung für effektive Datenschutzmaßnahmen.
Datensicherheit: ist doch für mein Unternehmen nicht relevant - oder doch? Unsere Daten sind uns heilig. Das hat man mit dem Inkrafttreten der DSGVO nochmal deutlich zu spüren bekommen. Datensicherheit ist somit gerade für Unternehmen zu einem großen Thema geworden. Doch bisher setzen sich gerade kleinere Unternehmen noch viel zu wenig mit dem Thema auseinander. Denn oftmals setzen Unternehmen einfach zu großes Vertrauen in die Technik und verfügen selbst über zu wenig Wissen über die Wichtigkeit der Datensicherheit. Doch mit dem Thema Datensicherheit sollte nicht leichtfertig umgegangen werden. Bei Nichteinhaltung der Vorschriften drohen hohe Bußgelder und Sanktionen. Neben den personenbezogenen Daten, mit denen entsprechend umgegangen werden muss, zählen natürlich auch andere Daten eine Rolle. Gehen Unternehmen nicht sorgfältig mit diesen um, kann im schlimmsten Fall sogar eine existenzielle Bedrohung bedeuten. Vor diesem Hintergrund sollten Unternehmen ihre Daten regelmäßig sichern. Es wird empfohlen, jegliche Daten mindestens einmal täglich zu sichern. Ein tägliches Backup erfüllt zudem die Anforderungen an eine gesetzeskonforme Archivierung der Daten. Gefahren für die Datensicherheit lauern im Arbeitsalltag Oftmals übersehen wir kleine und dennoch wichtige Details, die die Datensicherheit betreffen. Denn die Gefahren von Sicherheitslücken lauern meist im ganz normalen Arbeitsalltag und drohen gar nicht von außen: USB-Sticks : Gerade die kleinen Helfer können schnell mal verloren gehen und auch schnell unbemerkt und unbewusst einen Schaden durch das ungeschützte Einstecken in das interne Firmennetz verursachen.
: Gerade die kleinen Helfer können schnell mal verloren gehen und auch schnell unbemerkt und unbewusst einen Schaden durch das ungeschützte Einstecken in das interne Firmennetz verursachen. Endgeräte : Gerade bei der Nutzung von Laptops treten können durch eine fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge Probleme auftreten.
: Gerade bei der Nutzung von Laptops treten können durch eine fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge Probleme auftreten. Viren : eine Firewall, täglich aktualisierte Virenscanner und Spamfilter sollten zur Grundausstattung eines jeden PCs gehören.
: eine Firewall, täglich aktualisierte Virenscanner und Spamfilter sollten zur Grundausstattung eines jeden PCs gehören. Cloud : Firmeninterna und personenbezogene Daten nach Außen zu tragen und so die Verantwortung an externe Anbieter übergeben, stellt ebenfalls eine Gefahr dar.
: Firmeninterna und personenbezogene Daten nach Außen zu tragen und so die Verantwortung an externe Anbieter übergeben, stellt ebenfalls eine Gefahr dar. Brand / Überflutung / Diebstahl: Sie müssen immer damit rechnen, dass unerwartete Katastrophen eintreten können. Sie sehen also, Datensicherheit beginnt bereits im ganz normalen Arbeitsalltag. Um diese Gefahrenpunkte vorzubeugen oder zumindest abzuschwächen, bietet sich eine schlüssige Compliance-Strategie an. Diese bewertet die Punkte entsprechend und sieht dafür bewährte Verfahrensweisen vor: Erstellung und Umsetzung geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
Regelmäßige Schulungen und Sensibilisierungen von Mitarbeitern
Fortlaufende Unterrichtung der Geschäftsführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen Diese fortwährende Tätigkeit ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten. Meldepflicht bei Schutzverletzung personenbezogener Daten Was aber wenn ein Vorfall so schlimm, dass er meldepflichtig ist? Wie muss die Meldung genau aussehen? Seit Inkrafttreten der DSGVO im Mai 2018 müssen alle Datenpannen bzw. "Schutzverletzung personenbezogener Daten" die im Unternehmen passieren, dokumentiert werden. Der Begriff umfasst folgende Verletzungen personenbezogener Daten: Daten werden vernichtet und somit unwiederbringlich gemacht
und somit unwiederbringlich gemacht Ein unvorhergesehener Verlust der Daten
der Daten Es werden inhaltliche Veränderungen an den Daten vorgenommen
an den Daten vorgenommen Daten werden ohne Einwilligung an Dritte weitergegeben
Unbefugte oder fehlende Berechtigung zur Datenverarbeitung Eine Datenpanne könnte also beispielsweise der Verlust von Aktenordnern oder Datenträgern - in denen personenbezogene Daten enthalten sind - sein. Kann nicht ausgeschlossen werden, dass ein Risiko für die Rechte der betroffenen Personen besteht, müssen solche Datenpannen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden. Die Inhalte einer Meldung einer Datenpanne muss Folgendes umfassen: Schilderung der Datenpanne mit Angabe der Betroffenen sowie der betroffenen Datensätze,
Name und Kontaktdaten des Datenschutzbeauftragten,
eine Darstellung der Folgen der Datenpanne sowie
eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Datenpanne. Wird eine Datenpanne nicht gemeldet und dokumentiert, drohen Bußgelder von bis zu 10.000.000 Euro oder 2% des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
TIPP Sie wissen nicht, wie Sie den für Ihr Unternehmen höchstmöglichen Zustand der Datensicherheit erreichen können? Ein IT-Sicherheitsbeauftragter kann gemeinsam mit Ihrem Datenschutzbeauftragten weiterhelfen. Mehr zum Thema Datenschutzbeauftragter erfahren Sie hier. weiterlesen
Datensicherheit vs. Datenschutz - Wo liegt der Unterschied? Datenschutz und Datensicherheit: Begriffe, die sich unterscheiden und im täglichen Sprachgebrauch häufig falsch verwendet werden – getreu dem Motto: „Ach, Sie wissen doch wovon ich spreche“. Doch tatsächlich gibt es zwischen den zwei Begriffen enorme Unterschiede: Datensicherheit Datenschutz Schutz von Daten Schutz vor Datenmissbrauch und -pannen Schutz aller Daten Schutz personenbezogener Daten Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Dritte Schutz der Privatsphäre Technische Maßnahmen / Lösungen Gesetzliche Vorschiften Zusammenfassend lässt sich sagen, dass die Datensicherheit die Praxis beschreibt, bei der es unter anderem um die Umsetzung der Anforderungen des Datenschutzes geht, wobei der praktische Ansatz, „Was ist möglich?", verfolgt wird. Beim Datenschutz wird schließlich der theoretische Ansatz „Was soll erfüllt werden?" verfolgt.
8 Gebote der Datensicherheit Um für Datensicherheit zu sorgen, gibt es ganz unterschiedliche Maßnahmen. Als Beispiel können die technischen und organisatorischen Maßnahmen (TOM) dienen. Sie geben als Datensicherheitsmaßnahmen verschiedene Arten der Kontrolle an, die durchgeführt oder gegeben sein müssen. Maßnahmen zur Erhöhung der Datensicherheit können sein: #1 Die Zutrittskontrolle Alle zu verarbeitenden Daten dürfen räumlich nicht frei zugänglich gemacht werden. Das bedeutet, es muss eine ausreichende Sicherung von Gebäuden, Räumen, Endgeräten etc. gegeben sein. #2 Die Zugangskontrolle Unbefugte dürfen keine Datenverarbeitungsanlagen, also bspw. Software, in Betrieb nehmen oder diese verwenden können. Dies kann zum Beispiel durch die Vergabe von Passwörtern gewährleistet werden. #3 Die Zugriffskontrolle Wer kann und darf auf die Daten zugreifen kann und darf - darum geht es bei dieser Maßnahme. Hier werden Regelungen festgesetzt, die dafür sorgen sollen, dass nur berechtigte Personen Einblick in Daten erhalten und diese nur ihrer Berechtigung entsprechend nutzen können. #4 Die Weitergabekontrolle Hierbei geht es vornehmlich darum, eine Datenweitergabe vorhersehbar und kontrollierbar zu machen, um den Datenschutz und die Datensicherheit dieser zu gewährleisten. #5 Die Eingabekontrolle Diese Maßnahme beinhaltet die Forderung einer Eingabekontrolle. #6 Die Auftragskontrolle Die Auftragskontrolle ist nur dann relevant, wenn Daten externer Dienstleister verarbeitet werden. #7 Die Verfügbarkeitskontrolle Personenbezogene Daten werden vor zufälliger Zerstörung und Verlust geschützt, also beispielsweise durch Stromausfälle oder Wasserschäden. #8 Das Trennungsgebot Daten müssen anhand ihres Zweckes getrennt werden. Das hat den Hintergrund, dass so eine leichtere Zuordenbarkeit der Daten gewährleistet wird, zum anderen die Erfüllung des datenschutzrechtlichen Grundprinzips der ausschließlich zweckgebundenen Nutzung von Daten. Bei den Maßnahmen zur Erhöhung der Datensicherheit handelt es sich also um verschiedene Kontrollmechanismen, die einen unbefugten Zugriff und somit auch eine Kenntnisnahme, Manipulation oder Entfernung der Daten verhindern sollen.
Schritte zur Umsetzung von Datensicherheit im Unternehmen Mit der Datenschutzgrundverordnung, kurz DSGVO, kommen auch in Sachen Datensicherheit neue Pflichten auf die Unternehmen zu – so viel dürfte mittlerweile bekannt sein. Dennoch geht die Umsetzung in Unternehmen nur langsam voran. Mit diesen 5 Schritten wird der Einstieg für Gründer, Selbstständige und kleine Unternehmen in die komplexe Thematik einfacher: Sensibilisierung und Schulung: Jeder im Unternehmen, auch wenn man nicht direkt für Datenschutz und Datensicherheit verantwortlich ist, muss für das Thema sensibilisiert und geschult werden. Denn so gut wie jeder Mitarbeiter eines Unternehmens hat an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Neben dem Schaffen eines generellen Bewusstseins für das Thema Datensicherheit, ist auch eine eingehende Schulung nötig. Verantwortlichkeiten festlegen: Rechtlich ist die Geschäftsführung für den Datenschutz zuständig, doch für die praktische Umsetzung sollte ein fester Ansprechpartner festgelegt und ggf. einen Datenschutzbeauftragten bestellen werden. Transparente Infrastruktur: Schaffen Sie Transparenz im Datendschungel Ihres Unternehmens. Nur wenn klar ist, wo sich welche Daten befinden, kann Datensicherheit gewährleistet werden. Daten verschlüsseln: Daten sollten im besten Falle stets verschlüsselt werden, um im Ernstfall einen Schaden gering zu halten. Schnell handeln: Die Datenschutzgrundverordnung und die dazugehörigen Regelungen sollten Sie bereits umgesetzt haben. Andernfalls drohen hohe Bußgelder. Haben Sie noch nicht? Dann warten Sie nicht mit der Umsetzung: Suchen Sie umgehend Beratung und Unterstützung, um das Unternehmen für die neuen Standards zu rüsten.
5 Tipps für Datensicherheit im Unternehmen Datensicherheit ist ein brisantes Thema. Immer wieder hört man von neuen Skandalen, bei denen sensible Daten in falsche Hände gelangen. Wer seine Daten sichern will, sollte sie sowohl vor illegalem Zugriff, Löschung, Kopie sowie vor physischem Verlust schützen. Doch wie geht das konkret? Wir geben Ihnen eine Übersicht zu 8 wichtigen Schutzmaßnahmen, um Ihrem Unternehmen eine bessere Datensicherheit zu geben: #1 Verhaltensrichtlinien festlegen Legen Sie bestimmte Verhaltensrichtlinien fest, wie z.B. wer welche Daten besitzen, einsehen, ändern oder löschen darf oder welche Standards für Datenvernichtung, Datenweitergabe und Datenspeicherung gelten sollen. Diese Punkte sollten für jede Person im Unternehmen nachvollziehbar abgelegt werden. Schulen Sie zudem Ihre Mitarbeiter und sorgen Sie dafür, dass jeder die Richtlinien kennt und befolgt. #2 Daten verschlüsseln Verschlüsseln Sie stets alle Daten, ganz gleich auf welchem Medium sie gespeichert sind. So machen Sie es Unbefugten schwerer, auf diese zuzugreifen. Außerdem sollten Sie personenbezogene Daten niemals unverschlüsselt per Mail oder über einen Messengerdienst versenden. Sorgen Sie dafür, dass diese persönlich weitergegeben werden und dokumentieren Sie alle Vorgänge. Alternativ können Sie auf VPN (Virtual Private Network) – Verbindungen zurückgreifen. #3 Passwörter vergeben Jeder Ihrer Mitarbeiter sollte einen eigenen Benutzer-Account angelegt bekommen, der so konfiguriert ist, dass auch wirklich nur der Account-Besitzer Aktionen ausführen darf. So ist jederzeit nachvollziehbar wer, wann, was an Daten geändert. Dasselbe gilt für Passwörter. Jeder Mitarbeiter hat für seine Geräte ein individuelles Passwort zu vergeben, um so den Zugriff Dritter zu verhindern. Passwort sollte mindestens 8-12 Zeichen lang sein und aus Buchstaben in Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen bestehen und regelmäßig geändert werden. #4 Backups und Updates durchführen Ein weiterer wichtiger Punkt sind Backups und regelmäßige Updates. Sollte der PC oder Laptop, auf dem alle wichtigen Daten vorhanden sind, einmal unerwartet kaputt gehen und Sie haben zuvor kein Backup der Daten gemacht, sind diese verloren. Um das zu verhindern, lassen Sie durch Ihre IT regelmäßig Backups und auch Updates durchlaufen. So sind die Daten stets sicher und der PC immer auf dem aktuellsten Stand. #5 Firewalls & Viren-Scanner Anti-Virus-Programme und Firewalls sollten ein Muss in jedem Unternehmen sein, völlig gleich welches Betriebssystem genutzt wird. Auch wenn es wohl niemals einen 100%igen Schutz vor Hackerangriffen und Co. geben wird, können solche Programme einen vor bösen Überraschungen schützen. Nie war es wichtiger als in Sachen Datensicherheit und Datenschutz auf dem aktuellsten Stand zu sein und vor allem zu bleiben. Nur wer weiß, welche Bedrohungen existieren und wie man sich dagegen verteidigt, kann seine Daten effektiv schützen. Daher halten Sie sich und Ihre Mitarbeiter auf dem Laufenden und besuchen Schulungen zu diesen Themen.
Fazit: Tun Sie genug für Datensicherheit in Ihrem Unternehmen? Datensicherheit ist und bleibt auch in der Zukunft ein wichtiges Thema. Denn die Daten in Unternehmen sind ein Schatz von unschätzbarem Wert, die jedoch vielfältigen Risiken und Gefahren ausgesetzt sind. Sie zu erkennen und zu minimieren ist maßgeblich für die Datensicherheit in Unternehmen. Aus diesem Grund müssen Unternehmen sich um die Sicherheit ihrer Daten und der ihrer Kunden kümmern und die Themen Datenschutz und Datensicherheit stets ernst nehmen. Unterstützung auf den Gebieten Datenschutz und Datensicherheit bietet ein Datenschutzbeauftragter. Unter Umständen unterliegen Sie ohnehin der Pflicht einen Datenschutzbeauftragten zu bestellen. Welche Aufgaben ein Datenschutzbeauftragter übernimmt, wann er zu bestellen ist und ob es stets ein externer Datenschützer sein muss, haben wir Ihnen im Kapitel Datenschutzbeauftragter zusammengestellt.
