Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Datenschutzrechtliche Vorgaben im Home-Office
Angriff aus dem Inneren
Auch in der Arbeitswelt gibt es sie, die zwei Fraktionen. Die eine besteht darauf, dass „Vertrauen gut, Kontrolle aber besser ist.“ Die andere ist vom Gegenteil überzeugt.
In diesem Blog-Beitrag geht es nicht um die konsequente Einhaltung datenschutzrechtlicher Vorgaben im Home-Office oder um die Richtigkeit erfasster Arbeitszeiten.
Vielmehr geht es um Datendiebstahl durch Innentäter:innen, deren Treiben oftmals eine länger beschlossene „innere Kündigung“ vorausgeht oder eine Reaktion auf eine Kündigung durch den Arbeitgeber ist.
Unternehmen wappnen sich immer besser gegen Cyberangriffe und schützen ihre Daten vor Zugriffen durch unbefugte Personen von außen. Fraglich ist jedoch, wie gut sich Unternehmen gegen Datendiebstahl aus dem Inneren des Betriebes schützen.
Neben sensiblen Daten, wie beispielsweise vertraulichen Dokumenten oder betrieblichen Informationen, können auch personenbezogene Daten entwendet werden. Abhängig vom Schutzbedarf der Daten liegt dann nicht nur eine Datenschutzverletzung im Sinne der DS-GVO vor, sondern auch ein Verstoß, der zivil– oder strafrechtlich relevant sein kann.
Es wird kaum möglich sein, Angriffe von innen zu 100 % zu verhindern. Es ist jedoch möglich, durch präventive Maßnahmen und ein effektives Datenschutzmanagement Daten-Diebstähle erheblich zu erschweren und im besten Fall potenzielle Täter:innen bereits im Vorfeld abzuschrecken.
Häufig profitieren Innentäter:innen von innerbetrieblichen Nachlässigkeiten.
Die Kontrolle
Technische und organisatorische Maßnahmen spielen neben der Kontrolle eine entscheidende Rolle. So sollten Mitarbeiter:innen stets nur so viele Berechtigungen auf IT-Systeme erhalten, wie es für die Aufgabenerfüllung zwingend erforderlich ist. Zugriffe auf sensible Daten – insbesondere Auftragsdaten – sollten stets protokolliert und regelmäßig auf Aktualität überprüft werden.
Veraltete oder unnötige Zugriffsberechtigungen (z. B. auf Grund innerbetrieblicher Wechsel oder Beendigung der Betriebszugehörigkeit) müssen schnellstmöglich deaktiviert werden. Unklare Zugriffsstrukturen begünstigen einen Missbrauch.
Ein legerer Umgang mit Passwörtern im Unternehmen erleichtert zudem einen Datendiebstahl, wenn diese nicht die nötige Komplexität besitzen und nicht regelmäßig erneuert werden. Mit einem effektiven Passwortmanagement und einem differenzierten Zugriffs- und Rechtekonzept kann z. B. verhindert werden, dass Innentäter:innen Zugriffsrechte von Kolleg:innen missbrauchen.
Die IT-Technik bietet außerdem viele Möglichkeiten, um sensible Daten vor arglistigen Mitarbeiter:innen zu schützen. Hierzu zählen unter anderem moderne Verschlüsselungstechnologien, die z. B. bei der Speicherung oder beim elektronischen Datenaustausch genutzt werden sollten.
Eine weitere Maßnahme stellt die sogenannte Data Leakage Prevention (DLP) dar. Hier werden sämtliche Daten, die ein Unternehmen verlassen, gefiltert und analysiert. Darüber hinaus können analysierte Logfiles Hinweise auf Datenlecks geben. Werden Protokolldateien regelmäßig kontrolliert, können rechtzeitig Anomalien festgestellt und Gegenmaßnahmen getroffen werden.
Bislang waren dies die gängigen Methoden, um die Datensicherheit durch Kontrollmaßnahmen zu gewährleisten.
Das Vertrauen
Häufig wird unterschätzt, dass auch das Vertrauen eine nicht unwesentliche Rolle für den Datenschutz spielen kann. Je größer ein Unternehmen, desto höher ist die Anzahl der Personen, die mit vertraulichen Daten in Berührung kommen. Anzunehmen, dass jede:r Mitarbeiter:in potentiell tatverdächtig sein könnte, schafft eine Verdachtskultur. Misstrauen wirkt sich jedoch negativ auf die Betriebskultur aus und kann Arbeitsabläufe hemmen.
Verträge und Verpflichtungserklärungen schaffen zwar einen verbindlichen Handlungsrahmen. Doch erst gemeinsam mit Eigenverantwortung und Vertrauensvorschuss tragen diese organisatorischen Maßnahmen auch zu einem positiven Betriebsklima bei und unterstreichen neben einer angemessenen Entlohnung die Wertschätzung des Unternehmens gegenüber ihren Mitarbeiter:innen.
Auch eine positive Fehlerkultur unterstützt das harmonische Verhältnis des Arbeitnehmers zum Arbeitgeber. Dort, wo Menschen arbeiten, können Fehler nicht vollständig ausgeschlossen werden. Mitarbeiter:innen sollten aber nicht befürchten müssen, dass sich Fehler negativ auf das Arbeitsverhältnis auswirken.
In einfachen Worten ausgedrückt: Ein positives Betriebsklima kann entscheidend zur Arbeitszufriedenheit und damit zur Reduktion potenzieller Innentäter beitragen.
Das gemeinsame Ziel sollte es sein, mit geeigneten Mitteln dafür Sorge zu tragen, dass Mitarbeiter:innen zu keinem Zeitpunkt das Bedürfnis entwickeln, ihrem Arbeitgeber schaden zu wollen. Die Entscheidung, ob mehr Vertrauen oder mehr Kontrolle in der Waagschale liegt, muss jedes Unternehmen letztendlich für sich selbst beurteilen.
Magdalena Nowak studierte Wirtschaftsrecht (LL.M.) an der Technischen Hochschule in Nürnberg und befasste sich während Ihrer Masterarbeit „Datenschutzrechtliche Herausforderungen für die vernetzte Automobilwelt“ intensiv mit Datenschutz und den Herausforderungen der Umsetzung der DS-GVO in der Praxis. Seit 2019 ist sie als Datenschutzreferentin in der Stabsstelle „Service Quality Management“ beim Bereichsvorstand Service und Vertrieb der DATEV eG tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare