Embed Size (px)
DESCRIPTION
Diese Broschüre vermittelt Basisinformationen zum Thema Datenschutz in kleinen und mittleren Unternehmen (KMU) und gibt Ihnen anhand von Beispielen Handlungsempfehlungen, wie Sie den Datenschutz in Ihrem Unternehmen mit wenig Aufwand effektiv steigern können.
Citation preview
DATENSCHUTZ
FÜRSORGEPFLICHT
RECHT
SICHERHEIT
In der Region. Für die Region.
eBLMediumEine Informationsbroschüre des eBusiness-Lotsen Mittelhessen
Ausgabe 3
Diese Broschüre vermittelt Basisinformationen zum Thema Datenschutz in kleinen und mittleren Unter-nehmen (KMU) und gibt Ihnen anhand von Beispielen Handlungsempfehlungen, wie Sie den Datenschutz in Ihrem Unternehmen mit wenig Aufwand effektiv stei-gern können.
Datenschutz
2013
RedaktionJanine Lauster 35390 Gießen
www.ebusiness-lotse-mittelhessen.de
DruckDruckhaus Marburg
StandAugust 2013
BildnachweisFotolia © Guido Vrola, Elnur, Sergey Nivens, olly, ruigsantos, reka100, Kirill Kedrinski
HerausgebereBusiness-Lotse Mittelhessen35390 Gießen
www.ebusiness-lotse-mittelhessen.de
Impressum
Auflage500
Inhalt
Kapitel 1: Warum Datenschutz?................................................ 6
Kapitel 2: Datenschutz am Arbeitsplatz..................................... 9
Kapitel 3: Datenschutz beim E-Mail-Versand............................ 12
Kapitel 4: Datenschutz lernen.................................................... 15
Kapitel 5: Datenschutzgerechte Datenträgervernichtung.......... 17
1WarumDatenschutz?
1
6
1 Die Gründe für den Datenschutz
Datenschutz wird als Schutz des Rechts auf informationelle Selbstbestimmung bzw. als Schutz des Persönlichkeitsrechts bei der Verarbeitung personenbezogener Daten (§ 1 Bundesdatenschutzgesetz, BDSG) angesehen.Durch die fortschreitende Entwicklung der Digitaltechnik ist die Bedeutung des Datenschutzes gestiegen, auch weil die Erfassung, Verarbeitung und Weitergabe personenbezogener Daten technisch immer ein-facher wird. Per E-Mail, SMS, Facebook, Whatsapp und Chats verteilen und verbreiten wir immer öfter teils sehr persönliche Daten. Im Unternehmen fallen eine Vielzahl personenbezogener Daten von Kunden, Lieferanten oder Mitarbei-tern an, die auf einen vertrauenswürdigen und korrekten Umgang mit ihren Daten hoffen. Für den Fall, dass in Ihrem Unternehmen mehr als neun Mitarbeiter regelmäßig mit automatisierter personenbezo-gener Datenverarbeitung befasst sind, legt § 4f Bundesdatenschutzgesetz fest, dass ein betrieblicher Datenschutzbeauftragter (intern oder extern) bestellt werden muss.
Abgesehen von zahlreichen gesetzlichen Verpflichtungen zum Datenschutz ist mittlerweile eine hohe Sensibilität zum Thema Datenschutz in der Gesellschaft festzustellen. Die nachfolgende Abbildung macht deutlich, dass die Bedeutung von IT-Sicherheit auch in kleinen und mittelständischen Unterneh-men verstärkt anwächst.
Gründe
Abbildung 1: Bewertung der Bedeutung von IT-Sicherheit im Unternehmen1
1 WIK-Consult Studie IT-Sicherheitsniveau in KMU 2011/12
1
7
Gründe
So belegt eine repräsentative Studie2 mit 6400 teilnehmenden Unternehmen, dass 71 % der Befragten auf Kundenseite im Falle des Datenverlusts ernsthaft darüber nachdenken würden, dem entsprechenden Unternehmen den Rücken zu kehren. Die Studie zeigt weiter auf, dass das Training von Mitarbeitern und erforderliche Technologien zum Datenschutz im Unternehmen oftmals vernachlässigt würden. Daten-schutz muss daher nicht nur Pflichtaufgabe sein - der korrekte Umgang mit dem Datenschutz kann auch als Marketinginstrument und zur Imagepflege genutzt werden.
Abbildung 1: Bewertung der Bedeutung von IT-Sicherheit im Unternehmen1
2 Edelmann Privacy Risk Index, 2012
71%
2Datenschutzam Arbeitsplatz
2
9
Datenschutz am Arbeitsplatz
2 Der Mensch im Mittelpunkt - Datenschutz am Arbeitsplatz
Die aufgeführten Datenpannen sind Beispiele, die zeigen, wie schnell aus Unachtsamkeit oder Unwis-senheit Pannen passieren können, die nicht nur einen Datenschutzverstoß darstellen, sondern auch verheerende und unabsehbare Folgen für Ihr Unternehmen und seinen Ruf haben können.
Panne 1 //Eine Mitarbeiterin versendet eine E-Mail an alle Kunden des Unternehmens mit allen Empfängeradres-sen im sichtbaren Adressfeld „cc:”.
Hintergrund //Eine E-Mail schreiben kann doch jeder, sicherer Umgang mit Office-Programmen wird schließlich in jeder Stellenanzeige vorausgesetzt, denken Sie. Aber haben Sie schon einmal kontrolliert, ob Ihre Mitarbeiter die E-Mails Ihres Unternehmens professionell und datenschutzgerecht versenden? Und wie reagieren Sie bei festgestellten Mägeln?
Empfehlung //Bieten Sie Ihren Mitarbeitern Schulungen oder Workshops zu diesem Thema an! Ihre Unterstützung gibt Ihren Mitarbeitern Sicherheit im täglichen Umgang mit den neuen Medien.
Panne 2 //Ein Mitarbeiter probiert den auf dem Betriebsgelände gefundenen USB-Stick auf dem Dienst-PC aus.
Hintergrund //Ein PC in der Firma ist sicher besser gegen Schadsoftware geschützt als der heimische Privat-PC, denkt sich der Mitarbeiter, nichts Böses ahnend. Es besteht in solchen Situationen jedoch die große Gefahr, dass der USB-Stick nicht nur zufällig dort lag, sondern womöglich dort platziert wurde, um unbemerkt Schadsoftware in Ihr Firmennetz zu schleusen.
Empfehlung //Weisen Sie Ihre Mitarbeiter auf solche scheinbaren Zufälligkeiten und IT-Sicherheitsgefahren hin, ins-besondere, wenn die USB-Sticks mit neugierig machenden Begriffen beschriftet sind, wie etwa „Streng geheim”, „Urlaubsfotos FKK-Strand” oder schlicht „XXX”.
2
2
10
Datenschutz am Arbeitsplatz
Abbildung 1: Bewertung der Bedeutung von IT-Sicherheit im Unternehmen1
3 Studie des Ponemon Instituts, 2008
Panne 3 //Ein Außendienstmitarbeiter verliert seinen Laptop mit Unternehmensdaten auf dem Flughafen.
Hintergrund //Ihre Mitarbeiter „passen schon auf”? Der Wert eines verlorenen Laptops lässt sich verschmerzen, der Verlust von Unternehmensdaten kann unbezahlbar sein. Dazu ein paar Zahlen: 12.200 Laptops gehen pro Woche in den 106 größten Flughäfen der USA verloren3. Ca. 3.800 Laptops gehen pro Woche in den sieben größten Flughäfen Europas verloren, dabei allein 300 in Frankfurt am Main - pro Woche! Mehr als die Hälfte der abhanden gekommenen Laptops enthielten dabei vertrauliche Daten. Sicherungsmaßnah-men haben jedoch nur ca. ein Drittel der Laptop-Besitzer ergriffen.
Empfehlung //Sichern Sie Ihre Laptops z. B. mit einer vollständigen Festplattenverschlüsselung, so sind Ihre Daten im Verlustfall vor Missbrauch geschützt.
Panne 4 //Vertrauliche Vertragsunterlagen werden im Altpapier entsorgt, ohne diese vorher im Aktenvernichter zu schreddern.
Hintergrund //Es müssen nicht einmal gezielte Angriffe auf Ihr Unternehmen sein, die meist - harmlos aussehend - in Ihrem Altpapiercontainer beginnen, aber auch schon das zufällige Bekanntwerden von sensiblen per-sonenbezogenen Daten, z. B. einer Krankmeldung eines Mitarbeiters, ein Arztbericht oder ein Mahn-schreiben eines Anwalts, kann für Ihr Unternehmen peinlich sein. Nebenbei verstoßen Sie auch gegen zahlreiche gesetzliche Datenschutzregeln.
Empfehlung //Stellen Sie Ihren Mitarbeitern Papier- und CD-Schredder zur Verfügung und weisen Sie sie in die Benut-zung ein. Gehen Sie mit gutem Beispiel voran und vernichten nicht mehr benötigte Unterlagen so, dass niemand sie wiederherstellen kann.
3Datenschutzbeim E-Mail-Versand
E-MAIL?NUR
VERSCHLÜSSELT.
3
12
E-Mails sind aus der Unternehmenskommunikation nicht mehr wegzudenken. Sie sind praktisch, schnel-ler als ein Brief oder Fax, kostengünstig und platzsparend. Begleitet wird die umfangreiche Nutzung der elektronischen Post immer öfter durch Datenschutzrisiken. Wie Sie die wichtigsten Datenpannen bei der
E-Mail-Nutzung vermeiden, zeigen folgende Hinweise.
E-Mail-Adressen offen verteilt //
Wer ein- und dieselbe E-Mail an einen größeren Adressatenkreis verschicken will, muss sich genau überlegen, wie er das tut. Wenn jeder Adressat sehen kann, wer die E-Mail noch erhalten hat, liegt im Regelfall ein Verstoß gegen den Datenschutz vor. Die Devise bei Adresslisten muss deshalb lauten: Versand per „bcc:“ statt „cc:“!
Wer alle Empfänger einer E-Mail in das „An:”- oder das „cc:”-Feld der E-Mail schreibt, liefert den Empfän-gern nicht nur die Information, wer außerdem alles diese E-Mail empfangen hat, sondern gibt gleichzeitig dazugehörige E-Mail-Adressen weiter - mit anderen Worten also schützenswerte personenbezogene Daten, deren Verarbeitung und Verbreitung nur mit einer gesetzlichen Grundlage oder einer Einwilligung des Betroffenen zulässig ist.
Offen verschickte Adresslisten ermöglichen zudem den Einblick in Kundenkontakte des Konkurrenten. Ferner entlarvt sich der Versender als Laie im Umgang mit neuen Kommunikationsformen, was sowohl peinlich als auch unseriös sein kann.
3 Sichere Kommunikation - Datenschutz beim E-Mail-Versand
E-Mail-Versand
Sicherer E-Mail-Versand
1) www.t1p.de/eds1
2) www.t1p.de/eds2
Links
3
13
E-Mail-Versand
Ihre Datensicherheit ist gefährdet! //
Oft wird übersehen, dass es nachhaltige Probleme der Datensicherheit nach sich zieht, wenn E-Mails in der beschriebenen Art und Weise verschickt werden. Einige Schadprogramme verschicken sich selbst-ständig an jede E-Mail-Adresse, die sie auf dem befallenen PC finden. Sie können Funktionen beein-trächtigen, vertrauliche Daten ausspionieren oder Spam versenden. Wird das oben empfohlene Verfah-ren (Versand über „bcc:“) angewendet, können höchstens zwei E-Mail-Adressen betroffen sein. Ganz anders sieht dies im Fall einer Massen-E-Mail mit offenem Adressatenkreis aus. Hinzu kommt, dass durch die Versendung mittels einer offen gelegten Adressliste die erhaltenen E-Mail-Adressen von den Empfängern für unverlangte Werbe-E-Mails genutzt werden können („Spamming“). Haftungsrechtliche Konsequenzen können die Folge sein.
Verschlüsseln - aber sicher // Vor dem Versand vertraulicher Informationen sollten Sie überlegen, ob ein Versand per E-Mail wirklich sicher genug ist oder was der Verlust dieser Inhalte auf dem Übermittlungsweg für Folgen haben könnte - für den Empfänger, für den Ruf Ihres Unternehmens und für Sie selbst. Stellen Sie sich eine Vergleichsfrage für die analoge Welt:Würden Sie eine komplette Bewerbungsmappe, eine Erfindung oder Ihre EC-Karte nebst PIN, auf eine Postkarte geklebt, einfach so ungeschützt versenden? Würde Ihnen der Verlust etwas ausmachen? Sie zögern? Dann zögern Sie zu Recht. Vertrauliche E-Mails sollten Sie verschlüsseln, um den Inhalt möglichst sicher zu übermitteln.Mit einem E-Mail-Zertifikat in Ihrem E-Mail-Programm können E-Mails und Dateien einfach und kostenlos ver- und entschlüsselt, sowie ihre Integrität (Unverändertheit) und Authentizität (Herkunft) mittels digitaler Signaturen abgesichert und überprüft werden.
4Datenschutzlernen
4
15
4
Lernen
4 Datenschutz lernen
Datenschutz in Unternehmen entsteht nicht in erster Linie durch technische Lösungen wie etwa Router, Firewalls oder Virenscanner. Um Ihr Unternehmen vor den Gefahren aus dem Internet, vor Datenverlust und unbefugtem Zugriff zu schützen, müssen Sie noch einen Schritt früher beginnen.
Wenn Ihre Mitarbeiter sorglos oder nachlässig mit Ihren Daten oder den Daten Ihrer Kunden umgehen, im Umgang mit Computern unsicher sind oder Ihnen wichtige Funktionen in Programmen nicht klar sind, helfen auch die besten technischen Schutzmaßnahmen nichts.
Erforderlich ist daher ein grundlegendes Verständnis für die Bedeutung von IT-Sicherheit und Daten-schutz. Weisen Sie Ihre Mitarbeiter in die von Ihnen bereitgestellte Technik ein, führen Sie regelmäßig Weiterbildungen oder Auffrischungsworkshops durch und informieren Sie sie über mögliche Gefahren-quellen, damit sie lernen, sich richtig zu verhalten.
Wählen Sie zur Motivation Ihrer Mitarbeiter anschauliche Beispiele, am besten aus Ihrer betrieblichen Praxis. Engagieren Sie für Schulungen externe Fachleute. Sie als Geschäftsführer sollten sich aktiv be-teiligen, Datenschutz und IT-Sicherheit vorleben und Ihre Mitarbeiter einbinden.
LinksDatenschutz-Selbstauskunft für KMU1) www.t1p.de/eds3
DSiN Sicherheits-Check für KMU2) www.t1p.de/eds4
5Datenträger-vernichtung
5
17
Datenträgervernichtung
5 Datenschutzgerechte Datenträgervernichtung
Unternehmen, die personenbezogene Daten verarbeiten, haben die datenschutzgerechte Verarbeitung der Daten sicherzustellen. § 20 Abs. 2 Bundesdatenschutzgesetz (BDSG) schreibt vor, dass personen-bezogene Daten zu löschen sind, sobald ihre Kenntnis für die verantwortliche Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist.Die letzte Phase der Datenverarbeitung ist das Löschen gespeicherter Daten und das Vernichten von Datenträgern. Datenträger sind u.a. Festplatten, CDs, Chipkarten, USB-Sticks, Disketten, optische Spei-cher, Thermobänder oder auch Papier.Soweit es sich um personenbezogene Daten handelt, sind die gesetzlichen Regelungen über den Zeit-punkt und die Art und Weise der Löschung zu beachten, z. B. handelsrechtliche oder steuerrechtliche Aufbewahrungsfristen.
Vertrauliche Schriftstücke, Vertragsentwürfe etc. gehören niemals ins Altpapier, sondern in den Aktenver-nichter. Das stark zerkleinerte Papier kann dann noch dem Papierrecycling zugeführt werden.Mit Aktenvernichtern können Papierdokumente, aber auch Chipkarten und CDs so zerschnitten werden, dass aus den Fragmenten die ursprünglichen Informationen nicht mehr ohne Weiteres ausgelesen wer-den können. Konkrete Aussagen über eine gesicherte Vernichtung von Informationsträgern enthält die DIN 66399. Diese Norm unterscheidet sieben Sicherheitsstufen bei der Vernichtung und berücksichtigt bei der Festlegung den Grad der Schutzwürdigkeit von Informationen, die physikalischen Eigenschaften von Informationsträgern und die zur Anwendung kommenden technischen Verfahren.
Eine datenschutzgerechte Ver-nichtung von Papierunterlagen mit personenbezogenen Daten setzt eine Vernichtung nach DIN 66399 voraus, empfohlen wird mindestens Sicherheits-stufe 3, besser 4. Handels-übliche Crosscutter erfüllen üblicherweise schon die Si-cherheitsstufe 5.
5 Tipps zur Datenträgervernichtung
1) Bewusst entsorgen!
2) Keine vertraulichen Unterlagen ins Altpapier!
3) Zerknüllen und Zerreißen reicht nicht!
4) Einzelne Blätter im Aktenvernichter schreddern!
5) Ganze Akten gehören in den Aktenvernichtungs-Container!
5
Das Datenschutzprojekt DACH (Datenschutz - Awareness - Compliance - Hochschule) an der Technischen Hochschule Mittelhessen ist für vier Jahre angelegt und analysiert syste-matisch, welche Auswirkungen neue Instru-mente wie zum Beispiel Internet-Plattformen und -Foren auf Datenschutz und Datensicher-heit haben. Ferner will das Projektteam eine Awareness- und Compliance-Kampagne für die Beschäftigten der Hochschule entwickeln. Deren Ziel ist die Sensibilisierung der Mitar-beiter in Fragen des Datenschutzes und der Datensicherheit. Ein Anforderungskatalog für den gesetzeskonformen Datenschutz an einer Hochschule wird ein weiteres Arbeitsresultat des Projekts sein. Kooperationspartner sind der Hessische Datenschutzbeauftragte und die Zentrale Datenschutzstelle der baden-würt-tembergischen Universitäten. Die Erfahrungen und Ergebnisse des Projektes werden vom eBusiness-Lotsen Mittelhessen für Unterneh-men in der Region aufbereitet.
Andreas Heines, Assessor jur.Stellvertretender Datenschutzbeauftragter
der Technischen Hochschule Mittelhessen
Projekt Datenschutz - Awareness - Compliance - Hochschule
www.thm.de/datenschutz
Datenschutzprojekt DACHDatenschutz - Awareness - Compliance - Hochschule
Datenschutzprojekt DACHDatenschutz - Awareness - Compliance - Hochschule
Besuchen Sie uns auch im Social Web unter:
facebook.com/eBLMittelhessen
gplus.to/eBLMittelhessen
twitter.com/eBLMittelhessen
xing.com/companies/ebusiness-lotsemittelhessen
www.youtube.com/user/BusinessMittelhessen
Das eKompetenz-Netzwerk für Unternehmen
eBusiness-Lotsen
Darmstadt
Gießen
Kaiserslautern
Stuttgart
Saarbrücken
Weingarten
Augsburg
Freilassing
Regensburg
Nürnberg
Würzburg
Hof
IlmenauChemnitz
Dresden
Cottbus
Leipzig
Frankfurt(Oder)
Brandenburg a.d.H.
Potsdam
Magdeburg
Hannover
Lübeck
Schwerin
Neubrandenburg
Berlin
Hamburg
Bremen
Lingen
Osnabrück
Münster
PaderbornDortmund
Iserlohn
Aachen
Koblenz
Kiel
Köln
Das „eKompetenz-Netzwerk für Unternehmen“ ist eine Förderinitiative des Bundes ministeriums für Wirtschaft und Technologie (BMWi). 38 regionale eBusiness-Lotsen haben die Aufgabe, insbeson-dere mittelstän dischen Unternehmen deutschlandweit anbieter neutrale und praxisnahe Informatio-nen für die Nutzung moderner Informations- und Kommunikationstechnologien (IKT) und möglichst effiziente eBusiness-Prozesse zur Verfügung zu stellen. Die Förderinitiative ist Teil des Förderschwerpunkts „Mittelstand-Digital – IKT-Anwendungen in der Wirtschaft“. Zu „Mittelstand-Digital“ gehören ferner die Förderini tiativen „eStandards: Geschäfts-prozesse standardisieren, Erfolg sichern“ und „Einfach intuitiv – Usability für den Mittelstand“. Unter www.mittelstand-digital.de können Unternehmen sich über die Aktivitäten der eBusiness-Lotsen informieren, auf die Kontaktadressen der regionalen Ansprechpartner sowie aktuelle Veranstaltungs termine zugreifen oder auch Publikationen einsehen und für sich herunterladen.
