Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Notebookverlust - muss ich eine Datenschutzverletzung melden?

Eric Weis | 10.03.2020 12:00:00 | Lesezeit ca. 3 Minuten

Unterwegs arbeiten stellt heute kein Problem mehr dar. Gerne nutzt man ein Notebook oder Tablet, um im Zug oder anderen Transportmitteln zu arbeiten. Allerdings sollte man nicht vergessen, dass man dadurch immer Unternehmensdaten dabei hat und diese im Sinne der Datenschutz-Grundverordnung zu schützen sind. Da stellt sich doch die Frage, was im Falle eines Verlustes des Arbeitsgerätes zu tun ist. Muss ich den Behörden dann eine Datenschutzverletzung im Sinne der DSGVO melden?

Verlust von mobilen Endgeräten

Grundsätzlich sind bei dieser Fragestellung sämtliche mobilen Endgeräte von Bedeutung, die Unternehmensdaten bzw. personenbezogene Daten enthalten. Das können Notebooks oder Tablets sein, aber auch Smartphones und Datenträger wie z.B. USB-Sticks. Allerdings wollen wir uns bei der spezifischen Fragestellung dieses Artikels auf Notebooks fokussieren.

Welche Verlustszenarien kommen in Frage? Natürlich kann es vorkommen, dass durch Unachtsamkeit oder Ablenkung ein mobiles Endgerät mal verloren geht. Die Tasche mit dem Notebook aus Versehen in der Bahn vergessen, schon hat man den Schlamassel. Aber auch ein Diebstahl ist denkbar. Man sitzt an einem öffentlichen Ort, z.B. in einem Café, sucht dann (oftmals ohne das Notebook) die Toilette auf und irgendjemand klaut einem das Notebook während man kurz weg ist. Eine sehr unangenehme Situation.

Das könnte Sie auch interessieren: Mobile Security: Diese Regeln braucht sicheres mobiles Arbeiten 

 

Muss den Behörden eine Datenschutzverletzung gemeldet werden?

Nein. Wenn einige Bedingungen erfüllt sind, muss keine Datenschutzverletzung im Sinne der DSGVO gemeldet werden. Die Daten dürfen der Person, die das Notebook in die Hände bekommt, nicht einfach so zugänglich sein.

Das heißt insbesondere, dass die Daten die auf der Festplatte des Notebooks verschlüsselt sein müssen. Und zwar mit einem bisher als sicher geltenden Verfahren. Ziel dessen ist, dass eine nicht autorisierte Person die Daten nicht lesen bzw. entschlüsseln kann.

Allerdings ist noch eine weitere (hoffentlich nie auftretende) Situation zu bedenken. Sehr ungünstig wäre es, wenn das Notebook in einem Zustand gestohlen wird oder abhanden kommt, in dem eine andere Person direkten Zugriff auf die Daten hat. Also zum Beispiel wenn das Notebook aufgeklappt bleibt und Sie noch angemeldet sind. Natürlich sollte so eine Situation besser nicht auftreten, weshalb Sie Ihr Notebook auch in jedem Fall sperren oder zuklappen sollten, wenn Sie es irgendwo stehen lassen.

 

Welche Festplattenverschlüsselungen gelten als sicher?

Man kann nie mit Sicherheit sagen, dass ein Verfahren sicher ist. Entsprechend stellen die folgenden Methoden nur die momentane Situation (Stand Februar 2020) dar.

Die meisten Verfahren basieren auf einer AES Verschlüsselung. Wie Sie vielleicht wissen ist DES als Verschlüsselungsverfahren nicht mehr sicher.

Als sicher gelten: BitLocker, dm-crypt, LOOP AES, FileVault2, …

…um einige Beispiele, die weit verbreitet sind, zu nennen. Es gibt aber natürlich auch andere Verschlüsselungssoftware, die sicher ist und die Sie nutzen können. Als unsicher gilt jedoch z.B. TrueCrypt.

Auch interessant: Was bringt ein Mobile Device Management?

Fazit

Im Zuge der Datenschutz-Grundverordnung sind Verluste von Notebooks sehr ernst zu nehmen. Die beste Methode ist natürlich, auf seine Geräte aufzupassen! Da man einen Verlust, sei es aus Versehen oder durch einen Diebstahl, aber nicht mit Sicherheit verhindern kann, ist die Verschlüsselung der Festplatte ein absolutes Muss. Es gibt gute und vor allem als sicher geltende Verfahren, mit denen dies möglich ist. Dieses Angebot sollte man nutzen. Denn ist die Festplatte mit einem sicheren Verfahren verschlüsselt, muss im Falle des Verlustes auch keine Meldung an die Behörden gemacht werden. Im Umkehrschluss bedeutet der Verlust eines Notebooks ohne Festplattenverschlüsselung eine Meldung bei den Datenschutzbehörden des Landes innerhalb von 72 Stunden. Andernfalls machen Sie sich strafbar und laufen Gefahr, eine Bußgeldzahlung leisten zu müssen.

 

Jetzt Blog abonnieren!

Themen: DSGVO, Datenschutz, Mobile Security

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Cyberversicherung

Schützen Sie Ihr Unternehmen im Falle einer Cyberattacke!

Cyberversicherung

Mehr erfahren
Managed IT Security Training Service

Mitarbeiter für IT-Sicherheit sensibilisieren ab 2 Euro pro User/Monat

Security Online Training

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren