Notebookverlust - Eine Datenschutzverletzung?

Unterwegs arbeiten stellt heute kein Problem mehr dar. Gerne nutzt man ein Notebook oder Tablet, um im Zug oder anderen Transportmitteln zu arbeiten. Allerdings sollte man nicht vergessen, dass man dadurch immer Unternehmensdaten dabei hat und diese im Sinne der Datenschutz-Grundverordnung zu schützen sind. Da stellt sich doch die Frage, was im Falle eines Verlustes des Arbeitsgerätes zu tun ist. Muss ich den Behörden dann eine Datenschutzverletzung im Sinne der DSGVO melden?

Verlust von mobilen Endgeräten

Grundsätzlich sind bei dieser Fragestellung sämtliche mobilen Endgeräte von Bedeutung, die Unternehmensdaten bzw. personenbezogene Daten enthalten. Das können Notebooks oder Tablets sein, aber auch Smartphones und Datenträger wie z.B. USB-Sticks. Allerdings wollen wir uns bei der spezifischen Fragestellung dieses Artikels auf Notebooks fokussieren.

Welche Verlustszenarien kommen in Frage? Natürlich kann es vorkommen, dass durch Unachtsamkeit oder Ablenkung ein mobiles Endgerät mal verloren geht. Die Tasche mit dem Notebook aus Versehen in der Bahn vergessen, schon hat man den Schlamassel. Aber auch ein Diebstahl ist denkbar. Man sitzt an einem öffentlichen Ort, z.B. in einem Café, sucht dann (oftmals ohne das Notebook) die Toilette auf und irgendjemand klaut einem das Notebook während man kurz weg ist. Eine sehr unangenehme Situation.

Das könnte Sie auch interessieren: Mobile Security: Diese Regeln braucht sicheres mobiles Arbeiten 

Muss den Behörden eine Datenschutzverletzung gemeldet werden?

Nein. Wenn einige Bedingungen erfüllt sind, muss keine Datenschutzverletzung im Sinne der DSGVO gemeldet werden. Die Daten dürfen der Person, die das Notebook in die Hände bekommt, nicht einfach so zugänglich sein.

Das heißt insbesondere, dass die Daten die auf der Festplatte des Notebooks verschlüsselt sein müssen. Und zwar mit einem bisher als sicher geltenden Verfahren. Ziel dessen ist, dass eine nicht autorisierte Person die Daten nicht lesen bzw. entschlüsseln kann.

Allerdings ist noch eine weitere (hoffentlich nie auftretende) Situation zu bedenken. Sehr ungünstig wäre es, wenn das Notebook in einem Zustand gestohlen wird oder abhanden kommt, in dem eine andere Person direkten Zugriff auf die Daten hat. Also zum Beispiel wenn das Notebook aufgeklappt bleibt und Sie noch angemeldet sind. Natürlich sollte so eine Situation besser nicht auftreten, weshalb Sie Ihr Notebook auch in jedem Fall sperren oder zuklappen sollten, wenn Sie es irgendwo stehen lassen.

Welche Festplattenverschlüsselungen gelten als sicher?

Man kann nie mit Sicherheit sagen, dass ein Verfahren sicher ist. Entsprechend stellen die folgenden Methoden nur die momentane Situation (Stand Februar 2020) dar.

Die meisten Verfahren basieren auf einer AES Verschlüsselung. Wie Sie vielleicht wissen ist DES als Verschlüsselungsverfahren nicht mehr sicher.

Als sicher gelten: BitLocker, dm-crypt, LOOP AES, FileVault2, …

…um einige Beispiele, die weit verbreitet sind, zu nennen. Es gibt aber natürlich auch andere Verschlüsselungssoftware, die sicher ist und die Sie nutzen können. Als unsicher gilt jedoch z.B. TrueCrypt.

Auch interessant: Was bringt ein Mobile Device Management?

Fazit

Im Zuge der Datenschutz-Grundverordnung sind Verluste von Notebooks sehr ernst zu nehmen. Die beste Methode ist natürlich, auf seine Geräte aufzupassen! Da man einen Verlust, sei es aus Versehen oder durch einen Diebstahl, aber nicht mit Sicherheit verhindern kann, ist die Verschlüsselung der Festplatte ein absolutes Muss. Es gibt gute und vor allem als sicher geltende Verfahren, mit denen dies möglich ist. Dieses Angebot sollte man nutzen. Denn ist die Festplatte mit einem sicheren Verfahren verschlüsselt, muss im Falle des Verlustes auch keine Meldung an die Behörden gemacht werden. Im Umkehrschluss bedeutet der Verlust eines Notebooks ohne Festplattenverschlüsselung eine Meldung bei den Datenschutzbehörden des Landes innerhalb von 72 Stunden. Andernfalls machen Sie sich strafbar und laufen Gefahr, eine Bußgeldzahlung leisten zu müssen.