Skip to content

    Mit diesen Datenschutzmaßnahmen erhöhen Sie Ihre Datensicherheit

    Mit diesen Datenschutzmaßnahmen erhöhen Sie Ihre Datensicherheit

    Es scheint ein aussichtsloser Kampf zu sein: Immer wieder schaffen es kriminelle Hacker, in die IT Systeme von Unternehmen zu gelangen. Im Jahr 2016 wurde sogar jedes fünfte mittelständische Unternehmen gehackt. Und wer haftet für die Schäden? Zunächst einmal werden Sie als Geschäftsführer zur Verantwortung gezogen. Grund genug, das Thema IT Sicherheit nicht länger zu vernachlässigen. Aus meinem letzten Beitrag dürfte Ihnen der Unterschied zwischen Datenschutz und Datensicherheit bereits bekannt sein. Um dabei höchstmögliche Datensicherheit gewährleisten zu können, müssen unter anderem Datenschutzmaßnahmen umgesetzt werden.

     

    Warum müssen Datenschutzmaßnahmen umgesetzt werden, um die Datensicherheit zu erhöhen?

    Datensicherheit heißt, dass Daten jeglicher Art in ausreichendem Maße gegen Manipulation, unberechtigte Kenntnisnahme durch Dritte, Verlust oder andere Bedrohungen gesichert sind. Um das zu gewährleisten, müssen unter anderem auch die personenbezogenen Daten eines jeden Unternehmen geschützt werden. Hier kommt der Datenschutz ins Spiel. Denn dieser garantiert jedem Bürger das Recht auf informationelle Selbstbestimmung, den Schutz der Privatsphäre sowie den Schutz vor missbräuchlicher Datenverarbeitung. Was das für Sie als Unternehmer bedeutet, gibt das Bundesdatenschutzgesetz (BDSG) mit den in § 9 aufgezeigten technischen und organisatorischen Maßnahmen in Verbindung mit den Anlagen sehr genau vor.

    Denn: Eine innerbehördliche oder innerbetriebliche Organisation ist dann so zu gestalten, dass sie den speziellen Anforderungen des Datenschutzes gerecht wird, wenn personenbezogene Daten automatisiert verarbeitet oder genutzt werden. Dabei sind die Maßnahmen so zu treffen, dass sie die nachfolgend aufgeführten Anforderungen erfüllen.

     

    Jetzt Blog abonnieren!

     

    Datenschutzmaßnahmen sind so zu treffen, dass sie...

     

    1. Zutrittskontrollen gewährleisten

    Das Ziel von Zutrittskontrollen ist es, den Zutritt zu Datenverarbeitungsanlagen, mit welchen personenbezogene Daten verarbeitet oder genutzt werden, für Unbefugte zu verhindern. Dies gelingt beispielsweise durch das Installieren von Alarmanlagen oder entsprechenden Schließsystemen.

     

    2. Zugänge kontrollieren

    Zugangskontrolle meint, dass man mit Hilfe bestimmter Maßnahmen verhindert, dass Unbefugte die Datenverarbeitungssysteme nutzen können. Die Authentifizierung mit einem Benutzernamen und einem sicheren Passwort, die Zuordnung von Benutzerrechten sowie die Verschlüsselung von Datenträgern sind hier die richtigen Mittel zum Zweck.

     

    Neuer Call-to-Action (CTA)

     

    3. Zugriffe durch unberechtigte Dritte verhindern

    Datenschutzmaßnahmen müssen gewährleisten, dass nur diejenigen auf Daten zugreifen können, welche über eine entsprechende Zugriffsberechtigung verfügen (Zugriffskontrolle). Außerdem dürfen personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht durch Unbefugte gelesen, kopiert, verändert oder entfernt werden können. Das erfordert ein entsprechendes Berechtigungskonzept in jedem Unternehmen. Außerdem sollten Zugriffe, insbesondere wenn es sich dabei um die Eingabe, Änderung oder Löschung von Daten handelt, protokolliert werden. Nicht zu vergessen ist auch hier die Verschlüsselung von Datenträgern.

     

    4. Eine sichere Weitergabe von Daten gewährleisten

    Daten dürfen bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können - das fordert die Weitergabekontrolle. Sorgen Sie also dafür, dass Ihre Daten immer verschlüsselt sind oder nutzen Sie ein virtuelles privates Netzwerk (VPN).

     

    5. Veränderungen an den Daten nachvollziehbar machen

    Wenn personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt werden, dann verlangt die Eingabekontrolle, dass der Zeitpunkt und die Person stets festgestellt werden können. Um dies zu gewährleisten, sind Protokollierungen und Protokollauswertungssysteme die geeigneten Maßnahmen.

     

    6. Die Datenverarbeitung von Aufträgen kontrollieren

    Häufig kommt es vor, dass personenbezogene Daten im Auftrag verarbeitet werden. Dann ist es besonders wichtig, dass diese Daten nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle). Achten Sie daher auf die Vertragsgestaltung bei der Auftragsdatenverarbeitung (ADV) und wählen Sie den Auftragnehmer mit besonderer Sorgfalt aus.

     

    7. Daten vor Verlust oder Zerstörung schützen

    Verfügbarkeitskontrolle: Maßnahmen, welche gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind, sind beispielsweise regelmäßige Datensicherungen oder eine Firewall zum Schutz vor Viren. In diesem Zusammenhang spielt auch das Erstellen eines umfassenden Datensicherungskonzeptes eine zentrale Rolle.

     

    8. Die Trennung von Daten ermöglichen

    Datenschutzmaßnahmen müssen gewährleisten, dass die zu unterschiedlichen Zwecken erhobenen Daten getrennt verarbeitet werden können - so das Trennungsgebot. Wenn Sie Ihre Mandanten sowie Ihre Produktiv- und Testsysteme logisch voneinander trennen, dann erfüllen Sie auch diese Anforderung des Datenschutzes.

     

    Vorsicht: Bei einem Verstoß gegen das BDSG stehen Geschäftsführer doppelt in der Haftung

    Was passiert, wenn Sie das BDSG nicht befolgen? Problematisch wird es dann, wenn aufgrund solcher Sicherheitslücken tatsächlich Schäden im Unternehmen entstehen. Wenn ein Landesdatenschutzbeauftragter bei einer Prüfung feststellt, dass Sie die Anforderungen des BDSG nicht erfüllen, dann müssen Sie mit hohen Geldstrafen rechnen. Wie wichtig es außerdem ist, dass Sie als Geschäftsführer Ihrer Pflicht als ordentlicher Geschäftsmann laut § 43 GmbHG nachkommen, muss ich Ihnen sicherlich nicht sagen. Betonen möchte ich aber, dass diese Tatsache Sie dazu verpflichtet, Gesetze einzuhalten. Vernachlässigen Sie also das BDSG, dann sind Sie Ihrer Pflicht als ordentlicher Geschäftsmann nicht nachgekommen und haften auch hier für den entstandenen Schaden. Somit stehen Sie also doppelt in der Haftung.

     

    Fazit

    Ich gebe zu: das BDSG fordert eine Menge von Ihnen. Kein Wunder also, dass sich viele Geschäftsführer mit dieser Fülle an Anforderungen überfordert fühlen. Wenn Sie aber diese Maßnahmen des Datenschutzes in Ihrem Betrieb erfolgreich umsetzen, dann erhöhen Sie nicht nur die Datensicherheit, sondern senken gleichzeitig Ihr Haftungsrisiko als Geschäftsführer. Außerdem stärken Sie Ihr Image als vertrauenswürdiges und zukunftsfähiges Unternehmen.

     

    Tipp

    Häufig fehlt es in mittelständischen Unternehmen an den personellen Ressourcen und dem nötigen Know-How, um all diese Maßnahmen erfolgreich umzusetzen. Deshalb stellen wir Ihnen gerne einen unserer IT-Sicherheitsbeauftragten zur Seiten. Dieser berät Sie in allen Fragen zur IT Sicherheit und implementiert mit Ihnen zusammen die notwendigen Maßnahmen.

     

    Neuer Call-to-Action (CTA)