Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Weitere empfehlenswerte Vorkehrungen – unabhängig von einer rechtlichen Verpflichtung:
- Sensibilisierung der Mitarbeiter für Sicherheitsfragen, z. B. durch interne Rundschreiben und Schulungen.
- Durchführung einer regelmäßigen Datensicherung und Aufbewahrung der Sicherungskopien an einem geeigneten, sicheren Ort.
- Regelmäßige Aktualisierung von Software (insbesondere von Antiviren- und Firewall Software), Betriebssystem, Internetbrowser und Kommunikationsprogrammen.
- Nutzung von verschlüsselter Kommunikation bspw. bei E-Mails.
- Dass eine Firewall, Anitivirensoftware und mit dem aktuellen Standard abgesicherte WLAN-Netze zu verwenden sind, sollte selbstverständlich sein.
Datenträger und Papierabfall richtig entsorgen
Datenschutz fängt bereits bei augenscheinlich banalen Dingen an, wie dem Umgang mit "Papierabfall" oder ausgedienten Datenträgern. Beides gehört nicht einfach in den Müll. Daten auf Datenträgern, die nur gelöscht oder formatiert und nicht mit entsprechender Software bereinigt worden sind, lassen sich oftmals einfach wiederherstellen und auslesen. Ausdrucke von E-Mails enthalten oftmals nicht öffentlich bekannte Absender und Empfängermailadresse. Werbepost von Lieferanten enthält fast immer die (eigene) Kundennummer, Vor- und Zunamen des Adressaten etc. Ausdrucke von Entwürfen u. Ä. können angefangen von Adressen über Kontodaten bis zu Betriebsgeheimnissen alles enthalten.
Zum Schutz vor Missbrauch sollten daher alle Schriftstücke im Aktenvernichter geschreddert werden und Datenträger mit Löschsoftware bereinigt und/oder physisch zerstört werden. Am einfachsten ist es, statt einzelner Maßnahmen auf professionelle Anbieter für Akten- und Datenträgervernichtung zurückzugreifen, die Papier, Datenträger usw. einsammeln und anschließend vernichten.
Unternehmen sollten daher prüfen, ob entsprechende Datenschutzvorgaben bereits vorhanden sind und inwieweit diese ergänzt bzw. erweitert werden müssen. Gegebenenfalls können professionelle Dienstleister, wie externe Datenschutzbeauftragte, hinzugezogen werden, um einen Status quo zu erstellen.
Mitarbeiter regelmäßig zu den größten Risiken sensibilisieren
Ein hohes Risiko für Unternehmen besteht auch darin, dass Mitarbeiter gefälschte oder präparierte E-Mails öffnen, und somit Schadsoftware in die IT-Struktur des Unternehmens einschleusen. Solche Mails können sich bspw. als Rechnungen, Bewerbungen, Auftragsbestätigungen etc. tarnen und nach Aktivierung Daten an Dritte übertragen oder ganze Systeme lahmlegen. Hier sollten Mitarbeiter immer wieder für die Risiken sensibilisiert und bspw. durch Aushänge oder Rundschreiben auf die aktuellen Bedrohungen hingewiesen werden. Auch interne Prozessabläufe können helfen. So kann bspw. geregelt werden, dass PDF-Dokumente zunächst nur mit eingeschränkten Funktionen geöffnet werden können, das Ausführen von Makros bspw. in Office-Software deaktiviert ist und Administratorrechte sollten nur IT-Mitarbeitern gewährt werden.
Das ist nur ein Ausschnitt aus dem Produkt ProFirma Professional. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen