Dies ist unser zweiter Blogpost zur DSGVO. Was bedeutet die Datenschutz-Grundverordnung für Unternehmen? Hier finden Sie unseren ersten Beitrag, der die Auswirkungen der DSGVO auf Einzelpersonen thematisiert.
Seit dem 25. Mai 2018 sind Unternehmen bei der Verarbeitung personenbezogener Daten von Bürgerinnen und Bürgern der EU dazu verpflichtet,
- transparent offenzulegen, wie personenbezogene Daten verwendet werden, und explizit die Zustimmung der Betreffenden zu deren Verwendung einzuholen,
- bei der Verarbeitung personenbezogener Informationen Datensicherheit zu gewährleisten,
- Datenschutzverletzungen innerhalb von 72 Stunden behördlich zu melden,
- personenbezogene Daten auf Wunsch des betreffenden Nutzers zu korrigieren, zu löschen oder zur Verfügung zu stellen.
Wichtig zu erwähnen ist Folgendes: Im Unterschied zu anderen länderspezifischen Regelungen gilt die DSGVO nicht nur in Europa, sondern global (genauer gesagt überall dort, wo Daten von EU-Bürgerinnen und -Bürgern verarbeitet werden). Brasilien verfolgt mit seinem Lei Geral de Proteção de Dados, kurz LGPD, einen vergleichbaren Ansatz.
Bei Verstößen gegen die DSGVO drohen Unternehmen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % ihres weltweiten Jahresumsatzes, je nachdem, welcher Wert der höhere ist. In den ersten 12 Monaten nach dem Inkrafttreten der Verordnung haben die Datenschutzbehörden 281.088 Fälle registriert. Dem Europäischen Datenschutzausschuss zufolge waren 144.376 davon Beschwerden und 89.271 Datenschutzverletzungen durch Auftragsverarbeiter. Kein Unternehmen ist davor gefeit, selbst Google hat unfreiwillig zu diesen Zahlen beigetragen. Auch British Airways und Marriot mussten bereits Bußgeld zahlen. Empfänger von DSGVO-Bußgeldern ist im Übrigen der jeweilige EU-Mitgliedstaat.
Den drohenden Geldbußen zum Trotz sollten Sie die DSGVO nicht als Feind betrachten. Sie hat in einer Welt, in der persönliche Daten sehr leicht außer Kontrolle geraten, große Berechtigung. Hier unsere Tipps zu einer besseren Umsetzung der DSGVO:
- Datenflüsse und -orte erfassen: Dokumentieren Sie, woher die Daten Ihrer Kunden kommen und wo sie gespeichert werden.
- Ordnung halten: Achten Sie darauf, dass Sie nur die personenbezogenen Daten aufbewahren, die Sie im Rahmen der DSGVO-Konformität geschäftlich brauchen.
- Lücken schließen: Stellen Sie sicher, dass Ihre Datenschutzerklärung und Ihr Umgang mit Nutzerdaten DSGVO-konform sind.
- Vorbereitet sein: Definieren Sie ein Verfahren, nach dem Sie der Aufforderung von Nutzern nachkommen, Daten zu löschen, zu ändern oder zur Verfügung zu stellen.
- Für Sicherheit sorgen: Treffen Sie geeignete technische Vorkehrungen (Infrastruktur, Tools), um Ihre Systeme vor Datenschutzverletzungen zu wappnen.
Datenrisiken durch Mitarbeiter
Die Sicherheit der in Ihrem Unternehmen gespeicherten Daten hängt nicht nur davon ab, wie Ihre IT-Abteilung mit ihnen verfährt. Ein einzelner Mitarbeiter mit einem mangelhaft ausgeprägten Sinn für Sicherheit kann Ihren ganzen Betrieb dem Risiko einer Datenschutzverletzung aussetzen. Ein Beispiel: Einer Ihrer Mitarbeiter nutzt dienstlich ein Passwort, das er auch für seine private E-Mail verwendet. Dann gerät bei einem Einbruch in sein privates E-Mail-Konto auch Ihr Unternehmen unweigerlich ins Visier der Hacker. 81 % der Sicherheitsverletzungen sind Verizon zufolge auf schlechte Passwortgewohnheiten zurückzuführen.
Natürlich nutzt niemand ein zu simples Passwort, weil er bewusst ein Datenrisiko herbeiführen möchte. Das liegt viel eher daran, dass sich kein Mensch komplexe Passwörter merken kann. Also wählt man ein einfaches Passwort – und verwendet dieses dann auch für weitere Fälle, weil es eben schneller geht. Dieses Verhalten ist problematisch, denn wenn ein solches Passwort gehackt wird, sind alle zugehörigen Konten potenziell in Gefahr.
Um es zu unterbinden, müssen Sie Ihre Mitarbeiter mit vernünftigen Tools ausstatten. Durch Einführung von SSO und Enterprise Password Management (EPM) können Sie Einfluss darauf nehmen, wie in Ihrem Unternehmen Passwörter wahrgenommen und verwendet werden. Bei SSO erübrigt sich das Eingeben von Passwörtern in jeder einzelnen Anwendung. Und wo dies nicht möglich ist, kommt EPM zum Zug.
Kleinunternehmen sind für Hacker unattraktiv, oder?
Das ist ein weitverbreiteter Irrglaube – ganz im Gegenteil: Kleinbetrieb und Großkonzern geben sich nichts. Alle Unternehmen sind gefährdet. Für lückenlose Cybersicherheit müssen Sie keine Unsummen investieren. Es gibt Lösungen für alle Größen von Unternehmen und Budgets. Wichtig sind tragfähige Sicherheitsfundamente, und die sind für große wie kleine Unternehmen stets dieselben. Unterschiede gibt es höchstens bei der Art und Weise, diese Fundamente zu legen. Wenn Sie die Identität Ihrer Mitarbeiter nebst den zugehörigen Zugriffspunkten absichern, so ist das schon der größte Schritt hin zu einem stabilen Sicherheitsfundament.
Die folgenden drei Maßnahmen sollten auf Ihrer Sicherheits-To-do-Liste ganz oben stehen:
- Die Kontrolle über Zugangsdaten übernehmen
- Die Anzahl einzugebender Passwörter in Ihrem Betrieb verringern
- Multifaktor-Authentifizierung verwenden – besonders dann, wenn Ihre Mitarbeiter viel unterwegs sind
Bei manchen Lösungen lassen sich die durch sie erzielten geschäftlichen Auswirkungen und Risikominderung messen. So können Sie Budgetgebern gegenüber eindrücklich belegen, dass die Investition sich gelohnt hat.
Haken Sie die oben genannten Maßnahmen auf der Liste Ihrer Sicherheits-To-dos ab! Fordern Sie noch heute eine kostenlose Testversion von LastPass Identity an.
