Datenschutz today – Ist Ihr Unternehmen noch sicher?

Bußgelder von bis zu 4% des Jahresumsatzes können durch die neue Datenschutzgrundverordnung entstehen. Wie Unternehmen diese vermeiden und warum die Verordnung auch für den Mittelstand wichtig ist, berichtet Datenschutz-Experte Steffen Homringhaus, Partner bei der sysscon Unternehmensberatungsgesellschaft GmbH, im Interview mit Alexander Hornikel, Senior Partner bei Kloepfel Consulting.

Welchen Stellenwert haben Daten heutzutage im Unternehmen und wie hat sich dieser über die Jahre verändert?

Im Grunde bezieht sich Datenschutz erst einmal auf die personenbezogenen Daten (Name, Geburtsdatum, Anschrift, Kontodaten, etc.) der Mitarbeiter oder der Kunden. Oft wird fälschlicherweise angenommen, dass man sich bei Datenschutz auf die Projektdaten bezieht. Wir als Beratungsunternehmen allerdings haben sehr viele Kontaktdaten, die wir zum Beispiel auf Messen sammeln, bei uns hinterlegt. Diese sind der Grundstein eines jeden Vertriebsprozesses, da der Wert personenbezogener Daten über die Jahre zugenommen hat. Dies zeigt sich auch im Rahmen der Digitalisierung, wo die personenbezogenen Daten ein Grundfundament darstellen. Unternehmensintern werden Personendaten im HR-Bereich zu Abrechnungszwecken oder für Personalentwicklungsprozesse genutzt. Der große Wandel hingegen findet in der externen Umwelt des Unternehmens statt. Hier hat die Bedeutung von Daten und Datenschutz, insbesondere durch große Skandale wie beispielsweise bei Facebook zurzeit, stark zugenommen. War es früher nur ein Thema für Juristen, so beschäftigt sich heute die breite Öffentlichkeit mit Daten und deren Schutz.

Projekt- und unternehmensbezogene Daten wiederum sind durch die Digitalisierung zu einem Gut geworden, welches geschützt werden muss. Hinzu kommt, dass Zulieferer bestimmte Anforderungen stellen, beziehungsweise selber hohe Anforderungen ihrer Kunden erfüllen müssen. Große Automotive-Unternehmen wie Daimler oder VW haben strenge Datenschutz-Richtlinien, auch zum Informationsschutz. Die Aufgabe der IT-Sicherheit ist es letztendlich, wertvolle Projekt- und Unternehmensdaten unter Verschluss zu halten.

Durch welche konkreten Gefahren wird die Sicherheit von Unternehmensdaten bedroht?

Eine große Gefahrenquelle ist nach wie vor der Faktor Mensch. Tatsächlich waren es in den wenigsten Fällen, zu denen ich hinzugezogen wurde, Hacker die im Mittelstand Daten entwendet haben. Viel öfter kam es vor, dass Mitarbeiter Unternehmensdaten getauscht, verloren oder bewusst mitgenommen haben. Auslöser hierfür sind teils Unwissenheit, teils Fahrlässigkeit aber manchmal auch Absicht. Gerade bei technischen Daten besteht die Gefahr der Industriespionage.

Hacker können sich über verschiedene Tricks Zugang zu relevanten Unternehmensdaten verschaffen. Gerade bei technischen Daten ist die externe Gefahr (Industriespionage) ein ganz großes Thema. Mit verschiedenen Tricks gelingt es Hackern, auf Daten zuzugreifen. Sie verteilen beispielsweise USB-Sticks auf den Parkplätzen der Unternehmen, welche dann von Mitarbeitern gefunden und mitgenommen werden. Werden diese am Arbeitsplatz getestet, installieren sich automatisch Trojaner und Viren und schon sind die Hacker im System des Unternehmens. Dies zeigt, dass die beste Sicherheitssoftware machtlos ist, wenn das Bewusstsein der Mitarbeiter für die potenziellen Gefahren nicht vorhanden ist.

Wie lässt sich den Mitarbeitern dieses Bewusstsein vermitteln?

Wir versuchen auf zwei verschiedenen Wegen, das Bewusstsein für Datenschutz zu vermitteln. Zum einen bieten wir klassische Schulungen an, in welchen wir Mitarbeiter für das Thema sensibilisieren. Der zweite, wesentlich effektivere, Weg sind Live-Tests, um zu schauen, wie aufmerksam die Mitarbeiter im Unternehmen sind. Wir gehen dann tatsächlich zum Firmengelände und versuchen das Gelände, beziehungsweise das Gebäude zu betreten. Dann schauen wir, wie weit wir kommen, ohne dass uns jemand aufhält oder unsere Anwesenheit hinterfragt. Wir versuchen, auf Rechner des Unternehmens zuzugreifen und laufen im Anzug durch die Produktionshallen. Diese Methode praktizieren wir eher bei größeren Unternehmen mit mehreren hundert Mitarbeitern. Das Ganze wird selbstverständlich vorher mit der Geschäftsführung abgesprochen. Nach dem Experiment wird im Zuge einer Schulung mit der Belegschaft darüber gesprochen und wir zeigen die erkannten Schwachstellen klar auf. Auf diese Weise erkennen Mitarbeiter schnell, worauf zu achten ist.

Welche Maßnahmen können Unternehmen ergreifen, um ihre Daten zu schützen?

Insbesondere durch die neue Datenschutzgrundverordnung gewinnen die Maßnahmen für Datenschutz an Bedeutung, da sich jedes Unternehmen an dieses Gesetz halten muss. Wenn es in der Firma keinen internen Mitarbeiter dafür gibt, müssen Unternehmen einen externen Datenschutzbeauftragten einstellen. Dieser übernimmt das gesamte Thema Datenschutzmanagement, natürlich in Kooperation mit der Belegschaft. Das Datenschutzmanagement beginnt schon mit einer Bestandsanalyse in digitaler und physischer Hinsicht. Wie sind unsere Firewalls aufgebaut, wie sieht unsere Berechtigungsstruktur aus. Das heißt, worauf kann der neue Azubi zugreifen und worauf der Geschäftsführer? Die Zahl potenzieller Maßnahmen ist sehr hoch, jedoch ist das optimale Maßnahmen-Paket sicher für jedes Unternehmen individuell zu gestalten.

Oft verbindet man Datenskandale mit großen Unternehmen. Doch warum sollte auch der Mittelstand seine Daten gut im Auge behalten?

Gerade im Mittelstand ist Datenschutz ein wichtiges Thema, da das Bewusstsein leider sehr selten vorhanden ist. Viele Unternehmen müssen erst durch ihre Kunden darauf aufmerksam gemacht werden. In der Automotive-Branche sind gewisse Standards schon Pflicht. Ich habe bereits meldepflichtige Vorfälle betreut, bei denen die Aufsichtsbehörde hinzugezogen wurde. Die Vorfälle wurden im Umfeld des Unternehmens publik, was in einem hohen Image- und Vertrauensverlust resultierte. Bei den Vorfällen ging es eher um personenbezogene Daten, welche verloren gegangen sind. Aber wenn ein Unternehmen nicht mit personenbezogenen Daten umgehen kann, wie geht es dann mit den Projektdaten der Kunden um? Ein gutes Datenschutzmanagement fungiert auch als Marketinginstrument gegenüber Lieferanten und Kunden.

Worauf müssen sich mittelständische Unternehmen im Zuge der neuen Datenschutz-Grundverordnung einstellen?

Die Übergangsfrist der neuen Datenschutzgrundverordnung endet ab dem 25.05. Wirklich viel Neues steht in der überarbeiteten Verordnung nicht geschrieben. Einige Punkte wurden verfeinert sowie verschärft. Die Verpflichtung zum Datenschutz und, bei Unternehmen mit mehr als neun Mitarbeitern, zur Einstellung eines Datenschutzbeauftragten sind wichtige Punkte, die aufgenommen wurden. Daran hat sich in der Vergangenheit nicht jedes Unternehmen gehalten. Nun soll der Kunde und Nutzer ein größeres Recht auf seine Daten haben. Leider ist die Verordnung eher an Konzerne und große Unternehmen gerichtet. Einige der darin aufgeführten Maßnahmen lassen sich für Mittelständler nur schwer umsetzen. So hat beispielsweise jeder Kunde oder Nutzer ein Recht auf „Vergessen werden“. Auf Facebook zum Beispiel hat der Nutzer ein Recht darauf, dass seine Daten, nach Löschung des Accounts, zeitnah endgültig gelöscht werden. Die Umsetzung war früher, aufgrund unterschiedlicher Datenschutzgesetze in den jeweiligen EU-Ländern, unter erschwerten Bedingungen möglich. Doch jetzt, ab dem 25. Mai, ist es Pflicht.

Für mittelständische Unternehmen soll dies gleichermaßen gelten. Personenbezogene Daten von Kunden oder Kontakten sollen, nach Aufforderung, zeitnah gelöscht werden. Gerade im Mittelstand ist das auf Grund des Alltagsgeschäfts schwer möglich. Außerdem müssen sich Unternehmen ab dem 25. Mai proaktiv bei der jeweiligen Aufsichtsbehörde des Bundeslandes melden und mitteilen, ob sie extern oder intern jemanden als Beauftragten bestellt haben. Die Datenbank der zuständigen Aufsichtsbehörde soll dann einen Abgleich ermöglichen, wer sich gemeldet hat und wer in den Listen und Registern noch nicht als gemeldet eingetragen ist. Unternehmen die sich nicht gemeldet haben, müssen dann mit dem Erhalt eines Anschreiben beziehungsweise einen Fragebogen rechnen, in dem begründet werden muss, wie man den Prozess im Unternehmen regelt und warum man sich nicht gemeldet hat. Im Gegensatz zu früher kommt man um das Thema Datenschutz also nicht mehr herum. Wer sich nicht meldet, erhalt zunächst eine Verwarnung. Kommt auch dann keine Äußerung, kann es im schlimmsten Fall zu einem Bußgeld in Höhe von 4 Prozent des Jahresumsatzes kommen.

Welche konkreten Maßnahmen sind nach einem Datenschutzvorfall im Unternehmen zu treffen?

Bezogen auf Personendaten, wenn beispielsweise ein Mitarbeiter der Personal-Abteilung die Personalliste mit allen wichtigen Daten der Mitarbeiter verliert oder ein HR-Server gehackt wird, muss laut Gesetz sofort die Aufsichtsbehörde informiert werden. Der Vorfall muss genau protokolliert, der Verlust gemeldet und, wenn vorhanden, der Datenschutzbeauftragte mit involviert werden. Wenn ein Betriebsrat vorhanden ist, muss dieser auch informiert werden, genauso wie die Belegschaft, damit sie Bescheid weiß, dass ihre Daten abhandengekommen sind. Wenn Hacker im Spiel sind, muss die IT oder ein IT-Dienstleister zu Rate gezogen werden. Diese müssen prüfen, ob z.B. die Firewall noch funktionsfähig ist und wenn dies nicht der Fall ist, wo sich das Leck befindet.

Wenn Kundendaten verloren gehen, muss direkt der Kunde informiert werden. Es ist wichtig, mit einem offenen Visier zu arbeiten und offen und ehrlich mit dem Kunden umzugehen, damit das Vertrauen nicht verloren geht. Den Mitarbeitern muss man im Nachgang klar machen, wie wichtig ein sorgsamer Umgang mit den Daten ist und, dass u.a. nicht jeder Mail-Anhang direkt geöffnet werden sollte.

Vielen Dank für das Interview!

Über die Sysscon GmbH

Die sysscon GmbH berät unabhängig und spezialisiert seit fünfzehn Jahren den regionalen und überregionalen Mittelstand. Aufgrund ihrer Expertise und ihres interdisziplinären Beraterteams gehört sie zu den etablierten Unternehmensberatungen und setzt schon jetzt zukünftige Markt-Standards. Ihr Know-How umfasst die Beratung in den Bereichen finanzielle Stabilisierung (Fit for Finance), Prozess- und Organisationsoptimierung (Fit for Profit), Online-Strategie-Optimierung (Fit for E-Business) und strategische Ausrichtung von Unternehmen (Fit for Transaction).

Datenschutz today – Ist Ihr Unternehmen noch sicher?

Datenschutz today – Ist Ihr Unternehmen noch sicher?

Inhaltsverzeichnis