Alle sonstigen Bemühungen zur Einhaltung des Datenschutzes sind vergeblich, wenn es zu einer Datenpanne in Ihrem IT-System kommt oder Sie im Ernstfall nicht nachweisen können, dass Sie ausreichende Sicherheitsmaßnahmen getroffen haben.
Was fordert der Datenschutz?
Alle Daten, die in Ihrem Unternehmen erfasst werden, müssen:
- verfügbar gehalten werden
- vor nicht autorisiertem Zugriff geschützt werden
- vor Verlust und vor Zerstörung geschützt werden
Es geht also nicht nur darum, sensible Daten vor Missbrauch zu schützen, sondern auch darum, wichtige Daten sicher aufzubewahren.
Dabei gelten je nach Art der Daten verschiedene Aufbewahrungsfristen. Rechnungen und Fibu-Daten müssen laut GoBD sogar für 10 vollständige Kalenderjahre aufbewahrt werden.
Wie können Sie dafür sorgen, dass die Sicherheit Ihres IT-System den Anforderungen der EU-DSGVO genügt?
Viele GaLaBau-Unternehmer haben schon im eigenen Interesse dafür gesorgt, dass Ihr IT-System grundsätzlichen Sicherheitsanforderungen genügt, denn auch ohne die drohenden Bußgelder der EU-DSGVO möchte niemand einen erfolgreichen Virenangriff oder einen kompletten Datenverlust erleben.
Aber nur, wenn Sie die erforderlichen Sicherheitsmaßnahmen Ihres IT-Systems auch vollständig dokumentiert haben, sind Sie vor Verstößen gegen die EU-DSGVO wirksam geschützt!
Haben Sie das Wissen und die Zeit, um bei Ihrer IT selbst die erforderlichen Sicherheitsstandards zu überprüfen, einzurichten und zu dokumentieren? Wenn nein, sollten Sie sich fachliche Unterstützung bei Ihrem Hardwarelieferanten oder Netzwerkwerkbetreuer holen.
Ist sichergestellt, dass auch im Falle eines Totalverlustes Ihres IT-Systems, z.B. durch Brand oder Diebstahl, eine an einem anderen Ort oder in einer Cloud gelagerte aktuelle Datensicherung zur Verfügung steht? Ist jemand dazu in der Lage, das Gesamtsystem aus genutzter Software und Daten innerhalb weniger Tage wiederherzustellen?
Zu einem guten Sicherungskonzept gehört auch ein Wiederherstellungsplan. Dieser beschreibt für den Ernstfall, wie Sie in einer solchen Situation vorgehen können. Bedenken Sie, dass für es für heute erstellte Datensicherungsmedien in 10 Jahren keine passenden Lesegeräte mehr geben wird. Bewahren Sie deshalb auch die passenden Lesetechnologien auf oder setzen Sie alte Datensicherungen regelmäßig auf aktuelle Sicherungstechnologien um.
Das beste Sicherungskonzept nützt Ihnen nicht, wenn die Datensicherung unbemerkt ausgefallen ist. Überprüfen Sie daher regelmäßig, ob sie funktioniert.
Nicht nur Ihr Netzwerk mit Server und Arbeitsplätzen, sondern auch Ihre Mobilgeräte, z.B. Notebooks, Tablets und Smartphones, müssen geschützt werden. Arbeiten Ihre Mitarbeiter auch im Homeoffice oder werden private Smartphones für Firmenanwendungen genutzt? Auch diese Geräte müssen die Anforderungen des Datenschutzes erfüllen.
Welche Software und welche Daten werden auf Ihren Mobilgeräten verwendet? Viele der von Ihnen und Ihren Mitarbeitern genutzten Apps, z.B. WhatsApp und Facebook sind nicht DSGVO-konform. Schon der Zugriff von WhatsApp auf das Firmenadressbuch Ihres Smartphones ist ein Datenschutzverstoß, denn die Adressdaten werden ohne Wissen und Zustimmung der betroffenen Personen an den Server von WhatsApp übertragen. Um die Anforderungen des Datenschutzes zu erfüllen, müssen Sie die Nutzung dieser Apps verbieten oder technisch einschränken.
Eine Mobile Device Management (MDM)-Software, z.B. von Apptec (www.apptec.de) sperrt den Zugriff der Apps auf die Firmenkontakte und bietet weitere Möglichkeiten, um zu definieren, was auf den Geräten zulässig ist und was nicht. Planen Sie Kosten von etwa 2,50 €/Monat und Gerät ein und den personellen Aufwand für die Einrichtung und Verwaltung der Software.
Hinweis: Die DATAflor Apps sind nach dem Prinzip "Privacy by design" (Datenminimierung und Datensicherheit) entwickelt worden und datenschutzrechtlich unbedenklich. Die Datenübertragung zwischen Mobilgeräten, Cloud, und Firmennetzwerk erfolgt mit einer sicheren Verschlüsselung. Auch in der Cloud werden nur verschlüsselte Datenpakete gespeichert. Die DATAflor Apps greifen nicht auf das Adressbuch des Mobilgerätes zu und gewähren anderen Apps keinen Zugriff auf die Daten der DATAflor App.
Alle Geräte und Datenträger(!) müssen durch sichere Passwörter geschützt sein. Auch Ihre Mitarbeiter sollten die Regeln für sichere Passwörter kennen und anwenden (ausreichende Länge, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen etc.). Legen Sie fest, in welchen regelmäßigen Abständen alle Passwörter geändert werden müssen.
Ihre Festplatten und USB-Sticks können zusätzlich mit dem von Microsoft zur Verfügung gestellten Bitlocker verschlüsselt werden (ab Windows 7). Das ist schnell passiert: Ein USB-Stick mit sensiblen Daten bleibt in einem fremden Rechner stecken oder geht verloren. Wenn die Daten unverschlüsselt waren, handelt es sich um einen Datenschutzverstoß.
Nutzen Sie bei allen Geräten Bildschirmschoner, die erst nach Eingabe des Kennwortes wieder den Zugriff auf den Rechner freigeben.
Eigentlich ist jeder Benutzer selbst dafür verantwortlich, auch bei kurzem Verlassen des Arbeitsplatzes, den Zugang zu seinem Rechner zu sperren. Da das in der Praxis oft vernachlässigt wird, sorgt der Bildschirmschoner für eine Reduzierung dieses Datenschutzrisikos.
Welche Daten benötigen Ihre Mitarbeiter unbedingt, um Ihre Arbeit auszuführen? Handeln Sie nach dem Prinzip: So wenig Zugriff wie möglich, so viel wie nötig!
Um den Aufwand in Grenzen zu halten, können Sie für die Datennutzung in Ihrem Betrieb entsprechende Gruppen bilden (z.B. Geschäftsleitung, Buchhaltung, Bauleitung, Sekretariat usw.). Ihr Hardwarebetreuer kann die Benutzergruppen und deren Zugriffsrechte mit dem Verzeichnisdienst "Active Directory" von Microsoft einrichten und das Berechtigungskonzept für Ihre Unterlagen dokumentieren. Danach werden die Benutzer nur noch der jeweils passenden Gruppe zugeordnet.
Sorgen Sie auch dafür, dass der Server in einem abgeschlossenen Schrank oder Raum steht. Nur Personen, die für die Bedienung und Wartung zuständig sind, benötigen einen Zugang.
Wenn Sie einen Fernzugriff auf Ihr Netzwerk benötigen, z.B. für mobile Geräte oder ein Homeoffice, darf dieser nur mit einer VPN-Software zur verschlüsselten Kommunikation erfolgen.
Eine Firewall schützt sie zusätzlich vor unbefugten Zugriffen von außen und kontrolliert, welche Software auf das Internet zugreifen darf. Beachten Sie, dass eine Firewall keinen Schutz vor Viren bietet, dafür benötigen Sie zusätzlich einen Virenscanner.
Nicht nur die genutzte Antivirensoftware, auch Betriebssysteme und Anwendungssoftware beheben in Ihren regelmäßigen Updates bekannt gewordene Schwachstellen und Angriffspunkte für Viren.
Diese 9 Tipps helfen Ihnen, einige wichtige Punkte anzupacken!
Unsere 7 Sofortmaßnahmen helfen Ihnen dabei!
Ein AV-Vertrag mit Ihren Soft- und Hardwarebetreuern ist Pflicht!