Die Datenschutz-Grundverordnung ist vor knapp einem halben Jahr in Kraft getreten. Die Nachrichten über Datenlecks und Sicherheitspannen in Unternehmen sind seither aber nicht weniger geworden – wirklich stringenter Datenschutz ist noch immer eine Herausforderung. Das Security-Management personenbezogener Daten auf Rechnern, Smartphones, Tablets und sonstigen mobilen Geräten in Unternehmen und Organisa-tionen liegt meist im Verantwortungsbereich der IT-Abteilung.

Trotz der langen Vorbereitungszeit für die Umsetzung der DSGVO folgte für viele Unternehmen am 25. Mai der sprichwörtliche Sprung ins kalte Wasser. Aus Unwissenheit oder Unsicherheit wurden viele unnötige Maßnahmen ergriffen oder Verträge abgeschlossen, die überflüssig oder gar ordnungswidrig waren. Administratoren sitzen dabei oft am Ende einer Entscheidungskette und müssen kurzfristig für Abhilfe sorgen, selbst wenn eine Aktion nicht sinnvoll erscheint oder sich als nicht nachhaltig erweist.

Daher schützt man sich als Administrator am besten durch fundierte Kenntnisse vor „DSGVO-Aktionismus“. Die IT-Mitarbeiter sollten sich in Eigeninitiative weiterbilden, um den Vorgesetzten oder Datenschutzbeauftragten mit stichhaltigen Argumenten davon überzeugen zu können, dass bestimmte Einwilligungserklärungen oder Datenverschlüsselungen überflüssig sind.

Der Umgang von Mitarbeitern und Mitarbeiterinnen mit den Regeln der DSGVO ist für ein Unternehmen durchaus erfolgskritisch. Dabei fällt der internen Kommunikation eine besondere Bedeutung zu. Denn selbst wenn die DSGVO gemäß den Vorgaben umgesetzt wurde, hapert es oftmals noch daran, dass auch alle Betroffenen effektiv davon erfahren. Das erinnert an die E-Mail-Flut rund um den 25. Mai: Informationen, wie ein Unternehmen mit Kundendaten umgeht, wurden allumfassend an die Kunden weitergegeben. Gleichzeitig herrschte und herrscht aber bei der Kommunikation nach innen ein starker Nachholbedarf. Oft hat man einfach vergessen, Mitarbeiter und Mitarbeiterinnen über ihre Rechte und Pflichten bei der Ausübung ihres Berufs zu informieren.

Fokussiert vorgehen

Generell liegt der Fokus der DSGVO-Aktivitäten vieler Unternehmen ganz besonders stark auf Kunden und externen Dienstleistern. Dass aber Mitarbeiter und Mitarbeiterinnen genauso wichtig sind, wird oft übersehen. Denn viele arbeiten nicht nur im Büro, sondern auch im Home Office. Hierfür müssen einheitliche Regelungen geschaffen werden, damit der Umgang mit sensiblen Daten dort die gleiche Sorgfalt erfährt wie im Unternehmensbüro. Hierbei sollte man an Regelungen für die Nutzung von Software denken, von webbasierten Anwendungen und von E-Mail-Programmen.

Nicht vergessen werden sollten zudem Passwortrichtlinien für den Schutz mobiler Geräte wie Laptops, iPads und Smartphones. Und auch so scheinbare Kleinigkeiten wie Einwilligungen für die Nutzung von Mitarbeiterbildern (auch nach Verlassen des Unternehmens) oder Besucherbildern bei Firmen-Events müssen berücksichtigt werden. Das sind alles Aufgaben, die dringend von den IT-Fachkräften erledigt werden müssen.

Viele Mitarbeiter haben Einblick in sensible, personenbezogene Daten, doch oft findet man diese unzerstört im Firmenmüll. Daher sollten die IT-Administratoren hier einige Punkte besonders beachten. Für sicherheitsrelevante Bereiche müssen schriftliche Dokumentationen erzeugt und vorgelegt werden, so dass sie von involvierten Mitarbeitern eingesehen werden können. Denn die DSGVO adäquat umzusetzen, ist eine äußerst komplexe Aufgabe, die man nicht zur Gänze auswendig lernen kann. Es braucht daher Dokumente, in denen die notwendigen Prozesse jederzeit einsehbar sind.

Rät zu einem fokussierten Vorgehen: Oliver Hillegaart, Regional Sales Manager DACH bei Jamf. Quelle: Jamf

Das sind zum Beispiel Prozesse für die Auskunftserteilung an Betroffene: Welche Daten sind über einen Betroffenen in sämtlichen firmeneigenen IT-Systemen gespeichert; auch lokale Quellen wie E-Mail-Adressbücher müssen hier beachtet werden. Wichtig ist zudem das Konzept für die Löschung von Daten, in dem auch die dazugehörigen Aufbewahrungsfristen geregelt sind.

Auch das Konzept für die E-Mail-Archivierung und revisionssichere Langzeitarchivierung sollte nicht vergessen werden. Das Gleiche gilt für Firewall- und Backup-Konzepte oder auch Berechtigungskonzepte für File Server und Applikationen. Bei der Umsetzung der DSGVO sind unsere IT-Experten wahrlich nicht zu beneiden.

Selektiv nach Fachabteilung

Solche Regelungen gelten oft nicht per se für jede Abteilung. Das heißt, man kann nicht in einer Abteilung loslegen und einfach glauben, die hier getroffene Regelung gelte dann auch für alle anderen Abteilungen. Tatsächlich sind unstrukturierte Herangehensweisen eine häufige Fehlerquelle. Werden Themen nur punktuell bearbeitet und die Zusammenhänge mit anderen Bereichen nicht beachtet, sind einzelne Maßnahmen am Ende nicht unternehmensweit wirksam. Entsprechend sind einige Punkte zu beachten.

Ein Beispiel: Der schriftliche Hinweis auf die Einhaltung der DSGVO für Kunden, Mitarbeiter und Bewerber auf der Unternehmenswebsite ist wichtig. Versäumt das Unternehmen jedoch, an geeigneter Stelle darauf zu verweisen, etwa in der E-Mail-Signatur aller Mitarbeiter, ist das Ganze ziemlich fragwürdig. Wird im Nachhinein auch noch festgestellt, dass die Kommunikation mit einigen Kunden bisher immer per Post erfolgte, muss zusätzlich postalisch informiert werden. So wird aus einem schlecht geplanten Prozess schnell doppelte Arbeit. Daher sollte man regelmäßig den Austausch mit anderen Abteilungen suchen.

Auch die Berichterstattung über die vorhandenen Kundendaten ist so ein Fall: Berichte zu erstellen ist dank moderner Verwaltungs-Tools per Knopfdruck möglich. Fehlt aber der Austausch mit den Abteilungen, die diese Daten typischerweise in ein CRM-System einpflegen, sind sie gar nicht oder nur bruchstückhaft digital vorhanden. Laut DSGVO ist auch die Quelle, aus der die persönlichen Daten ins Unternehmen gelangt sind, nachzuweisen. Ein häufiges Versäumnis ist, dafür im CRM ein Pflichtfeld zu definieren. Grundsätzlich gilt daher: Werden Prozesse oder Konzepte definiert, die die Mitwirkung anderer Abteilungen als der IT erfordern, ist es wichtig, den Prozess gemeinsam zu entwickeln und zu testen.

Missstände erkennen und behandeln

Der Schutz personenbezogener Daten steht im Mittelpunkt der DSGVO. Ein blinder Fleck ist dabei häufig das Ausgedruckte. Denn sobald Daten ausgedruckt sind, erscheinen sie manchen Mitarbeitern paradoxerweise als weniger sensibel. IT-Admins sind zwar nicht primär für ausgedruckte Daten verantwortlich, kommen aber oft damit in Berührung, etwa wenn der Drucker streikt.

Nicht selten liegen dann die Unterlagen des letzten Bewerbers im Papierausgabefach oder stapeln sich alte Kundenkorrespondenzen auf der Ablage vor dem Schredder. Das einfach zu ignorieren wäre fahrlässig. Daher sollten IT-Admins solche Dinge bei den Kollegen ansprechen: „Was nützt unsere Bemühung für die Datenverschlüsselung, wenn die Daten letztlich ausgedruckt jedem zugänglich sind?“

Mitarbeiter zu sein, heißt nicht, im Unternehmen zu arbeiten, sondern für Unternehmen zu arbeiten. Das Thema „Home Office“ bzw. „Arbeiten von unterwegs“ erweist sich dabei als große Herausforderung für die IT. Wenn ein Unternehmen seine Mitarbeiter intensiv mit mobilen Geräten arbeiten lässt, erkennt man, wie schnell diese Geräte zur Schwachstelle werden können. Der Verlust oder Diebstahl mobiler Geräte wird dann besonders dramatisch, wenn sie nicht ausreichend geschützt waren oder es versäumt wurde, Vorkehrungen zur Fernlöschung zu treffen. Gerät ein gestohlener Laptop in kriminelle Hände, stehen geschäftskritische und persönliche Daten auf dem Spiel. Solche Situationen können sich dann für Unternehmen hinsichtlich des Datenschutzes schnell zu einem Desaster entwickeln.

Daher sollte hier ein besonderer Schwerpunkt der IT-Arbeit liegen. Doch das darf nicht das einzige Fokusthema sein. Denn auch scheinbar einfache DSGVO-Standardaufgaben wie die Umsetzung des Rechts auf Vergessenwerden können schnell einen Berg Arbeit für die IT nach sich ziehen. Wurden keine Vorkehrungen getroffen, wie zum Beispiel die Installation einer Geräteverwaltungslösung, kann schon die Löschung aller Daten einer einzelnen Person von allen Geräten im Unternehmen Tage dauern.

Ein verbindliches Konzept für den Schutz und das Remote Management mobiler Geräte gehört daher zum Pflichtprogramm für die IT. Die Verschlüsselung von Mobilgeräten und verbindliche Regelungen zur Nutzung privater Geräte sind hier wichtige To-dos. Über die Geräteverwaltung hinaus muss auch das App-Management auf der Agenda stehen. Damit können IT-Administratoren Anwendungen auf den Geräten steuern, ohne die Nutzung selbst zu sehr einzuschränken. So kann zum Beispiel der Einsatz von Software, die sich automatisiert Zugriff auf Adressbücher verschafft – wie etwa Messenger-Dienste –, mit Plan und Ziel begrenzt werden.