Verantwortung des Chefs bei Datendiebstahl

3 Min. Lesezeit
8. März 2018

Egal, ob ein Firmenlaptop gestohlen, ein Firmenhandy verloren oder ein Unternehmen von einem Hacker angegriffen wird – kommen personenbezogene Daten abhanden, muss der Geschäftsführer reagieren.
Und das, entsprechend der neuen EU-Datenschutzgrundverordnung (
DSGVO), binnen 72 Stunden. Sonst drohen empfindlich hohe Geldbußen. Wir haben für Sie zusammengefasst, was im Falle des Falles zu tun ist und wie Datendiebstahl verhindert werden kann. 

DSGVO: Meldepflicht & Strafen

Unternehmen waren auch bisher an bestimmte Sorgfaltspflichten im Bezug auf personenbezogene Daten gebunden, doch mit deren Einhaltung nahm man es vielerorts nicht so genau. Hier setzt die DSGVO, die ab 25. Mai 2018 in Kraft tritt, strikt an. Sie regelt, wie die entsprechenden Daten geschützt werden müssen, was im Falle der Verletzung zu tun ist und welche Geldstrafen bei Missachtung drohen.

Der CEO (oder der Datenschutzverantwortliche) eines Unternehmens muss eine Datenschutzverletzung binnen 72 Stunden bei der österreichischen Datenschutzbehörde (Wickenburggasse 8-10, 1080 Wien, dsb@dsb.gv.at) melden. Weiters ist zu beachten:

  1. Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
  2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wird diese Meldepflicht missachtet, drohen je nach Schwere des Datenschutzverstoßes Geldbußen von bis zu 10 bis 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 bis 4 Prozent seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Wie kommt es zu Datendiebstahl oder Datenverlust?

Ein Datendiebstahl bzw. ein Verstoß gegen den Schutz personenbezogener Daten kommt häufiger vor, als man glauben möchte. Dabei geht es nicht nur um gezielte Hackerangriffe, sondern auch um den unbedarften Umgang von Mitarbeitern mit Consumer-Clouds (Stichwort Schatten-IT) oder den Verlust von Firmen-Tablets, -Notebooks oder -Smartphones. Personen, die von Datendiebstahl betroffen sind, könnte ein physischer, materieller oder immaterieller Schaden entstehen.

Darunter fallen etwa der Verlust der Kontrolle über ihre personenbezogenen Daten, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Verlust/Diebstahl von Endgeräten

Geht ein mobiles Device verloren oder wird es gestohlen, stellt sich die Frage, ob das Gerät verschlüsselt war und welche Daten über das Gerät zugänglich sind. Das Unternehmen muss z.B. durch Verschlüsselungen sicherstellen, dass kein unbefugter Dritter auf Firmen- bzw. personenbezogene Daten zugreifen kann. (Tipp: Bei Geräten, die unter Windows10 laufen ist die Verschlüsselung Teil des Betriebssystems und dadurch einfach umsetzbar.)

Daten auf Smartphones oder Tablets können über eine Mobile Device Management (MDM) –Lösung verschlüsselt werden. Damit kann das Gerät etwa nur durch Eingabe eines PIN-Codes entsperrt werden. Diese Form der Verschlüsselung kann als Voraussetzung für den Zugriff eines Mitarbeiters von seinem privaten Device auf Firmendaten gelten.

Es obliegt hier aber der Verantwortung des Unternehmens, dass diese Regeln umgesetzt und eingehalten werden. Heutzutage verfügen nahezu alle mobilen Betriebssysteme über MDM-Schnittstellen – die technische Voraussetzung ist State of the Art. Allerdings besteht bei der Schärfung des Bewusstseins auf Führungs- sowie Mitarbeiterebene noch massiver Nachholbedarf.

Schatten-IT: Consumer Clouds

Immer mehr Mitarbeiter nutzen kostenlose Consumer-Cloud-Dienste wie Facebook, WhatsApp, OneDrive oder Dropbox, um auch firmensensible Daten einfach und flexibel zu speichern und zu versenden. Die Registrierung erfolgt meistens über einen privaten Account. Das hat den Nachteil, dass der CEO oder die IT-Abteilung in vielen Fällen nichts davon erfährt. Die Folgen können schwerwiegend sein:

  • Eklatante Sicherheitslücken: die Daten werden in Nicht-EU-Ländern also außerhalb des EU-Datenschutzes gespeichert.
  • Sicherheit: die Daten werden in unsicheren Consumer-Cloud-Diensten gespeichert und sind damit Hackerangriffen leichter ausgesetzt
  • Kontrollverlust: verlässt ein Mitarbeiter das Unternehmen, nimmt er mit seinen privaten Accounts auch Firmendaten mit. Chefs oder IT-Abteilungen haben keine Chance, das zu verhindern.

Consumer-Clouds zu verbieten ohne adäquate Alternativen anzubieten führt aber dazu, dass Mitarbeiter neue „Schatten-Wege“ finden werden. Mit einem Business-Cloud-Dienst haben Unternehmen die Kontrolle darüber wo sich ihre Daten befinden und wer auf sie zugreift. Solche Lösungen sind zwar nicht kostenlos, zahlen sich aber aus.

Damit können z.B. auch ausgetretene Mitarbeiter leicht gesperrt werden. Die Lösung Microsoft 365 vereint das größte Angebot an zentralen Kommunikations- und Kollaborationsprogrammen mit hochleistungsfähigen Cloud-Plattformen wie Azure, die Unternehmen jeder Größe und Branche in Hinblick auf Kosten und Flexibilität optimal im Arbeitsalltag unterstützen.

IT-Alarmanlage zum Schutz gegen Datendiebstahl


Ein Hauseinbruch ist leicht zu erkennen: Die Tür ist beschädigt, der Schmuck ist weg, der Tresor steht offen. Bei Datendiebstahl ist der Fall anders, denn auf das Gestohlene kann weiterhin zugegriffen werden. Der Diebstahl fällt oft monatelang nicht auf –  teilweise wird der Datenverlust erst dann bemerkt, wenn mit den gestohlenen Daten Missbrauch betrieben wurde.


Wer auf Nummer sicher gehen will, holt sich am besten regelmäßig Security-Spezialisten an Board, die das firmeneigene IT-System überprüfen. Das ACP Cyber Threat Assessment Service (ACTAS) unterstützt mit seinem Rundum-Service die Sicherheit von Microsoft Cloud-Diensten und bietet an, auf Bedrohungen durch Cybercrime proaktiv zu reagieren und die Regelungen der EU-DSGVO einzuhalten.

Fazit: Datendiebstahl und Verantwortung Geschäftsführung


Durch die DSGVO besteht eine strikte Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten – bei Missachtung drohen hohe Strafen. Durch Verschlüsselung von Endgeräten, das Einsetzen von Business-Cloud-Diensten und Unterstützung von Security-Spezialisten, wird Datendiebstahl vorgebeugt.

Guide:

So vermeiden Sie Schatten IT

shutterstock_160559990
 

JETZT HERUNTERLADEN