Datenschutzkonzept

Das Thema Datenschutz ist durch uns nur in Grundzügen abzudecken. Wir möchten an dieser Stelle darauf hinweisen, dass es spezialisierte Firmen gibt deren Kernkompetenz der Datenschutz und das bestellen von externen Datenschutzbeauftragten ist!

Aus unserer Sicht ist das Thema Datenschutz mehr eine technische als eine organisatorische Frage. Beide Themenbereiche haben unzählige Schnittmengen und sind zu weiten Teilen deckungsgleich. Jedoch ist Datenschutz und ein umfangreiches Datenschutzkonzept weit mehr als „nur“ die IT-Sicherheit.

Unsere Kernkompetenz liegt im Bereich der Infrastrukturplanung und der Netzwerk- sowie der Systemadministration. Diese Tatsache an sich macht es genau betrachtet schon undenkbar dass der Administrator zeitgleich, oder eine weitere Person aus dem Dienstleistungsunternehmen (tabcom) bei einem Kunden, beide Bereiche abdeckt. Interessenskonflikte wären hier faktisch vorprogrammiert.

Wie im Artikel „Sicherheitskonzept“ schon umfangreich beschrieben, deckt dieser Teil der Gesamtsicherheit in einem Unternehmen schon sehr viel ab.

Darüber hinaus sind die richtige Planung und Implementierung von Nutzerrechten, Verzeichnisrechten, Freigaben und der Zugriff auf sensible Informationen mindestens ebenso so wichtig wie gut organisierte und durchdachte Verzeichnisstrukturen.

Doch grundsätzlich gilt es erst einmal zu klären was denn Datenschutz überhaupt ist?
Schutz der Daten? Oder Schutz vor (meinen) Daten (Missbrauch)?

Beides ist richtig. Wenn über Datenschutz gesprochen wird steht meist das Persönlichkeitsrecht des Einzelnen im Vordergrund das es um jeden Preis zu schützen gilt. Hier greift vor allem der professionelle extern bestellte Datenschutzbeauftragte.

Grundsätzlich ist ein Datenschutzbeauftragter zu bestellen wenn von mindestens 10 Personen, personenbezogene Daten automatisiert verarbeitet werden. Automatisiert kommt hier dem PC Arbeitsplatz gleich. Einen ersten Eindruck kann man sich hier bei Wikipedia verschaffen.

Aber auch Daten die nicht direkt personenbezogen sind, gilt es vor z.b. Missbrauch, Vervielfältigung, Verteilung, Diebstahl usw. zu schützen.

Auch sind es in Unternehmen oft die banalen Sachen denen nicht genug Aufmerksamkeit geschenkt wird.

  • Die Buchhaltung sollte Lohnabrechnungen nicht auf den Großdrucker im Flur schicken, sondern ein eigenes Gerät in unmittelbarer Reichweite haben.
  • Passworte einzelner Benutzern oder gerne auch der Geschäftsleitung sollten nicht in der gesamten Firma bekannt sein.
  • Der Zugriff auf fremde Nutzerzugänge muss grundsätzlich untersagt sein
  • Passworte sollten in bestimmten Intervallen geändert werden.
  • Emails sollten nicht blind und nur halb gelesen an zig Kollegen in Kopie geschickt werden
  • Emails die eine große Anzahl von Menschen erreichen sollen, dürfen nicht Unternehmensübergreifend, sorglos in „cc“ verschickt werden was in manchen Situationen dem verteilen halber Adressbücher in der Außenwelt gleich kommt.
  • Datensicherungen müssen auch wirklich sicher verschlossen werden und nur einem kleinen Kreis von Personen zugänglich gemacht werden.
  • Mobile Endgeräte die in einigen Fällen sämtliche Türen und Tore in ein Unternehmen öffnen und sensible wenn nicht sogar höchst brisante Daten enthalten, müssen mit einem Code geschützt werden oder gleich entsprechend verschlüsselt sein.
  • Notebooks die Firmenzugänge und sensible Daten enthalten müssen mit starken Kennwörtern geschützt werden und die Festplatten müssen verschlüsselt sein wenn die Geräte den eigenen Arbeitsplatz verlassen (Verlust durch Diebstahl oder Unachtsamkeit sind nur zwei Gründe warum Daten schnell in die falschen Hände fallen können).
  • Heimarbeitsplätze sollten nicht auf dem privaten System des Mitarbeiters eingerichtet werden. Hier gibt es keine Unternehmensrichtlinien die greifen würden. Dem Privatanwender kann man nicht die Administratorrechte auf seinem eigenen PC wegnehmen usw.
  • USB Steckplätze können durch Softwaresysteme gesperrt werden.
  • Nicht jeder PC braucht einen CD/DVD-Brenner, auch dies lässt sich reglementieren. Es gibt noch andere Möglichkeiten Daten aus einem Unternehmen zu schaffen, aber im Fall der USB Ports kann auch das Einschleusen von Fremddaten und somit evtl. Schadsoftware vermieden werden, die indirekt eine Gefahr für die Produktivdaten des Unternehmens darstellt.
  • Gefahrenquellen aus dem Internet soweit reduzieren wie irgend möglich (siehe Sicherheitskonzept)
  • Datensicherungsmethoden immer wieder in Frage stellen und überprüfen (siehe Datensicherungskonzept)
  • Und nicht zuletzt, aber gerne unterschätzt, der eigene IT-Dienstleister! Ob wissentlich oder unwissentlich sei dahingestellt, einmal darüber nachzudenken lohnt sich sicher.

Sie sehen dies ist ein umfangreiches Thema das hier nur in Ansätzen zu erläutern ist.  Wenn das Datenschutzkonzept lückenlos sein soll oder muss, ist dies nur durch die präzise Zusammenarbeit der IT-Administration, dem intern bestellen Datenschutzbeauftragten und dem externen professionellen Datenschutzbeauftragten zu realisieren.