Fit in Sachen Datenschutz am Arbeitsplatz

Datenschutz geht alle an. Sowohl im privaten Umfeld als auch am Arbeitsplatz. Viele Unternehmer fragen sich, wann und in welchem Umfang sie sich an die Datenschutz-Grundverordnung halten müssen. Nach der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur in jenen Fällen genutzt, verarbeitet oder erhoben werden, wenn dies durch eine rechtliche Regelung gestattet ist, beziehungsweise von der betroffenen Person genehmigt wurde (Verbot mit Erlaubnisvorbehalt).

0
884
Seon2b-Blogbeitrag_absolventen.at
© adobe.stock / Song_about_summer / 230581609

Insgesamt ist ein verantwortungsbewusster Umgang mit Daten unerlässlich. Insbesondere im Büroalltag fallen tagtäglich sehr viele Daten an, und jeder Mitarbeiter ist aufgefordert, sensible Daten – natürlich auch Firmendaten – zu schützen. Nicht nur im Büro selbst – die gleichen Maßstäbe gelten auch für Außendienstmitarbeiter oder für Personen, die im Homeoffice arbeiten.

Zu personenbezogenen Daten gehören zum Beispiel:

  • Namen
  • Telefonnummern
  • Geburtsdaten
  • Nutzungsdaten von Produkten oder Dienstleistungen und Arbeitsgeräten
  • Fotos
  • Verträge
  • Staatsangehörigkeit
  • Religionszugehörigkeit
  • Rechnungen
  • Personalnummern
  • Kreditkartennummern
  • Autokennzeichen
  • Bankdaten
  • Online-Daten (IP-Adresse oder Standortdaten)

DSGVO: Bei Nichtbeachtung drohen empfindliche Strafen

Für Arbeitgeber ist ein korrekter Datenschutz verpflichtend. Bei Nichtbeachtung der DSGVO drohen drastische Sanktionen: Ein Verstoß gegen die Datenschutz-Grundverordnung kann mit bis zu 20 Millionen Euro Strafe geahndet werden (oder mit bis zu vier Prozent des Umsatzes). Darüber hinaus sind Schadensersatzansprüche möglich, die Personen wegen eines Verstoßes gegen die DSGVO erlitten haben (materiell und immateriell).
Die Datenschutzgrundverordnung ist im Bundesdatenschutz geregelt und betrifft sowohl die analoge als auch digitale Behandlung sensibler Daten. Oberste Prämisse ist die Zweckgebundenheit bei der Datenverarbeitung. Das bedeutet, dass Firmen Daten nicht ohne Grund erheben oder verarbeiten dürfen, sondern nur dann, wenn ein konkreter Grund vorliegt.

Wann ist ein Datenschutzbeauftragter nötig?

Maßnahmen, die Unternehmen für einen rechtskonformen Umgang mit personenbezogenen Daten zu treffen haben, sind vielfältig. Die Digitalisierung des Arbeitsplatzes hat außerdem dafür gesorgt, dass neue Maßnahmen beim Datenschutz getroffen werden mussten.
In vielen Fällen müssen Unternehmen einen Datenschutzbeauftragten beauftragen. Das können interne Mitarbeiter oder extern beauftragte Fachleute sein. Ein Datenschutzbeauftragter ist dann notwendig, wenn mehr als 20 Personen eine nicht-automatisierte Datenverarbeitung betreiben, mehr als neun Personen automatisiert und dauerhaft personenbezogene Daten verarbeiten, Daten an Dritte übermittelt oder besonders schützenswerte Daten (nach Paragraf 3 Abs.9 BDSG) verarbeitet werden.

Generelle Maßnahmen für jeden Arbeitsplatz

Generell gilt für jeden Arbeitsplatz, an dem mit sensiblen Daten umgegangen wird: den Schlüssel für das Büro oder den Schreibtisch sicher aufbewahren, damit kein Unbefugter Gelegenheit hat, sich im Raum oder im Schreibtisch umzusehen. Sinnvoll ist es, die Schlüsselanhänger nicht mit Vermerken zu versehen, zu welchem Schloss der jeweilige Schlüssel passt. Arbeiten mehrere Personen in einem Büro, sollten Unterlagen mit sensiblen Daten grundsätzlich verschlossen aufbewahrt werden, wenn sie nicht benötigt werden. Bei Unterlagen, die nicht mehr benötigt werden und in den Papierabfall gehören, werden am besten separat gesammelt und mit einem Aktenvernichter sicher vernichtet. In diesem Zusammenhang sollte sichergestellt sein, dass generell auch keine Fehlkopien mit personenbezogene Daten in den Papierkorb am Kopierer geworfen werden.

Auch am Telefon ist Diskretion geboten – nicht nur bei der Kommunikation mit Kunden, Dienstleistern oder Geschäftspartner, auch bei der Kommunikation mit Kollegen muss vorher geprüft werden, ob personenbezogene Daten wirklich weitergegeben werden dürfen. Bestehen Zweifel, sollten entsprechende Fragen schriftlich erfolgen. Genauso sollte beim fernmündlichen Austausch sensibler Informationen niemand mithören können.

Sichere Passwörter für den PC

Und – nicht nur sensible Unterlagen unterliegen dem Datenschutz, auch der Computer am Arbeitsplatz sollte für Unbefugte nicht zugänglich sein. Damit sich niemand am PC zu schaffen machen kann, wird der Rechner beim Verlassen des Büros prinzipiell gesperrt. Auch dann, wenn das Büro nur kurz verlassen wird, um auf Toilette oder in die Kantine zu gehen, um sich einen Kaffee zu holen. Bei Besucherverkehr im Büro ist außerdem damit zu rechnen, dass die Gäste jederzeit einen Blick auf sensible Dokumente oder auf den Bildschirm werfen können. Im Optimalfall ist der Bildschirm so ausgerichtet, dass Außenstehende keinen Blick darauf werfen können. Im Zweifel hilft ein Blickschutzfilter. Weitere Maßnahmen am PC, die in Sachen Datenschutz zu treffen sind, sind sichere Passwörter, die nicht zu erraten sind, und auch nicht weitergegeben beziehungsweise als Gedächtnisstütze notiert werden, damit sich Kollegen nicht unbefugt einloggen können. Am besten eignen sich Passwörter, die sowohl Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten. Eine Kennwortrichtlinie für Passwörter im Unternehmen kann hier hilfreich sein.

Ein sicheres Passwort

  • besteht aus mindestens acht Zeichen
  • besteht nicht aus Zeichen, die auf der Tastatur nebeneinander liegen (zum Beispiel ABCDE)
  • ist aus verschiedenen Zeichen zusammengesetzt (Buchstaben, Ziffern, Sonderzeichen)
  • lässt keinen Rückschluss auf den Benutzer zu (Name des Haustieres, des Lieblingsvereins oder des Kindes)
  • ist kein sinnbringender Begriff, der sich im Duden nachschlagen lässt
  • enthält keine mehrfachen, gleichen Zeichen (zum Beispiel xxxxx)

Vorsicht bei E-Mails von unbekannten Absendern

Zum Datenschutz gehört außerdem, dass sensible Daten verschlüsselt werden müssen, bevor sie versendet werden. Es gibt mehrere Möglichkeiten, wie PDFs sicher und rechtskonform verschickt werden können. Genauso wichtig ist außerdem, keine E-Mails, insbesondere keine Anhänge zu öffnen, die von zweifelhaften Absendern stammen, um den PC vor Trojanern und Viren zu schützen. Denn in E-Mails von nicht verifizierten Absendern können Programme enthalten seien, die es möglich machen, den Computer auszuspähen. Vor diesem Hintergrund sollte ein gutes Virenschutzprogramm installiert werden, welches regelmäßig aktualisiert wird. Bei der Versendung von E-Mails an mehrere Empfänger ist es ratsam, alle Adressaten ins BCC zu setzen. Dieses Kürzel steht für den Begriff „blind carbon copy“ und sorgt dafür, dass der jeweilige Empfänger keine anderen E-Mail-Adressen (bis auf die des Absenders) sehen kann. Dieses Vorgehen ist außerdem ein Muss, wenn ein Empfänger eine Weitergabe

Andere Maßnahmen sind:

  • Daten, die nicht mehr benötigt werden, löschen
  • Personenbezogene Daten nur bei Notwendigkeit auf der Festplatte ablegen
  • Entsprechende Datenträger sicher verwahren
  • Elektronischen Papierkorb regelmäßig löschen

Speichermedien wie DVDs, USB-Sticks, CDs und Festplatten, die nicht mehr benötigt werden, sollten nicht einfach entsorgt werden, ohne vorher darauf gespeicherte sensible Daten zu löschen. Im Sinne des Datenschutzes sollte Firmeneigentum nicht zu privaten Zwecken genutzt werden. Meistens ist das auch gar nicht erlaubt, auch wenn ein Betrieb seinen Mitarbeitern PCs oder Laptops für mobile Arbeit überlässt. Dazu gehört auch, keine private Software auf Firmeneigentum aufzuspielen.

Datenschutz im Homeoffice

Auch im Homeoffice gelten Datenschutzrichtlinien. Wer Zuhause mit personenbezogenen Daten umgeht, sollte seinen Arbeitsplatz nach Möglichkeit in einem separaten Zimmer einrichten, das auch abgeschlossen werden kann. Beim Verlassen des Raums oder der Wohnung sollte der Rechner außerdem gesperrt werden. Darüber hinaus dürfen nur autorisierte Personen Arbeitsgeräte wie Computer oder Laptop benutzen, für Familienmitglieder und andere Dritte sind die Geräte tabu. Sichere Passwörter sind im Sinne des Datenschutzes auch im Homeoffice Pflicht, genauso wie das Verschlüsseln von E-Mails und anderen elektronischen Daten.

Alle Unterlagen, die sensible Daten enthalten, bleiben am besten im Arbeitsraum und werden nicht in der Wohnung liegengelassen. Sinnvoll ist ein abschließbarer Schrank oder Schreibtisch, in dem die Dokumente aufbewahrt werden können. Sinn macht außerdem, externe Datenträger wie USB-Sticks oder Festplatten zu verschlüsseln. Außerdem wichtig: Arbeitnehmer sollten auch im Homeoffice nur Programme herunterladen, die von den zuständigen Administratoren autorisiert worden sind. Nicht sensible Daten werden nicht lokal auf dem Endgerät, sondern auf dem Unternehmensserver abgelegt. Damit das Endgerät gut gesichert ist, werden außerdem verschiedene Konfigurationen wie ein Anti-Viren-Programm benötigt. Wer im Homeoffice sensiblen Informationen umgeht, muss diese genauso wie am Arbeitsplatz mit einem Aktenvernichter sicher vernichten, wenn diese nicht mehr gebraucht werden. Bei Aktenvernichtern gibt es insgesamt sieben Schutzstufen. Wie die Entsorgung erfolgen muss, hängt mit der jeweiligen Schutzklasse zusammen (DIN 66399 BDSG-neu) zusammen, nach der die Schutzwürdigkeit von Dokumenten klassifiziert wird. Die Sicherheitsstufe bei Aktenvernichtern muss umso höher sein, je höher die Schutzklasse der jeweiligen Unterlage ist.

Mit freundlicher Unterstützung von:
Marius Bergweiler

Bild:
© adobe.stock / Song_about_summer / 230581609

Verwandte ArtikelMehr vom Autor

Kommentieren Sie den Artikel

Kommentar schreiben
Name eingeben