Neue EU-Datenschutz-Verordnung: Mitarbeiter als Schwachstelle

Wer gegen die neue EU-Datenschutzverordnung verstößt, muss bis zu vier Prozent seines Jahresumsatzes Strafe zahlen.

Wer gegen die neue EU-Datenschutzverordnung verstößt, muss bis zu vier Prozent seines Jahresumsatzes Strafe zahlen.

Die neue EU-Datenschutz-Grundverordnung tritt 2017/2018 in Kraft. Das Rechte, wer auf Daten Zugriff hat, wird erheblich verschärft. Wenn Mitarbeiter zu Daten Zugang haben, die sie nicht für ihren Job brauchen, kann es für Firmen richtig teuer werden.

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist nun endgültig verabschiedet. So sollen unter anderem strenge Vorgaben im Bezug auf die Verarbeitung persönlicher Daten von EU-Bürgern eingeführt werden.

Mitarbeiter dürfen nur noch zu Daten Zugang haben, die sie für ihren Job benötigen

Ein Probleme, dass Experten mit dem strengeren Verordnung für Unternehmen dabei sehen, ist, dass Mitarbeiter, in Daten Einblick haben, obwohl sie diese Informationen nicht für ihren Job benötigt. "Das kann aufgrund der Verordnung zum teuren Krisenfall werden“, warnt Matthias Schulte-Huxel, 8MAN, ein Unternehmen, das darauf spezialisiert ist Unternehmen vor unberechtigten Zugriffen auf sensible Daten zu schützen.

Geldbuße: Bis zu vier Prozent des Jahresumsatzes – bei Siemens wären das drei Milliarden Euro

Die Strafen bei Verstößen gegen die Verordnung können künftig bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz betragen. Bei einem Konzern wie Siemens könnte ein ernsthafter Datenskandal also eine Strafzahlung von mehr als drei Milliarden Euro nach sich ziehen.

Ernsthafter Verstoß bei personenbezogenen Daten wird geahndet

Strafen drohen bei einem ernsthaften Verstoß gegen die Verordnung in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) und der Bestimmungen betreffend der Einwilligung betroffener Personen (Artikel 7).

Wer Zugriff auf welche Daten hat, wird immer wichtiger

„Es ist wichtiger denn je, im Unternehmen genau zu prüfen und festzulegen, welche Person in welcher Funktion Zugriff auf welche Daten und Informationen hat“, sagt Datenschutzexperte Schulte-Huxel.

Muss beweisen können, dass Zugriff auf Daten nicht möglich ist

Unbefugte Zugriffe auf Daten müssen laut Verordnung unbedingt verhindert werden. Dafür sind neue oder verbesserte firmeninterne Lösungen notwendig. Es geht dabei einerseits um den Schutz vor Zugriffen, aber auch um den Nachweis, dass ein Zugriff nicht möglich war. „Wir haben unsere Lösung seit langem so entwickelt, dass auf Knopfdruck ersichtlich ist, wer welche Berechtigungen im Unternehmen hat“, erläutert Schulte-Huxel. Anpassungen der Zugriffsrechte durch spezielle Software-Lösungen sind so leicht möglich. Jeder Eingriff soll so protokolliert und ist revisionssicher verwahrt werden. Über einfache Nutzerschnittstellen können auch Fachabteilungen die Rechtevergabe umsetzen und jederzeit durch ein Vieraugen-Prinzip abgesichert. „Die wesentlichen Forderungen der DS-GVO sind damit erfüllt, um unbefugte Zugriffe auszuschließen“, so der 8MAN-Manager.

Verletzung der Verordnung binnen 72 Stunden zu melden

In Artikel 31 der DS-GVO ist geregelt, dass eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden ist, unter der Bedingung, dass die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führen kann.

Kleinere Verletzungen intern dokumentieren

Allerdings müssen auch kleinere Verletzungen intern dokumentiert werden und jederzeit nachvollziehbar sein. „Zugriffe werden protokolliert. Selbst wenn der CIO sich selber alle nötigen Rechte verleiht, Daten kopiert und nachher die Berechtigungen wieder löscht: Die Software weiß das“, sagt Matthias Schulte-Huxel.

Recht

Liegenschaften und Unternehmen: Risikoabdeckung beim Kauf

Recht

8 Tipps, um beim Grillen keine Klage oder Strafe zu riskieren

Recht

Gang zum Notar soll überflüssig werden