Datenschutz im Betrieb kann nur gelingen, wenn alle Mitarbeiter das richtige Bewusstsein für den Schutz personenbezogener Daten entwickeln und gemeinsam mit dem Arbeitgeber und dem Datenschutzbeauftragten an einem Strang ziehen. Denn es sind die Mitarbeiter, die täglich mit personenbezogenen Daten arbeiten und damit den Datenschutz aktiv umsetzen können. In diesem Blogartikel erfahren Sie deshalb, wie Sie mit einfachen und günstigen Mitteln für mehr Datenschutz am Arbeitsplatz sorgen.
1. Halten Sie das "Clean Desk" Prinzip ein
Unter dem Begriff "Clean Desk" verstehen wir das Prinzip des aufgeräumten Schreibtisches. Gerade wenn es in Ihrem Unternehmen gemeinsame Arbeitsplätze gibt, die von mehreren Mitarbeitern genutzt werden, ist es wichtig, Ordnung und eine klare Struktur auf dem Schreibtisch zu etablieren. Ein ordentlicher Schreibtisch fördert nicht nur Ihre Konzentration und Produktivität bei der Arbeit, sondern stärkt auch gleichzeitig den Datenschutz im Unternehmen. Angenommen, auf Ihrem Schreibtisch liegen zahllose Dokumente mit personenbezogenen Daten herum, so können diese Daten von Kollegen oder sogar Kunden beim einfachen Vorbeigehen an Ihrem Schreibtisch eingesehen werden. Im schlimmsten Fall ist hierbei von einem Datenschutzverstoß auszugehen, wenn Unbefugte Zugang zu personenbezogenen Daten erhalten.
Um solche Verstoße gegen den Datenschutz zu verhindern, empfehlen wir Ihnen, klare Regelungen bzw. eine "Clean Desk"-Richtlinie in Ihrem Unternehmen aufzustellen. Diese sollte regeln, dass alle Mitarbeiter zum Feierabend hin ihren Schreibtisch aufräumen und Dokumente, die personenbezogene Daten enthalten, wegräumen. Dokumente mit hoch sensiblen Daten sollten sofort nach Bearbeitung ordentlich weggelegt werden. Unnötige Ausdrucke und Kopien von Dokumenten sollten allgemein vermieden werden, um die Anzahl an Dokumenten am Arbeitsplatz zu reduzieren. Sie als Mitarbeiter sollten Ihren Schreibtisch natürlich auch ohne geltende Richtlinie im Unternehmen stets aufgeräumt und ordentlich halten, um für mehr Datenschutz am Arbeitsplatz zu sorgen.
Besonders wichtig ist das "Clean Desk"-Prinzip an Orten, wo viel Publikumsverkehr herrscht (z.B. bei Arztpraxen, Kanzleien oder Behörden). Hier wird mit Dokumenten oder Akten gearbeitet, die besonders sensibel und schützenswert sind. Zusätzlich hinterlassen aufgeräumte Arbeitsplätze einen positiven Eindruck bei Kunden oder Patienten.
2. Schützen Sie Ihre Geräte vor dem Zugang unbefugter Personen
Wenn Sie Ihren Schreibtisch verlassen - sei es noch so kurz -, sollten Sie immer die Bildschirmsperrre Ihres PCs oder Laptops aktivieren und Ihre Geräte zusätzlich mit einem sicheren PIN oder Passwort schützen.
So verhindern Sie, dass unbefugte Personen Zugang zu Ihren Geräten erhalten und Ihre Daten einsehen können. Zusätzlich empfehlen wir Ihnen, Ihre Geräte mit Blickschutzfolien zu versehen. Das verhindert insbesondere im Rahmen des mobilen Arbeitens (z.B. im Zug oder Shared Office), dass fremde Personen Einblick in Ihre Daten erhalten.
3. Schützen Sie Ihre Geräte und Zugänge mit sicheren Passwörtern
Cyberkriminelle können durch Datenlecks an Ihre Passwörter geraten und so Daten ausspähen.
Die Passwörter, mit denen Sie Ihre Geräte oder auch Ihre persönlichen Zugänge und Accounts schützen, müssen deshalb sicher sein, d.h. die Passwörter sollten mind. 10 Stellen haben und sowohl kleine und große Buchstaben als auch Zahlen und Sonderzeichen enthalten. Grundsätzlich gilt: Je sensibler der zu schützende Zugang ist, desto sicherer sollte auch das Passwort sein. Verwenden Sie außerdem nicht ein einziges Kennwort für alle möglichen Dienste, sondern legen Sie pro Zugang ein Passwort fest.
Um sichere und starke Passwörter zu generieren und ordentlich zu verwalten, kann ein Programm zur Passwortverwaltung hilfreich sein. In unserem Blogartikel zur Passwortverwaltung finden Sie eine detaillierte Anleitung zur Installation und Einrichtung des kostenlosen und beliebten Passwortmanagers "Keepass".
Darüber hinaus kann für noch mehr Schutz die sogenannte Zwei-Faktor-Authentifizierung eingesetzt werden. Hierbei wird die Identität des Nutzers durch zwei verschiedene Abfragen überprüft (z.B. Code per SMS nach der Passwortabfrage). Solch ein Verfahren kommt beispielsweise beim Online-Banking zum Einsatz. Nähere Informationen zur Zwei-Faktor-Authentifizierung finden Sie auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
4. Schützen Sie Ihre Privatsphäre beim Surfen im Internet
Um im Internet sicherer zu surfen, können Sie ein VPN ("Virtual Private Network" bzw. "Virtuelles Privates Netzwerk") nutzen. Mit einem VPN können Sie Ihre Anonymität im Netz und Ihre Daten schützen, da Sie in einem geschlossenen Kommunikationsnetzwerk surfen, in dem Ihre Internetverbindung verschlüsselt wird.
Die Nutzung eines VPN ist besonders sinnvoll, wenn Sie auf Dienstreise sind und in Hotels oder an Flughären über öffentlich zugängliche Netzwerke aufs Internet zugreifen möchten. Denn bei offenen Netzwerken besteht ein hohes Risiko, dass Ihre Daten ausgespäht und für kriminelle Zwecke missbraucht werden. Wenn Sie in Ihrem Unternehmen noch kein VPN eingerichtet haben, sollten Sie darüber mit Ihrer IT-Abteilung sprechen. Nähere Informationen hierzu finden Sie in unserem Blogartikel zum Thema VPN.
Für mehr Sicherheit und Privatsphäre im Internet können Sie außerdem Browser-Erweiterungen (Plugins) nutzen. Durch bestimmte Browser Plugins können bestimmte Funktionen in Ihrem Browser hinzugefügt werden, die die Menge an übermittelten Daten minimieren. So blockiert beispielsweise der "Script Blocker" Werbung von Dritten auf Websites, die Sie besuchen. Es gibt auf dem Markt einige kostenlose Plugins, die einfach zu installieren und zu nutzen sind. Einige nützliche Plugins finden Sie in unserem Blogartikel zum Thema mehr Privatsphäre im Netz. Sprechen Sie vor Installation am besten mit der IT-Abteilung Ihres Unternehmens.
5. Halten Sie auch im Homeoffice die Regelungen des Datenschutzes ein
Die Regeln im Datenschutz, die für die Arbeit im Büro herrschen, gelten natürlich gleichermaßen für das Arbeiten im Homeoffice. Denn die Vertraulichkeit und Integrität der personenbezogenen Daten müssen selbstverständlich auch im Homeoffice gewährleistet werden. Hierzu sollten bestimmte Maßnahmen ergriffen werden, die in einer Unternehmensrichtlinie zum Arbeiten im Homeoffice festgehalten werden können. Wir haben für Sie einige Maßnahmen beispielhaft aufgelistet:
6. Achten Sie auf die DS-GVO-konforme Entsorgung von Daten
Die Regelungen aus der Datenschutz-Grundverordnung (DS-GVO) beziehen sich nicht nur auf digitale Daten, sondern auch auf herkömmliche Papierdokumente. Denn auch das Aufbewahren oder das Vernichten von Papierdaten stellen eine Verarbeitung von personenbezogenen Daten im Sinne der DS-GVO dar.
Deshalb müssen hierbei geeignete Schutzmaßnahmen getroffen werden. Grundsätzlich gilt: Sobald die Daten/Dokumente nicht mehr benötigt werden bzw. der Zweck für die Datenverarbeitung entfällt, müssen diese Daten entsorgt werden (Art. 5 Abs. 1 lit. e DS-GVO) - vorausgesetzt es gelten keine anderen gesetzlichen Pflichten zur Aufbewahrung der Daten.
Dokumente, die personenbezogene Daten enthalten, müssen so entsorgt werden, dass der Inhalt dieser Dokumente nicht mehr entnommen und weiterverarbeitet werden kann.
Dabei ist die Art der Vernichtung an den Schutzbedarf der Daten anzupassen - heißt: Je sensibler und schützenswerter die Papierdokumente, desto höher sollte die Zerkleinerungsstufe des verwendeten Aktenvernichters eingestellt sein. Hierbei kann man sich an den Regelungen der DIN 66399 orientieren.
Für die DS-GVO-konforme Aktenvernichtung können auch externe Dienstleister beauftragt werden.
In diesem Fall muss ein Auftragsverarbeitungsvertrag (Art. 28 DS-GVO) mit dem Dienstleister geschlossen werden. Denn dieser ist in dem Fall nur Auftragsnehmer, die Verantwortung für die zu vernichtenden Daten und deren Schutz bleibt bei dem verantwortlichen Unternehmen (Auftragsgeber).
Die DS-GVO-konforme Entsorgung gilt natürlich auch für digitale Datenträger wie Festplatten oder USB-Sticks. Auch hier wird die Art der sicheren Vernichtung in der DIN 66399 geregelt. Die Datenträger werden hier in sechs verschiedene Arten eingeteilt und in unterschiedliche Schutzklassen eingeordnet, nach denen sich die Art der Vernichtung richtet.
7. Sorgen Sie für mehr Datenschutz bei der Nutzung von E-Mail und Internet am Arbeitsplatz
Grundsätzlich sollte der Arbeitgeber die Privatnutzung von betrieblichen Endgeräten sowie das private Surfen im Internet am Arbeitsplatz untersagen. So können Probleme vermieden werden, die auftreten könnten, wenn ein Mitarbeiter das Unternehmen verlässt. Wir empfehlen Ihnen, eine Richtlinie zur Privatnutzung von Firmeneigentum mit eindeutigen Regeln in Ihrem Unternehmen aufzustellen, um solche Probleme zu vermeiden. Nähere Informationen und Hilfestellungen hierzu finden Sie in unserem Blogartikel zum Thema E-Mail und Internet am Arbeitsplatz.
Die richtige Nutzung von "CC" und "BCC" bei E-Mails
Wenn Sie regelmäßig E-Mails versenden, werden Sie die Abkürzungen CC ("Carbon Copy") und BCC ("Blind Carbon Copy") kennen. Doch nicht jeder weiß genau, wann welche dieser Funktionen eingesetzt werden sollte.
CC
Nutzen Sie die CC-Funktion, wenn Sie eine E-Mail an mehrere Adressaten verschicken wollen, die sich gegenseitig kennen. Als CC-Empfänger können Sie beispielsweise Adressaten eintragen, die zwar von dem Inhalt der Nachricht Kenntnis nehmen sollen, aber von denen Sie vielleicht keine Antwort erwarten. Typisches Beispiel: Sie arbeiten mit mehreren Kollegen an einem Projekt und verschicken diesbezüglich eine E-Mail an diese Kollegen mit der Buchhaltung im CC, da diese nicht direkt am Projekt beteiligt ist, aber auch einige Informationen dazu erhalten soll.
BCC
Die BCC-Funktion können Sie nutzen, wenn Sie eine E-Mail an mehrere Empfänger senden möchten, der Kreis der Adressaten sich aber nicht kennt und nichts voneinander wissen soll.
Ein typischer Fall, in dem Sie diese Funktion unbedingt einsetzen müssen, ist der Versand eines Newsletters an Ihre Kunden. Denken Sie daran: E-Mail-Adressen sind auch personenbezogene Daten im Sinne der DS-GVO, da sie oft die Namen der Adressaten enthalten.
Der Versand einer E-Mail mit einem offenen Mailverteiler an Personen, die sich gegenseitig nicht kennen und nichts voneinander wissen müssen, kann deshalb unter Umständen einen Datenschutzverstoß darstellen und mit einem Bußgeld geahndet werden.
Archivierung und Löschung von E-Mails
Die Archivierung und Löschung von Daten stellt im Sinne der DS-GVO (Art. 4 Abs. 1) auch eine Verarbeitung von personenbezogenen Daten dar. Im Datenschutz halten wir uns an den Grundsatz der Speicherbegrenzung für die Datenverarbeitung, der besagt, dass personenbezogene Daten gelöscht werden müssen, sobald diese nicht mehr benötigt werden (Art. 5 Abs. 1 lit. e DS-GVO). Dem stehen andere Gesetze (z. B. Steuer- und Handelsgesetze) entgegen, die festgelegte Aufbewahrungsfristen für bestimmte Daten vorsehen.
So müssen E-Mails im Firmenkontext unter Umständen auch für einen bestimmten Zeitraum aufbewahrt werden. Damit hier klare Regelungen zum Löschen und archivieren bestehen, sollten Sie in Ihrem Unternehmen eine Richtlinie zur E-Mail-Aufbewahrung aufsetzen.
Dabei ist folgendes zu beachten:
- Für die Speicherung der Mails im aktiven Postfach sollte ein festgelegter Zeitraum bestimmt werden. Dann wandern die Mails nach einem wieder festgelegten Zeitraum ins digitale Archiv und werden anschließend nach Ablauf des Aufbewahrungszeitraums endgültig gelöscht.
- Die Einhaltung dieser Richtlinie muss kontinuierlich überprüft werden.
- Sonstige gesetzliche Aufbewahrungspflichten müssen in der Richtlinie ebenfalls beachten werden.
Verschlüsselung von E-Mails
Um einen höheren Schutz und die Vertraulichkeit von Daten zu gewährleisten, ist es empfehlenswert, E-Mails mit personenbezogenen Daten zu verschlüsseln. Eine Pflicht zur E-Mail-Verschlüsselung für Unternehmen ist in der DS-GVO allerdings nicht vorgesehen. Grundsätzlich gibt es verschiedene Möglichkeiten der E-Mail-Verschlüsselung, der BSI liefert hierzu nähere Informationen. Sprechen Sie diesbezüglich am besten mit der IT-Abteilung Ihres Unternehmens.
8. Entwickeln Sie durch Schulung und Sensibilisierung ein stärkeres Bewusstsein für den Datenschutz
Alle diese Tipps für mehr Datenschutz am Arbeitsplatz können nur dann Erfolg bringen, wenn das Personal ausreichend für das Thema Datenschutz sensibilisiert und geschult ist. Die Datenschutzschulung der Mitarbeiter ist wichtig, um sicherzustellen, dass sie sich ihrer Pflichten im Umgang mit Kunden- und Personaldaten bewusst sind. Geschulte Mitarbeiter reagieren sensibler und bewusster bei Unregelmäßigkeiten, was dazu beiträgt, Datenschutzverstöße und damit Bußgelder zu verhindern.
Sie wollen Ihre Mitarbeiter professionell und kosteneffizient schulen?
Testen Sie jetzt unsere Onlineschulung.
Fazit
Die Tipps für mehr Datenschutz am Arbeitsplatz müssen durch Zusammenarbeit des Arbeitgebers, des Datenschutzbeauftragten und natürlich der Mitarbeiter umgesetzt werden. Denn auch wenn es die Mitarbeiter sind, die häufig mit schützenswerten Daten arbeiten, können diese nicht eigenständig Regeln und Vorschriften im Unternehmen etablieren.
Was Sie als Mitarbeiter allerdings eigenständig (und unabhängig von den 8 Tipps) im Unternehmen umsetzen können, ist die aktive Mitarbeit im Datenschutz. Befolgen Sie die Richtlinien, die Ihr Arbeitgeber für den Datenschutz aufsetzt. Arbeiten Sie die Datenschutzschulung gewissenhaft und aufmerksam durch. Und besonders wichtig: Nehmen Sie Anfragen von betroffenen Personen ernst und melden Sie mögliche Datenschutzverstoße umgehend Ihrem Vorgesetzten oder Ihrem Datenschutzbeauftragten.
Jenny Weigandt
