So gehen Sie sicher mit persönlichen Daten um

Wie Sie personenbezogene Daten in einem Unternehmen mit minimalen Risiken speichern und verarbeiten können.

In vielen Ländern werden die Gesetze, die den Umgang mit PII (persönlich identifizierbare Informationen) regeln, von der Regierung verschärft. Zugleich nimmt die Zahl der Datenlecks von Jahr zu Jahr weiter zu. Während noch vor etwa zehn Jahren die schwerwiegendsten Verluste, die ein Unternehmen erleiden konnte, in erster Linie Klagen und Rufschädigung waren, sind es heute die Strafen der Regulierungsbehörden, die einen beträchtlichen Teil des Schadens ausmachen können, der Unternehmen durch Datenverluste entstehen kann. Aus diesem Grund haben wir uns dazu entschlossen, eine Serie von Tipps zu veröffentlichen, die Ihnen dabei helfen, sichere Prozesse für die Erfassung, Speicherung und Weitergabe persönlicher Daten in Ihrem Unternehmen zu organisieren.

 

Erhebung personenbezogener Daten

Das Wichtigste zuerst: Erfassen Sie Daten nur dann, wenn Sie eine ausreichende rechtliche Grundlage dafür besitzen. Die Datenerhebung kann formell durch die Gesetze des jeweiligen Landes, in dem Ihr Unternehmen tätig ist, geregelt sein, durch einen Vertrag mit klaren Klauseln, die die Verarbeitung von PII erlauben, oder durch eine von der betroffenen Person in elektronischer oder schriftlicher Form erteilte Einwilligung. Zudem:

  • Bewahren Sie Nachweise über die Einwilligung für die Verarbeitung und Speicherung von personenbezogenen Daten für den Fall von Rechtsansprüchen oder Kontrollen durch die Aufsichtsbehörden auf;
  • Erfassen Sie keine Daten, die nicht wirklich für Ihre Arbeitsabläufe benötigt werden (Daten sollten nicht „nur für den Fall“ erfasst werden);
  • Wenn Daten, die für die Arbeit nicht erforderlich sind, aufgrund eines Fehlers oder Missverständnisses erhoben werden, sind diese sofort zu löschen.

 

Speicherung persönlicher Daten

Sollten Sie personenbezogene Daten sammeln, müssen Sie unbedingt wissen, wo diese gespeichert sind, wer Zugang zu ihnen hat und wie sie verarbeitet werden. Dazu müssen Sie möglicherweise eine Art „Übersicht“ erstellen, in der alle Vorgänge im Zusammenhang mit PII erfasst werden. Außerdem ist es ratsam, strikte Vorschriften für die Speicherung und Verarbeitung von Daten zu entwickeln und deren Umsetzung kontinuierlich zu kontrollieren. Darüber hinaus empfehlen wir Folgendes:

  • Speichern Sie PII nur auf Medien, die für Außenstehende unzugänglich sind;
  • Beschränken Sie den Zugriff auf PII auf eine minimale Anzahl von Mitarbeitern (sie sollten nur für diejenigen zugänglich sein, die sie wirklich für Geschäftszwecke benötigen);
  • Löschen Sie personenbezogene Daten, die nicht mehr für Arbeitsabläufe benötigt werden, umgehend;
  • Wenn Arbeitsabläufe die Aufbewahrung von Papierdokumenten erfordern, sollten diese nur an sicheren Orten aufbewahrt werden (z. B. in abschließbaren Tresoren);
  • Nicht benötigte Papierdokumente sollten mit Aktenvernichtern zerstört werden;
  • Wenn Daten nicht mehr benötigt werden, sollten sie anonymisiert werden (d. h. sie sollten individuelle Identifizierungsmerkmale beseitigen, sodass es selbst im Falle eines Datenlecks unmöglich wäre, die betroffene Person zu identifizieren);
  • Wenn es aufgrund Ihrer Arbeitsprozesse nicht möglich ist, die Daten zu anonymisieren, müssen sie pseudo-anonymisiert werden – d. h. die PII werden in eine eindeutige Zeichenfolge umgewandelt, sodass die Identifizierung der betroffenen Person ohne zusätzliche Informationen unmöglich ist;
  • Die Speicherung von PII auf Arbeitsgeräten und externen oder Flash-Laufwerken sollte vermieden werden (diese Geräte können gestohlen werden oder verloren gehen, und Angreifer können sich Zugang zu den Computerdaten verschaffen);
  • Speichern Sie keine echten PII auf Testinfrastrukturen und verarbeiten Sie diese nicht;
  • Nutzen Sie keine neuen Dienste für die Speicherung und Verarbeitung von Daten, bis Sie sichergestellt haben, dass diese die grundlegenden Sicherheitsanforderungen erfüllen.

Weitergabe persönlicher Daten

Sämtliche Prozesse mit Bezug auf die Übermittlung personenbezogener Daten müssen von der Sicherheitsabteilung oder dem Datenschutzbeauftragten, registriert und genehmigt werden. Alle Beschäftigten, die Zugang zu personenbezogenen Daten haben, müssen klare Anweisungen darüber erhalten, wie Daten in Ihrem Unternehmen zu handhaben sind, welche Dienste des Unternehmens oder Dritter dafür genutzt werden können und an wen diese Daten übermittelt werden dürfen. Stellen Sie darüber hinaus sicher, dass:

  • Subunternehmer (z. B. MSP-Dienste) keinen Zugang mit Administratorrechten zu Systemen mit personenbezogenen Daten haben;
  • Der Zugang zu Daten außerhalb des eigenen Landes begrenzt ist (Daten von Bürgern eines Landes sollten nicht von anderen Ländern aus zugänglich sein, es sei denn, die grenzüberschreitende Datenübermittlung ist nicht reglementiert);
  • Bei der Weitergabe von PII stets auf Verschlüsselung gesetzt wird (dies ist besonders wichtig, wenn Daten per E-Mail versendet werden);
  • Bei der Weitergabe persönlicher Daten an Dritte ein Auftragsverarbeitungsvertrag (AVV) unterzeichnet wird;
  • Sie berechtigt sind, PII an Dritte weiterzugeben (d. h. es liegt eine eindeutige Zustimmung der betroffenen Person vor, oder dies ist vertraglich festgelegt oder gesetzlich vorgeschrieben).

 

Natürlich können weder diese Tipps noch strenge Vorschriften die Gefahr eines menschlichen Fehlers ausschließen. Wir empfehlen daher unter anderem, regelmäßig Schulungen zur Stärkung des Sicherheitsbewusstseins durchzuführen. Darüber hinaus ist es ratsam, Schulungsplattformen zu wählen, die speziell auf den Datenschutz und die Arbeit mit personenbezogenen Daten ausgerichtet sind.

Tipps