Wissen Sie, wie Ihre Mitarbeiter personenbezogene Daten verarbeiten?

Können Sie gewährleisten, dass Ihre Mitarbeiter verantwortungsbewusst mit personenbezogenen Daten umgehen?

In vielen Regionen der Welt gibt es örtliche Bestimmungen bezüglich der Verarbeitung und Speicherung von personenbezogenen Daten, die in den USA persönlich identifizierbare Informationen (engl. personally identifiable information, PII) genannt werden. Diese Bestimmungen ergänzen die Datenschutzgrundverordnung (DSGVO), die alle Unternehmen, die Daten von EU-Bürgern verarbeiten, einhalten müssen.

Große Unternehmen haben klare Richtlinien und ausgearbeitete Strategien für den Einhalt all dieser Gesetze und Bestimmungen. Diese Regeltreue wird im Wirtschaftsjargon auch Compliance genannt. In der Regel geben die Unternehmen einem Mitarbeiter – dem Datenschutzbeauftragten – die Verantwortung dafür, dass die personenbezogenen Daten im Unternehmen vorschriftsmäßig verarbeitet werden. Außerdem wird ein beträchtliches Budget für die Ausarbeitung von internen Richtlinien und die Ausführung von regelmäßigen Datenschutzaudits bereitgestellt. Da kleinere Organisationen und Unternehmen über weniger Ressourcen verfügen, ist die Gewährleistung eines angemessenen Schutzniveaus weitaus schwieriger.

Faktor Mensch

Oft sind Mitarbeiter die Ursache des Problems, denn nicht alle gehen verantwortungsbewusst mit den personenbezogenen Daten anderer Menschen um. Diese Fahrlässigkeit kann zu Leaks führen, d. h. zu einer ungewollten Veröffentlichung von privaten Daten.

Denken Sie an folgendes, in Unternehmen sehr gewöhnliches Szenario: Mitarbeiter, die mit persönlich identifizierbaren Informationen arbeiten, speichern täglich eingescannte Dokumente mit personenbezogenen Daten in einer geteilten Unternehmensumgebung. Aus der Sicht des Mitarbeiters laden sie einfach Daten in den OneDrive oder SharePoint des Unternehmens hoch. Streng genommen stellt diese Tätigkeit natürlich kein Leak dar, aber sie haben dadurch die Daten für ihre Kollegen zugänglich gemacht – Kollegen, die eventuell nicht ausreichend für die Verarbeitung von personenbezogenen Daten geschult sind und deshalb auch keinen Zugriff darauf haben sollten.

Das Problem besteht noch nicht einmal allein darin, dass diese Kollegen absichtlich die Daten leaken könnten – es ist durchaus möglich, dass sie ihren Laptop eine Zeit lang entsperrt und unbeaufsichtigt lassen, weil sie sich gar nicht bewusst sind, dass sie Zugang zu sensiblen Informationen haben. Des Weiteren, sollte es zu einem Datensicherheitsvorfall im Unternehmen kommen, das eigentlich gar nichts mit dieser Praxis zu tun hat oder es wird ein unangekündigtes Datenschutzaudit durchgeführt, in dem die Verarbeitung und Speicherung der Daten geprüft werden, können hohe Geldstrafen anfallen, weil viele unbefugte Mitarbeiter Zugriff auf vertrauliche Daten von Kunden und Kollegen haben.

Wie kann das Risiko von geteiltem Zugriff auf personenbezogene Daten minimiert werden?

Die einfachste Methode, um personenbezogene Informationen von geteilten Datenspeichern fernzuhalten, besteht darin zu überprüfen, ob die Mitarbeiter ausschließlich die Tools des Unternehmens für die Zusammenarbeit und die Übertragung dieser Art von Daten verwenden. Anders ausgedrückt, Sie sollten darüber im Bilde sein, was genau Ihre Mitarbeiter teilen, wo diese Informationen gespeichert werden und ob firmenexterne Personen Zugriff darauf erhalten können. Rein theoretisch bräuchten Sie dafür eine separate Data Loss Prevention (DLP)-Lösungen, aber nicht alle Unternehmen können sich so eine Lösung zur Verhinderung von Datenverlust leisten. Das ist allerdings kein Grund zur Sorge, denn es gibt Alternativen.

Das Feature Data Discovery in der neuen Version von [KES Cloud placeholder]Kaspersky Endpoint Security Cloud[/KES Cloud placeholder] ist eine ausgezeichnete Lösung für Unternehmen, die Dienste von Microsoft 365 zur Zusammenarbeit in Anspruch nehmen. Data Discovery erkennt Dateien, die personenbezogene Daten oder Daten von EC- und Kreditkarten enthalten, gibt genau an, wo die Datei gespeichert wird und bietet zusätzlichen Kontext – ungeachtet dessen, ob es sich um unstrukturierte oder strukturierte Daten handelt.

Aktuell funktioniert das Feature nur mit deutschen Dokumentformaten, aber wir arbeiten bereits daran es zu erweitern. In naher Zukunft wird das Produkt voraussichtlich auch die Erkennung von Dokumenten aus anderen Ländern unterstützen.

Kontrolle über alternative Tools zur Zusammenarbeit

Wir wissen, dass Mitarbeiter manchmal einen Schritt weiter gehen und wichtige Unternehmensinformationen in Drittanbieter-Clouds hochladen. In anderen Worten, es könnten sensible Daten an Orten und mit Tools gespeichert werden, über die die IT-Sicherheitsmitarbeiter keine Kontrolle haben.

Aus diesem Grund empfehlen wir Ihnen, Ihren Mitarbeitern klar und deutlich zu erklären, dass Cloud-Dienste von Drittanbietern nicht für das Speichern von vertraulichen oder sensiblen Daten verwendet werden dürfen. Als zusätzliche Sicherheitsmaßnahme sollten Sie dann alle Cloud-Dienste überwachen und falls erforderlich blockieren. Ein weiteres Feature von Kaspersky Endpoint Security Cloud – Cloud Discovery – kann Ihnen bei dieser Aufgabe behilflich sein.

Die Features Cloud Discovery und Data Discovery ergänzen die Standard-Schutzmechanismen unserer Lösung. Deshalb schützt die Lösung Unternehmen nicht nur vor Cyberbedrohungen, sondern erleichtert auch das Einhalten der Datenschutzgrundverordnung und anderer Bestimmungen bezüglich der Verarbeitung von personenbezogenen Daten.

Tipps