Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen.
So ist z. B. der Verlust eines Speichermediums (z. B. Laptop, USB-Stick, Smartphone) i. d. R. nicht meldepflichtig, wenn dieses nach aktuellen IT-Sicherheitsstandards sicher verschlüsselt und das Medium zugangsgesichert ist. Die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Hingegen besteht eine Meldepflicht, wenn z. B. eine Weitergabe von personenbezogenen Daten an Dritte und unberechtigte Personen stattgefunden hat. Diese Verletzung des Schutzes personenbezogener Daten kann durchaus zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen.
Weitere empfehlenswerte Vorkehrungen – unabhängig von einer rechtlichen Verpflichtung:
- Sensibilisierung der Mitarbeitenden für Sicherheitsfragen, z. B. durch interne Rundschreiben und Schulungen.
- Durchführung einer regelmäßigen Datensicherung und Aufbewahrung der Sicherungskopien an einem geeigneten, sicheren Ort.
- Regelmäßige Aktualisierung von Software (insbesondere von Antiviren- und Firewall Software), Betriebssystem, Internetbrowser und Kommunikationsprogrammen.
- Nutzung von verschlüsselter Kommunikation, z. B. bei E-Mails.
- Das beinhaltet auch die Nutzung von VPN-Diensten beim Zugriff von unterwegs/aus dem Home-Office auf die IT-Systeme des Unternehmens.
Datenträger und Papierabfall richtig entsorgen
Datenschutz fängt bereits bei augenscheinlich banalen Dingen an, wie dem Umgang mit "Papierabfall" oder ausgedienten Datenträgern. Beides gehört nicht einfach in den Müll. Daten auf Datenträgern, die nur gelöscht oder formatiert und nicht mit entsprechender Software bereinigt worden sind, lassen sich oftmals einfach wiederherstellen und auslesen. Ausdrucke von E-Mails enthalten oftmals nicht öffentlich bekannte Absender und Empfängermailadresse. Werbepost von Lieferanten enthält fast immer die (eigene) Kundennummer, Vor- und Zunamen des Adressaten etc. Ausdrucke von Entwürfen u.Ä. können angefangen von Adressen über Kontodaten bis zu Betriebsgeheimnissen alles enthalten.
Zum Schutz vor Missbrauch sollten daher alle Schriftstücke im Aktenvernichter geschreddert werden und Datenträger mit Löschsoftware bereinigt und/oder physisch zerstört werden. Am einfachsten ist es, statt einzelner Maßnahmen auf professionelle Anbieter für Akten- und Datenträgervernichtung zurückzugreifen, die Papier, Datenträger usw. einsammeln und anschließend vernichten.
Unternehmen sollten daher prüfen, ob entsprechende Datenschutzvorgaben bereits vorhanden sind und inwieweit diese ergänzt bzw. erweitert werden müssen. Gegebenenfalls können professionelle Dienstleister, wie externe Datenschutzbeauftragte, hinzugezogen werden, um einen Status quo zu erstellen.
IT-Sicherheit: Mitarbeitende regelmäßig zu den größten Risiken sensibilisieren
Ein hohes Risiko für Unternehmen besteht auch darin, dass Mitarbeitende gefälschte oder präparierte E-Mails öffnen, und somit Schadsoftware in die IT-Struktur des Unternehmens einschleusen. Solche Mails können sich z. B. als Rechnungen, Bewerbungen, Auftragsbestätigungen etc. tarnen und nach Aktivierung Daten an Dritte übertragen oder ganze Systeme lahmlegen. "Cyberkriminalität" ist nicht hauptsächlich auf Industriespionage fokussiert, sondern auf den Diebstahl personenbezogener Daten oder Erpressung des betroffenen Unternehmens durch externe Sperrung der IT. Hier sollten Mitarbeitende immer wieder für die Risiken sensibilisiert und z. B. durch Workshops, Aushänge oder Rundschreiben auf die aktuellen Bedrohungen hingewiesen werden. Auch interne Prozessabläufe können helfen. So kann z. B. geregelt werden, dass PDF-Dokumente zunächst nur mit eingeschränkten Funktionen geöffnet werden können, das Ausführen von Makros z. B. in Office-Software deaktiviert ist und Administratorrechte sollten nur Mitarbeitenden der IT-Abteilung gewährt werden.