DSGVO: Interne Kommunikation als riskante Schwachstelle

Im Moment redet man sich wieder einmal die Münder fusselig, wenn es um Datensicherheit geht. Kein Wunder: Die DSGVO-Deadline rückt immer näher. Dass immer noch Bedarf besteht und kein umfassendes Sicherheitskonzept gefunden ist, zeigen die ständigen Meldungen zu Datenlecks ja immer wieder.

Die branchenüblichen Medien sind also voll von Tipps und Tricks, wie man Webseite, Bewerbungsprozess, Austausch mit dem Kunden und vieles mehr DSGVO-konform hinkriegt. Nur: Was ist mit der internen Kommunikation? Auch hier lauern Schwachstellen in punkto Sicherheit.

Wir beleuchten deshalb, an welchen Stellen auch Ihre interne Kommunikation gefährdet sein könnte, und wie Sie Ihren Mitarbeitern helfen, datenschutzkonforme Arbeitsweisen anzunehmen.

Gefahrenquellen lauern überall

Als Unternehmen sind Sie laut DSGVO für den Schutz personenbezogener Daten zuständig. Unter persönlichen Daten versteht man im Prinzip alle Informationen über eine Person, die es ermöglichen, diese eindeutig zu identifizieren: Name, E-Mail-Adresse und Anschrift, Bankdaten, medizinische Informationen … Und zwar sowohl der Ihrer Kunden als auch der Ihrer Mitarbeiter.

Das bedeutet nicht nur, dass Sie Ihre Datenbanken, Web-Anwendungen und Server absichern müssen, sondern auch Ihre interne Kommunikation. Warum? Stellen Sie sich mal folgende Szenarien vor:

  • Ein Kollege hat sich für eine Woche krankschreiben lassen, scannt vorbildlich die Krankschreibung ein und schickt sie dem Vorgesetzten via E-Mail.
  • Ein Mitarbeiter im Home Office möchte einen Kunden anrufen und hat dessen Telefonnummer nicht parat. Also fragt er unkompliziert im Facebook-Messenger einen Kollegen im Büro, ob dieser ihm die Nummer aus dem CRM-System heraussuchen kann. Der Kollege hilft ihm natürlich gerne aus und schickt die Telefonnummer des Kunden im Messenger zurück.
  • Ein Angestellter hat neue Bankdaten und teilt der Personalabteilung diese schnell per E-Mail mit, damit das Gehalt im kommenden Monat auch auf dem richtigen Konto landet.
  • Zu Weihnachten sollen ausgewählte Kunden des Unternehmens eine gute Flasche Wein als Überraschung erhalten. Die Mitarbeiter im Kundenkontakt wählen also die zu bescherenden Kunden aus, stellen Excel-Tabellen mit Namen und Adressen zusammen und legen diese in eine Dropbox, wo die Marketing-Abteilung sich die Datei herunterlädt.
  • Weil es günstig und einfach ist, nutzt das gesamte Unternehmen die G-Suite, verschickt E-Mails via Gmail, schreibt vertrauliche Dokumente in Google Docs und speichert Dateien vom Kunden in Google Drive ab, damit alle Mitarbeiter Zugriff darauf haben.

Kommt Ihnen das bekannt vor? Tja. Laut DSGVO ist das problematisch.

 

Interne Kommunikation: Der blinde Fleck?

Dennoch tritt das Thema der internen Kommunikation in der aktuellen Berichterstattung zur DSGVO in den Hintergrund. Stattdessen geht es darum, wie Mitarbeiter vertrauliche Daten und Dokumente verschlüsseln, wenn sie diese an externe Dienstleister oder Kunden verschicken. Wie man Computer absichert und Backups DSGVO-konform ablegt. Wie zukünftig auf der eigenen Webseite Cookies eingebunden und welche Nutzerdaten erhoben werden dürfen. Welche Ergänzungen in der Datenschutzerklärung nötig sind. Und, und, und.

Die Beispiele von soeben zeigen jedoch: In vielen Unternehmen ist die Handhabung persönlicher Daten in der internen Kommunikation ausgesprochen lax. Es reicht also nicht, die Webseite datenschutzmäßig auf Vordermann zu bringen. Wenn Sie sich gegen hohe Bußgeldzahlungen absichern wollen, müssen Sie ebenso kritisch beleuchten, wie es um Ihre interne Kommunikation bestellt ist.

Auch auf die Gefahr, uns zu wiederholen: Im Prinzip gibt es drei Punkte, die sich regelmäßig als gravierende Schwachstellen entpuppen, und zwar Menschen, Prozesse und Technologien. Alle drei Aspekte hängen eng zusammen.

 

Punkt 1: Menschen

Schwache Passwörter, verlorene USB-Sticks und wichtige Dateien in privaten Postfächern: Wir hatten uns ja schon damit auseinandergesetzt, welche Fehler den meisten Angestellten beim Thema Datenschutz immer wieder unterlaufen. Dennoch wird die größte Sicherheitslücke überhaupt – der Mensch – oft übersehen, wenn Unternehmen Sicherheitsmaßnahmen entwickeln.

Und das kann gerade in der internen Kommunikation gefährlich werden. Schließlich sind es Ihre Mitarbeiter, durch deren Hände die sensiblen Daten gehen. Deshalb sind Schulungen, Seminare und der Aufbau einer Sicherheitskultur unverzichtbar. Sicherheit ist keine Option, sondern im Alltagsgeschäft genauso selbstverständlich wie ein Hemd ohne Flecken zu tragen. Das muss im Bewusstsein der gesamten Belegschaft verankert werden.

Nur: Der Mensch ist von Natur aus ein träges Tier. Veränderung? Anstrengend. Arbeit? Lieber nicht. Womöglich stoßen Sie auf unhinterfragte Gewohnheiten, eingefahrene Arbeitsweisen, sogar unflexible Einstellungen. Deshalb ist es umso wichtiger, die Mitarbeiter beim Übergang in die neue Sicherheitskultur mit den richtigen Prozessen und Technologien zu unterstützen.

 

Punkt 2: Prozesse

Insbesondere Kollegen, die schon jahrelang dabei sind und deren Vorgehensweise bisher von Erfolg gekrönt war, fällt eine Umstellung schwer. Plötzlich gelten völlig neue Regeln dafür, wie man Dokumente im Team übermittelt oder eigene Daten an die Personalabteilung weitergibt.

Das stellt die alltägliche Arbeit von heute auf morgen komplett auf den Kopf und führt zu großer Unsicherheit. Was ist jetzt noch erlaubt? Was ist zuviel des Guten? Und: Gibt es eine Möglichkeit, sich um die neuen Regeln herum zu mogeln und so weiterzumachen wie bisher, um sich den Aufwand zu sparen?

Um die Umstellung geschmeidig zu gestalten, gilt es also, Prozesse zu entwerfen, die so wenig Disruption wie möglich mit sich bringen. Never change a running system – den haben Sie ja sicher auch schon mal gehört. Natürlich bedeutet mehr Datensicherheit auch immer mehr Arbeit, aber machen Sie den Mitarbeitern die Änderungen so einfach, wie es geht.

Dazu sollten die neuen Prozesse den alten so weit wie möglich entsprechen. Je weniger die Mitarbeiter ihre Arbeitsweise ändern müssen, desto höher ist die Wahrscheinlichkeit, dass die neuen Prozesse reibungslos angenommen werden. Und genau dabei helfen Ihnen die richtigen Technologien.

 

Punkt 3: Technologien

Lassen Sie uns das an einem Beispiel untermauern. Die Mitarbeiter sind es gewohnt, Dateien per E-Mail zu senden? Sie könnten jetzt natürlich

  • unternehmensweit anordnen, dass Dateien vor dem Verschicken mit einem neuen Verschlüsselungsprogramm abgesichert werden,
  • eine Schulung für dieses Verschlüsselungsprogramm durchführen,
  • Mitarbeiter erst eine Mail mit dem Anhang und dann eine zweite mit dem Passwort schicken lassen, wobei die Mail mit dem Anhang nach dem Herunterladen desselbigen sogleich vom Server gelöscht werden muss,
  • Sanktionen bei Nichtbeachtung der neuen Regeln androhen,
  • Firewalls und Antivirenprogramme kaufen und konfigurieren, weil natürlich immer noch die Möglichkeit besteht, dass jemand sich in Ihr E-Mail-Programm hackt.

Oder aber Sie suchen sich eine Alternative zu Ihrem E-Mail-Programm, die so aussieht wie E-Mail, sich bedient wie E-Mail, und das Gleiche macht wie E-Mail – nur eben von Anfang an sicher verschlüsselt.

Selbiges gilt für andere Arten des Transfers: Werden Informationen zum Beispiel per Chat ausgetauscht, brauchen Sie einen sicheren Messenger-Service. Und damit meinen wir nicht WhatsApp, denn das Programm erfüllt auch in der Business-Variante in so einigen Punkten die Anforderungen der DSGVO nicht – zum Beispiel beim Recht auf Vergessenwerden, den eingebauten Datenschutzmechanismen und dem Recht auf Zugriff. Wussten Sie, dass Sie sich bei der Nutzung von WhatsApp dazu verpflichten, dem Programm Einblick in Ihr gesamtes Adressbuch zu gewähren, inklusive der Daten von Kontakten, die auf WhatsApp lieber verzichten?

Zurück zum Thema: Wenn Sie ein Tool nutzen, das den bisher eingesetzten möglichst ähnelt, können die Mitarbeiter bisherige Workflows und Prozesse beibehalten, während die Technologie im Hintergrund für von der DSGVO geforderte Datensicherheit sorgt. Als ersten Schritt in Richtung einer ganzheitlichen Sicherheitskultur empfehlen wir dabei die konsequente Ende-zu-Ende-Verschlüsselung von Mail und Chat. Bei dieser Technik können nur die Kommunikationspartner die Nachricht entschlüsseln. Mails, Anhänge und Chatnachrichten sind damit sicher vor ungebetenen Mitlesern.

Natürlich ist auch hier eine Schulung nötig, damit die Belegschaft versteht, warum der Wechsel für das gesamte Unternehmen so bedeutsam ist. Aber unterm Strich können Ihre Mitarbeiter entsprechende Software reibungslos in den Arbeitsalltag integrieren – sie kennen die Funktionsweise ja bereits von WhatsApp, Gmail & Co.

 

Die Moral von der Geschicht’ …

Letztendlich lässt sich ein Wandel der Unternehmenskultur unter Sicherheitsaspekten nur bewerkstelligen, wenn man die Mitarbeiter mit einbezieht. Sie sind an bestimmte Prozesse und Technologien gewöhnt – je näher man bei diesen bleibt, desto höher wird die Akzeptanz für Änderungen sein. Hier empfiehlt es sich, sowohl mit In-House-Experten zusammenzuarbeiten als sich auch externe starke Partner zu suchen, um die richtigen Entscheidungen zu treffen.

 

Auf unserer Facebook-Seite informieren wir Sie rund um Datenschutz, DSGVO & Co. – abonnieren Sie unsere Seite, um auf dem Laufenden zu bleiben!