30.07.2018

Mehr Datenschutz-Bewusstsein im Betrieb

Einen rein technischen Schutz gegen immer neue Datenrisiken kann es nicht geben. Laut Psychologen verlassen sich IT-Nutzer zunehmend auf die technische Absicherung und werden deshalb unvorsichtig. Unternehmen sollten deshalb für mehr Datenschutz-Bewusstsein im Betrieb sorgen.

Datenschutzbewusstsein

Sensibilisierung im Datenschutz

Nach der Datenschutz-Grundverordnung (DSGVO) haben Datenschutzbeauftragte vor allem diese Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSGVO sowie nach sonstigen Datenschutz-Vorschriften der Europäischen Union oder der Mitgliedstaaten,
  • Überwachung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Die Pläne und Strategien für die Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter offenbaren: Die Unterweisungen und Schulungen sind reich gefüllt an Informationen über gesetzliche Vorgaben und Normen.

Sie beinhalten Anleitungen, um die Datensicherheit zu steigern, Hinweise auf aktuelle Sicherheitslücken und Schwachstellen sowie Empfehlungen zum richtigen Umgang mit personenbezogenen Daten.

Es ist gut, dieses Datenschutz-Wissen zu vermitteln – doch das Wissen allein genügt nicht.

Gut informiert, aber auch gut umgesetzt?

Die Umfrage IT-Sicherheit 2018 des Verbandes der Internetwirtschaft eco zeigt: Als wichtigste Sicherheits-Themen nennen die Befragten die Notfall-Planung zur Abwehr von Cyber-Angriffen sowie die Mitarbeiter-Sensibilisierung und den Datenschutz:

  • 63 Prozent der Befragten gaben an, die eigenen Mitarbeiter zu schulen und zu sensibilisieren. Der größte Teil der Befragten schult Mitarbeiter regelmäßig.
  • Doch erst 32 Prozent haben im Fall eines Vorfalls interne Prozesse oder einen Notfallplan festgelegt, um entsprechend reagieren zu können.
  • 49 Prozent der Befragten haben keinen entsprechenden Notfallplan.

Ein weiteres Beispiel für mangelnde Umsetzung in die Praxis:

  • Eine Schulung zur Passwortsicherheit gehört in den meisten Unternehmen seit Langem zum Standard. „Hallo“ oder „123456“ – bei der Wahl ihrer Passwörter vertrauen viele Menschen trotzdem auf einfache Kombinationen.
  • Jeder dritte Internetnutzer (32 Prozent) in Deutschland gibt an, dass er für mehrere Online-Dienste das gleiche Passwort nutzt, so das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom.

Wissen und Verhalten klaffen oft auseinander

Ohne eine Verhaltensänderung beim einzelnen Nutzer bleibt das Datenschutzwissen also graue Theorie. So kann es sein, dass jemand alles über Angeln weiß, aber dennoch kein Fisch anbeißen will.

Die Überführung in die Praxis ist beim Angeln noch recht einfach, die richtige Ausrüstung vorausgesetzt. Doch wie stellen Sie einen echten Praxisbezug im Datenschutz her, der zu einer Verhaltensänderung führt?

Datenschutz-Training ohne echtes Risiko

Niemand soll dazu verleitet werden, seine Angel nach Daten auszuwerfen. Also testweise selbst Datenfischer zu werden, um persönlich zu erleben, wie leicht es oftmals ist, Daten zu stehlen.

Das Ziel ist vielmehr, dass die Anwender im Unternehmen realitätsnah mit den Datenrisiken in Kontakt kommen. Dabei geht es aber nicht um echte Daten, und es darf auch keine echte Gefahr für die Anwender oder das Netzwerk bestehen.

Abstrakte Risiken erlebbar machen

Doch Risiken, die sich Ihre Kollegen nicht konkret vorstellen können, werden sie in der Regel unterschätzen. Datenschutzbeauftragte sollten einen gefahrlosen Weg suchen, die Datenrisiken erlebbar zu machen, ohne echte Risiken einzugehen.

Die zuständigen Aufsichtsbehörden bieten hier ihre Unterstützung mit neuen Initiativen zur Sensibilisierung im Datenschutz an.

Ein Beispiel: Aus dem Kontakt zwischen der Dualen Hochschule Baden-Württemberg (DHBW) und dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, ergab sich der Impuls für interessante studentische Projekte.

Studierende erarbeiteten fünf Demonstratoren, um die Gefährdungen bei der Verarbeitung personenbezogener Daten sicht- und erfahrbar zu machen.

Die Studenten befassten sich mit diesen Themen:

  • heimliche Daten-Auswertungen auf Smartphones, um Nutzer auf Schritt und Tritt zu verfolgen und ihr Verhalten auszuforschen
  • eine für Endnutzer verständliche Visualisierung der Netzwerk-Übertragungen des Betriebssystems und Anwendungen
  • Videoüberwachung im öffentlichen Raum und ihre Gefährdungs-Potenziale

Neue Wege sind gefragt, um die Datenrisiken und den Datenschutz erlebbarer zu machen. Datenschutz PRAXIS berichtet über entsprechende Beispiele und Initiativen, die als Anregung dienen können und ein direktes Mitmachen ermöglichen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)