Eine alltägliche Situation: Eine Initiativ-Bewerbung landet per E-Mail in einer kleineren Firma. Der Assistent schickt sie an den Geschäftsführer, der wiederum wirft einen Blick darauf und leitet sie an die passende Abteilung weiter: Herr XY sagte doch neulich, er habe Bedarf. Jeder speichert die Unterlagen lokal – man könnte sie ja nochmal benötigen. Keiner denkt sich groß etwas dabei.
Sollte er aber. Denn ab Mai 2018 schafft er mit einem einfachen und seit langem praktizierten Vorgehen dem Unternehmen ein Problem. Genau: Bewerbung – personenbezogene Daten – DSGVO.
Die Vorbereitung auf die DSGVO startet in jedem Fall mit einer Bestandsaufnahme, und da lautet die erste Frage: Über welche personenbezogenen Daten verfügt das Unternehmen eigentlich, und wo liegen sie? Diese Frage lässt sich nur scheinbar einfach beantworten. Denn außer in den zentralen Systemen können auch welche lokal gespeichert sein.
Das kollidiert in mehrfacher Hinsicht mit den Vorgaben der DSGVO. Sie weitet die Rechte der Personen in der EU an ihren Daten erheblich aus, siehe Kapitel 3. Dort besagen beispielsweise die Artikel 15 bis 17, dass Personen Auskunft darüber verlangen können, ob das Unternehmen sie betreffende personenbezogene Daten im Unternehmen verarbeitet, zudem können sie eine Berichtigung und unter Umständen auch die Löschung ihrer Daten verlangen. Das geht nur, wenn das Unternehmen weiß, wo die Daten liegen.
Sobald Daten lokal gespeichert sind, verstößt das Unternehmen zudem gegen Artikel 5 der DSGVO, demzufolge personenbezogene Daten „in einer Weise verarbeitet werden [müssen], die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust (…) durch geeignete technische und organisatorische Maßnahmen“. Es kann nicht verhindern, dass ein Mitarbeiter von seinem Arbeitsplatzrechner aus beispielsweise aus Versehen oder in Unkenntnis der rechtlichen Lage Dokumente mit personenbezogenen Daten per E-Mail an einen Adressaten verschickt, der nicht befugt ist, die Daten einzusehen. Oder er sie in einen Cloud-Speicher lädt, den das Unternehmen nicht überwacht.
Unterm Strich bedeutet das, dass die Arbeitsplatzrechner bei der Daten-Bestandsaufnahme berücksichtigt werden müssen. Das Unternehmen wird seiner Verantwortung für die personenbezogenen Daten nur gerecht, indem es erstens dafür sorgt, dass die Platten geputzt werden. Zweitens muss das Unternehmen sicherstellen, dass Mitarbeiter keine Dateien mit personenbezogenen Daten einfach so auf USB-Sticks kopieren, per E-Mail verschicken oder in Anwendungen laden. Es sei denn, sie sind ausdrücklich dazu berechtigt und die Übermittlung findet nach den Regeln des Unternehmens statt, also beispielsweise verschlüsselt.
Lösungen für Data Loss Prevention regeln die Herausforderungen von Punkt 2. Unsere Lösung Endpoint Protector beinhaltet zudem das Modul eDiscovery, mit dem sich Punkt 1 ebenfalls erledigen lässt. Mit diesem neuen Modul können Unternehmen die Arbeitsplatzrechner durchsuchen, beispielsweise nach personenbezogenen Daten. Dafür können sie passende Richtlinien nutzen. Findet eDiscovery Daten, die auf den Rechnern nichts zu suchen haben, lassen sie sich verschlüsseln oder löschen. Die Aktionen werden sicherheitshalber manuell ausgeführt, damit nicht durch einen technischen Fehler oder ein Versehen die gesamte Festplatte verschlüsselt oder gelöscht wird.
Zurück zu unserer Bewerbung: Mit den entsprechenden Einstellungen findet eDiscovery die Dateien. Die Bewerbung auf den Rechnern von Assistent und Geschäftsführer wird gelöscht, beim Abteilungsleiter wird sie verschlüsselt, denn das Bewerbungsverfahren ist noch nicht abgeschlossen. So ist sichergestellt, dass die Bewerbung nicht versehentlich irgendwo landet, wo sie nicht hingehört, auch nicht intern.