Mehr als 3,6 Millionen KMU gibt es in Deutschland, etwa 90 Prozent zählen mit weniger als zehn Beschäftigten (und einem Jahresumsatz von bis zu zwei Millionen Euro) zu den Kleinstunternehmen. Auch sie müssen, wie die anderen Unternehmen auch, die Europäische Datenschutz-Grundverordnung (DSGVO) umsetzen. Denn auch ein kleiner Sanitärbetrieb, eine Arztpraxis, eine Anwaltskanzlei, ein Ingenieur- oder ein Lohnbüro verarbeiten personenbezogene Daten. Mit diesen Daten haben Menschen zu tun, denen aus Versehen oder aus Unkenntnis Fehler unterlaufen können. Während die Betriebe im Wesentlichen gut vor von Angriffen von außen geschützt sind, rückt im Zusammenhang mit der DSGVO stärker in den Fokus, dass die eigenen Mitarbeiter ebenfalls eine Bedrohung für die Daten darstellen können.
Hinter Datenschutz-Verletzungen liegt in den seltensten Fällen Absicht. Meist sind es Versehen, beispielsweise dass eine E-Mail an den falschen Adressaten geschickt oder das falsche Dokument angehängt wird. Oder Dinge, die die Mitarbeiter schon getan haben, als Datenschutz noch nicht groß geschrieben wurde. Dazu gehört, dass der Kollege, der das Büro früher verlassen muss, Unterlagen in digitaler Form mitnimmt und die Arbeit zuhause fortsetzt. Der USB-Stick, die Dropbox, die E-Mail an die private Adresse sind dann gängige Wege für den Transport der Daten. Aber die Geräte und Anwendungen für die Datenübermittlung stellen ein Risiko für den Datenschutz dar: USB-Sticks können abhandenkommen und die Daten darauf von jedem beliebigen Finder oder Dieb gesehen werden. Auf die Dropbox können unter Umständen auch Personen zugreifen, die die Daten nicht sehen sollen. PCs zuhause sind häufig weniger gut als Firmenrechner vor Angriffen von außen geschützt; außerdem können unter Umständen Dritte darauf zugreifen.
Schulungen, die die Mitarbeiter für die Bedrohungen sensibilisieren, und Sicherheitsrichtlinien, die die Dos und Don‘ts im Umgang mit den personenbezogenen Daten regeln, verringern das Risiko erheblich. Aber sie reichen nicht aus, damit das Unternehmen im Hinblick auf die neuen gesetzlichen Bestimmungen auf der sicheren Seite ist, falls es dennoch zu einer Datenschutzverletzung kommt. Es lässt sich zwar nachweisen, dass Schulungen durchgeführt wurden, aber nicht, dass die Mitarbeiter sich daran halten. Es gibt immer Situationen, in denen der USB-Stick eben doch nicht verschlüsselt wird, und Menschen, die sich durch Vorschriften gegängelt fühlen und sie grundsätzlich nicht oder nur nach Belieben einhalten.
Wir haben deshalb für Firmen mit bis zu 20 Arbeitsplätzen die „DSGVO-Box“ zusammengestellt, die solche Datenverluste auf sehr einfache Weise zu verhindern hilft. Die Software setzt an drei wichtigen Punkten an:
- Sie sichert die USB-Schnittstelle ab und steuert, welche USB-Geräte an den Arbeitsplatz-Rechnern verwendet werden können. Beispielsweise können dann keine privaten USB-Sticks angeschlossen werden, außerdem kann kein Schadcode vom Stick ins Unternehmensnetz gelangen.
- Daten, die auf USB-Sticks des Unternehmens gespeichert werden, werden automatisch und ohne Zutun der Benutzer verschlüsselt. Kommt der Stick unterwegs weg, kann kein Unbefugter die Daten sehen.
- Die Software überwacht alle Punkte, über die Daten das Unternehmen verlassen können, und steuert, wer welche Daten wohin übertragen kann. So verhindert sie beispielsweise, dass Listen mit Adress- oder Kontodaten aus Versehen in der Dropbox oder auf Facebook landen oder per E-Mail verschickt werden.
In weitestgehend allen Unternehmen hat sich infolge der Anbindung an das Internet der Schutz vor Angriffen von außen etabliert. Um die Anforderungen der DSGVO zu erfüllen, sind zudem Schutzfunktionen erforderlich, die einen Datenabfluss durch Mitarbeiter verhindern. Eine Lösung mit passender Funktionalität dafür ist die DSGVO-Box.