Risiko: Datenverrat

Werden sensible Daten nicht ausreichend geschützt, kann dies verheerende Folgen haben

Keyfacts

  • Unternehmen unterschätzen Cyber-Risiken
  • Zugriffsrechte sinnvoll verwalten
  • Urteil: Sicherheitskopien sind zweckgebunden
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Trotz zunehmender Hackerangriffe geht die Mehrheit der Firmen noch immer unbedacht mit sensiblen Daten um. Dabei kann ein gut vorbereiteter Aktionsplan helfen, im Notfall wertvolle Zeit zu gewinnen.

Deutsche Managerinnen und Manager lieben das Risiko. Dieser Eindruck drängt sich zumindest auf, wenn man den sorglosen Umgang mit Daten bei der Mehrheit der Unternehmen betrachtet. 43 Milliarden Euro beträgt nach KPMG-Analysen der jährliche Schaden deutscher Firmen, weil ihre Daten gestohlen, missbraucht oder nachlässig gesichert werden.

Obwohl das Risiko Opfer eines Datendiebstahls zu werden steigt, scheint in vielen Führungsetagen nach wie vor kein Bewusstsein dafür zu herrschen.

Ein Beispiel ist die Zugriffsberechtigung. Wenn ein neuer Mitarbeiter verschiedene Stationen durchläuft, dann wird er in der Regel nach und nach für immer mehr Datensätze freigeschaltet. Selten aber werden die Mitarbeiter für die Daten, die sie nicht mehr benötigen, auch wieder gesperrt. Ähnliches gilt für Unternehmen, in denen Externe Zugriffsrechte haben. Häufig können Berater oder Systemadministratoren echte Kundendaten einsehen. Dabei könnten die Berechtigungen leicht angepasst oder die Daten zum Schutz anonymisiert werden.

Vorsicht ist besser als Nachsicht

Oft sind mangelndes Verständnis oder fehlendes Budget für Präventivmaßnahmen die Gründe für den achtlosen Umgang mit Daten. Aber nicht nur aus böser Absicht, auch aus Nachlässigkeit können sensible Daten publik werden. Gezielte Maßnahmen helfen dabei, wichtige Zeit zu sparen, in der viel Geld vernichtet und das Image eines Unternehmens nachhaltig beschädigt werden kann.
Unabdingbar ist ein genau strukturiertes Krisenmanagement. Im Ernstfall müssen viele Stellen im Unternehmen schnell und effektiv zusammenarbeiten: von den IT-Experten über die Rechtsabteilung, die Revision- und Compliance-Bereiche bis hin zum Betriebsrat und den Datenschutzbeauftragten. Gerade in großen Konzernen kann es sonst Tage dauern, bis alle Beteiligten ins Boot geholt werden können.
Nur die wenigsten kennen all die rechtlichen Vorgaben, die es im Umgang mit Daten gibt. So ist die erste Reaktion vieler Firmenchefs, dass sie ein etwaiges Datenleck schnell und diskret stopfen und den Kreis der Informierten möglichst klein halten wollen. So nachvollziehbar diese Reaktion ist, so leichtsinnig kann sie sein. Denn angesichts der engen Grenzen des Bundesdatenschutzgesetzes ist es in manchmal sogar notwendig, die Datenschutzaufsicht und die Betroffenen zu informieren.

Mitarbeiter korrekt kontrollieren

Selbst wenn der dringende Verdacht besteht, dass ein Mitarbeiter sensible Daten weiterreicht, darf sein E-Mail-Postfach erst dann gescannt werden, wenn Betriebsrat und Datenschutzbeauftragter ihr Einverständnis gegeben haben. Schließlich handelt es sich um eine Verhaltens- oder Leistungskontrolle eines Arbeitnehmers.
Besonders komplex werden solche rechtlichen Fragestellungen bei international tätigen Unternehmen. In den EU-Staaten gelten hier andere Vorgaben als beispielsweise in den USA. Entsprechend dürfen personenbezogene Daten einer europäischen Tochtergesellschaft nicht einfach an den amerikanischen Mutterkonzern übermittelt werden.

Aktuelles Urteil zu Sicherheitskopien: Zweckbindung

Erst kürzlich hat der Verwaltungsgerichtshof in Mannheim zugunsten des früheren baden-württembergischen Ministerpräsidenten entschieden: Wenn in der Vergangenheit aus technischen Gründen Sicherheitskopien von E-Mails gemacht wurden, dann dürfen diese auch tatsächlich nur zu diesem Zweck benutzt werden.
Was für viele Unternehmen zunächst wenig relevant klingt, betrifft tatsächlich alle, die ihre Daten mit Back-ups absichern. Diese dürfen nach diesem Urteil nicht verwendet werden, um einem Mitarbeiter einen Datenverrat nachzuweisen.

Tipp: Betriebsvereinbarung

Eine gute Lösung können Betriebsvereinbarungen sein. So können Firmen individuell festlegen, dass sie bei Hinweisen auf Wirtschaftskriminalität sehr wohl auf ältere Sicherheitskopien zugreifen dürfen.
Ähnliches gilt für E-Mails: Auch hier können Arbeitgeber und Betriebsrat vereinbaren, dass E-Mails gescannt werden dürfen, wenn ein Verdacht auf kriminelle Handlungen besteht. Wichtig ist in jedem Fall, dass die Firmen bereits bei der Vorbereitung auch die Verhältnismäßigkeit im Auge behalten.
Unternehmen müssen Datenschutz und Datensicherheit zur Top-Priorität erklären und sich wappnen. Schließlich ist es besser den Notfallplan niemals zu brauchen, als unvorbereitet in die Krise zu stürzen.

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.