Legen Sie Daten in einem Cloud-Speicher wie Google Drive ab, können Sie über das Internet von überall darauf zugreifen. Für das flexible Arbeiten im Homeoffice und unterwegs ist das ideal. Für den Datenschutz aber sieht das ganz anders aus.
Das Ziel: Daten speichern, austauschen und sichern
Wer im Homeoffice oder unterwegs arbeitet, muss manchmal kreativ sein, so scheint es. Viele Möglichkeiten, die im Büro bestehen, hat man außerhalb des Unternehmens nicht. Wollen Sie zum Beispiel wichtige Daten speichern, erscheint die Ablage allein auf dem Notebook oder Tablet nicht ausreichend. Was passiert, wenn das Endgerät verloren geht? Dann war alle Arbeit umsonst.
Im Büro können Sie Ihre Daten in einem Verzeichnis im Netzwerk ablegen. Dort können auch Kolleginnen und Kollegen, die mit den Daten arbeiten müssen, bequem darauf zugreifen. Sind Sie aber unterwegs oder im Homeoffice, fehlen mitunter diese Möglichkeiten zur Speicherung im Netzwerk und zum Datenaustausch. Auch die regelmäßigen Backups lassen sich nicht so einfach zentral durchführen, wenn Sie unterwegs oder im heimischen Büro arbeiten.
Bietet das Unternehmen keine entsprechende Unterstützung oder kennt man die vorgesehenen Lösungen zur Datenspeicherung und zum Datentransfer nicht, wird man schnell erfinderisch. Da gibt es doch Lösungen wie Google Drive oder Dropbox, die sich privat bereits bewährt haben. Erkennen Sie sich wieder? Damit sind Sie nicht allein – leider, aus Sicht des Datenschutzes.
Das Problem: Die sogenannte Schatten-IT
Wählen Sie als Nutzer selbst die Lösungen aus, mit denen Sie Daten speichern und austauschen wollen, sorgen Sie für sogenannte Schatten-IT. Gemeint sind damit ITLösungen, die die zuständige Stelle im Unternehmen nicht geprüft und genehmigt hat. Nutzen Sie ungeprüfte und betrieblich nicht freigegebene Lösungen, können damit Risiken für die Daten verbunden sein, die der IT-Abteilung im Unternehmen nicht bekannt sind. Und diese Risiken lassen sich deshalb auch nicht mit den notwendigen ITSicherheitslösungen abwenden. Das ist gerade bei den Cloud-Speichern der Fall, die jeder einfach, schnell und meist kostenlos nutzen kann.
Die dringende Empfehlung: Bitte keine Eigeninitiative bei der Datenspeicherung
Normalerweise freut sich jedes Unternehmen über die Eigeninitiative der Mitarbeiterinnen und Mitarbeiter. Doch wenn es um die Sicherheit der Daten und die Einhaltung des Datenschutzes geht, ist es weder gut noch gewünscht, selbst nach Lösungen zu suchen.
Betriebliche Daten dürfen nur in betrieblich genehmigten Lösungen gespeichert und darüber ausgetauscht werden. Andernfalls können die Daten in Gefahr geraten, weil die Sicherheit von Lösungen für private Zwecke nicht den hohen Anforderungen eines Unternehmens entspricht. Zudem kann es gerade bei Cloud-Speichern passieren, dass die personenbezogenen Daten in ein Land übermittelt werden, das nicht ohne Weiteres das notwendige Datenschutzniveau bietet.
Verwenden Sie deshalb nur betrieblich genehmigte Anwendungen, auch im Homeoffice und unterwegs! Kennen Sie die Lösung nicht, fragen Sie bitte nach.
Zu unserer gewohnten Mandanteninformation im Anhang haben wir nachfolgend noch ein paar Neuigkeiten, die wir Ihnen hiermit mitteilen:
Einsatz von „Cookiebot“ rechtswidrig
Sollten Sie z.B. den Cookie-Banner-Anbieter „Cookiebot“ verwenden, empfehlen wir aus unserer Sicht zu einem Anbieter innerhalb der EU/EWR zu wechseln, da dieser sehr stark in Kritik geraten ist und vom Verwaltungsgericht Wiesbaden als rechtswidrig erklärt wurde. Bitte prüfen Sie ob Ihr Cookie-Banner-Anbieter in einem Drittland ansässig ist, um eine unrechtmäßige Datenübermittlung außerhalb der EU/EWR zu vermeiden.
Nachzulesen unter: https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/cookie-dienst
Kritische Schwachstelle bei log4j
In der Protokollierungsbibliothek log4j warnt das Bundesamt für Sicherheit und Informationstechnik (BSI) vor einer äußerst kritischen Schwachstelle, die es Angreifern ermöglicht auf betroffenen Systemen Programmcodes auszuführen. Aktuell ist das Ausmaß der Bedrohung noch nicht abschätzbar. Es sind jedenfalls unzählige Produkte betroffen. Bitte gehen Sie, wie in der Handlungsempfehlung des BSI beschrieben, vor.
Meldung des BSI nachzulesen unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
Handlungsempfehlung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=9
Prüfunterlagen für Schutzmaßnahmen gegen Ransomeware
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Prüfunterlagen veröffentlicht, welche Sie nutzen können, um die eigenen Schutzmaßnahmen gegen Ransomeware, sowie die Reaktionsfähigkeit auf aufsichtsbehördliche Prüfverfahren zu erproben. Hier empfehlen wir Ihnen die nachfolgenden Prüfunterlagen (Anschreiben, Antwortbogen, Handreichung, Infoblatt im Anhang) des LDA Bayern durchzuarbeiten, um beim Auftreten einer Datenpanne in diesem Bereich gewappnet zu sein. Bitte bewahren Sie die ausgefüllten Unterlagen zu Ihrer internen Dokumentation auf.
Mit dem nachfolgenden Link gelangen Sie auch direkt zu den Prüfunterlagen: https://www.lda.bayern.de/de/kontrollen_stabsstelle.html
Risikobewertung (TIA) ist vor Abschluss der Standardvertragsklauseln mit einem Dienstleister aus einem Drittland durchzuführen
Wir möchten Sie über eine weitere Neuheit in der Welt des Datenschutzes informieren. Das Transfer Impact Assessment (kurz: TIA) ermöglicht eine weitere Form der Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Pflicht zur Durchführung einer TIA ergibt sich unmittelbar aus den neuen Standardvertragsklauseln. Bevor Sie ein Vertragsverhältnis (Übermittlung von personenbezogenen Daten) mit einem Anbieter aus einem Drittland (z. B. USA) eingehen, muss eine Risikobewertung (TIA) durchgeführt werden. Derzeit sind wir an der Überarbeitung dieses Dokuments, welches wir Ihnen nach Fertigstellung umgehend zur Verfügung stellen werden.