Risiko "Datenverrat"

Wie man wichtige Daten in Unternehmen schützt

Barbara Scheben ist Rechtsanwältin und leitet als Partner das Frankfurter Forensic Office der KPMG. Sie führt forensische Sonderuntersuchungen durch und unterstützt Unternehmen bei compliancerelevanten Themen im Bereich Prävention, Aufdeckung und Aufklärung von Wirtschaftskriminalität. Daneben berät sie zur Datenschutzorganisation und ist in die Aufklärung von Datenschutzverstößen sowie IT-Sicherheits- und Cybercrimevorfällen involviert. Außerdem ist sie regelmäßig als Autorin und Referentin tätig.

 

 

 

 

 

Trotz der steigenden Zahl von Hackerangriffen geht die Mehrheit der Firmen noch immer erschreckend sorglos mit sensiblen Daten um. Dabei kann ein gut vorbereiteter Aktionsplan helfen, im Fall der Fälle wertvolle Zeit zu gewinnen.
Barbara Scheben: "Im Ernstfall müssen viele Stellen im Unternehmen schnell und effektiv zusammenarbeiten. Das spart Zeit und sichert das Unternehmen ab."
Barbara Scheben: "Im Ernstfall müssen viele Stellen im Unternehmen schnell und effektiv zusammenarbeiten. Das spart Zeit und sichert das Unternehmen ab."
Foto: KPMG

Deutsche Managerinnen und Manager lieben das Risiko. Dieser Eindruck drängt sich zumindest auf, wenn man betrachtet, wie sorglos die überwiegende Mehrheit der Unternehmen noch immer mit ihren Daten umgeht. 43 Milliarden Euro - so hoch ist nach KPMG-Analysen der Schaden, der deutschen Firmen jedes Jahr entsteht, weil ihre Daten gestohlen, missbraucht oder nachlässig gesichert werden. Und obwohl das Risiko, Opfer eines Datendiebstahls zu werden, weiter steigt, scheint in vielen Führungsetagen nach wie vor das Motto zu herrschen: Kontrolle ist gut, Vertrauen ist besser. Zu viele Entscheider beschäftigen sich erst dann mit Datenschutz und Datensicherheit, wenn es schon zu spät ist.

Es sind meist banale Dinge, an denen es in der Praxis fehlt. Ein Beispiel ist die Berechtigung - also die Frage, wer auf welche internen Daten zugreifen kann. Wenn ein neuer Mitarbeiter oder eine neue Mitarbeiterin verschiedene Stationen durchläuft, dann wird er oder sie in der Regel nach und nach für immer mehr Datensätze freigeschaltet: für den Vertrieb, für den Einkauf, für die Buchhaltung. Nur selten aber werden die Mitarbeiter für die Daten, die sie nicht mehr benötigen, auch wieder gesperrt. Ähnliches beobachten wir in Unternehmen, in denen Externe Zugriff auf Daten haben: Häufig können solche Berater oder Systemadministratoren echte Kundendaten einsehen. Dabei wäre es ein Leichtes, die Berechtigungen anzupassen oder die Daten zu anonymisieren, um diese vor einem potenziellen Missbrauch zu schützen. Allein, es kümmert sich zu selten jemand darum.

Vorsicht ist besser als Nachsicht

Es ist schwer zu erklären, was die Gründe für den noch laxen Umgang mit Daten sind. Mal fehlt das Geld für Präventivmaßnahmen, mal das Verständnis. Und oft wird übersehen, dass sensible Daten nicht nur aus böser Absicht, sondern auch aus reiner Nachlässigkeit an die Öffentlichkeit geraten können. Dabei helfen ein paar gezielte Maßnahmen, im Ernstfall wichtige Zeit zu sparen. Zeit, in der viel Geld vernichtet und das Image eines Unternehmens nachhaltig beschädigt werden kann.

Unabdingbar ist ein genau strukturierter Prozess für das Krisenmanagement. Im Ernstfall müssen viele Stellen im Unternehmen schnell und effektiv zusammenarbeiten: von den IT-Experten über die Rechtsabteilung, die Revision- und Compliance-Bereiche bis hin zum Betriebsrat und den Datenschutzbeauftragten. Firmen ersparen sich viel Arbeit, wenn sie schon im Vorfeld Ansprechpartner und klare Abläufe festlegen, denn gerade in großen Konzernen kann es sonst Tage dauern, bis alle Beteiligten ins Boot geholt werden können.

Ein solcher Plan spart nicht nur Zeit, sondern sichert die Unternehmen auch ab. Nur die wenigsten kennen alle rechtlichen Vorgaben, die es im Umgang mit Daten gibt. So ist die erste Reaktion vieler Firmenchefs, dass sie ein etwaiges Datenleck möglichst schnell und diskret stopfen - und den Kreis der Informierten möglichst klein halten - wollen. So nachvollziehbar diese Reaktion ist, so leichtsinnig kann sie sein. Denn angesichts der engen Grenzen, die zum Beispiel das Bundesdatenschutzgesetz steckt, ist es in manchen Fällen sogar notwendig, die Datenschutzaufsicht und die Betroffenen zu informieren.

Mitarbeiter korrekt kontrollieren

Selbst wenn der dringende Verdacht besteht, dass ein Mitarbeiter sensible Daten weiterreicht, darf sein E-Mail-Postfach erst dann gescannt werden, wenn der Betriebsrat sein Einverständnis gegeben hat. Schließlich handelt es sich um eine Verhaltens- oder Leistungskontrolle eines Arbeitnehmers. Auch der Datenschutzbeauftragte ist hier einzubinden. Besonders komplex werden solche rechtlichen Fragestellungen bei international tätigen Unternehmen. In Deutschland und den EU-Staaten gelten hier andere Vorgaben als beispielsweise in den USA. Entsprechend dürfen personenbezogene Daten nicht einfach übermittelt werden. Gibt es also ein Datenleck in einer europäischen Tochtergesellschaft, dann dürfen die Erkenntnisse über Täter oder Verlauf nicht ohne Weiteres an den amerikanischen Mutterkonzern weitergegeben werden.

Der mögliche Zugriff auf E-Mail-Postfächer von Mitarbeitern erfordert es, eine Vielzahl von Regularien im Vorfeld zu erfüllen.
Der mögliche Zugriff auf E-Mail-Postfächer von Mitarbeitern erfordert es, eine Vielzahl von Regularien im Vorfeld zu erfüllen.
Foto: fotogestoeber - Fotolia.com

Aktuelles Urteil zu Sicherheitskopien

Wichtig sind in diesem Zusammenhang auch aktuelle Urteile, denn gerade im Umgang mit IT- und personenbezogenen Daten ist derzeit einiges im Fluss. So hat der Verwaltungsgerichtshof in Mannheim erst kürzlich zugunsten des früheren baden-württembergischen Ministerpräsidenten entschieden: Wenn in der Vergangenheit aus technischen Gründen Sicherheitskopien von E-Mails gemacht wurden, dann dürfen diese auch tatsächlich nur zu diesem Zweck benutzt werden - und nicht, wie im vorliegenden Fall, später herangezogen werden, um etwaige Vergehen nachzuweisen. Was für viele Unternehmen zunächst wenig relevant klingt, betrifft tatsächlich alle, die ihre Daten mit Back-ups absichern: Diese können nach diesem Urteil nicht ohne weiteres verwendet werden, um einem Mitarbeiter im Nachhinein einen Datenverrat nachzuweisen. Die Zweckbindung ist hier das entscheidende Stichwort.

Tipp: Betriebsvereinbarung

Eine gute Lösung können Betriebsvereinbarungen sein. Damit können Firmen individuell festlegen, dass sie beispielsweise bei Hinweisen auf Wirtschaftskriminalität sehr wohl auf ältere Sicherheitskopien zugreifen dürfen. Ähnliches gilt in Bezug auf E-Mails: Auch hier können Arbeitgeber und Betriebsrat vereinbaren, dass E-Mails gescannt werden dürfen, wenn ein Verdacht auf kriminelle Handlungen besteht. Wichtig ist in jedem Fall, dass die Firmen schon im Vorfeld tätig werden - und bereits bei der Vorbereitung auch die Verhältnismäßigkeit im Auge behalten. Ist wirklich das Schleppnetz nötig, wenn es auch eine Angel tut? Müssten im Zweifel wirklich Tausende Mitarbeiter überprüft werden - oder ist der Kreis derer, die Zugriff auf wirklich relevante Daten haben, vielleicht kleiner?

Unternehmen müssen also endlich Datenschutz und Datensicherheit zur Top-Priorität erklären und sich für den Ernstfall wappnen. Schließlich ist es besser, gut gerüstet zu sein und den Notfallplan niemals zu brauchen - als unvorbereitet in die Krise zu stürzen. (bw)