„Die Mitarbeiter sind das größte Gefahrenpotenzial“, warnt Heldele-Experte Thorsten Kolley seine Zuhörer. Denn per privatem USB-Stick, DVD-Laufwerk oder E-Mail hätten sie in vielen Betrieben dutzende Möglichkeiten, Viren einzuschleppen oder firmeninterne Daten abzusaugen. Und weil das Bundesdatenschutzgesetz umgekehrt vorschreibt, dass ausschließlich betriebliche E-Mails zu speichern sind, während private E-Mails oder personenbezogene Daten unzulässig sind, dürften Mitarbeiter vom Unternehmen aus nicht mehr privat mailen oder surfen.
Koreferent Andreas Zimmermann empfiehlt: Die Mitarbeiter über Gefahren und Rechtslage schulen und jeden Einzelnen unterschreiben lassen, dass er vom Büro aus keine privaten E-Mails versendet. „Dann kann Sie der Mitarbeiter nicht verklagen, wenn Sie sämtliche Vorgänge speichern“, sagt der Inhaber von Consilium Beratung in Göppingen. Für die Datensicherung empfiehlt er ein stets aktualisiertes Notfallhandbuch, das lückenlos Standards, Zuständigkeiten, Vertretungen und Codes dokumentiert.
„Wer einmal täglich alle Dateien sichert, riskiert im Einzelfall, dass ihm die Daten von 23 Stunden verloren gehen“, holt Kolley seine Zuhörer aus ihrer vermeintlichen Sicherheit. Entsprechend müsse jeder Unternehmer selbst einschätzen, wie viel Datenverlust er im Einzelfall riskiert (RPO = Recovery Point Objektive) und wie viele Minuten oder Stunden es dauern darf, die Daten wiederherzustellen (RTO = Recovery Time Objektive).
Weil Datensicherung die Rechnerschnelligkeit reduziert, habe es sich bewährt, unter der Woche immer nur die Differenz zu sichern und nachts oder am Wochenende ein Full-Backup zu machen. Die jüngste Kopie, eventuell verschlüsselt räumlich getrennt vom Firmensitz, werde im Ernstfall zum neuen Original. „Sie müssen aber immer wieder testen, testen, testen“, schärft der Referent ein. Denn automatisierte Verfahren gäben nicht die Gewähr, dass tatsächlich geschieht, was man will.
Im Handbuch müsse auch geklärt sein, wer wie verschlüsselt; wo diese Schlüssel liegen und wer die Vertretung macht, wenn der Zuständige nicht da ist. Sämtliche Arbeitsschritte seien auch zu prüfen, wenn das Unternehmen seine Daten nicht mehr auf dem eigenen Server, sondern in einer öffentlichen Cloud hinterlegt.
Dass Unternehmen eine Informationspflicht haben, wenn ihnen eine Datenpanne passiert, darauf weist Zimmermann hin. Der Consilium-Inhaber beruft sich dabei auf die Novelle des Bundesdatenschutzgesetzes vom September 2009. Darin ist geregelt, dass man etwa über Anzeigen in FAZ oder taz die Betroffenen informieren muss. Erstes Unternehmen sei der Anlageberater AWD gewesen, der versehentlich Kundenverträge online gestellt hatte. Von seinem damaligen Imageschaden habe sich der Anlageberater nicht mehr erholt.
Für die Kooperation mit externen Partnern verweist Zimmermann auf zehn Punkte, die auch gesetzlich geregelt sind, wenn etwa Datenverarbeitung für die Lohnabrechnung nach außen vergeben wird. So dürfen personenbezogene Daten nur verschlüsselt versandt werden. Das Beschäftigten-Datenschutzgesetz wiederum regelt, wie mit gespeicherten GPS-Daten aus Navis, Videobändern, biometrischen Daten oder der Pflicht zur Unterrichtung der Betroffenen umzugehen ist.
Der Referent macht deutlich, dass es auch eine Pflicht zum Monitoring gibt, also der Sicherstellung, dass alle Vorschriften eingehalten werden. Arbeitgebern empfiehlt er, gerade auch im Hinblick auf Apps und Social Media, innerbetriebliche Richtlinien und arbeitsrechtliche Konsequenzen zu definieren, wie man Schaden von der Firma abhält. Vor dem Hintergrund des Fachkräftemangels werde es aber schwierig, einerseits sensible Restriktionen durchzusetzen und andererseits junge Mitarbeiter für das eigene Unternehmen zu gewinnen, die völlig sorg- und schutzlos mit den Medien umgingen. Für Zimmermann ist deshalb zwingend, alle EDV-Schnittstellen zu schließen. Mitarbeiter könnten dann während der Arbeit über eigene Smartphones immer noch privat surfen oder mailen, wenn der Chef ihnen das zugestehen will. -