Vermeintlich einfache Anmeldung kann Probleme im Datenschutz verursachen
Im vergangenen Blog haben wir Hinweise dazu gegeben, worauf man bei der Nutzung von privaten Endgeräten für geschäftliche Vorgänge achten sollte. Dabei haben wir auf die Fallstricke und nötige Sicherheitsvorkehrungen – vor allem im Bereich Datenschutz aufmerksam gemacht.
BLOG-TIPP: DATENSCHUTZ – PRIVATE ENDGERÄTE IM UNTERNEHMEN NUTZEN
Darüber hinaus kommt es aber auch immer häufiger vor, dass bereits vorhandene Identitäten auf Zugängen von Apps oder die Identität von Mitarbeitern genutzt werden, um Geräte einzurichten oder zu verwenden. Auch die im privaten Gerät hinterlegten Identitäten des Nutzers, werden teilweise – wissend oder nicht – genutzt. Dadurch kann auf unterschiedlichen Ebenen eine Schwachstelle für den Datenschutz entstehen.
Identität des Mitarbeiters nutzen – Was bedeutet das?
Wie bereits beschrieben, nutzen immer mehr Unternehmen und andere Organisationen die privaten Geräte von Mitarbeitern oder erlauben ihren Mitarbeitern die geschäftlichen Geräte auch privat zu nutzen.
Nicht nur die Nutzung der unterschiedlichen Geräte kann dabei zu einer Vermischung führen, sondern auch die Nutzung der sogenannten „Identitäten“. Darunter versteht man, dass zum Beispiel ein Gerät mit den bereits vorhandenen Zugangsdaten eines Mitarbeiters eingerichtet wird. Dazu gehören zum Beispiel Google-Konten oder auch Accounts verschiedener Anbieter von Geräten. Oft wird zur Einrichtung des Endgerätes ein solcher Zugang benötigt.
Einrichtung vermeintlich einfacher
Der Einfachheit halber werden hier oft die vorhandenen Identitäten des Mitarbeiters genutzt. Vor allem, wenn die Geräte auch privat genutzt werden dürfen, vereinfacht es dem Mitarbeiter die Nutzung und den Zugriff auf bereits vorhandene Einstellungen, Apps und Daten.
Auch für den Verantwortlichen ist die Nutzung vermeintlich einfacher und schneller, es muss kein separates Konto eingerichtet werden. Voreinstellungen werden übernommen.
Gefahr der Vermischung von personenbezogenen Daten
Auch wenn vorhandene – zum Beispiel private – Endgeräte vom Mitarbeitenden genutzt werden, greift man in der Regel auf die bereits hinterlegten Identitäten und Anmeldungen zurück.
Eine andere Möglichkeit der überkreuzenden Nutzung von Identitäten zwischen privaten und geschäftlichen Zugängen, kann durch die Verwendung zum Beispiel von Office-Programmen oder ähnlichen sein. Kann also zum Beispiel ein Schreibprogramm, eine E-Mail-Anwendung auch mit privaten Zugängen verknüpft werden, werden die Anmeldungen vermischt.
Wenn die Nutzung der privaten und geschäftlichen Zugänge nicht entsprechend getrennt werden, kann eine Vermischung von unterschiedlichen Daten die Folge sein. Eine Gefahr für den Datenschutz ist dann gegeben, wenn eine unberechtigte Weitergabe oder ein Abgriff von personenbezogenen Daten erfolgt.
Personenbezogene Daten können vermischt werden
Bei der Vermischung der personenbezogenen Daten kann es auf unterschiedlichen Ebenen problematisch werden. Daten des Mitarbeiters können unbeabsichtigt in die Prozesse des Unternehmens oder an Dritte geraten. Personenbezogene Daten von Betroffenen, deren Daten in den Organisationen verarbeitet werden, können durch Apps oder andere Schnittstellen an unbefugte Dritte weitergegeben oder durch diese abgegeben, gelöscht oder auch verändert werden.
Es muss also unbedingt darauf geachtet werden, dass eine solche Vermischung der personenbezogenen Daten vermieden wird und diese durch die nötigen technischen und organisatorischen Maßnahmen geschützt werden. Bei Rückgabe der firmeneigenen Geräte sollte außerdem auf vollkommene Löschung der Identitäten geachtet werden. Eine Vermischung der Identitäten sollte, wenn möglich vermieden werden. Zur Einrichtung und Nutzung der Geräte sollten ein IT-Fachmann und der (externe) Datenschutzbeauftragte hinzugezogen werden.
BLOG-TIPP: TOM NACH DS-GVO FÜR UNTERNEHMEN IN KÖLN, BONN, GUMMERSBACH UND UMGEBUNG
Vorhandene Geräte, Identitäten und Tokens kritisch bewerten
Auch wenn die Nutzung vorhandener Geräte, Identitäten und Smartphone-Tokens im ersten Moment praktikabel erscheint. So sollte deren Nutzung weder vorschnell noch leichtsinnig erfolgen. Die datenschutzkonforme Handhabung der unterschiedlichen Ebenen stellt für Unternehmen nicht selten eine komplizierte Aufgabe im Alltag dar.
Gerade die zunehmende und schwer kontrollierbare Menge an Daten kann zu Problemen und Schwachstellen führen, die irgendwann nicht mehr überschaubar sind. Die betriebliche Zugangskontrolle kann unter Umständen nicht mehr gewährleistet werden.
Sicherheiten prüfen
Wenn entschieden wird, dass private Endgeräte auch betrieblich genutzt werden sollen, ist eine Sicherheitsprüfung von Gerät und Zugängen eine wichtige Grundlage. Auch private Apps oder andere Zugänge, die auf einem geschäftlichen Endgerät genutzt werden dürfen, müssen einer solchen Prüfung unterzogen werden.
Ein Augenmerk sollte dabei auf mögliche Schwachstellen in der Datenweitergabe, Schadstoffsoftware und so weiter gelegt werden. Betriebliche Schnittstellen müssen entsprechend gesichert werden und auch bei Verlust des Endgerätes muss der Schutz durch entsprechende Zugangssicherungen gewährleistet sein. Kennwörter und Zugangsbeschränkungen stellen dabei eine wichtige Grundlage dar.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – SICHERE KENNWÖRTER
Sicherheitsstandards prüfen
Vor allem bei der Verwendung von Apps, ist deren Sicherheit zu prüfen und die Zuverlässigkeit des Identitätsanbieters zu bewerten. Alle Vorgaben des Datenschutzes müssen auch hierbei eingehalten werden – Grundlagen hierfür sind die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG). Es sollte die Unverkettbarkeit der Zugänge in jedem Fall sichergestellt werden.
Umsetzbarkeit für den Datenschutz prüfen
Je mehr Verantwortliche sich damit auseinandersetzen, welche Risiken im Datenschutz bei dieser Vermischung von Zugängen und Geräten entstehen könnten, desto deutlicher wird das Risiko und die Komplexität im Umgang.
Überwiegen die Gründe, warum die Nutzung von privaten Identitäten geschäftlich genutzt werden oder umgedreht, so sollte vorab eine genaue und ausgiebige Analyse der Vorgänge erfolgen. Darüber hinaus muss auch das Risiko für die einzelnen Gruppen von Betroffenen genau bewertet werden und alle Vorgaben im Datenschutz genau betrachtet werden. Kann in allen Bereichen der Datenschutz sichergestellt werden und das Risiko für den Betroffenen minimalisiert werden.
Dabei sollte in jedem Fall der (externe) Datenschutzbeauftragte hinzugezogen werden, der die Einhaltung der Vorgaben prüfen und bewerten kann. Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.