Auf einmal standen die privaten Daten Hunderter Politiker und Prominenter im Netz: Telefonnummern, Chatverläufe, Rechnungen, Verträge und E-Mail-Adressen. Der Anfang Januar bekannt gewordene Hackerangriff[1] sorgte nicht nur bei den Betroffenen für Verunsicherung und Ratlosigkeit, sondern auch bei anderen Online-Nutzern. Viele Fragen bleiben unbeantwortet.
Für die meisten Bürger ist der Verlust persönlicher Daten vermutlich so etwas wie der Super-GAU. Möglicherweise hält sich der finanzielle Schaden in überschaubaren Grenzen, trotzdem können die individuellen Folgen – beispielsweise im Fall eines Identitätsdiebstahls – schwerwiegend sein. Wenn hingegen Unternehmen Daten abhandenkommen oder gestohlen werden, gehen die Schäden nicht nur schnell in die Millionen- oder sogar Milliardenhöhe, sondern betreffen auch das Image des Unternehmens. Die Mehrheit der Unternehmen müssen daher inzwischen Maßnahmen zum Datenschutz ergreifen.

Zu den besonders schützenswerten Dateien gehören selbstverständlich nicht nur vertrauliche Unternehmensdaten und Geschäftsgeheimnisse, sondern auch die persönlichen Daten der Mitarbeiter. Daraus ergeben sich im Personalwesen hinsichtlich Datensicherheit und Digitalisierung zwei Aufgaben:

1. Der Schutz für die Daten der Mitarbeiter
2. Die Schulung der Mitarbeiter zum sicheren Umgang mit schützenswerten Daten

Sicherer Datentransfer in Unternehmen

In Unternehmen gilt es interne Datentransfers genauso abzusichern wie die Kommunikation nach außen. Denn wenn beispielsweise Volkswagen Deutschland einen Mitarbeiter für einige Jahre nach Mexiko in das konzerneigene Werk in Puebla schickt, müssen die Personalabteilungen die Daten des Mitarbeiters versenden können, ohne rechtlich dafür belangt werden zu können.

Bereits 2015 beschäftigte sich der Hessische Datenschutzbeauftragte Professor Dr. Michael Ronellenfitsch in seinem 44. Tätigkeitsbericht unter anderem auch damit, worauf ein Konzern achten muss, wenn zwischen verschiedenen Unternehmen personenbezogene Daten übermittelt werden.

Demnach ist eine besonders geschützte Datenübermittlung dann erforderlich, wenn

• der Arbeitsvertrag bei Vertragsabschluss einen für den Betroffenen erkennbaren Bezug zum Konzern aufweist, etwa im Hinblick auf Tätigkeiten, die auch in anderen Konzernunternehmen zu verrichten sind.
• bei Einstellung des Beschäftigten deutlich erkennbar ist, dass die Verarbeitung der Personaldaten in anderen Konzernunternehmen liegt.

In beiden Fällen muss der Mitarbeiter über die verantwortliche Stelle, den Zweck der Verarbeitung und die Kategorien der Empfänger der Daten informiert sein (vgl. DSGVO Art. 6, „Rechtmäßigkeit der Verarbeitung“). Erst dann ist die Datenübermittlung überhaupt legitim.

Trotzdem sind die Personalabteilung und die Konzernleitung gut beraten, sich darüber hinaus auf besonders abgesicherte Übermittlungswege zu verlegen – ganz besonders dann, wenn die Daten Ländergrenzen überschreiten.

Geeignete Infrastrukturen nutzen

Zu den Aufgaben der Personalabteilung gehört es daher, eine Transferlösung zu finden, mit der sich die personenbezogenen Daten möglichst geschützt austauschen lassen und nicht unfreiwillig an unbefugte Dritte gelangen können.

Wenn beispielsweise ein neuer Mitarbeiter eingestellt wurde, muss die die Personalabteilungen zunächst überprüfen, welche Daten zu versenden sind (Arbeitsvertrag, Steuerunterlagen, Personalbogen u.a.). Dann gilt es,

• mit Hilfe des Schutzbedarf-Rechners ermitteln[2], welche Schutzklasse die Daten tatsächlich benötigen und anschließend
• einen zertifizierten Cloud-Dienst mit der entsprechenden Schutzklasse auswählen.

Hierbei spielt auch die Frage eine Rolle, ob es nur um die Übertragung von Daten geht oder auch um deren Verarbeitung. Die Verarbeitung von Daten erfordert nämlich zwingend, dass diese zu einem gewissen Zeitpunkt unverschlüsselt auf den Cloud-Servern vorliegen. Klassische Lösungsansätze wie Ende-zu-Ende-Verschlüsselung sind in diesem Fall ungeeignet: Eine sichere Datenübertragung ist damit zwar möglich, eine Verarbeitung allerdings nicht.

Liegen die Daten jedoch unverschlüsselt auf den Servern, so dass sie verarbeitet werden könnten, besteht die Möglichkeit eines unbefugten Zugriffs, beispielsweise durch den Betreiber der Infrastruktur oder sein Personal. In vielen Rechenzentren ist dieser Personenkreis lediglich durch organisatorische Maßnahmen vom Zugriff auf die Daten ausgeschlossen. Diese Maßnahmen lassen sich jedoch verhältnismäßig leicht umgehen oder aushebeln. Ein nicht zu vernachlässigendes Restrisiko bleibt also bestehen.

Viele Anbieter machen außerdem gar keine konkreten Angaben zur Sicherheit der Daten bei der Verarbeitung im Rechenzentrum – Unternehmen sollten bei der Auswahl einer geeigneten Lösung also unbedingt darauf, was zu den Themen Rechenzentrum-Sicherheit und Datenverarbeitung geschrieben wird!

Mit Zertifikaten absichern

Bei der Suche nach einer geeigneten Infrastruktur können aussagekräftige Zertifikate helfen. Passt die Schutzklasse einer Infrastruktur zum ermittelten Schutzbedarf der Daten – und lässt sich dies darüber hinaus mit einem passenden Zertifikat oder Datenschutzsiegel belegen – gelten die von der DSGVO geforderten Kontrollpflichten (vgl. DSGVO Art. 42) als erfüllt. Den Zertifikaten und Siegeln kommen mit der DSGVO also auch rechtliche Wirkungen zu. Dazu muss die Zertifizierung allerdings durch eine Aufsichtsbehörde genehmigt sein. Die Stiftung Datenschutz bietet auf ihrer Internetseite einen umfangreichen Überblick zu derzeit 32 Anbietern von Zertifizierungen und Gütesiegeln[3] an; alle hier genannten Zertifizierungsstellen sind allerdings noch nicht akkreditiert und besitzen daher nur eingeschränkte Aussagekraft.

Für Aussagen zur Datenschutzkonformität sind unter anderem der Trusted Cloud Data Protection- (TCDP)[4] sowie seit einiger Zeit der AUDITOR-Kriterienkatalog[5] relevant. AUDITOR ist ein Nachfolgeprojekt des Trusted Cloud Datenschutz-Profils für Cloud-Dienste des Bundesministeriums für Wirtschaft und Energie (BMWi), an dem neben dem Bundesministerium für Sicherheit in der Informationstechnik (BSI) und dem Kompetenznetzwerk Trusted Cloud e.V.[6] auch die Uniscon GmbH als assoziierter Partner mitwirkt. Ziel des Projekts ist die Konzeptionierung, Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Als Dienste, die bereits in der höchsten Schutzklasse (Schutzklasse III) nach dem TCDP zertifiziert sind, wären unter anderem die versiegelte Cloud der Telekom, ucloud von regio IT und iDGARD der TÜV-SÜD-Tochter Uniscon zu nennen. Alle drei Lösungen basieren auf Uniscons Sealed-Cloud-Technologie, die mit rein technischen Maßnahmen sicherstellt, dass Daten und Metadaten sowohl bei der Übertragung und Speicherung als auch bei der Verarbeitung im Rechenzentrum zuverlässig geschützt sind. Auch der Betreiber des Rechenzentrums und seine Mitarbeiter sind auf diese Weise vom Zugriff ausgeschlossen.

Für einen bewussten Umgang mit vertraulichen Daten sorgen

Selbst mit einer sicheren Infrastruktur kann es durch Anwenderfehler zu Datenverlusten kommen. Um schützenswerte Daten zuverlässig abzusichern, müssen auch die Mitarbeiter eines Unternehmens entsprechend sensibilisiert und nicht zuletzt im Umgang mit den vorhandenen Infrastrukturen geschult werden.

Studien zeigen, dass es häufig vor allem der technische Aufwand ist, der Unternehmen bzw. deren Mitarbeiter davon abhält, bereits existierende Lösungen beispielsweise zur Verschlüsselung von E-Mails einzusetzen[7]. Unternehmen sind also gut beraten, Infrastrukturen zu wählen, die einfach zu bedienen sind und sich möglichst nahtlos in die gewohnte Arbeitsumgebung integrieren lassen.

Fazit: Sicherheit durch Technologie

Unternehmen, die Datenlecks und -verluste vermeiden möchten, sollten auf sichere Technologien und Infrastrukturen setzen. Außerdem müssen sie ihre Mitarbeiter darauf sensibilisieren, diese Technologien auch konsequent einzusetzen: Nur Anwender, die bewusst mit persönlichen Daten, Passwörtern und IT-Systemen umgehen, können auch entsprechende Maßnahmen zu deren Schutz ergreifen. Und die sicherste Lösung nützt nichts, wenn vertrauliche Daten in unsicheren Public Clouds liegen oder in unverschlüsselten Mails durch die Weltgeschichte gesendet werden. Denn: Sicherheit beginnt im Kopf.

[1] https://www.heise.de/newsticker/meldung/Politiker-und-Promhack-Tatverdaechtiger-in-Hessen-festgenommen-4267663.html

[2] https://goo.gl/959K7b

[3] https://stiftungdatenschutz.org/zertifizierung/zertifikate-uebersicht/

[4] https://tcdp.de/

[5] http://www.auditor-cert.de/

[6] https://www.trusted-cloud.de/

[7] https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/einsatz-von-elektronischer-verschluesselung-hemmnisse-fuer-die-wirtschaft-langfassung.pdf?__blob=publicationFile&v=6