Die DSGVO und Arbeiten von zu Hause | DSGVO-Richtlinien für Fernzugriff

Zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen mit externen Mitarbeitern besondere Schritte unternehmen, um ihre Daten zu sichern und den Zugang der Mitarbeiter zu verwalten.

Share facebook icon linkedin icon twitter icon email icon

Fernzugriff gemäß DSGVO

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Sie verstehen, wie die DSGVO externe Mitarbeiter betrifft
  • Sie wissen, was in Richtlinien für Fernzugriff enthalten sein muss
  • Sie wissen, wie Cloudflare Unternehmen bei der Einhaltung der DSGVO hilft

Was ist die DSGVO?

Die Datenschutz-Grundverordnung oder DSGVO ist ein Regelsatz zur Sammlung, Speicherung und Verarbeitung personenbezogener Daten. Die DSGVO betrifft alle Unternehmen, die Daten über Bürger der Europäischen Union (EU) sammeln. Unternehmen, die gegen die DSGVO verstoßen, müssen mit hohen Bußgeldern und Strafen rechnen. Das gilt auch für Unternehmen außerhalb der EU.

Die Einhaltung der DSGVO kann für jedes Unternehmen eine Herausforderung darstellen, und mit externen Mitarbeitern wird die Aufgabe noch komplexer. Wenn einige oder alle Mitarbeiter oder Auftragnehmer eines Unternehmens von zu Hause aus arbeiten, haben interne Datenschutzteams weniger Kontrolle und Einblicke in die Datensicherheit. Solide Sicherheitsrichtlinien für Fernzugriff tragen zur Absicherung der Mitarbeiter und vertraulicher von der DSGVO geschützter Daten bei.

Was sind Richtlinien für Fernzugriff?

Richtlinien für Fernzugriff stellen eine Sammlung von Sicherheitsnormen für externe Mitarbeiter und Geräte dar. Sie werden gewöhnlich vom IT- oder Datenschutzteam eines Unternehmens zusammengestellt. Der Einsatz von virtuellen privaten Netzwerken (VPN), die Installation von Anti-Malware-Software auf den Geräten der Mitarbeiter oder mehrstufige Authentifizierung (MFA) sind alles Beispiele für Maßnahmen, die in Sicherheitsrichtlinien für Fernzugriff enthalten sein können.

Welche Anforderungen enthält die DSGVO?

Die DSGVO ist eine sehr umfangreiche Sammlung von Bestimmungen. Kurz zusammengefasst enthalten die Anforderungen der DSGVO Folgendes:

  • Verbraucher müssen darauf hingewiesen werden, welche Daten über sie gesammelt werden.
  • Ein Unternehmen muss die personenbezogenen Daten eines Verbrauchers löschen, wenn er dies verlangt.
  • Verbraucher müssen ihre Daten von einem Unternehmen zu einem anderen verlegen können.
  • Unternehmen müssen eine klare, unmissverständliche Zustimmung von Verbrauchern erhalten, bevor sie ihre Daten sammeln.
  • Personenbezogene Daten müssen verschlüsselt werden.
  • Personenbezogene Daten müssen „pseudonymisiert“ werden, damit sie nicht mit einer bestimmten Person in Verbindung stehen.
  • Unautorisierte Personen dürfen keinen Zugriff auf personenbezogene Daten haben.
  • Unternehmen, die einer Datenschutzverletzung ausgesetzt sind, bei der personenbezogene Daten bloßgestellt werden, müssen unverzüglich die zuständigen Behörden verständigen.
  • Unternehmen dürfen personenbezogene Daten nicht mit Drittanbietern in Regionen teilen, in denen die DSGVO nicht gilt, oder mit Drittanbietern, die die Richtlinien nicht einhalten.
  • Alle Unternehmen ab einer bestimmten Größe müssen einen speziellen Datenschutzbeauftragten ernennen.

Einige dieser Anforderungen werden vom Einsatz externer Mitarbeiter nicht betroffen, andere haben jedoch unmittelbar damit zu tun. Da die Datensicherheit ein Hauptanliegen der DSGVO darstellt, müssen Unternehmen, die ihren Mitarbeitern erlauben, von zu Hause aus zu arbeiten, außerdem die richtigen Schritte zum Schutz der Daten unternehmen, auf die ihre Mitarbeiter externen Zugriff haben.

Was sind die Anforderungen der DSGVO für Datenzugriff außerhalb der EU?

Viele EU-Unternehmen haben Filialen oder externe Mitarbeiter in anderen Ländern der Welt. Solange personenbezogene Daten innerhalb derselben Organisation bleiben und nicht bloßgelegt werden, erfüllen diese Unternehmen die DSGVO immer noch, auch wenn ein autorisierter Mitarbeiter in einer Region außerhalb des Geltungsbereichs der DSGVO auf die Daten zugreift.

Stellen Sie sich zum Beispiel vor, dass Bob bei einem Unternehmen in Frankreich angestellt ist, das Verbraucherdaten sammelt, und dann einen Monat in den USA arbeitet (wo die DSGVO nicht gilt). Sein Unternehmen erfüllt die DSGVO immer noch, auch wenn Bob von seinem Laptop in den USA aus auf die Verbraucherdaten zugreift. Das gilt natürlich nur, solange die Daten sicher bleiben.

Diese Argumentation kann jedoch nicht auf unabhängige Auftragnehmer und externe Agenturen angewendet werden, weil es sich dabei um Dritte außerhalb der Organisation handelt. Wenn ein nichtkonformer externer Auftragnehmer in einem anderen Land auf Daten aus Bobs Unternehmen zugreift, verstößt er damit gegen die DSGVO.

Daher ist es wichtig, starke Zugriffskontrollen einzurichten, wenn Mitarbeiter über viele Regionen verteilt sind. Nur designierte, autorisierte Personen innerhalb der Organisation dürfen in der Lage sein, auf Daten von EU-Bürgern zuzugreifen.

Was sollten Unternehmen mit externen Mitarbeitern sonst noch unternehmen, um die Einhaltung der DSGVO zu gewährleisten?

Im Wesentlichen verfolgt die DSGVO das Ziel, dass die Daten von Verbrauchern sicher und vertraulich bleiben. Die folgenden Schritte stellen daher einen wichtigen Teil aller Richtlinien für Fernzugriff dar (keine vollständige Liste):

Schutz von Daten bei Übertragung und Speicherung.

Bei übertragenen Daten handelt es sich um Daten, die von Punkt A zu Punkt B unterwegs sind, z. B. zwischen einer SaaS-Anwendung und dem Gerät eines Benutzers. Gespeicherte Daten befinden sich zum Beispiel auf der Festplatte des Laptops eines Benutzers. In beiden Fällen müssen die Daten geschützt werden.

Die grundsätzlichen Datenschutzmethoden sind Zugriffskontrolle und Verschlüsselung. Externe Mitarbeiter müssen wie alle anderen auch einen guten Grund haben, um auf personenbezogene Daten zuzugreifen, und ihr Zugriff auf diese Daten muss überwacht und verwaltet werden. Methoden zur Identitäts- und Zugriffsverwaltung (IAM) verhindern, dass unautorisierte Personen Daten sehen und ändern können.

Außerdem sollten Daten, die Netzwerke durchqueren – und dazu gehört auch das Internet – durch HTTPS, ein VPN oder andere Methoden verschlüsselt werden. (Durch Cloud-basierte Anwendungen kann diese Regel für externe Mitarbeiter noch komplizierter werden. Wenn Sie mehr erfahren möchten, sollten Sie sich diesen Artikel über Unternehmens-VPNs durchlesen.) Darüber hinaus müssen Daten ebenfalls verschlüsselt werden, wenn sie auf Servern oder Festplatten gespeichert werden. Um dies zu erreichen, müssen IT-Teams ihre Sicherheitsrichtlinien zur Verschlüsselung auf allen Geräten durchsetzen – in manchen Fällen sogar auf den persönlichen Geräten ihrer Mitarbeiter.

Schutz der Mitarbeiter-Endpunkte.

Endpunktgeräte externer Mitarbeiter (z. B. Laptops, Desktop-Computer und Smartphones) müssen vor Cyberangriffen geschützt werden, weil eine Infektion mit Malware zu einer Datenschutzverletzung führen könnte. Als Mindestanforderung muss auf diesen Geräten Anti-Malware-Software installiert werden. Ein sicheres Web-Gateway kann auch zum Schutz von Mitarbeitern beitragen, während sie im Internet browsen.

Noch häufiger als Infektionen mit Malware sind jedoch verlorene Geräte: Laptops oder Smartphones mit sensiblen, lokal gespeicherten Daten, die Mitarbeiter versehentlich an einem öffentlichen Ort zurücklassen. Das ist ein weiterer Grund dafür, warum Geräteverschlüsselung unglaublich wichtig ist.

Schutz vor Phishing-Angriffen und anderen Formen von Kontoübernahmen.

Phishing-Angriffe sind immer noch eine der häufigsten Ursachen von Datenschutzverletzungen. Ein Phishing-Angriff findet statt, wenn ein Angreifer einen Benutzer dazu verleitet, seine Anmeldeinformationen preiszugeben, woraufhin der Angreifer das Konto des Benutzers übernehmen kann. Die Folgen einer Kontoübernahme können für ein Unternehmen, das versucht, richtlinienkonform zu bleiben, katastrophal sein, weil der Angreifer dann in die Organisation eindringen und Verbraucherdaten sehen, bloßlegen oder stehlen kann.

Brute-Force- und Password-Spraying-Attacken können ebenfalls zu einer Kontoübernahme führen, weswegen Unternehmen strenge Passwortrichtlinien durchsetzen müssen. Niemand sollte das Passwort eines Mitarbeiters erraten können, und das Passwort sollte den meisten Bot-Angriffen standhalten können. Soweit möglich, sollten Unternehmen für jede aktive Unternehmens-Anwendung Zwei-Faktor-Authentifizierung einsetzen.

Wie hilft Cloudflare bei der Einhaltung der DSGVO?

Cloudflare for Teams hilft beim Schutz von Daten unabhängig vom Standort der Teams. Cloudflare Access ermöglicht sichere Zugriffsverwaltung für Unternehmen ohne Einsatz von VPNs, indem die Ressourcen des Unternehmens hinter Cloudflares globales Netzwerk gesetzt werden. Cloudflare Gateway blockiert böswillige Websites mit DNS-Filterung, bietet vollständigen Einblick in den Datenverkehr innerhalb und außerhalb von Unternehmensnetzwerken und setzt Browserisolation zum Schutz vor Zero-Day-Bedrohungen ein. Cloudflare for Teams bietet Unternehmen höhere Sicherheit und reduziert so das Risiko einer Datenschutzverletzung, die ihre Einhaltung der DSGVO gefährden würde.

Cloudflare ist auch selbst DSGVO-konform, was dazu beiträgt, dass Cloudflare-Kunden ebenfalls konform bleiben.