Die DSGVO und Arbeiten von zu Hause | DSGVO-Richtlinien für Fernzugriff

Unternehmen mit Remote-Belegschaften müssen zusätzliche Maßnahmen ergreifen, um ihre Daten zu schützen und den Zugriff ihrer Mitarbeiter zu verwalten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Sie verstehen, wie die DSGVO externe Mitarbeiter betrifft
  • Sie wissen, was in Richtlinien für Fernzugriff enthalten sein muss

Link zum Artikel kopieren

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Datenschutzgesetz, das einen Rahmen für die Erhebung, Verarbeitung, Speicherung und Übertragung von persönlichen Daten schafft. Sie schreibt vor, dass alle persönlichen Daten auf sichere Weise verarbeitet werden müssen, und sieht Geldbußen und Strafen für Unternehmen vor, die diese Anforderungen nicht erfüllen.

Die Einhaltung der DSGVO kann für jedes Unternehmen eine Herausforderung darstellen, und mit externen Mitarbeitern wird die Aufgabe noch komplexer. Wenn einige oder alle Mitarbeiter oder Auftragnehmer eines Unternehmens von zu Hause aus arbeiten, können interne Datenschutzteams weniger Kontrolle und Einblicke in die Datensicherheit haben. Solide Sicherheitsrichtlinien für Fernzugriff können zur Absicherung der Mitarbeiter und vertraulicher Daten beitragen, die von der DSGVO geschützt werden.

Was sind Richtlinien für Fernzugriff?

Richtlinien für Fernzugriff stellen eine Sammlung von Sicherheitsnormen für externe Mitarbeiter und Geräte dar. Sie werden gewöhnlich vom IT- oder Datenschutzteam eines Unternehmens zusammengestellt. Der Einsatz von virtuellen privaten Netzwerken (VPN), die Installation von Antischadsoftware auf den Geräten der Mitarbeiter oder mehrstufige Authentifizierung (MFA) sind alles Beispiele für Maßnahmen, die in Sicherheitsrichtlinien für Fernzugriff enthalten sein können.

Was wird von der DSGVO gefordert?

Die DSGVO ist ein sehr umfassendes Regelwerk. Unter anderem verlangt sie von den Verantwortlichen und Auftragsverarbeitern eine Reihe von spezifischen Maßnahmen. Dazu gehören unter anderem:

  • Verzeichnis führen: Auftragsverarbeiter müssen Verzeichnisse über ihre Verarbeitungstätigkeiten führen.
  • Sicherheitsmaßnahmen: Verantwortliche und Auftragsverarbeiter müssen regelmäßig geeignete Sicherheitsmaßnahmen anwenden und testen, um die von ihnen erhobenen und verarbeiteten Daten zu schützen.
  • Benachrichtigung über Datenschutzverletzungen: Verantwortliche, die von einer Datenschutzverletzung betroffen sind, müssen die zuständigen Behörden innerhalb von 72 Stunden benachrichtigen, abgesehen von einigen Ausnahmen. In der Regel müssen sie auch die Personen benachrichtigen, deren persönliche Daten von der Verletzung betroffen waren.
  • Datenschutzbeauftragter (DSB): Unternehmen, die Daten verarbeiten, müssen möglicherweise einen Datenschutzbeauftragten (DSB) einstellen. Der DSB leitet und beaufsichtigt alle Bemühungen zur Einhaltung der DSGVO.

Die vollständigen Anforderungen an Verantwortliche und Auftragsverarbeiter sind in der DSGVO beschrieben.

Da die Datensicherheit ein Hauptanliegen der DSGVO darstellt, müssen Unternehmen, die ihren Mitarbeitern erlauben, von zu Hause aus zu arbeiten, außerdem die richtigen Schritte zum Schutz der Daten unternehmen, auf die ihre Mitarbeiter externen Zugriff haben.

Wie können Unternehmen mit Remote-Belegschaften Datensicherheit gewährleisten?

Die folgenden Schritte stellen daher einen wichtigen Teil aller Richtlinien für Fernzugriff dar (keine vollständige Liste):

Schutz von Daten bei Übertragung und Speicherung.

Bei übertragenen Daten handelt es sich um Daten, die von Punkt A zu Punkt B unterwegs sind, z. B. zwischen einer SaaS-Anwendung und dem Gerät eines Benutzers. Gespeicherte Daten befinden sich zum Beispiel auf der Festplatte des Laptops eines Benutzers. In beiden Fällen müssen die Daten geschützt werden.

Die grundsätzlichen Datenschutzmethoden sind Zugriffskontrolle und Verschlüsselung. Externe Mitarbeiter müssen wie alle anderen auch einen guten Grund haben, um auf personenbezogene Daten zuzugreifen, und ihr Zugriff auf diese Daten muss überwacht und verwaltet werden. Methoden zur Identitäts- und Zugriffsverwaltung (IAM) verhindern, dass unautorisierte Personen Daten sehen und ändern können.

Außerdem sollten Daten, die Netzwerke durchqueren – und dazu gehört auch das Internet – durch HTTPS, ein VPN oder andere Methoden verschlüsselt werden. (Durch Cloud-basierte Anwendungen kann diese Regel für externe Mitarbeiter noch komplizierter werden. Wenn Sie mehr erfahren möchten, sollten Sie sich diesen Artikel über Unternehmens-VPNs durchlesen.) Darüber hinaus müssen Daten ebenfalls verschlüsselt werden, wenn sie auf Servern oder Festplatten gespeichert werden. Um dies zu erreichen, müssen IT-Teams ihre Sicherheitsrichtlinien zur Verschlüsselung auf allen Geräten durchsetzen – in manchen Fällen sogar auf den persönlichen Geräten ihrer Mitarbeiter.

Schutz der Mitarbeiter-Endpunkte.

Endpunktgeräte externer Mitarbeiter (z. B. Laptops, Desktop-Computer und Smartphones) müssen vor Cyberangriffen geschützt werden, weil eine Infektion mit Malware zu einer Datenschutzverletzung führen könnte. Als Mindestanforderung muss auf diesen Geräten Anti-Malware installiert werden. Ein sicheres Web-Gateway kann auch zum Schutz von Mitarbeitern beitragen, während sie im Internet browsen.

Noch häufiger als Infektionen mit Malware sind jedoch verlorene Geräte: Laptops oder Smartphones mit sensiblen, lokal gespeicherten Daten, die Mitarbeiter versehentlich an einem öffentlichen Ort zurücklassen. Das ist ein weiterer Grund dafür, warum Geräteverschlüsselung unglaublich wichtig ist.

Schutz vor Phishing-Angriffen und anderen Formen von Kontoübernahmen.

Phishing-Angriffe sind immer noch eine der häufigsten Ursachen von Datenschutzverletzungen. Ein Phishing-Angriff findet statt, wenn ein Angreifer einen Benutzer dazu verleitet, seine Anmeldeinformationen preiszugeben, woraufhin der Angreifer das Konto des Benutzers übernehmen kann. Die Folgen einer Kontoübernahme können für ein Unternehmen, das versucht, richtlinienkonform zu bleiben, katastrophal sein, weil der Angreifer dann in die Organisation eindringen und Verbraucherdaten sehen, bloßlegen oder stehlen kann.

Brute-Force- und Passwort-Spray-Angriffe können ebenfalls zu einer Kontoübernahme führen, weswegen Unternehmen strenge Passwortrichtlinien durchsetzen müssen. Niemand sollte das Passwort eines Mitarbeiters erraten können, und das Passwort sollte den meisten Bot-Angriffen standhalten können. Soweit möglich, sollten Unternehmen für jede aktive Unternehmens-Anwendung Zwei-Faktor-Authentifizierung einsetzen.