Kategorien
Neueste Beiträge
Passwortschutz im Unternehmen
Inzwischen sind fast schon drei Jahre vergangen, seitdem die DSGVO anzuwenden ist. Folglich kann eine betroffene Person davon ausgehen, dass seitdem von allen für die Einhaltung des Datenschutzes Verantwortlichen angemessene technische und organisatorische Maßnahmen eingeführt worden sind.
Die Relevanz des Passwortschutzes
Nach Art. 32 DSGVO ist ein Verantwortlicher verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzuführen. Dazu gehört der Schutz der Vertraulichkeit solcher Daten durch Zugriffsbeschränkungen. Eine geläufige und übliche Schutzmaßnahme ist die Einführung von Passwörtern. Diese ist eine etablierte, leicht einzuführende und kostengünstige Maßnahme.
Die Anwendung des Passwortschutzes im Unternehmen
Zuallererst sollte ein Verantwortlicher sich die Prozesse im Unternehmen ansehen, bei denen er personenbezogene Daten verarbeitet. Er sollte sich auch Fragen dazu stellen, wer Zugriff auf diese Daten hat und diese tatsächlich zur Verrichtung seiner Arbeit braucht. Zu betrachten ist auch, welche Geräte ein Unternehmen bei der Verarbeitung dieser Daten einsetzt. Dementsprechend sind alle Geräte (Notebook, Netzwerkdrucker etc.), die einen Zugriff auf personenbezogene Daten ermöglichen, durch einen Zugriffsschutz vor unberechtigter Nutzung abzusichern. Des Weiteren ist das Need-to-Know-Prinzip, abgeleitet aus dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f) DSGVO, zu beachten. Demnach dürfen Beschäftigte nur Zugriff auf die Daten haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Im Vertrieb benötigt beispielsweise niemand den Zugriff auf die Personaldaten, außer natürlich die Vorgesetzten für ihre jeweiligen Mitarbeiter. Dies bedeutet auch, dass ein Rollen- und Berechtigungskonzept erstellt und in praktisch-technischer Hinsicht u. a. durch ein Passwortkonzept umgesetzt werden kann.
Passwortschutz nach Personengruppen
Je nachdem, um welchen Verarbeitungsvorgang es sich handelt, kann ein Verantwortlicher Zugriffe für bestimmte Personengruppen (Rollen) und persönlich festzulegende Passwörter einrichten. Die zu Beginn festgelegten Passwörter sind natürlich vom jeweiligen Nutzer beim ersten Einloggen zu ändern! Geht es zum Beispiel um die Personalabteilung, die auch die Lohnabrechnung übernimmt und dazu eventuell ein spezielles Programm nutzt, sollte nicht Jeder in der Einrichtung Zugriff auf dieses Programm erhalten. Hier gilt es, nur den Personen Zugriff zu dem Programm und den dazugehörigen Daten zu gewähren, die für die Lohnabrechnung zuständig sind. Des Weiteren ist darauf zu achten, dass jede Person ihren eigenen Zugriff hat. Passwörter dürfen auch im Abwesenheits-, Vertretungs- oder Krankheitsfall nicht mit Kollegen geteilt werden. Dies gibt einem Verantwortlichen die Möglichkeit, durch die Zugriffsprotokollierung nachvollziehen zu können, wer welche Änderung vorgenommen oder wer auf welches personenbezogenes Datum zugegriffen hat.
Passwortschutz bei Arbeitsmaterialien
In einem Unternehmen werden verschiedene IT-Systeme eingesetzt. Zur Dateneingabe wird höchstwahrscheinlich ein elektronisches Gerät wie ein Computer, Laptop, Tablet o. A. eingesetzt. Diese Geräte sind mit Nutzerkonten zu versehen, auf die ein Beschäftigter sich mit einem Passwort einloggen muss, um sie einsehen oder Änderungen vornehmen zu können. Auch IT-Systeme wie Drucker, Scanner oder Faxgeräte sind durch Passwörter oder mindestens gleichwertige Maßnahmen zu schützen. Druckt ein Beschäftigter ein Dokument aus, sollte ein Verantwortlicher eine PIN oder andere (technische) Maßnahmen einrichten, um sicherzugehen, dass nicht jede beliebige Person dieses Dokument ausdrucken kann.
Einrichtung eines Passwortes
Es sollte jede Person im Unternehmen ihren persönlichen Zugriff zu IT-Systemen haben. Braucht ein Beschäftigter einen temporären Zugriff ist ein separates Konto einzurichten, auch wenn es sich nach einem Mehraufwand anhört.
Art des Passwortes
Generell gibt es verschiedene Möglichkeiten, sicherzugehen, dass nur berechtigte Personen Zugriff auf einen bestimmten Datensatz erhalten. Ein Unternehmen kann PINs oder Passwörter einrichten. Die Person durch den Einsatz biometrischer Daten zu identifizieren oder ein Dongle bzw. Zugriffskarten einzusetzen, sind weitere Möglichkeiten. Allerdings sollte ein Verantwortlicher hier darauf achten, ob die Wahl des jeweiligen Mittels auch dem Risiko für die Rechte und Freiheiten betroffener Personen bei einem Datenschutzvorfall entspricht. Das bedeutet, dass er beispielsweise überlegen sollte, ob es tatsächlich notwendig ist, den Zugriff auf einen Computer durch eine Fingerabdruckverifizierung feststellen zu müssen. Allerdings könnte dies wiederum bei Zugriff auf und Zugang zu Hochsicherheitsservern mit Millionen von personenbezogenen Daten Sinn ergeben.
Komplexität des Passwortes
Ein Passwort sollte sicher, also nicht einfach zu erraten sein. Kurz gesagt, es ist nicht zu empfehlen, dass ein Beschäftigter beispielsweise seinen Namen, sein Geburtsdatum oder andere, leicht zu erratende oder allgemein bekannte Daten nutzt. Ein Passwort sollte, je nach Sensibilität und Schutzbedarf der Daten, idealerweise aus mindestens acht Zeichen bestehen. Hier gibt es unzählige Varianten. Es ist auch davon abzuraten, dasselbe Passwort für andere Programme oder Konten zu benutzen. Mehr zu diesem Thema ist auch in unserem Beitrag Erstellung eines sicheren Passwortes oder auf der Webseite des BSI zu lesen.
Fazit
Wie Sie sehen, ist unbedingt darauf zu achten, für unbefugte Dritte nicht nachvollziehbare Passwörter oder andere Zugriffsarten zu erstellen. Somit kann ein Verantwortlicher personenbezogene Daten vor unbefugtem Zugriff schützen. Diese Maßnahme ist Teil der Vorgaben gemäß Art. 32 Abs. 1 DSGVO. Setzen Sie eine Passwortrichtlinie in Ihrem Unternehmen nicht um, droht Ihnen ein Bußgeld durch die Datenschutzaufsichtsbehörde. Sofern durch fehlenden Passwortschutz einem Betroffenen ein Schaden entsteht, kann dieser Schadenersatz – auch in Form von Schmerzensgeld – geltend machen. Führt eine fehlende Umsetzung solcher Maßnahmen zu einem Datenschutzvorfall, fällt das Bußgeld umso gravierender aus.
Wenn Sie Hilfe bei der Umsetzung des Datenschutzes in Ihrem Unternehmen benötigen, rufen Sie uns am besten heute noch an – wir können Ihnen helfen und erstellen gern ein unverbindliches Angebot für Sie.