Suchen

Datenschutz-Mängel in der Praxis Datenträger im Zentrum von Datenpannen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Fehladressierte Schreiben, offene E-Mail-Verteiler und Rechner-Infektionen mit Schadsoftware gehören ebenso zu den häufigen Datenschutz­verletzungen nach Datenschutz-Grundverordnung (DSGVO / GDPR) wie verlorene USB-Sticks. Dabei sind Diebstahl und Verlust von unverschlüsselten Datenträgern nicht die einzigen Datenschutzmängel, die die Aufsichtsbehörden beklagen.

Firmen zum Thema

Trotz steigender Nutzung von Cloud-Diensten bleiben Datenträger wichtig für den betrieblichen Einsatz und sind damit auch ein relevanter Aspekt beim betrieblichen Datenschutz.
Trotz steigender Nutzung von Cloud-Diensten bleiben Datenträger wichtig für den betrieblichen Einsatz und sind damit auch ein relevanter Aspekt beim betrieblichen Datenschutz.
(Bild: gemeinfrei / Pixabay )

Das papierlose Büro ist ebenso wenig Realität geworden wie der Übergang der kompletten lokalen Datenverarbeitung in die Cloud. Trotzdem wird weitaus mehr über Cloud-Datenschutz diskutiert als über den Datenschutz im Umgang mit Datenträgern, zu denen im Datenschutz auch Papierdokumente gerechnet werden.

Nun könnte man sagen, Cloud Computing ist immer noch relativ neu, USB-Speicherstifte und externe Festplatten dagegen eher Klassiker, von Papier ganz zu schweigen. Das stimmt natürlich, doch man sollte deshalb nicht glauben, dass bei der Verwendung von Datenträgern kaum noch Datenrisiken herrschen, da ja alles gut bekannt ist.

Tatsächlich haben die Aufsichtsbehörden für den Datenschutz in Deutschland viele Mängel im Umgang mit USB-Stick & Co feststellen müssen. Wir geben einen Überblick, wo die größten Probleme liegen, die durchaus zu Sanktionen der Aufsichtsbehörden führen können, insbesondere dann, wenn sich die Daten auf den elektronischen Datenträgern nicht nach dem Stand der Technik verschlüsselt sind.

Aktuelles Problem: Datenträger im Home-Office

Wenn es um Datenträger geht, die verloren gehen oder gestohlen werden, denkt man zuerst an den mobilen Außendienst, der womöglich unverschlüsselte Kundendaten auf einem Speichermedium mit sich führt.

Die Zunahme an Tätigkeiten im Home-Office in Zeiten der Corona-Pandemie hat aber gezeigt, dass man auch an die betrieblichen Datenträger denken muss, die Mitarbeiterinnen und Mitarbeiter mit nach Hause nehmen. Ebenso besteht das erhöhte Risiko, dass Unternehmensdaten auf privaten Datenträgern gespeichert werden, um sie dort zusätzlich zu „sichern“.

Wie sicher die Datenträger aber im Home-Office wirklich sind, ist die Frage. Deshalb darf eine Datenschutzrichtlinie für das Home-Office und den Umgang mit Datenträgern unterwegs, im Home-Office und im Unternehmen nicht fehlen.

Denken muss man zum Beispiel an einen möglichen Einbruch daheim und damit ins Home-Office. Die Datenschutzaufsicht von NRW erklärte: „Auch Einrichtungen, die sich aufgrund nicht vorhandener Wertgegenstände nicht als lohnendes Ziel betrachten, können jederzeit Opfer von Einbrüchen werden. Umso wichtiger ist es, personenbezogene Daten nur so zu speichern, dass Einbrecher keinen Zugriff erlangen können. Eine konsequente Datenträgerverschlüsselung und das sichere Löschen sensibler Daten von unverschlüsselten Speichermedien kann hierzu beitragen.“

Beispiele aus der Praxis

Wie die Praxis zeigt, gibt es eine Reihe von Fehlern, die Unternehmen bei der Verwendung von Datenträgern begehen. Wie eine Statistik der Datenschutzaufsicht von Hessen zeigt, waren die häufigsten gemeldeten Datenpannen neben dem Fehlversand per Post, Fax und E-Mail (38,33 Prozent) und Hackerangriff, Phishing, Schadsoftware (10,81 Prozent) der Verlust/Diebstahl von Geräten, Datenträgern, Unterlagen (10,19 Prozent).

Fehlende Entsorgung von Datenträgern

Datenträger können auch in falsche Hände gelangen, wenn sie nicht gestohlen werden oder verloren gehen. Leider denken viele Unternehmen immer noch nicht an die richtige Entsorgung alter und (scheinbar) defekter Datenträger. Die Datenträger landen im Müll oder werden ohne jede Sicherheitsmaßnahme verkauft.

Der Landesdatenschutzbeauftragte von Baden-Württemberg erklärte hierzu: „Die DIN 66399 gilt seit 1. Oktober 2012 und noch immer haben einige verantwortliche Stellen die Entsorgungskonzepte und Bestandsverträge offenbar nicht angepasst, was ggf. zu entsprechenden Bußgeldverfahren führt. Besondere Fundstücke waren dabei mehrere Festplatten vom Flohmarkt, die weder verschlüsselt noch gelöscht waren und sensible Daten enthielten, sowie unzureichend geschredderte Bankunterlagen.“

Keine Dokumentation zur Entsorgung

Offensichtlich dürfen USB-Sticks und Festplatten ebenso wenig einfach in den Müll wie Papierdokumente, die personenbezogene Daten tragen. Aber auch bei der Beauftragung der Entsorgung von Festplatten kann es zu Datenschutz-Mängel kommen. So bemängelt eine Aufsichtsbehörde, dass in einem kontrollierten Fall weder dokumentiert wurde, ob die defekten Festplatten, die dem internen Incident-Management gemeldet wurden, auch in den dafür vorgesehenen Sammelbehältern innerhalb des geschützten Rechenzentrums für die Vernichtung deponiert wurden, noch lückenlos dokumentiert wurde, dass eben diese Festplatten tatsächlich jene waren, die nach der vorgegebenen Sicherheitsstufe durch das beauftragte Entsorgungsunternehmen vernichtet werden sollten.

Dokumentation darf bei der Entsorgung von Datenträgern nicht fehlen, ebenfalls ein Punkt für eine entsprechende Datenschutzrichtlinie.

Falsche Aufbewahrung von Datenträgern

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit zum Beispiel erläuterte explizit, wie Datenträger, die zum Beispiel Patientendaten vorhalten, aufzubewahren sind. So sollten Papierunterlagen und sonstige Datenträger vor Lagerungsschäden in einem Keller geschützt werden z. B. durch Regulierung der Feuchtigkeit (diese darf nicht zu hoch sein) und durch Regulierung der Temperatur (muss gleichbleibend sein).

Der Landesdatenschutzbeauftragte berichtete in diesem Zusammenhang von der starken Verschmutzung entsprechender Unterlagen nach einem Rohrbruch bei einer Arztpraxis.

Auch bei Datenträger-Pannen Meldepflicht prüfen

Es zeigt sich: Trotz steigender Nutzung von Cloud-Diensten bleiben Datenträger wichtig für den betrieblichen Einsatz. Wenn es hier zu Problemen im Datenschutz kommt, ob Verlust, Diebstahl, Zerstörung oder fehlerhafte Entsorgung, sollte man nicht vergessen, die Meldepflicht von Datenschutzverletzungen nach DSGVO zu überprüfen. Aus gutem Grund führen die Aufsichtsbehörden in ihren Online-Meldeformularen für Datenpannen explizit Vorfälle mit Datenträgern in der Auswahl auf.

Der Sächsische Datenschutzbeauftragte schreibt dazu: „Neben den Datenschutzverletzungen durch Verlust von Unterlagen oder Datenträgern aufgrund kriminellen Eingriffs (z.B. durch Diebstähle) ist eine häufige Fallgruppe auch der Verlust durch anderweitige Umstände, wie z.B. das Verlieren von USB-Sticks, das Verlorengehen von Unterlagen bei Umzügen oder sogar der Verlust infolge eines Brandes. Das Risiko für die Rechte und Freiheiten natürlicher Personen kann sich hier – ausgenommen der Brand – in einer möglichen Kenntnisnahme der personenbezogenen Daten durch unberechtigte Dritte realisieren, aber auch in einer möglicherweise nicht mehr bestehenden Verfügbarkeit der personenbezogenen Daten, wenn entsprechende Sicherungsmaßnahmen fehlen.“

Ganz wichtig ist dabei, dass die Meldepflicht nach DSGVO davon abhängen kann, ob die Daten auf den Datenträgern geschützt waren oder nicht, zum Beispiel, ob es eine Verschlüsselung der Daten nach dem Stand der Technik gab.

(ID:46883696)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research