Grundregeln zur Sicherheit bei der Verarbeitung von personenbezogenen Daten

02.06.2023 RA Johannes Meibers, LL.M.

Um die Sicherheit bei der Verarbeitung von personenbezogenen Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Maßnahmen zum Datenschutz festlegen.

Viele dieser Maßnahmen betreffen den alltäglichen Umgang der Mitarbeiter mit personenbezogenen Daten. Für einen wirksamen Datenschutz im Unternehmen ist es daher unerlässlich, dass die Mitarbeiter diese Maßnahmen anwenden. Dies gilt insbesondere, wenn dienstliche Tätigkeiten von zu Hause oder unterwegs ausgeübt werden, weil das Unternehmen auch dann noch für die personenbezogenen Daten und ihre Sicherheit verantwortlich ist.

Zwar werden technische und organisatorische Maßnahmen zum Datenschutz individuell im Unternehmen festgelegt, trotzdem gibt es ein paar allgemeine Grundregeln, die jeder Mitarbeiter beachten sollte:

Zutritt zu Büroräumen

Der Zutritt zu Büroräumen darf nur berechtigten Personen möglich sein. Büroräume sollten daher nach Verlassen abgeschlossen werden.

Clean-Desk-Prinzip

Der Arbeitsplatz sollte regelmäßig aufgeräumt und Unterlagen, Datenträger etc. sollten im Schrank oder Rollcontainer eingeschlossen werden.

Sperrung von Endgeräten

Endgeräte (Desktop-Computer, Laptops etc.) sollten beim Verlassen gesperrt werden, beispielsweise durch einen Bildschirmschoner mit Passwortschutz.

Aufsicht über Endgeräte

Endgeräte sollten außerhalb eines verschlossenen Raumes oder in einem Fahrzeug nicht unbeaufsichtigt sein.

Besucher

Besucher des Unternehmens sollten durchgängig durch einen Mitarbeiter begleitet werden.

Auskünfte am Telefon

Am Telefon sollten keine Auskünfte zu personenbezogenen Daten gegeben werden, da nicht sichergestellt werden kann, dass der Anrufende zum Erhalt dieser Informationen berechtigt ist.

Datenvernichtung

Nicht mehr benötigte Unterlagen, Datenträger etc. dürfen keinesfalls einfach weggeworfen werden, sondern müssen geschreddert oder durch die IT-Abteilung sicher gelöscht bzw. zerstört werden.

Private Endgeräte und Speichermedien

Personenbezogene Daten sollten nicht mit privaten Endgeräten verarbeitet oder auf privaten Speichermedien (USB-Sticks etc.) abgespeichert werden. Dazu gehört auch, dass dienstliche E-Mail- Accounts nicht mit einem privaten Computer oder Smartphone abgerufen werden.

E-Mail-Versand

Bevor eine E-Mail versendet wird, sollte darauf geachtet werden, ob der richtige Empfänger im Adressfeld steht. Hier liegt eine große Fehlerquelle, insbesondere bei Nutzung der Autovervollständigung.

Passwörter

Passwörter sollten nicht notiert oder gar auf einem Zettel an den Computer geklebt werden. Sonstige Zugangsmöglichkeiten zur dienstlichen IT (Chipkarten etc.) sollten nicht am Lesegerät gelagert werden.

Passwortregeln

Die Passwortregeln des Unternehmens sollten eingehalten und vorläufig vergebene Passwörter unverzüglich durch sichere Individualpasswörter ersetzt werden.

Wartungsarbeiten

Wartungsarbeiten an Systemen durch Dritte (Fernwartung etc.) sollten beaufsichtigt werden, damit diese nicht unbefugt auf personenbezogene Daten zugreifen können.

Datenübertragungen

Datenübertragungen über öffentliche Netze sollten nach Möglichkeit verschlüsselt werden.

Über den Autor

Johannes Meibers, LL.M. ist Rechtsanwalt und Fachanwalt für IT-Recht. Als externer Datenschutzbeauftragter unterstützt er zudem Unternehmen beim Aufbau eines professionellen Datenschutzmanagements. www.kanzlei-meibers.de

Zurück zur Übersicht

Anmelden