Vor gerade einmal drei Wochen hat es eine Mitarbeiterin erwischt. Ihr dienstlich verwendeter Laptop wurde geklaut. Im Umgang mit so einem Diebstahl ist einiges zu beachten.

Der Klassiker

Ein einziges Mal hat die absolut zuverlässige Mitarbeiterin den dienstlich verwendeten Laptop über Nacht im Auto gelassen. Da war sie gerade auf dem Weg zu einem längeren Aufenthalt quer durch Deutschland und hat eine Zwischenstation in einer großen deutschen Stadt eingelegt. Soll sie jetzt wirklich wegen einer Nacht das gesamte Auto leerräumen, nur um am nächsten Tag alles wieder einzuräumen? In der einen Nacht wird schon nichts passieren. Sie können sich sicher denken, dass ich nicht darüber berichten würde, wenn es gut gegangen wäre. Das Auto wurde aufgebrochen und das gesamte Gepäck gestohlen – blöderweise auch der dienstlich verwendete Laptop. Mit lokal gespeicherten Kundendaten!

Laptop nicht ausreichend geschützt

Wie viele IT-Systeme war auch der Laptop nur unzureichend gegen unbefugten Zugriff geschützt. Ein durchaus ausreichend sicheres Anmeldepasswort war zwar vergeben, die Festplatte jedoch nicht verschlüsselt. Wir müssen also davon ausgehen, dass Unbefugte – sei es der Dieb oder ein späterer Käufer – Zugriff auf die gespeicherten Daten nehmen können. Besonders ärgerlich Im Unternehmen gibt es sehr wohl organisatorische Regelungen zum Umgang mit mobilen Arbeitsplätzen. Darin ist z. B. vorgeschrieben, dass Laptops nachts aus Fahrzeugen zu entfernen sind.

Konsequenzen

Wie — zusätzlich zu allen Unannehmlichkeiten des Autoaufbruchs — auch noch wegen dieser Datenpanne („Kundendaten in falschen Händen“) zu verfahren ist, schreibt § 42a des Bundesdatenschutzgesetzes vor. Im obigen Fall mussten, da auch Kontodaten der Kunden auf dem Laptop gespeichert waren, unverzüglich die zuständige Aufsichtsbehörde und ALLE BETROFFENEN Kunden informiert werden. Sie können sich bestimmt vorstellen, dass nicht alle Kunden verständnisvoll reagiert haben. Unterlassen der Mitteilung an Aufsichtsbehörde und Betroffene ist aber auch keine Variante: Bei Missachtung des § 42a BDSG droht ein Bußgeld von bis zu EUR 300.000,- (§ 43 Abs. 2 Nr. 7 BDSG). Und mit der ab Mai 2018 anzuwendenden EU-Datenschutz-Grundverordnung werden sich die Vorschriften zur Mitteilung von Datenpannen und die Bußgeldandrohungen für Verstöße verschärfen.

Was Sie beim Einsatz von mobilen Geräten beachten sollten

Es müssen organisatorische, aber auch technische Mindestschutzmaßnahmen getroffen werden.

1. Regelungen zum richtigen Umgang mit den Geräten aufstellen.
2. Die Einhaltung der Regelungen zumindest stichprobenartig prüfen.
3. Mitarbeiter sensibilisieren.
4. Verschlüsselung der Datenträger bei lokal gespeicherten Daten (moderne Betriebssysteme bringen Verschlüsselungsmöglichkeiten bereits mit, sie müssen nur aktiviert werden).

Viele weitere Hinweise können Sie zudem dem Blogbeitrag meines Kollegen Herrn Lederer entnehmen.

Quelle: DsiN-Blog