Symbolbild von Claudio Schwarz via Unsplash
Die adäquate Würdigung des Datenschutzes geht für viele Schweizer Unternehmer im Alltagsgeschäft unter. Es ist ein notwendiges, aber oft ungeliebtes Thema. Man weiss zwar, dass es wichtig ist, aber die Bedrohungen richtig einzuschätzen, gelingt den wenigsten Unternehmern.
Doch die Konsequenzen von etwaiger Nachlässigkeit auf diesem Gebiet können gravierend sein – von hohen Bussgeldern bis hin zu Rufschädigung und dem Verlust von Firmengeheimnissen. Besonders in der Schweiz, wo das neue Datenschutzgesetz (DSG) sowie die EU-Datenschutzgrundverordnung (DSGVO) relevant sind, wird die Materie schnell komplex.
Dieser Ratgeber zeigt die häufigsten Fallstricke auf und wie Unternehmen sie vermeiden können. Dabei nennen wir konkrete Beispiele aus dem Geschäftsalltag, um die Thematik besser zu visualisieren.
Firmengeheimnisse als unterschätzte Gefahr
Ein Produktionsleiter eines innovativen Schweizer Unternehmens für Medizintechnik wird plötzlich von der Konkurrenz abgeworben. In seiner neuen Rolle weiss er ganz genau, welche Patente und Entwicklungstechniken bei seinem alten Arbeitgeber geplant sind.
Warum? Weil er noch bis zum letzten Tag uneingeschränkten Zugriff auf sensible Forschungsdaten hatte. Dieses Szenario zeigt deutlich, wie anfällig Unternehmen sind, wenn sie ihre Firmengeheimnisse nicht ausreichend schützen.
Folgende Tipps können für Abhilfe sorgen:
- Vertraulichkeitsvereinbarungen (NDAs): Ein Unternehmen sollte sicherstellen, dass alle Mitarbeiter, Lieferanten und Partner Vertraulichkeitsvereinbarungen unterzeichnen, die den Schutz von Firmengeheimnissen garantieren – auch über das Arbeitsverhältnis hinaus.
- Rollenbasierte Zugriffsrechte: Nur Mitarbeiter, die tatsächlich Zugang zu sensiblen Informationen benötigen, sollten diesen erhalten. Bei internen Jobwechseln oder Kündigungen müssen diese Rechte sofort angepasst werden.
- Regelmässige Schulungen: Es reicht nicht, nur einmal über Datenschutz zu sprechen. Regelmässige Schulungen sind notwendig, damit Mitarbeiter immer wieder daran erinnert werden, wie wichtig der Schutz von Firmengeheimnissen ist.
VPN-Nutzung optimieren und mögliche Einfallstore absichern
Ein Bauunternehmen betreibt Grossprojekte in mehreren Ländern und setzt auf ein VPN, um den sicheren Zugang zu internen Systemen zu gewährleisten.
Doch als ein Mitarbeiter während einer Dienstreise in einem Hotel ohne Zwei-Faktor-Authentifizierung auf das System zugreift, gelingt es Cyberkriminellen, die VPN-Verbindung zu kapern. Plötzlich haben Unbefugte Zugriff auf interne Baupläne und Finanzdaten.
Im Umgang mit VPNs ist Folgendes zu beachten:
- Regelmässige Updates der VPN-Software: VPNs sind eine hervorragende Lösung, aber nur, wenn sie auf dem neuesten Stand sind. Sicherheitslücken sollten sofort geschlossen werden – egal, ob bei der Arbeit oder auch wenn Sie privat in einem Schweizer Casino online spielen möchten, wenn Sie im Ausland sind.
- Starke Authentifizierung: Eine einfache Passwortabfrage reicht heute nicht mehr. Zwei-Faktor-Authentifizierung (2FA) ist ein Muss, um VPNs sicher zu machen.
- Überwachung und Anomalien-Erkennung: Unternehmen sollten Tools zur Überwachung von VPN-Verbindungen einsetzen, um ungewöhnliches Verhalten frühzeitig zu erkennen – beispielsweise, wenn sich ein Nutzer aus einem unerwarteten Land einloggt.
Schutz von Mitarbeiterdaten – Balance zwischen Datenschutz und Effizienz
Ein mittelständisches Schweizer Unternehmen entscheidet sich, das Lohnbuchhaltungssystem zu digitalisieren. Der HR-Manager lädt dafür eine günstige Cloud-Lösung herunter, ohne die IT-Abteilung zu informieren.
Einige Monate später hacken Unbekannte das System und veröffentlichen die Gehaltsdaten der Mitarbeiter im Internet. Der Schock ist gross, denn nun steht das Unternehmen im Zentrum einer Datenschutzverletzung.
Diese Dinge sollten daher beachtet werden:
- Datensparsamkeit: Man sollte nur die Daten erfassen, die wirklich notwendig sind. Eine regelmässige Überprüfung, ob alle gespeicherten Daten wirklich noch benötigt werden, ist ratsam.
- Sichere Speicherung: Cloud-Lösungen können praktisch sein, aber sie müssen sicher sein. Unternehmen sollten immer verschlüsselte Systeme nutzen und darauf achten, dass ihre Dienstleister auch datenschutzkonform arbeiten.
- Transparenz gegenüber Mitarbeitern: Wenn Mitarbeiter wissen, welche Daten gesammelt und wie diese verwendet werden, erhöht dies das Vertrauen. Dies gilt besonders bei sensiblen Daten wie Gehältern und Gesundheitsinformationen.
Werbevorschriften kennen: Unterschiede zwischen DSG und DSGVO
Ein Schweizer Modeunternehmen expandiert in die EU und startet eine grosse Werbekampagne. Alles läuft gut, bis die ersten Bussgelder aus Deutschland eintreffen: Man habe gegen die DSGVO verstossen, weil Newsletter ohne ausdrückliche Einwilligung verschickt wurden. In der Schweiz war das früher kein Problem – ein klassisches Beispiel dafür, wie wichtig es ist, die unterschiedlichen Regelungen zu verstehen.
So schützt man sich vor Bussgeldern:
- Einwilligung einholen: In der EU gilt das sogenannte „Opt-in“, d.h. Werbemails dürfen nur an Personen geschickt werden, die zuvor ausdrücklich zugestimmt haben. In der Schweiz hingegen ist bei B2B-Werbung in bestimmten Fällen ein „Opt-out“ zulässig, also Werbemails sind erlaubt, solange der Empfänger nicht widerspricht.
- Transparenz und Rechte der Betroffenen: Nutzer müssen über ihre Rechte informiert werden, wie das Recht auf Auskunft, Berichtigung oder Löschung von Daten. Unternehmen sollten sicherstellen, dass diese Anfragen schnell und effizient bearbeitet werden können.
- Datentransfers regeln: Bei der Verarbeitung von Daten in unterschiedlichen Rechtsräumen sollten Unternehmen darauf achten, dass sie Standardvertragsklauseln oder ähnliche Mechanismen einsetzen, um den Datentransfer rechtskonform zu gestalten.
Schatten-IT – die unsichtbare Gefahr in Unternehmen
Ein Vertriebsmitarbeiter eines grossen Unternehmens verwendet regelmässig WhatsApp, um mit seinen Kunden in Kontakt zu bleiben – ganz unkompliziert, ohne Freigabe der IT-Abteilung.
Das ist zwar schnell und effizient, doch es kommt zu einem Datenverlust: Ein Kollege verliert sein Smartphone, das unverschlüsselt war. Die Folge? Kundendaten sind plötzlich im Umlauf, und das Unternehmen steht vor einem ernsthaften Datenschutzproblem.
So vermeiden Unternehmen die Gefahren von Schatten-IT:
- Klare IT-Richtlinien: Es sollten klare Regeln festgelegt werden, welche Software und Dienste von Mitarbeitern genutzt werden dürfen. Jeder sollte wissen, welche Anwendungen erlaubt sind und welche nicht.
- Transparenz schaffen und Kontrolle ausüben: Unternehmen sollten regelmässig überprüfen, welche Software im Einsatz ist, und dabei Monitoring-Tools nutzen, um unerlaubte Anwendungen zu identifizieren.
- Aufklärung der Mitarbeitenden: Mitarbeiter müssen verstehen, warum Schatten-IT so gefährlich ist. Regelmässige Schulungen und alternative Lösungen können helfen, Risiken zu minimieren.
Fazit zu typischen Fallstricken im Datenschutz
Wir hoffen, dass das Thema Datenschutz mit diesem Ratgeber etwas greifbarer wurde. Es ist einfach wichtig, dass Unternehmen sich damit beschäftigen – auch wenn die Bedrohungen meist kryptisch erscheinen.
Generell gilt: Egal, ob es um den Schutz von Firmengeheimnissen, den sorgfältigen Umgang mit Mitarbeiterdaten, die Beachtung der unterschiedlichen Vorschriften in der Schweiz und der EU, die Vermeidung von Schatten-IT oder die Absicherung durch VPNs geht – mit einer klaren Strategie und entsprechenden Massnahmen können Unternehmen typische Fallstricke erfolgreich umgehen und sich sicher für die Zukunft aufstellen.