Am 28. Januar ist europäischer Datenschutztag. Eine super Gelegenheit, um daran zu erinnern, dass der Schutz der Privatsphäre jeden betrifft und den Einsatz von Unternehmen, Regierungen und Bürgern gleichermaßen erfordert.
Die jüngsten Skandale haben wieder einmal die Frage aufgeworfen, wie die Privatsphäre von Bürgern und Verbrauchern geschützt werden kann und muss. Besonders Firmen, welche Daten ihrer Kunden verwalten, müssen dem Schutz ebendieser absolute Priorität gewähren. Denn abgesehen von den wirtschaftlichen Risiken, ist es auch der Ruf eines Unternehmens, der im Fall eines Datenlecks oder -missbrauchs Schaden erlangt.
Beim Umgang mit persönlichen Daten müssen einige Regeln unbedingt beachtet werden. Zuallererst muss der Grund für die Datenerhebung legitim und nachvollziehbar sein. Er muss präzise und dem Kunden im Vorfeld verständlich mitgeteilt werden. Die Daten dürfen anschließend einzig und allein für den definierten Zweck benutzt werden.
Das Gesetz reguliert also das Sammeln und die Bearbeitung von personenbezogenen Daten. Dennoch ist es unerlässlich, einige technische Regeln zu befolgen, um diese Prozesse zu sichern.
Schutz der Webseite
Webseite und Webserver müssen vor jeglichem Fremdzugriff geschützt werden. Je nach Funktionalität kann eine Webseite Benutzerdaten speichern: Credentials, Benutzerprofile,... Diese Daten hinterlässt der Benutzer beim Besuch der Webseite und sie werden auf dem Webserver gespeichert. Deshalb muss letzterer unbedingt vor Fremdzugriffen und Datenlecks geschützt werden.Sicherung der Verbindungen
Die persönlichen Daten von Nutzern, ihre Verbindungsdaten und jegliche weitere Informationen bezüglich ihrer Benutzung von Online-Diensten muss geschützt werden. Die Verbindung muss verschlüsselt sein (https), wenn der Benutzer seine Daten eingibt. Passwörter müssen ebenfalls unwiderruflich verschlüsselt werden, wenn sie gespeichert werden.
Schutz des internen Informationssystems
Genau wie die Webseite eines Unternehmens, müssen auch seine Computer und Informationssysteme abgesichert werden. Denn darauf befinden sich nicht nur sensible firmeninterne Informationen, sondern auch persönliche Daten von Kunden, Zulieferern, Partnern usw. Diese Daten dürfen nicht in Umlauf gelangen. Um den optimalen Schutz personenbezogener Daten zu gewährleisten, die von einem Unternehmen verwaltet werden, ist es am besten, eine Risikoanalyse durchzuführen.Schutz der Mitarbeiter
Auch die Mitarbeiter selbst haben ein Recht auf den Schutz ihrer Privatsphäre am Arbeitsplatz.Jegliche Kontrolle der Internetnutzung oder von E-Mails muss im Vorfeld durch die Datenschutzkommission CNPD genehmigt werden.
Wird die Kontrolle genehmigt, muss sie entsprechend den Richtlinien der CNPD durchgeführt werden.
Der Arbeitgeber muss seine Angestellten über die Grenzen der Privatnutzung von EDV-Geräten und Programmen, und wie diese kontrolliert werden, informieren. So muss er sagen, ob die Angestellten die Erlaubnis haben, eine private Mailbox zu benutzen, für private Zwecke im Internet zu surfen, oder private Ordner auf dem Computer anzulegen.
Außerdem sollte er angeben:
- Wann und wie lange die Tools privat genutzt werden können und wie Privates auf dem Harddisk gespeichert werden darf.
- Den Grund und das Ziel der Kontrolle, welche Daten gesammelt werden, Umfang und Umstände der Kontrollen, die Empfänger der Daten.
- Ob es Filterprogramme gibt, die Webseiten und/oder Ketten-E-Mails, bzw. zu schwere Dateien abfangen.
- Wie genau die Daten der Computernutzung gesammelt werden, und was mit diesen Daten passiert.
- Wer unter welchen Umständen Zugriff auf diese gesammelten Daten haben kann.
- Wie lange die bei der Kontrolle gesammelten Daten gespeichert werden.
- Welche Entscheidungen der Arbeitgeber während einer Kontrolle treffen kann.
- Die Rolle der Angestellten-Vertreter bei der Festlegung der Kontrollpolitik.
- Die Modalitäten der Zugriffsrechte der Angestellten auf ihre eigenen Dateien.
