In Zeiten der „totalen“ Digitalisierung gewinnt der Datenschutz stark an Bedeutung – je mehr Daten digital verfügbar sind, desto größer ist das Potenzial für Missbrauch.
Doch die Bedrohung kommt allzu oft nicht von außen … Am Runden Tisch im Rahmen der Gesprächsreihe WeITblick diskutieren dazu Martin Binder (Steuerberatungskanzlei Binder, Grossek und Partner), Igo Huber (Citycom), Gregor Reautschnig (FH CAMPUS 02) und Andreas Schwarz (SANLAS Holding).
Firewall, Antivirenprogramme und regelmäßige Updates sind für den Großteil der Unternehmen selbstverständlich. Tut man damit genug für den Datenschutz?
Gregor Reautschnig: Unsere Studie zur IT-Sicherheit im steirischen Mittelstand bestätigt, dass die Unternehmen ihre technischen Sicherheitsvorkehrungen als gut einschätzen. Für den Datenschutz braucht man allerdings weitaus mehr als die richtige technische Ausstattung und da gibt es Potenzial. Datenschutz beginnt bei der Bewusstseinsbildung der Mitarbeiter. Vielen ist einfach nicht bewusst, dass TAN-Codes nicht für alle zugänglich in einer Schublade abgelegt werden sollten.
Martin Binder: Dem schließe ich mich voll inhaltlich an. Eine zentrale Aufgabe unseres IT-Mitarbeiters ist daher auch, die übrigen Mitarbeiter zu sensibilisieren: Passt auf, wenn ihr ein Mail mit einem unbekannten Anhang bekommt und überlegt zweimal, bevor ihr auf den Link in solch einem Mail klickt.
In Bezug auf den Datenschutz steht mit der neuen Datenschutzgrundverordnung ja auch eine große Veränderung bevor.
Andreas Schwarz: Ja, wir bereiten uns intensiv darauf vor. Und es gibt auch noch zahlreiche offene Fragen dazu: Einerseits haben wir die Verpflichtung, Patientendaten 30 Jahre zu speichern. Andererseits hat laut Datenschutzgrundverordnung jeder das Recht, seine Daten löschen zu lassen. Welche Richtlinie gilt hier nun stärker? Natürlich ist der Datenschutz wichtig und die Gesetzesänderung bringt mit sich, dass wir uns intensiver damit beschäftigen, was durchaus positiv ist. Das Problem ist aber, dass es in erster Linie wieder nur die IT-Verantwortlichen betrifft, die ohnehin bereits sensibilisiert sind.
Der bürokratische Aufwand für die Unternehmen steigt durch die Datenschutzgrundverordnung immens …
Huber: Ich bin froh, dass in Europa der Datenschutz ernstgenommen wird, aber ein bisschen schüttet man hier das Kind mit dem Bade aus. Global betrachtet ist das Ganze ein Widerspruch in sich: Bei uns treibt man den Aufwand für die Unternehmen ins Unerlässliche, den amerikanischen Firmen ermöglicht man aber mehr oder weniger freien Zugriff auf die Daten. Für die größten Datensammler – die US-Unternehmen Google, Facebook und Amazon – ist der Schutz der personenbezogenen Daten nahezu abgeschafft. Für Unternehmen macht es daher einen großen Unterschied, ob sie ihre Daten auf US-Servern oder in Österreich – und somit im europäischen Rechtsraum – speichern, so wie wir es für unsere Kunden machen. Außerdem ist man dann nicht nur eine Kundennummer sondern kennt seinen Dienstleister und hat einen persönlichen Ansprechpartner.
Stichwort externe Rechenzentrumslösungen: Ist das im ersten Moment nicht ein Unsicherheitsgefühl, wenn man seine Daten nicht mehr im Unternehmen gespeichert hat?
Binder: Wir haben schon vor einigen Jahren auf eine externe Rechenzentrumslösung der Citycom umgestellt, auch weil wir 2 Standorte verbinden wollten. Am Anfang hat es da intern schon ein bisschen Skepsis gegeben, weil es ein unsicheres Gefühl war, die Daten aus der Hand zu geben. Aber es hat sich mittlerweile gezeigt, dass es im Endeffekt die weitaus sichere und vor allem für uns einfachere Lösung ist. Wir können die Bandbreite umgehend verändern, wenn zum Beispiel ein neuer Arbeitsplatz dazukommt und sparen uns den Serverraum im Unternehmen mit all den Dingen, die dazu gehören – von Updates bis hin zum Brandschutz.
Und auch in Bezug auf die Datensicherheit ist man mit einer externen Rechenzentrumslösung auf der sicheren Seite …
Huber: Wir lassen Penetrationstests machen und sind technisch auf dem neuesten Stand. Aber der „Faktor Mensch“ lässt sich eben auch mit den besten technischen Mitteln nicht ausschalten. Das Problem ist, dass die Menschen ihr privates Verhalten oft ins Berufliche übertragen: in Facebook gibt man alles preis, und im Unternehmen soll man alles vertraulich behalten
Wie könnte man das Bewusstsein für Datenschutz bei den Mitarbeitern steigern bzw. sich als Unternehmen absichern?
Reautschnig: Vielen ist nicht bewusst, wie einfach ein Angriff heute möglich ist. Selbst als Laie kann man mit einfachen Tools aus dem Internet ein Smartphone eines anderen überwachen, einem Bekannten von mir ist das passiert. Und auch wenn man bedenkt, das im US-amerikanischen Wahlkampf Unmengen an Facebook-Profilen analysiert worden ist und darauf basierend genaue Nutzerprofile erstellt worden sind … Ich denke, mit solchen konkreten Beispielen kann man schon einiges an Bewusstsein schaffen.
Huber: Mein Mitleid für Unternehmen, die ihre Daten verlieren, hält sich oft in Grenzen, wenn man die Hintergründe kennt. Natürlich gibt es keine hundertprozentige Sicherheit und einen groß angelegten Hackerangriff, an dem dutzende Menschen beteiligt sind, bemerkt man oft sehr spät, wenn überhaupt.. Aber in den allermeisten Fällen passiert deshalb was, weil jemand einfach auf den Link in einem Mail geklickt hat, das in gebrochenem Deutsch formuliert von einem unbekannten Absender gekommen ist. Oder weil das Vier-Augen-Prinzip missachtet wurde.
Schwarz: Man darf das Ganze aber nicht nur den Mitarbeitern in die Schuhe schieben, die richtigen Rahmenbedingungen zu schaffen ist Aufgabe des Unternehmens. Allzu oft ist es einfach Unwissen und wenn man einmal erklärt, dass einfach wahnsinnig schnell Daten in die falschen Hände gelangen, wenn man nach einer Besprechung Unterlagen herumliegen lässt, kann man schon viel bewegen. Eine Kette ist immer nur so stark wie ihre einzelnen Glieder.
Über die Diskussionsteilnehmer
Martin Binder
leitet mit seinen Partnern die Steuerberatungs- und Wirtschaftsprüfungskanzlei Binder, Grossek und Partner und bietet dabei mit eCounting auch eine digitale Rechnungswesenlösung an. Als Kunde der Citycom arbeitet die Kanzlei mit einer externen Rechenzentrumslösung.
Igo Huber
ist Geschäftsführer des IKT-Dienstleisters Citycom, einem Tochterunternehmen der Holding Graz. Ein neues Angebot der Citycom ist Knox Data. Damit können Unternehmen alle zentralen IT-Dienste aus dem Rechenzentrum beziehen, sie aber jederzeit über ein Cockpit anpassen
Gregor Reautschnigg
lehrt und forscht am Studienrichtung Rechnungswesen & Controlling der FH CAMPUS02 und hat u.a. eine Studie zur IT-Sicherheit im steirischen Mittelstand erarbeitet. Dabei wurden die IT-Verantwortlichen in den Unternehmen nach ihrer Selbsteinschätzung gefragt.
Andreas Schwarz
ist Geschäftsführer der SANLAS Holding, einem der wichtigsten Gesundheitsanbieter in Österreich mit jährlich mehr als 9.000 stationären Patienten und knapp 1.100 Mitarbeitern. Zur SANLAS Holding gehören unter anderem die Privatkliniken St. Radegund und Lassnitzhöhe.