Verwaltung der GDPR- und CCPA-Compliance für Mitarbeiter im Außendienst

Die Einhaltung von Datenschutzbestimmungen, wie der General Data Protection Regulation (GDPR) der Europäischen Union und dem California Consumer Privacy Act (CCPA), erfordert eine andere Sicherheitshaltung für Remote-Mitarbeiter. Lesen Sie weiter, um die fünf bewährten Best Practices von Splashtop für die Einhaltung von Vorschriften bei Remote-Mitarbeitern zu erfahren.

Die Fernarbeit wird nicht verschwinden. Laut einer aktuellen Schätzung von Gartner, werden Anfang 2022 51 Prozent der Wissensarbeiter ihre Arbeit aus der Ferne verrichten - und diese Zahl ist realistischerweise höher, da die Omicron-Variante in letzter Zeit weltweit stark zunimmt.

Die Einhaltung der Vorschriften wird unter Bedingungen der Fernarbeit erschwert. Dies geht aus einem kürzlich erschienenen Artikel des Security Magazine hervor, in dem die Ergebnisse der Apricorn 2021 Global IT Security Survey unter mehr als 400 IT-Sicherheitsexperten in Nordamerika und Europa erörtert werden. Die Studie befasste sich mit den Sicherheitspraktiken und -richtlinien für Remote-Arbeit in den letzten 12 Monaten. Mehrere Ergebnisse fassen die Risiken sehr gut zusammen:

  • 60% der Befragten geben an, dass COVID-bedingte Remote-Arbeitsbedingungen zu Datensicherheitsproblemen in ihrem Unternehmen geführt haben
  • 38% gab an, dass die Datenkontrolle sehr schwer zu handhaben war
  • Trotz Bedenken hinsichtlich der Datenkontrolle gaben fast 20% zu, dass ihre Arbeitsgeräte von anderen Haushaltsmitgliedern benutzt wurden

Die Einhaltung der Datenschutzbestimmungen für Remote-Mitarbeiter steht für IT-Teams noch nicht im Mittelpunkt. In einem Artikel der Healthcare IT News aus dem Jahr 2021 wurde darauf hingewiesen, dass nur zwei von zehn IT-Teams angaben, angemessene Tools und Ressourcen zur Verfügung zu stellen, um Mitarbeiter, die remote arbeiten, langfristig zu unterstützen. Diese mangelnde Vorbereitung bringt Organisationen in die Gefahr, gegen die Datenschutzgesetze für Verbraucher zu verstoßen, insbesondere gegen die GDPR und das CCPA.

Die Auswirkungen der Nichteinhaltung von Vorschriften

Wenn sich herausstellt, dass ein Unternehmen Verbrauchern potenziellen Schaden zufügt, indem es deren personenbezogene Daten (PII) nicht ordnungsgemäß schützt, kann dies zu erheblichen Geldstrafen, dem Verlust von Kunden und erheblichem Markenschaden führen. Sicherlich können sich die meisten Menschen an öffentlichkeitswirksame Fälle wie die EU erinnern, die Amazon und H&M wegen der Nichteinhaltung der DSGVO mit Geldbußen in Höhe von 746 Millionen Euro bzw. 35 Millionen Euro belegt hat. Dennoch hat die EU in nur drei Jahren mehr als 800 Bußgelder im gesamten Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich (das die GDPR-Vorschriften auch nach dem Brexit beibehält) verhängt.

Ja, auch kleinere Organisationen werden mit Geldbußen belegt. Nehmen Sie zum Beispiel den schwedischen Gesundheitsdienstleister Capio St. Göran. Nach einem Audit in einem seiner Krankenhäuser wurde das Unternehmen mit einem Markenschaden und einer GDPR-Strafe von 2,9 Millionen Euro belegt. Die Prüfung ergab, dass das Unternehmen keine angemessenen Risikobewertungen vorgenommen und keine wirksamen Zugangskontrollen eingeführt hatte. Infolgedessen hatten zu viele Mitarbeiter Zugang zu sensiblen personenbezogenen Daten.

Die gleiche Art der Durchsetzung gilt nach dem kalifornischen CCPA für alle Unternehmensgrößen. In einem TechTarget-Artikel vom September 2021 wird darauf hingewiesen, dass der Staat Kalifornien vor kurzem Geldbußen gegen einen Autohändler, eine Lebensmittelkette, eine Online-Dating-Plattform und eine Tieradoptionsagentur verhängt hat - also kaum gegen die Titanen der modernen Industrie.

Fazit: Wenn Sie Remote-Teams leiten, müssen Sie mehrere Schritte unternehmen, um Ihre Sicherheitsrichtlinien und -praktiken anzupassen, damit Sie die Gesetze zum Schutz personenbezogener Daten einhalten können.

Zum Glück hat Splashtop Tausenden von Unternehmen die Möglichkeit gegeben, aus der Ferne zu arbeiten. Hier sind die 5 bewährten Praktiken von Splashtop für die Einhaltung von Vorschriften bei Remote-Mitarbeitern.

Was Daten-Compliance unter GDPR und CCPA bedeutet

Sowohl GDPR als auch CCPA verlangen, dass Unternehmen personenbezogene Daten privat und sicher halten. Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden, müssen mit Sicherheitsvorkehrungen zum Schutz der Daten konzipiert und aufgebaut werden (z. B. unter Verwendung von Pseudonymisierung oder vollständiger Anonymisierung , wo dies angemessen ist). Organisationen, die Daten kontrollieren, müssen Informationssysteme unter Berücksichtigung des Datenschutzes entwickeln.

Ähnlich wie die GDPR definiert Kapitel 55 des kalifornischen Verbraucherschutzgesetzes von 2018 (CCPA) personenbezogene Daten als Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise (direkt oder indirekt) mit ihm in Verbindung gebracht werden könnten wie z. B. ein echter Name, ein Pseudonym, eine Postadresse, eine eindeutige persönliche Kennung, eine Online-Kennung, eine Internetprotokolladresse, eine E-Mail-Adresse, ein Kontoname, eine Sozialversicherungsnummer, eine Führerscheinnummer, ein Nummernschild, eine Reisepassnummer oder andere ähnliche Kennungen.

Die Vorschriften gelten für alle Mitarbeiter eines Unternehmens, die an einem beliebigen Ort arbeiten, sei es im Büro oder an einem anderen Ort. Wichtig ist, dass es keine Rolle spielt, wo auf der Welt die Mitarbeiter arbeiten. Die Vorschriften gelten, wenn die Verbraucher, die durch die Vorschriften geschützt werden, in der EU-Zone, im Vereinigten Königreich und/oder in Kalifornien leben. (Beachten Sie, dass zahlreiche andere Länder wie Brasilien, Südafrika, Südkorea, Japan und viele andere ebenfalls ähnliche Vorschriften für die Jahre 2019-2021 eingeführt haben).

Bewährte Praxis Nr. 1: Aktualisieren Sie Ihre Cybersicherheitsrichtlinien, um der Realität der "Fernarbeit" Rechnung zu tragen.

Wie die obigen Daten zeigen, sind viele Mitarbeiter mit Fragen der Datensicherheit und des Datenschutzes nicht vertraut und erkennen einfach nicht, wie ihre Handlungen zu einer Datenschutzverletzung führen könnten, die die persönlichen Daten, die Ihr Unternehmen schützen muss, preisgibt.

Der beste Weg, die Mitarbeiter zu informieren, besteht darin, eine Cybersicherheitsrichtlinie zu erstellen und weiterzugeben, die die Mitarbeiter darüber informiert, wie sie die Daten Ihres Unternehmens schützen können. Die gute Nachricht ist, dass Ihre IT-Sicherheitsrichtlinie ein einfaches Dokument sein kann. Sie sollte die Gründe für ihre Existenz erläutern und die spezifischen Sicherheitsprotokolle (in nicht-technischen Begriffen) enthalten, die alle Mitarbeiter befolgen sollten. Sie sollte auch eine Kontaktadresse (E-Mail oder Telefonnummer) für Mitarbeiter enthalten, die zusätzliche Hilfe zum Verständnis der Richtlinie benötigen.

Best Practice #2: Mitarbeiter schulen und sicherstellen, dass die IT sie unterstützen kann

Die Mitarbeiter sind oft das schwächste Glied in der Cybersicherheit. Regelmäßige Sicherheitsschulungen helfen, die Mitarbeiter auf dem Laufenden zu halten, wie sie das Unternehmen vor bösartigen Angriffen schützen können.

  • Konto- und Passwortrichtlinien: Weisen Sie allen Benutzern eigene Logins zu und gewähren Sie den Zugang über sichere Passwörter und Zwei-/Mehrfaktor-Authentifizierung.
  • Datensicherheitskontrolle: Die Datensicherheitskontrollen umfassen rollenbasierten Zugang nach dem Prinzip der geringsten Rechte, Zugriffsüberwachung, Kontenüberprüfung/-inventarisierung und Protokollierung. Dies bedeutet, dass alle Nutzer nur ein Mindestmaß an Datenzugriff haben.
  • Zugangskontrolle: Zugangskontrollen verwalten den elektronischen Zugang zu Daten und Systemen und basieren auf Berechtigungsstufen, Need-to-know-Parametern und einer klaren Aufgabentrennung für Personen, die auf das System zugreifen.
  • Security Incident Response: "Security Incident Response"-Verfahren ermöglichen es einer Organisation, Ereignisse im Zusammenhang mit Splashtop-Diensten und -Informationsbeständen zu untersuchen, darauf zu reagieren, zu entschärfen und zu melden.

Bewährte Praxis Nr. 3: Daten während der Übertragung und im Ruhezustand verschlüsseln

Erwägungsgrund 83 der Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten sowohl bei der Übertragung als auch im Ruhezustand geschützt werden müssen. Sie sollten davon ausgehen, dass Daten immer dann übertragen werden, wenn jemand auf sie zugreift, z. B. wenn sie von einem Website-Server zu einem Nutzergerät übertragen werden. Daten im Ruhezustand" beziehen sich auf gespeicherte Daten, z. B. auf der Festplatte eines Geräts oder einem USB-Stick.

Die beiden Schlüssel zum Datenschutz bei der Fernarbeit Ihrer Mitarbeiter sind Verschlüsselung und Zugangskontrolle.

  • Verschlüsselung: Splashtop verschlüsselt alle Benutzerdaten bei der Übertragung und im Ruhezustand, und alle Benutzersitzungen werden sicher mit TLS aufgebaut. Der Inhalt, auf den innerhalb jeder Sitzung zugegriffen wird, wird immer mit 256-Bit-AES verschlüsselt.
  • Zugangskontrolle: Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Autoritätsebenen, Need-to-know-Ebenen sowie der Aufgabentrennung für diejenigen, die auf das System zugreifen.

Splashtop vermeidet bewusst das übermäßige Sammeln von Daten - etwas, das zu viele Unternehmen ohne einen legitimen Grund für einen Geschäftsdienst tun. Wir passen uns leichter an die Vorschriften an, indem wir KEINE sensiblen Daten/Informationen sammeln. Wir sammeln, speichern und verarbeiten nur begrenzte PII, wie Benutzername (E-Mail), Passwort und Sitzungsprotokolle (für Kunden zur Überprüfung, Fehlerbehebung usw.), und Splashtop verkauft keine Kundeninformationen gemäß GDPR- und CCPA-Richtlinien.

Bewährte Praxis Nr. 4: Geografische Daten in einem eigenen Stapel behandeln

Wenn Ihr Unternehmen Nutzer in einer regulierten Zone bedient, ist es am sichersten, einen Daten-/Technologie-Stack zu erstellen, der für jede regulierte Zone spezifisch ist. Splashtop nutzt einen EU-Stack mit Sitz in Deutschland. Dadurch wird sichergestellt, dass Datenübertragungen im Zusammenhang mit in der EU ansässigen Personen innerhalb der EU-Souveränität bleiben (eine strenge Regel der DSGVO).

Bewährte Praxis Nr. 5: Verwenden Sie einen sicheren Fernzugriff

Mitarbeiter, die aus der Ferne arbeiten, verwenden in der Regel VPNs und das Remote-Desktop-Protokoll (RDP) , um auf die Anwendungen und Daten zuzugreifen, die sie für ihre Arbeit benötigen. Dies hat Cyberkriminelle dazu veranlasst, schwache Passwortsicherheit und VPN-Schwachstellen auszunutzen, um auf das Unternehmensnetzwerk zuzugreifen und Informationen und Daten zu stehlen.

Die Fernzugriffslösung von Splashtop ist nicht auf ein VPN angewiesen. Außerdem verfolgt sie einen Zero-Trust-Ansatz. Wenn Mitarbeiter aus der Ferne auf ihren Bürocomputer oder ihre Workstation zugreifen, gehen sie über eine spezielle Splashtop-Verbindung. Eine Verbindung, die nicht Teil des Unternehmensnetzwerks ist. Das bedeutet, dass sie nur die Daten (z. B. Word-Dokumente) auf ihrem Remote-Desktop anzeigen und bearbeiten können, und dass die Daten niemals außerhalb des Unternehmensnetzwerks gelangen. IT-Sicherheitsverantwortliche haben mit Splashtop auch die Möglichkeit, sowohl die Dateiübertragung als auch die Druckfunktionen zu aktivieren oder zu deaktivieren. Diese Möglichkeiten sind aus Gründen der Compliance sehr zu empfehlen, sind aber bei einer RDP/VPN-Strategie nicht gegeben.

Der Splashtop-Fernzugriff bietet noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. Diese modernen Sicherheitsmaßnahmen gibt es in der VPN-Architektur nicht.

Vorbeugen ist einfacher als heilen

Wie diese Best Practices zeigen, können Sie fünf vernünftige Schritte unternehmen, um die Datenschutzbestimmungen ohne großen Aufwand einzuhalten. Die Vorteile des Schutzes von Verbraucherdaten in der Umgebung von Fernarbeitern überwiegen bei weitem die negativen Auswirkungen, die sich aus der Nichteinhaltung von Vorschriften ergeben.

Wenn Sie wissen möchten, wie Ihr Unternehmen schnell einen sicheren Fernzugriff erhalten kann, der mit CCPA, GDPR und anderen Vorschriften zum Schutz der Verbraucherdaten übereinstimmt, besuchen Sie unsere Compliance-Seite.


Verwandter Inhalt

Banner zur kostenlosen Testversion auf dem Blog unten