Eine Aussendung an mehrere Tausend Kunden steht an. Die Zeiten, als Azubis oder Praktikanten tagelang Anschreiben eingetütet haben, sind lange vorbei. Heute setzt man bei solchen Aktionen auf die Kompetenzen von Lettershops oder Druckereien. Bei diesen Spezialisten sind die Mailings bestens aufgehoben, werden fachmännisch aufbereitet und termingerecht versendet. Um solche Projekte abwickeln zu können, benötigen diese Dienstleister die persönlichen Daten der Kunden des Unternehmens – und da wird es dann heikel.

Wie professionelle Lettershops mit Unternehmensdaten umgehen und welche Maßnahmen zur Sicherheit ergriffen werden, erklärt Herr Wulf Henrichs, Geschäftsführer der Göbel+Lenze Direktmarketing GmbH in München. Herr Henrichs beschäftigt sich schon seit Jahren mit diesem delikaten Thema und ist Profi in Bezug auf Datenschutz.

Herr Henrichs, nachdem Sie als Lettershop-Unternehmer immer wieder Adressdateien von Kunden für Mailings etc. erhalten, kommt natürlich die Frage auf, wodurch Sie den Datenschutz dieser sensiblen Daten garantieren können?

Grundsätzlich verfügen wir über klassische Schutzmaßnahmen, wie zum Beispiel Zugangsbeschränkungen für diverse Räumlichkeiten und klar definierte Zugriffsrechte auf die IT. Worauf wir besonderen Wert legen, ist die Sensibilisierung der Mitarbeiter in Bezug auf Datenschutz. Deshalb werden die Mitarbeiter von einer externen Datenschutzbeauftragten im Durchschnitt einmal pro Monat geschult. Dazu gehören Themen wie zum Beispiel der eigene Arbeitsplatz – Bildschirmschoner mit Passwörtern müssen aktiviert sein, am Schreibtisch dürfen keine Daten offen herumliegen – egal ob in digitaler oder in Papierform – und vieles mehr. Die Datenschutzbeauftragte zeigt den Angestellten immer wieder potenzielle Gefahrenquellen, welche man ohne ein geschultes Auge nur zu leicht übersehen könnte.

Was ist der sicherste Weg, zur Datenübermittlung?

Am sichersten und am einfachsten funktioniert das heutzutage über SFTP-Server oder VPN-Verbindungen (Aufbau einer sicheren, verschlüsselten Verbindung zwischen unterschiedlichen Rechnern). Aber auch der seit langem gebräuchliche Weg der verschlüsselten Datenübermittlung auf einer CD-Rom oder DVD – die durch ein Passwort geschützt ist und das Passwort auf einem anderen, separaten Weg übermittelt wird – ist nach wie vor bestens zur Übermittlung von Daten geeignet. Das Bundesdatenschutzgesetz §11 beschreibt hier genau alles zu Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag von Kunden.

Welche Fehler in Bezug auf Datensicherheit haben Sie bei Ihren Kunden schon erlebt?

Der klassische Fehler ist, die Daten unverschlüsselt via E-Mail an uns zu senden. Das war früher fast der Normalfall – in den letzten Jahren jedoch hat sich das Bewusstsein zu besserem Datenschutz auch bei unseren Kunden mehr ausgeprägt und diese Form der Übermittlung kommt nur noch selten vor. In solchen Fällen sensibilisieren wir unsere Kunden und führen gemeinsam eine geschützte Datenübermittlung ein.

Was passiert mit den Daten, wenn Sie diese erhalten haben?

Die Daten werden von dem entsprechenden Mitarbeiter, der für den Auftrag verantwortlich ist, entgegengenommen und auf unseren Server direkt in den Kundenordner gespeichert, welcher mit Zugriffsbeschränkungen versehen ist. Danach werden die Daten weiterverarbeitet. Dies geschieht ausschließlich vom jeweiligen, durch Zugriffsbeschränkungen freigegebenen Mitarbeiter. Andere, nicht mit dem jeweiligen Auftrag betraute Personen, haben keinen Zugriff auf die Daten.

Was passiert mit den Daten nach dem Gebrauch?

Nach der Nutzung der Daten bleiben diese in der Regel noch drei bis sechs Monate auf unserem Server gespeichert (in Abhängigkeit von der Auftragsart und gesetzlich geforderter Vorhaltefrist auch länger). Danach werden die Daten vollständig gelöscht und der Kunde erhält die entsprechenden Löschprotokolle zugestellt. Die Daten werden unwiderruflich gelöscht. Dies schließt auch Datensicherungskopien ein.

Wodurch schützen Sie konkret Ihre eigene IT, um Angriffe von außen zu vermeiden?

Wir setzen zu unserem Schutz und zum Schutz unserer Kunden und deren Daten die neuesten Technologien in den Bereichen Firewall, Proxiserver und Anti-Virenprogramme ein. Diese werden auch immer wieder auf den aktuellsten Stand gebracht.

Können Sie uns noch ein paar Tipps zum sicheren Umgang mit sensiblen Kundendaten geben?

Abgesehen von allen technischen Möglichkeiten, die man ausschöpfen sollte, spielt der Faktor Mensch die größte Rolle. Mitarbeiter, die mit Kundendaten zu tun haben, sollten ständig dafür sensibilisiert werden. Wir haben die besten Erfahrungen mit unserer externen Datenschutzbeauftragten gemacht – deshalb können wir diese Beratungsleistung eines Profis jedem empfehlen. Nur ein externer Datenschutzbeauftragter kann durch laufende Schulungen und „mit der Sicht eines Außenstehenden“ die Sicherheitslage eines Unternehmens objektiv beurteilen und Maßnamen zum Schutz ergreifen. Ein spezielles Datenschutz-Audit oder ein TÜV-Datenschutz-Check gibt zusätzliche Sicherheit.

Und noch etwas wichtiges: Informationen müssen im Unternehmen bleiben und haben nichts am Esstisch der Familie oder beim Treffen mit Freunden zu suchen – darauf sollte jeder einzelne Mitarbeiter aufmerksam gemacht werden.

Vielen Dank für dieses aufschlussreiche Interview, Herr Henrichs. Wir sind sicher, dass diese Tipps viele Unternehmen dazu anregen werden, genau über die eigene Datensicherheit nachzudenken.

Weiterführende Links:

Weitere Artikel aus der Serie IT-Security:

Rechtliche Hinweise
Die Artikelinhalte werden Ihnen von AXA als unverbindliche Serviceinformationen zur Verfügung gestellt. Diese Informationen erheben kein Recht auf Vollständigkeit oder Gültigkeit. Bitte beachten Sie dazu unsere Nutzungsbedingungen.