DSGVO: Darauf müssen Unternehmen beim Gebäudemanagement achten
Die am 25. Mai in Kraft getretene Europäische Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur IT-Themen, sondern auch scheinbar banale Fragen wie den Bürozutritt. Darauf weist der Datenschutzexperte René Rautenberg von ERSecure hin. „Die DSGVO bedeutet zwar für Unternehmen unabhängig von ihrer Größe vor allem bürokratischen Aufwand. Allerdings zwingt die Verordnung gleichzeitig, sämtliche Prozesse zu durchleuchten, die durchaus auch sicherheitsrelevant sind und oft vernachlässigt werden – wie Fragen rund ums Gebäudemanagement“, erklärt Rautenberg.
Zutrittsberechtigung prüfen und dokumentieren
Datenschutz fängt bei der Frage an, wer überhaupt Zutritt ins Bürogebäude hat. „Es muss gewährleistet sein, dass nur Befugte Zutritt zu den Geschäftsräumen haben“, erklärt Rautenberg. Ob dies durch Schlüssel, Chipkarten oder einen Empfang sichergestellt wird, sei dahingestellt. „Im Rahmen des DSGVO müssen der Zutrittsprozess und die Befugnis sauber dokumentiert sein“, erklärt der Datenschutzexperte und rät etwa zu einem Schlüsselbuch. Bei Chipkartensystem ist darauf zu achten, dass diese datenschutzrelevant sind, weil sie auslesbar sind – woraus sich Rückschlüsse auf Mitarbeiter und ihr Verhalten ziehen lassen. ERsecure bietet für dieses und andere Themen einen Fragebogen an, der den Prozess durchleuchtet und mit dem Unternehmen ihre Situation individuell dokumentieren können.
Sensibilisierung und Vorsicht vor Social Engeneering
„Unternehmen sollten den Anlass nutzen, um Mitarbeiter auch für dieses Thema zu sensibilisieren. Vielen ist überhaupt nicht bewusst, dass es Methoden wie Social Engineering gibt, bei denen sich Unbefugte durch zwischenmenschliche Beeinflussung Zutritt in Büroräume verschaffen, indem sie sich etwa geschickt nach einem Mitarbeiter erkundigen oder einen anderen glaubwürdigen Vorwand angeben“, erklärt Rautenberg.
Vorsicht vor Videokameras
Zudem müssen Unternehmen wissen, dass selbst das Aufhängen von Videokamera-Attrappen überprüft und dokumentiert sein muss. Wer richtige Videokameras einsetzt, muss diese durch einen Datenschutzbeauftragten kontrollieren lassen. „Öffentliche Bereiche dürfen genau so wenig überwacht werden wie Mitarbeiter“, warnt Rautenberg.