Fit für Datenschutz: Verpflichtung und Chance für Unternehmen Am 25. Mai trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Bei vielen Entscheidungsträgern herrscht noch Verwirrung. Dabei kann sie für Unternehmen auch sehr hilfreich sein 08. August 2018

Es ist ein Grundrecht. Jeder Mensch hat das Recht auf Schutz vor der missbräuchlichen Verwendung seiner Daten. Dies ist auch der Hintergrund der EU-Datenschutz-Grundverordnung (DSGVO), die nach längerem Vorlauf am 25. Mai in Kraft tritt. Sie betrifft jedes Unternehmen, das regelmäßig persönliche Daten verarbeitet.

Die Neuerung: Das zentrale Datenverarbeitungsregister wird abgeschafft. Unternehmen sind künftig verpflichtet, selbst für den sorgsamen Umgang mit personenbezogenen Daten zu sorgen. Und hier ist definitiv Bedarf gegeben. Wie eine aktuelle Studie des Digitalverbands Bitkom in Deutschland ergab, gilt bereits jedes zweite Unternehmen in Deutschland als Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. In Österreich sieht es wohl nicht viel anders aus.

Vor Schaden schützen

Die neue Verordnung soll gleichzeitig Unternehmen vor Schaden schützen. Sind sie entsprechend vorbereitet, haben sie gleichzeitig ein funktionierendes Informationssicherheitsmanagement, erklärt uns das österreichische IT-Unternehmen ACP. Das Unternehmen bietet Firmen eine Dienstleistung an, in der sie den Prozess zur DSGVO begleitet.

Zentrales Thema ist dabei ein Verzeichnis von Verarbeitungstätigkeiten, das künftig jedes betroffene Unternehmen führen muss. Dabei wird aufgezeichnet, welche Daten zu welchem Zweck in welchen Applikationen verarbeitet werden und wie die jeweilige Löschungsfrist gestaltet ist. Auch wird registriert, in welche Drittländer außerhalb der EU Daten weitergegeben werden. Das Verzeichnis für Verarbeitungstätigkeiten ist die Grundlage für alle weiteren Prozesse, die darauf abgestimmt werden können. Eine Rolle für die Einhaltung der DSGVO spielt künftig auch der Datenschutzbeauftragte eines Unternehmens. Große Unternehmen, deren zentrale Aufgabe es ist, Daten zu verarbeiten, müssen einen solchen benennen. Dieser ist der zuständigen Aufsichtsbehörde zu melden. ACP bietet Datenschutzbeauftragte auf Stundenbasis an. Der Datenschutzbeauftragte ist auch für die Mitarbeiter-Audits zuständig, denn Mitarbeiter müssen in einem so genannten Security Awareness Training in Bezug auf Datenschutz geschult werden.

Vier bis sechs Halbtage innerhalb von zwölf Wochen dauert der Prozess, in dem ACP Unternehmen fit für die DSGVO macht. An das Verzeichnis für Verarbeitungstätigkeiten schließt eine Risikoabschätzung mit einem mehrere hundert Fragen umfassenden Katalog an. Das schließt eine vollständige Risikoanalyse und einen daraus folgenden Maßnahmenplan ein. Das biete für viele Unternehmen eine große Chance, gewachsene Strukturen zu überdenken.

Expertentipps zur Umsetzung

Ernst Söllinger ist Datenschutzexperte bei ACP. Zwei Tipps von ihm zur effizienten Umsetzung der DSGVO:

Es gilt, durch den Einsatz von technischen und organisatorischen Maßnahmen angemessenen und wirksamen Datenschutz zu gewährleisten. Im Wesentlichen steuert das Risiko für die Rechte und Freiheiten der Menschen das Schutzniveau. Ein höheres Schutzniveau ergibt meist höhere Umsetzungskosten. Die Risikoeinschätzung ist deshalb elementar. So empfehlen wir eine standardisierte und nachvollziehbare Methode für Risikomanagement. Die Umsetzung der Betroffenenrechte sowie die Implementierung eines Datenschutzmanagementsystems bringen ebenso einen erheblichen Zeit- und Kostenaufwand. Hier lohnt es sich, auf bestehendes Wissen zurück-zugreifen. Wir empfehlen die Verwendung unserer vielfach erprobten Methoden und Vorlagen.

WhatsApp am Diensthandy: Ein No-Go

Mit sensiblen Daten wird in Unternehmen oft recht arglos umgegangen Datenschutz ist in einem Unternehmen ein vielschichtiges Thema. „Es ist eine Sache der Unternehmensführung“, sagt ACP-Manager Ernst Söllinger. Verfügbarkeit, Integrität und Vertraulichkeit - auf diese Eigenschaften analysiert ACP die Datensicherheit seiner Kunden. Einen wesentlichen Teil nimmt dabei auch die Technik ein. Ein Leitspruch ist: Wenn die IT steht, steht alles! Unser Verfahren zeigt Mängel auf. Es ist eine Gelegenheit für Unternehmen, der IT die Rolle zu geben, die sie benötigt.

Dabei seien nicht nur veraltete Server oder fehlende Back-ups ein Sicherheitsrisiko. Es hat sich in vielen Unternehmen eine Schatten-IT etabliert. Das zeigt sich beispielsweise darin, dass Mitarbeiter nicht-lizensierte Software selbst herunterladen und verwenden oder Daten redundant erhoben werden. Das Netzwerkmanagement eines Unternehmens müsse gewährleisten können, das Netzwerk im Griff zu haben. Dazu gehören auch alle mobilen Geräte wie Tablets oder Telefone. Gerade bei Diensthandys bestehe hier Gefahr, wenn Benutzer Applikationen herunterladen. WhatsApp ist beispielsweise rein für den privaten Gebrauch konzipiert. Im Unternehmenskontext ist diese App ein No-Go und hat auf einem Diensthandy nichts verloren. Der Grund: Mit dem Herunterladen willige man darauf ein, dass die Anwendung Zugriff auf alle Kontakte auf dem Handy hat. Jeder Kontakt kann theoretisch abgezogen werden. Für den Unternehmensbereich gibt es deshalb professionelle Tools als Alternative. Zum Beispiel Yammer von Microsoft.

Vorsicht bei Auftragsverarbeitern

Wenn personenbezogene Daten an Dritte, z.B. Cloudserviceanbieter oder Lohnverrechner, weitergeleitet werden, gilt es zu prüfen, ob diese Auftragsverarbeiter DSGVO-konform arbeiten. Schriftliche Vereinbarungen sind hier obligatorisch. Besonders wichtig ist dies, wenn es sich um sensible Daten handelt. „Wenn das lediglich Namen und Adressen sind, ist das noch nicht bedenklich. Wenn beispielsweise Geburtsdaten dabei sind, wird es schon kritischer“, sagt Burger.

Hat ein Unternehmen das Bewusstsein für Datenschutz intern und extern geschaffen, und sind die Verantwortlichkeiten klar geregelt, ist ein wesentlicher Schritt getan, die Vorgaben der DSGVO zu erfüllen. Ein funktionierendes Informationssicherheitsmanagement ist der nächste Schritt, um das Unternehmen nachhaltig vor Schaden zu bewahren.

Persönliche Daten: Betroffene haben Löschungsrecht

Jeder Bürger hat das Recht auf umfassende Auskunft, welche persönlichen Daten ein Unternehmen über ihn gespeichert hat. Unternehmen sind nach der DSGVO dazu verpflichtet, binnen vier Wochen auf diese Fragen zu antworten. Wenn die Daten nicht bei der betroffenen Person selbst erhoben wurden, müsse das Unternehmen auf einen Antrag hin auch die Quelle preisgeben, woher es die Daten hat.

Dass ein Unternehmen personenbezogene Daten speichert, hat heute oft mit marketingtechnischen Überlegungen zu tun. In anderen Fällen sind ganz einfach gesetzliche Vorgaben zu erfüllen. Wenn zum Beispiel eine Lehre absolviert wird, müssen Unternehmen die Dienstzeugnisse 30 Jahre lang aufbewahren. Kundenrechnungen seien sieben Jahre lang zu sammeln.

Jederzeit Widerruf möglich

Gebe es jedoch keinen berechtigten Grund, die Daten zu speichern, habe der Betroffene das Recht auf Löschung der Daten. Auch wenn zuvor eine Einwilligung zur Verarbeitung gegeben worden sei, könne diese jederzeit widerrufen werden. Unternehmen müssen dann auch eine Bestätigung schicken, dass die Daten fristgerecht gelöscht wurden. Für Unternehmen gelte es, den Aufwand zur Erfüllung der Betroffenenrechte möglichst gering zu halten, aber dennoch alle Vorgaben der EU-Datenschutz-Grundverordnung zu erfüllen.

