Fit für Datenschutz: Verpflichtung und Chance für Unternehmen

Es ist ein Grundrecht. Jeder Mensch hat das Recht auf Schutz vor der missbräuchlichen Verwendung seiner Daten. Dies ist auch der Hintergrund der EU-Datenschutz-Grundverordnung (DSGVO), die nach längerem Vorlauf am 25. Mai in Kraft tritt. "Sie betrifft jedes Unternehmen, das regelmäßig persönliche Daten verarbeitet", sagt Horst Burger vom österreichischen IT-Unternehmen ACP.

Die Neuerung: Das zentrale Datenverarbeitungsregister wird abgeschafft. Unternehmen sind künftig verpflichtet, selbst für den sorgsamen Umgang mit personenbezogenen Daten zu sorgen. Und hier ist definitiv Bedarf gegeben. Wie eine aktuelle Studie des Digitalverbands Bitkom in Deutschland ergab, gilt bereits jedes zweite Unternehmen in Deutschland als Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. In Österreich sieht es wohl nicht viel anders aus.

Vor Schaden schützen

"Die neue Verordnung soll gleichzeitig Unternehmen vor Schaden schützen. Sind sie entsprechend vorbereitet, haben sie gleichzeitig ein funktionierendes Informationssicherheitsmanagement", erklärt Burger. Sein Unternehmen bietet Firmen eine Dienstleistung an, in der sie den Prozess zur DSGVO begleitet.

Zentrales Thema ist dabei ein Verzeichnis von Verarbeitungstätigkeiten, das künftig jedes betroffene Unternehmen führen muss. Dabei wird aufgezeichnet, welche Daten zu welchem Zweck in welchen Applikationen verarbeitet werden und wie die jeweilige Löschungsfrist gestaltet ist. Auch wird registriert, in welche Drittländer außerhalb der EU Daten weitergegeben werden. Das Verzeichnis für Verarbeitungstätigkeiten ist die Grundlage für alle weiteren Prozesse, die darauf abgestimmt werden können. Eine Rolle für die Einhaltung der DSGVO spielt künftig auch der Datenschutzbeauftragte eines Unternehmens. Große Unternehmen, deren zentrale Aufgabe es ist, Daten zu verarbeiten, müssen einen solchen benennen. Dieser ist der zuständigen Aufsichtsbehörde zu melden. ACP bietet Datenschutzbeauftragte auf Stundenbasis an. Der Datenschutzbeauftragte ist auch für die Mitarbeiter-Audits zuständig, denn Mitarbeiter müssen in einem so genannten Security Awareness Training in Bezug auf Datenschutz geschult werden", sagt Burger.

Vier bis sechs Halbtage innerhalb von zwölf Wochen dauert der Prozess, in dem ACP Unternehmen fit für die DSGVO macht. An das Verzeichnis für Verarbeitungstätigkeiten schließt eine Risikoabschätzung mit einem mehrere hundert Fragen umfassenden Katalog an. "Das schließt eine vollständige Risikoanalyse und einen daraus folgenden Maßnahmenplan ein", sagt Burger. Das biete für viele Unternehmen eine große Chance, gewachsene Strukturen zu überdenken.

Persönliche Daten: Betroffene haben Löschungsrecht

Jeder Bürger hat das Recht auf umfassende Auskunft, welche persönlichen Daten ein Unternehmen über ihn gespeichert hat. "Unternehmen sind nach der DSGVO dazu verpflichtet, binnen vier Wochen auf diese Fragen zu antworten", erklärt Horst Burger von ACP IT-Solutions. Wenn die Daten nicht bei der betroffenen Person selbst erhoben wurden, müsse das Unternehmen auf einen Antrag hin auch die Quelle preisgeben, woher es die Daten hat.

Dass ein Unternehmen personenbezogene Daten speichert, hat heute oft mit marketingtechnischen Überlegungen zu tun. In anderen Fällen sind ganz einfach gesetzliche Vorgaben zu erfüllen. "Wenn eine Lehre absolviert wird, müssen Unternehmen die Dienstzeugnisse 30 Jahre lang aufbewahren", nennt Burger ein Beispiel. Kundenrechnungen seien sieben Jahre lang zu sammeln.

Gebe es jedoch keinen berechtigten Grund, die Daten zu speichern, habe der Betroffene das Recht auf Löschung der Daten. Auch wenn zuvor eine Einwilligung zur Verarbeitung gegeben worden sei, könne diese jederzeit widerrufen werden. "Unternehmen müssen dann auch eine Bestätigung schicken, dass die Daten fristgerecht gelöscht wurden", sagt Burger. Für Unternehmen gelte es, den Aufwand zur Erfüllung der Betroffenenrechte möglichst gering zu halten, aber dennoch alle Vorgaben der EU-Datenschutz-Grundverordnung zu erfüllen.