VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

To Do: DSGVO

Die europäische Datenschutzgrundverordnung (DGSVO) kommt zwar nicht überraschend, aber sorgt dennoch für allerlei Wirrungen bei Unternehmen, Verbänden und anderen Betroffenen. Jeder weiß, dass er handeln muss, doch wo zu beginnen ist, weiß kaum jemand. Klar ist, wer nicht tätig wird, riskiert saftige Abmahnungen. 

Das Ende der zweijährigen Übergangsregelung der DSGVO holt derzeit viele Betroffene in die Realität zurück. Die europäische Datenschutzgrundverordnung ist nun gültig – Unsicherheit und Überforderung machen sich europa- und branchenweit breit. Selbst viele Konzerne haben es lange versäumt entsprechende Maßnahmen zu ergreifen und sind dementsprechend immer noch nicht rechtskonform unterwegs, von KMU einmal ganz zu schweigen. In diesem Klima der Unsicherheit scheint nun die Stunde der Abmahnbüros zu schlagen, die bereit sind, jedes Versäumnis der Unternehmen zu barem Geld zu machen. Hier hat schon das „Abmahn-Unwetter“ bereits zu einer empflindlichen Geldstrafe eines Webseitenbetreibers geführt, weil eine Verschlüsselung der Homepage nicht vorlag und als DSGVO Verstoß gewertet wurde. Ergebnis: 12.500€ Strafzahlung!

Aber für ratlose Blicke dürfte in der aktuellen Gemengelage vor allem der unternehmensinterne Umgang mit der DSGVO sorgen, schließlich gilt es eine ganze Reihe von Prozessen völlig neu zu definieren. Dazu zählt etwa die Dokumentation aller Datenverarbeitungsprozesse wie adäquate Löschkonzepte, ein Verfahrensverzeichnis oder Richtlinien für die IT-Sicherheit. Gleichzeitig müssen die Mitarbeiter im Umgang mit personenbezogenen Daten geschult werden. Häufig ist außerdem schlichtweg unklar, welche personenbezogenen Daten vorhanden sind, wo sie abgelegt sind und wer Zugriff auf diese hat. Es stellen sich viele Fragen, deren Beantwortung ohne externe Beratung nahezu unmöglich ist, die brennendste: Wo ansetzen?

Fallstricke identifizieren

Der offensichtlichste Schwachpunkt in Bezug auf den Datenschutz sind die unternehmenseigene Website und die dort hinterlegte Datenschutzerklärung, sie muss verschlüsselt und auf dem neuesten Stand sein. Im gleichen Zug sollte der Umgang mit Löschbegehren definiert werden, weil diese relativ zeitnah drohen und daher ein unmittelbares Problem darstellen. Laut DSGVO ist eine derartige Anfrage innerhalb eines Kalendermonats umzusetzen und zu beantworten, ansonsten liegt ein Verstoß vor. Als weiterer kritischer Faktor kann sich eine unkorrekte oder unvollständige Widerrufsmöglichkeit bei Newslettern entpuppen. Hier stehen die Abmahnbüros bereits in den Startlöchern, um ihrerseits Quick Wins einzufahren. Es reicht schon, wenn verschiedene Varianten eines Newsletter in unterschiedlichen Systemen hinterlegt sind, die nicht miteinander verbunden sind. Das führt beispielsweise dazu, dass eine Abmeldungsanfrage nicht zeitgleich zu einer Abmeldung in den anderen Systemen führt. Ein Abmahnbüro weiß an dieser Stelle rasch woran es ist. Um vermeidbare Strafzahlungen zu umgehen, sollte daher überprüft werden, ob die Datenschutz-Dokumentation auch technisch wie praktisch umsetzbar ist und die betrauten Mitarbeiter a jour sind.

Für zusätzliche Unsicherheiten und Unwägbarkeiten sorgt indes, dass die DSGVO nicht immer eindeutig ist und entsprechend dehnbar auslegbar. So gewährt sie beispielsweise jedem Bürger seine Daten in der EU von einem Unternehmen zu einem anderen übertragen zu lassen, etwa bei einem Dienstleisterwechsel. Diese sogenannte „Datenportabilität“ ist jedoch technisch nicht standardisiert und kann von jedem Unternehmen unterschiedlich gehandhabt werden. Es bleibt somit auch jedem Unternehmen selbst überlassen, die vorhandenen personenbezogenen Daten entsprechend gegen Zugriff Dritter zu schützen. Diese fehlende Auslegung hinterlässt zurecht einige Fragezeichen, nicht zuletzt bei global agierenden Unternehmen, die ihren Sitz nicht in der EU haben und folglich kein Bewusstsein für die daraus entstehende Problematik ihrer Dienstleistungsprozesse.

Prozesse ganzheitlich anpassen

Damit die DSGVO im Kontext aller genannten Unwägbarkeiten nicht zum Stolperstein wird, gibt es durchaus konkrete Ansatzpunkte. Auch wenn in vielen Organisationen bereits ein Datenschutzbeauftragter vorhanden ist oder jüngst spontan benannt wurde, sollte die Umsetzung der DSGVO in unternehmensinternen Prozessen durchaus ernst genommen werden. Die eigene IT kann zwar währenddessen schon überprüfen, ob alle ergriffenen Maßnahmen wie IT-Sicherheitsrichtlinien oder Löschmaßnahmen funktional sind und ihren Zweck erfüllen, ein geschulter Blick von außen ist jedoch in der Regel die günstigere und einfachere Variante und hilft rechtssichere, zukunftsfähige Konzepte zu erstellen.

Gerade Unternehmen, die international tätig sind, müssen alle Aktivitäten unter die Lupe nehmen, bei denen Daten mit Dritten außerhalb der EU ausgetauscht werden. Das kommt relativ leicht und häufig vor, weil Marketing-Tools wie Umfragewebsites nicht selten über US-amerikanischen Server oder Anbieter laufen, die eben nicht in der EU liegen. Hier ist ein genauer Blick auf die Datenschutzvorgaben des Dienstleisters Pflicht, wenn mögliche Verstöße verhindert werden sollen. Ein Rezept gar nicht erst in diese datenschutzrechtliche Bredouille zu geraten, sind individuelle Sicherheitslösungen, aber auch die Sensibilisierung und Schulung aller Mitarbeiter zu datenschutzrelevanten Themen und Vorgängen. Eines sollte dabei jedem Betroffenen klar sein: Kostenlos ist das nicht. Die systematische Umsetzung der DSGVO und angepasste Prozesse erfordern nicht nur personelle, sondern auch finanzielle Ressourcen. Diese Tatsache dürfte Konzerne vor geringere Herausforderungen stellen als KMU. Es kann sich vor diesem Hintergrund lohnen, auf externe Hilfe zurückzugreifen, die zwar Geld kostet, aber Ressourcen in Form von Personal unangetastet lässt.

Fazit

Die DSGVO ist zweifelsohne eine große Herausforderung für alle Beteiligten, aber sicherlich keine unlösbare Aufgabe. Erfolgskritisch ist für die Umsetzung an allen Schnittstellen mit personenbezogenen Daten zuerst einmal der Faktor Zeit, gefolgt von ganzheitlichen und systematisch erstellten Prozessen. Mit den richtigen Voraussetzungen im Hintergrund ist die DSGVO zeitnah umsetzbar. Es lohnt sich zudem alle Prozesse Schritt für Schritt anzupassen und systematisch abzuarbeiten – eine Checkliste kann hier Struktur geben. Etwaige offene Fragen kann im Zweifel ein externer Experte beantworten. Sich helfen zu lassen ist dann keine Schande, sondern schlichtweg klug. Fakt ist, nicht alle Herausforderungen lassen sich mit internen Ressourcen bewältigen, erst recht dann nicht, wenn die Zeit der ärgste Feind ist.

Anastasios PapadopoulosAnastasios Papadopoulos, Managing Director, expertplace compliance services GmbH

www.expertplace.de

 

GRID LIST
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Smarte News aus der IT-Welt