Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

To Do: DSGVO

Die europäische Datenschutzgrundverordnung (DGSVO) kommt zwar nicht überraschend, aber sorgt dennoch für allerlei Wirrungen bei Unternehmen, Verbänden und anderen Betroffenen. Jeder weiß, dass er handeln muss, doch wo zu beginnen ist, weiß kaum jemand. Klar ist, wer nicht tätig wird, riskiert saftige Abmahnungen. 

Das Ende der zweijährigen Übergangsregelung der DSGVO holt derzeit viele Betroffene in die Realität zurück. Die europäische Datenschutzgrundverordnung ist nun gültig – Unsicherheit und Überforderung machen sich europa- und branchenweit breit. Selbst viele Konzerne haben es lange versäumt entsprechende Maßnahmen zu ergreifen und sind dementsprechend immer noch nicht rechtskonform unterwegs, von KMU einmal ganz zu schweigen. In diesem Klima der Unsicherheit scheint nun die Stunde der Abmahnbüros zu schlagen, die bereit sind, jedes Versäumnis der Unternehmen zu barem Geld zu machen. Hier hat schon das „Abmahn-Unwetter“ bereits zu einer empflindlichen Geldstrafe eines Webseitenbetreibers geführt, weil eine Verschlüsselung der Homepage nicht vorlag und als DSGVO Verstoß gewertet wurde. Ergebnis: 12.500€ Strafzahlung!

Aber für ratlose Blicke dürfte in der aktuellen Gemengelage vor allem der unternehmensinterne Umgang mit der DSGVO sorgen, schließlich gilt es eine ganze Reihe von Prozessen völlig neu zu definieren. Dazu zählt etwa die Dokumentation aller Datenverarbeitungsprozesse wie adäquate Löschkonzepte, ein Verfahrensverzeichnis oder Richtlinien für die IT-Sicherheit. Gleichzeitig müssen die Mitarbeiter im Umgang mit personenbezogenen Daten geschult werden. Häufig ist außerdem schlichtweg unklar, welche personenbezogenen Daten vorhanden sind, wo sie abgelegt sind und wer Zugriff auf diese hat. Es stellen sich viele Fragen, deren Beantwortung ohne externe Beratung nahezu unmöglich ist, die brennendste: Wo ansetzen?

Fallstricke identifizieren

Der offensichtlichste Schwachpunkt in Bezug auf den Datenschutz sind die unternehmenseigene Website und die dort hinterlegte Datenschutzerklärung, sie muss verschlüsselt und auf dem neuesten Stand sein. Im gleichen Zug sollte der Umgang mit Löschbegehren definiert werden, weil diese relativ zeitnah drohen und daher ein unmittelbares Problem darstellen. Laut DSGVO ist eine derartige Anfrage innerhalb eines Kalendermonats umzusetzen und zu beantworten, ansonsten liegt ein Verstoß vor. Als weiterer kritischer Faktor kann sich eine unkorrekte oder unvollständige Widerrufsmöglichkeit bei Newslettern entpuppen. Hier stehen die Abmahnbüros bereits in den Startlöchern, um ihrerseits Quick Wins einzufahren. Es reicht schon, wenn verschiedene Varianten eines Newsletter in unterschiedlichen Systemen hinterlegt sind, die nicht miteinander verbunden sind. Das führt beispielsweise dazu, dass eine Abmeldungsanfrage nicht zeitgleich zu einer Abmeldung in den anderen Systemen führt. Ein Abmahnbüro weiß an dieser Stelle rasch woran es ist. Um vermeidbare Strafzahlungen zu umgehen, sollte daher überprüft werden, ob die Datenschutz-Dokumentation auch technisch wie praktisch umsetzbar ist und die betrauten Mitarbeiter a jour sind.

Für zusätzliche Unsicherheiten und Unwägbarkeiten sorgt indes, dass die DSGVO nicht immer eindeutig ist und entsprechend dehnbar auslegbar. So gewährt sie beispielsweise jedem Bürger seine Daten in der EU von einem Unternehmen zu einem anderen übertragen zu lassen, etwa bei einem Dienstleisterwechsel. Diese sogenannte „Datenportabilität“ ist jedoch technisch nicht standardisiert und kann von jedem Unternehmen unterschiedlich gehandhabt werden. Es bleibt somit auch jedem Unternehmen selbst überlassen, die vorhandenen personenbezogenen Daten entsprechend gegen Zugriff Dritter zu schützen. Diese fehlende Auslegung hinterlässt zurecht einige Fragezeichen, nicht zuletzt bei global agierenden Unternehmen, die ihren Sitz nicht in der EU haben und folglich kein Bewusstsein für die daraus entstehende Problematik ihrer Dienstleistungsprozesse.

Prozesse ganzheitlich anpassen

Damit die DSGVO im Kontext aller genannten Unwägbarkeiten nicht zum Stolperstein wird, gibt es durchaus konkrete Ansatzpunkte. Auch wenn in vielen Organisationen bereits ein Datenschutzbeauftragter vorhanden ist oder jüngst spontan benannt wurde, sollte die Umsetzung der DSGVO in unternehmensinternen Prozessen durchaus ernst genommen werden. Die eigene IT kann zwar währenddessen schon überprüfen, ob alle ergriffenen Maßnahmen wie IT-Sicherheitsrichtlinien oder Löschmaßnahmen funktional sind und ihren Zweck erfüllen, ein geschulter Blick von außen ist jedoch in der Regel die günstigere und einfachere Variante und hilft rechtssichere, zukunftsfähige Konzepte zu erstellen.

Gerade Unternehmen, die international tätig sind, müssen alle Aktivitäten unter die Lupe nehmen, bei denen Daten mit Dritten außerhalb der EU ausgetauscht werden. Das kommt relativ leicht und häufig vor, weil Marketing-Tools wie Umfragewebsites nicht selten über US-amerikanischen Server oder Anbieter laufen, die eben nicht in der EU liegen. Hier ist ein genauer Blick auf die Datenschutzvorgaben des Dienstleisters Pflicht, wenn mögliche Verstöße verhindert werden sollen. Ein Rezept gar nicht erst in diese datenschutzrechtliche Bredouille zu geraten, sind individuelle Sicherheitslösungen, aber auch die Sensibilisierung und Schulung aller Mitarbeiter zu datenschutzrelevanten Themen und Vorgängen. Eines sollte dabei jedem Betroffenen klar sein: Kostenlos ist das nicht. Die systematische Umsetzung der DSGVO und angepasste Prozesse erfordern nicht nur personelle, sondern auch finanzielle Ressourcen. Diese Tatsache dürfte Konzerne vor geringere Herausforderungen stellen als KMU. Es kann sich vor diesem Hintergrund lohnen, auf externe Hilfe zurückzugreifen, die zwar Geld kostet, aber Ressourcen in Form von Personal unangetastet lässt.

Fazit

Die DSGVO ist zweifelsohne eine große Herausforderung für alle Beteiligten, aber sicherlich keine unlösbare Aufgabe. Erfolgskritisch ist für die Umsetzung an allen Schnittstellen mit personenbezogenen Daten zuerst einmal der Faktor Zeit, gefolgt von ganzheitlichen und systematisch erstellten Prozessen. Mit den richtigen Voraussetzungen im Hintergrund ist die DSGVO zeitnah umsetzbar. Es lohnt sich zudem alle Prozesse Schritt für Schritt anzupassen und systematisch abzuarbeiten – eine Checkliste kann hier Struktur geben. Etwaige offene Fragen kann im Zweifel ein externer Experte beantworten. Sich helfen zu lassen ist dann keine Schande, sondern schlichtweg klug. Fakt ist, nicht alle Herausforderungen lassen sich mit internen Ressourcen bewältigen, erst recht dann nicht, wenn die Zeit der ärgste Feind ist.

Anastasios PapadopoulosAnastasios Papadopoulos, Managing Director, expertplace compliance services GmbH

www.expertplace.de

 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…