Anzeige

Anzeige

VERANSTALTUNGEN

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

To Do: DSGVO

Die europäische Datenschutzgrundverordnung (DGSVO) kommt zwar nicht überraschend, aber sorgt dennoch für allerlei Wirrungen bei Unternehmen, Verbänden und anderen Betroffenen. Jeder weiß, dass er handeln muss, doch wo zu beginnen ist, weiß kaum jemand. Klar ist, wer nicht tätig wird, riskiert saftige Abmahnungen. 

Das Ende der zweijährigen Übergangsregelung der DSGVO holt derzeit viele Betroffene in die Realität zurück. Die europäische Datenschutzgrundverordnung ist nun gültig – Unsicherheit und Überforderung machen sich europa- und branchenweit breit. Selbst viele Konzerne haben es lange versäumt entsprechende Maßnahmen zu ergreifen und sind dementsprechend immer noch nicht rechtskonform unterwegs, von KMU einmal ganz zu schweigen. In diesem Klima der Unsicherheit scheint nun die Stunde der Abmahnbüros zu schlagen, die bereit sind, jedes Versäumnis der Unternehmen zu barem Geld zu machen. Hier hat schon das „Abmahn-Unwetter“ bereits zu einer empflindlichen Geldstrafe eines Webseitenbetreibers geführt, weil eine Verschlüsselung der Homepage nicht vorlag und als DSGVO Verstoß gewertet wurde. Ergebnis: 12.500€ Strafzahlung!

Aber für ratlose Blicke dürfte in der aktuellen Gemengelage vor allem der unternehmensinterne Umgang mit der DSGVO sorgen, schließlich gilt es eine ganze Reihe von Prozessen völlig neu zu definieren. Dazu zählt etwa die Dokumentation aller Datenverarbeitungsprozesse wie adäquate Löschkonzepte, ein Verfahrensverzeichnis oder Richtlinien für die IT-Sicherheit. Gleichzeitig müssen die Mitarbeiter im Umgang mit personenbezogenen Daten geschult werden. Häufig ist außerdem schlichtweg unklar, welche personenbezogenen Daten vorhanden sind, wo sie abgelegt sind und wer Zugriff auf diese hat. Es stellen sich viele Fragen, deren Beantwortung ohne externe Beratung nahezu unmöglich ist, die brennendste: Wo ansetzen?

Fallstricke identifizieren

Der offensichtlichste Schwachpunkt in Bezug auf den Datenschutz sind die unternehmenseigene Website und die dort hinterlegte Datenschutzerklärung, sie muss verschlüsselt und auf dem neuesten Stand sein. Im gleichen Zug sollte der Umgang mit Löschbegehren definiert werden, weil diese relativ zeitnah drohen und daher ein unmittelbares Problem darstellen. Laut DSGVO ist eine derartige Anfrage innerhalb eines Kalendermonats umzusetzen und zu beantworten, ansonsten liegt ein Verstoß vor. Als weiterer kritischer Faktor kann sich eine unkorrekte oder unvollständige Widerrufsmöglichkeit bei Newslettern entpuppen. Hier stehen die Abmahnbüros bereits in den Startlöchern, um ihrerseits Quick Wins einzufahren. Es reicht schon, wenn verschiedene Varianten eines Newsletter in unterschiedlichen Systemen hinterlegt sind, die nicht miteinander verbunden sind. Das führt beispielsweise dazu, dass eine Abmeldungsanfrage nicht zeitgleich zu einer Abmeldung in den anderen Systemen führt. Ein Abmahnbüro weiß an dieser Stelle rasch woran es ist. Um vermeidbare Strafzahlungen zu umgehen, sollte daher überprüft werden, ob die Datenschutz-Dokumentation auch technisch wie praktisch umsetzbar ist und die betrauten Mitarbeiter a jour sind.

Für zusätzliche Unsicherheiten und Unwägbarkeiten sorgt indes, dass die DSGVO nicht immer eindeutig ist und entsprechend dehnbar auslegbar. So gewährt sie beispielsweise jedem Bürger seine Daten in der EU von einem Unternehmen zu einem anderen übertragen zu lassen, etwa bei einem Dienstleisterwechsel. Diese sogenannte „Datenportabilität“ ist jedoch technisch nicht standardisiert und kann von jedem Unternehmen unterschiedlich gehandhabt werden. Es bleibt somit auch jedem Unternehmen selbst überlassen, die vorhandenen personenbezogenen Daten entsprechend gegen Zugriff Dritter zu schützen. Diese fehlende Auslegung hinterlässt zurecht einige Fragezeichen, nicht zuletzt bei global agierenden Unternehmen, die ihren Sitz nicht in der EU haben und folglich kein Bewusstsein für die daraus entstehende Problematik ihrer Dienstleistungsprozesse.

Prozesse ganzheitlich anpassen

Damit die DSGVO im Kontext aller genannten Unwägbarkeiten nicht zum Stolperstein wird, gibt es durchaus konkrete Ansatzpunkte. Auch wenn in vielen Organisationen bereits ein Datenschutzbeauftragter vorhanden ist oder jüngst spontan benannt wurde, sollte die Umsetzung der DSGVO in unternehmensinternen Prozessen durchaus ernst genommen werden. Die eigene IT kann zwar währenddessen schon überprüfen, ob alle ergriffenen Maßnahmen wie IT-Sicherheitsrichtlinien oder Löschmaßnahmen funktional sind und ihren Zweck erfüllen, ein geschulter Blick von außen ist jedoch in der Regel die günstigere und einfachere Variante und hilft rechtssichere, zukunftsfähige Konzepte zu erstellen.

Gerade Unternehmen, die international tätig sind, müssen alle Aktivitäten unter die Lupe nehmen, bei denen Daten mit Dritten außerhalb der EU ausgetauscht werden. Das kommt relativ leicht und häufig vor, weil Marketing-Tools wie Umfragewebsites nicht selten über US-amerikanischen Server oder Anbieter laufen, die eben nicht in der EU liegen. Hier ist ein genauer Blick auf die Datenschutzvorgaben des Dienstleisters Pflicht, wenn mögliche Verstöße verhindert werden sollen. Ein Rezept gar nicht erst in diese datenschutzrechtliche Bredouille zu geraten, sind individuelle Sicherheitslösungen, aber auch die Sensibilisierung und Schulung aller Mitarbeiter zu datenschutzrelevanten Themen und Vorgängen. Eines sollte dabei jedem Betroffenen klar sein: Kostenlos ist das nicht. Die systematische Umsetzung der DSGVO und angepasste Prozesse erfordern nicht nur personelle, sondern auch finanzielle Ressourcen. Diese Tatsache dürfte Konzerne vor geringere Herausforderungen stellen als KMU. Es kann sich vor diesem Hintergrund lohnen, auf externe Hilfe zurückzugreifen, die zwar Geld kostet, aber Ressourcen in Form von Personal unangetastet lässt.

Fazit

Die DSGVO ist zweifelsohne eine große Herausforderung für alle Beteiligten, aber sicherlich keine unlösbare Aufgabe. Erfolgskritisch ist für die Umsetzung an allen Schnittstellen mit personenbezogenen Daten zuerst einmal der Faktor Zeit, gefolgt von ganzheitlichen und systematisch erstellten Prozessen. Mit den richtigen Voraussetzungen im Hintergrund ist die DSGVO zeitnah umsetzbar. Es lohnt sich zudem alle Prozesse Schritt für Schritt anzupassen und systematisch abzuarbeiten – eine Checkliste kann hier Struktur geben. Etwaige offene Fragen kann im Zweifel ein externer Experte beantworten. Sich helfen zu lassen ist dann keine Schande, sondern schlichtweg klug. Fakt ist, nicht alle Herausforderungen lassen sich mit internen Ressourcen bewältigen, erst recht dann nicht, wenn die Zeit der ärgste Feind ist.

Anastasios PapadopoulosAnastasios Papadopoulos, Managing Director, expertplace compliance services GmbH

www.expertplace.de

 

GRID LIST
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…
DSGVO Datentunnel

Stream Processing für einfacheren Weg zur DSGVO-Compliance

Die data Artisans GmbH weist auf die Bedeutung von Stream-Processing, also der…
DSGVO-Beauftragte

Für welche Unternehmen ist ein Datenschutzbeauftragter Pflicht?

Seit Mai letzten Jahres gilt für Unternehmen innerhalb der EU die…
Angst Horrorfilm

Google weiß, was du letzten Sommer getan hast

Googles Android ist weltweit das am weitesten verbreitete Betriebssystem für Smartphones…
SSL

Auch hinter SSL-Verschlüsselung lauern Gefahren im Internet

Der Safer Internet Day soll dazu beitragen, die Internetnutzer auf die Gefahren beim…