Managed Security Services brauchen gutes Management

EU-DSGVO: Auf diese Fallstricke müssen Unternehmen vorbereitet sein

Obwohl bis zum endgültigen Inkrafttreten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 nur noch wenig Zeit verbleibt, sind laut Branchenverband Bitkom viele Unternehmen nicht oder nur unzureichend darauf vorbereitet. Dabei birgt dieses umfangreiche Werk zahlreiche Herausforderungen, die Unternehmen bewältigen müssen, um im Ernstfall hohen Strafen zu entgehen.

Bis September 2017 hatte sich jedes dritte Unternehmen in Deutschland noch nicht mit der EU-Datenschutzgrundordnung beschäftigt, vermeldete der Branchenverband Bitkom das Ergebnis einer Umfrage unter 507 Unternehmen mit mehr als 20 Mitarbeitern. Lediglich 19 Prozent der befragten Firmen gehen der Untersuchung zufolge davon aus, bis zum Mai 2018 die Vorgaben der Verordnung vollständig umgesetzt zu haben, weitere 20 Prozent wollen sie „zum größten Teil“ umgesetzt haben.

Zu ähnlichen Ergebnissen auf internationalem Niveau kommt das Marktforschungsinstitut Gartner. Die Marktforscher gehen davon aus, dass die Hälfte der Unternehmen, für welche die Verordnung relevant ist, die Compliance-Anforderungen bis Ende 2018 nicht erfüllt haben wird. Dabei bezieht sich die EU-DSGVO auf Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Das dürften die meisten in der EU aktiven Unternehmen sein, da es kaum noch Firmen geben dürfte, die Adressen von Kunden, Lieferanten oder Partnern nicht elektronisch speichern.

Kontrollrecht der Nutzer über ihre Daten steht im Mittelpunkt

„Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens“, sagt Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom. Die Strafe für Verstöße gegen die Verordnung beträgt vier Prozent des Umsatzes, mindestens jedoch 20 Millionen Euro.

"Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens."
Die wichtigsten Änderungen gegenüber bisher geltenden Bestimmungen, wie das deutsche Bundesdatenschutzgesetz, betreffen neben dem Geltungsbereich und dem Kreis der betroffenen Unternehmen (EU-weit) den Umgang mit personenbezogenen Daten. Dazu zählen unter anderem neue Anforderungen an die Einwilligung (Schriftform entfällt zwar, aber die Einwilligung muss nachweisbar sein), die Datenminimierung (Grundsatz der zweckbezogenen Datennutzung), Transparenz (jede Person hat ein Recht auf Auskunft über alle sie betreffenden Daten und das Recht auf Berichtigung, Sperrung und Löschung) und das Recht auf Vergessenwerden (Löschen aller Daten einer Person).

Vor diesem Hintergrund zeigt sich eine Reihe von Herausforderungen, die Unternehmen zu bewältigen haben:

  • Die meisten personenbezogenen Daten liegen unstrukturiert auf unterschiedlichen Geräten vor. Ihre Nutzung lässt sich nicht zentral kontrollieren. Weil sie nicht in vordefinierten Datensystemen gespeichert sind, erfüllen sie nicht die gesetzlichen Anforderungen.
  • Für die Nutzung personenbezogener Daten ist die Zustimmung der betreffenden Person erforderlich. Das heißt, bei vorhandenen Daten muss diese nachträglich eingeholt und bei neuen Kunden zum Regelfall werden.
  • Das Unternehmen muss Bürgern jederzeit Auskunft darüber geben können, welche persönlichen Daten es zu welchem Zweck verwendet. Die Herausforderung ist, vollständige Transparenz über sämtliche Lieferketten, Marketingmaßnahmen und sonstigen Strukturen herzustellen.
  • Das Recht auf Vergessenwerden bedeutet, dass Firmen auf Verlangen sämtliche persönlichen Daten löschen müssen. Bei nicht zentralisierten Systemen verursacht das einen sehr hohen Aufwand, damit sichergestellt werden kann, dass die Löschung auf sämtlichen Geräten und Systemen erfolgt.
  • Unternehmen müssen Personendaten auf Wunsch an den Besitzer übermitteln – in einer für den Nutzer lesbaren Form.
  • Unternehmen müssen nachweisen, dass sie geeignete technische Maßnahmen getroffen haben, um den Anforderungen der DSGVO zu genügen. Dabei sind auch die Risiken zu berücksichtigen, die mit der Verarbeitung (Vernichtung, Verlust oder Veränderung) verbunden sind. Mit einer Zertifizierung der Systeme kann dieser Nachweis erbracht werden.
  • Vorfälle müssen innerhalb von 72 Stunden gemeldet werden. Unternehmen müssen daher in der Lage sein, Vorfälle schnell festzustellen und diese der zuständigen Kontrollbehörde zu übermitteln.
  • Birgt die Verwendung von personenbezogenen Daten ein hohes Risiko, so muss eine Folgenabschätzung der Verarbeitungsvorgänge durchgeführt werden. Das setzt absolute Transparenz bei den Prozessen voraus.
  • Es muss ein Datenschutzbeauftragter bestimmt werden (Artikel 37), sofern die Kerntätigkeit eines Unternehmens die Überwachung von Personen ist oder die Verarbeitung von besonderen Datenkategorien oder Strafrechtssachen.

Was ist zu tun?

Unternehmen und Behörden, die sich noch nicht mit der EU-DSGVO auseinandergesetzt haben, sollten das sofort tun. „Das Wichtigste ist, dass Sie schnell loslegen“, mahnt Grace Crossley, European Information Governance Practice Lead bei DXC Technology, in ihrem Blog. Nachdem aller Anfang oft schwer ist, empfiehlt Crossley die folgenden beiden Punkte zum Einstieg in die Materie:

  1. Ermitteln Sie, welche persönlichen Daten in Ihrem Unternehmen gespeichert werden, wo diese liegen (physikalisch und logisch), wozu man diese Daten braucht, beziehungsweise ob man sie tatsächlich braucht.
  2. Ordnen Sie Ihre Prozesse und warten Sie nicht, bis ein Antrag auf die Erteilung einer Auskunft über personenbezogene Daten von Ihren Kunden kommt.

Für Unternehmen, die mit der Umsetzung der neuen EU-Verordnung noch am Anfang stehen, wird die Zeit knapp. (Aber nicht nur) für sie empfiehlt sich die Zuhilfenahme externer Berater: Sie kennen die Fallstricke der DSGVO, können schnell ermitteln, wo Unternehmen Handlungsbedarf haben und mögliche Lösungswege aufzeigen.