Die neue EU Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 ist es soweit: dann gilt die neue EU Datenschutz-Grundverordnung (DSGVO) einheitlich für alle EU-Mitgliedsstaaten.

Bis dahin sollten alle Unternehmen und Behörden ihre Prozesse durchleuchtet und alle Vorgänge, bei denen personenbezogene Daten im Spiel sind, analysiert, bewertet und der Verordnung entsprechend optimiert haben. Doch nur wenige Unternehmen haben damit aktuell überhaupt angefangen.

Um einen Überblick über die Gesetzeslage, deren Folgen und die Umsetzung in der Praxis zu geben, lud die IHK zu Dortmund daher am 15. Februar zu einem Informationstag rund um die neue EU Datenschutz-Grundverordnung (DSGVO) ein.

Was bringt die EU Datenschutz-Grundverordnung (DSGVO) mit sich?

Unter dem Titel “99 Tage bis zur DSGVO – Umsetzungsprojekt oder Notversorgung?” informierte die IHK am 15. Februar 2018 Geschäftsführer, Datenschutzbeauftragte, IT-Verantwortliche und interessierte Fachkräfte in drei Vorträgen mit anschließender Fragerunde über die neue Datenschutzverordnung.

Den Anfang machte Rechtsanwalt Merlin Backer von HK2 Rechtsanwälte aus Berlin über die rechtlichen Grundlagen und bot einen Überblick über die Inhalte der EU Datenschutz-Grundverordnung (DSGVO). Diese regelt unter anderem, dass personenbezogene Daten erhoben und genutzt werden dürfen, wenn dieser Nutzung explizit zugestimmt wurde, wenn sich eine Nutzung aus einer vertraglichen Vereinbarung ergibt, wenn ein berechtigtes Interesse zur Nutzung besteht (Anmerkung an dieser Stelle: Nein, dass ich mein Produkt bewerben und verkaufen will, ist kein berechtigtes Interesse 😉 ) oder wenn eine rechtliche Notwendigkeit zur Nutzung der Daten besteht. Kurz gesagt sind Unternehmen also gut damit beraten, die Nutzung von Daten grundsätzlich im Vorfeld zu regeln, den Betroffenen darüber aufzuklären und dies ausreichend zu dokumentieren. Die Verordnung gilt übrigens nicht ab einer bestimmten Unternehmensgröße, sondern generell für alle Unternehmen und unabhängig von der Art der Erhebung. Die Nutzungsabsichten der Daten müssen also sowohl bei der Erhebung durch ein Online-Formular als auch offline klar sein.

Zur Vorbereitung auf den Stichtag 25. Mai schlägt Merlin Backer eine Vorgehensweise in vier Phasen vor:

  1. Bestandsaufnahme der vorhandenen Prozesse sowie der vorhandenen Schutzmaßnahmen
  2. Technische und organisatorische Analyse und Bewertung sowie Dokumentation der Verarbeitungstätigkeiten
  3. Schulung der Mitarbeiter (Sensibilisierung), Einwilligungsmanagement und Sicherung von Prozessen mit hohem Risiko
  4. Datenschutzerklärungen, Mitarbeiterverpflichtungen

Im nächsten Vortrag ging Michael Schröder, Business Development Manager bei ESET Deutschland GmbH, den ersten Schritt in die Praxis und stellte dar, was diese Regelungen in der Praxis bedeuten. Zunächst machte er noch einmal in aller Deutlichkeit klar, dass diese Regelung alle Unternehmen betrifft und wirklich alle Unternehmen ausnahmslos in der Pflicht sind, sich darauf einzustellen. Als Beispiel beschrieb er die Situation in einem kleinen Handwerksbetrieb. Auch hier schützt der Mangel an z.B. Wissen oder Fachkräften für die Umsetzung nicht vor Strafen. Zudem machte er deutlich, dass die – nennen wir es einmal – “Attraktivität, Bußgelder zu verhängen” höher geworden ist. Zwar gibt es nach wie vor nicht allzu viel Personal für die Betriebsprüfungen, aber dies wird in der kommenden Zeit aufgestockt und für z.B. Anwälte, die sich auf das Geldverdienen über Abmahnungen fokussieren, lässt die drastische Erhöhung der Bußgelder durch die EU Datenschutz-Grundverordnung (DSGVO) diesen Abmahnbereich zu einem äußerst attraktiven Markt werden.

Mit zahlreichen Fallbeispielen stellte er die Komplexität der Umsetzung der EU Datenschutz-Grundverordnung (DSGVO) in der Praxis dar. Welche Wege können personenbezogene Daten im Unternehmen gehen? Was passiert, wenn meine Mitarbeiter nicht über das Unternehmen gesicherte Dienste nutzen (z.B. Dokumente in einer Dropbox speichern)? An welchen Stellen wird der Datenschutz relevant und wo sind Unternehmen in der Pflicht dies zu sichern? Wie gestaltet sich der Umgang mit externen Dienstleistern (z.B. Drittanbieter, die Newsletter im Auftrag des Unternehmens versenden)?

Im letzten Vortrag ging es dann vollends in das operative Geschäft. Peter Hansemann, Geschäftsführer der ICN GmbH + Co. KG in Dortmund, widmete sich intensiv dem Thema der technischen Sicherheit und beleuchtete die Risiken für Cyberangriffe. Risiken sind nicht immer nur extern zu finden, auch intern lauern einige Gefahren, die vielen Geschäftsführern und Mitarbeitern gar nicht bekannt sind. Zudem sprach er Empfehlungen aus, an welchen Stellen welche technischen Maßnahmen ergriffen werden können und nannte auch einen groben Kostenrahmen für die Implementierung. Auch der Faktor “Mensch” und dessen sogenannte “digitale Sorglosigkeit” wurden als Komponenten der Prozesse betrachtet.

Die Sicherung im Unternehmen sollte stets dem “aktuellen Stand der Technik” entsprechen und bereits hier beginnen die Probleme: Was genau ist der aktuelle Stand der Technik? Schnell wurde klar: Die Möglichkeiten technischer Sicherungen sind zahlreich und komplex.

Fachkräfte für Informationssicherheit sind gefragt

Das Fazit aus den Vorträgen war deutlich: Handeln Sie jetzt! Beleuchten Sie Ihre Prozesse! Lassen Sie sich beraten! Holen Sie sich eine Fachkraft für Datensicherheit ins Unternehmen!

Diese Fachkräfte können externe Berater sein oder in den eigenen Reihen fortgebildet werden. Datenschutzbeauftragte und IT-Fachkräfte sollten hier Hand in Hand arbeiten. Die Verantwortung für die Umsetzung der Verordnung trägt die Geschäftsführung. Diese ist ebenso haftbar bei Verstößen.

Um die Unternehmen bei der Weiterbildung ihrer Mitarbeiter zu unterstützen, bietet die IHK zu Dortmund verschiedene Veranstaltungen rund um den Datenschutz und die IT-Sicherheit an, unter anderem auch die Weiterbildung zum Informationssicherheitsbeauftragten (IHK). In diesem Lehrgang geht es um die neuen Herausforderungen der IT-Sicherheit, Risikoanalysen, Sicherheitsstandards, Maßnahmen und Methoden.