Last-Minute-Tipps zum Datenschutz von Gianluca De Lorenzis, CEO der FGND Group, einer Spezialberatung für Datenschutz-Compliance und IT-Sicherheit.
Mit welchen konkreten Maßnahmen auch mittelgroße und kleinere Unternehmen die Pflichten und Regeln der neuen EU-Datenschutzgrundverordnung (DSGVO) – sie tritt heute in Kraft – schnell in den Griff bekommen können, zeigt Gianluca De Lorenzis, CEO der FGND Group und Gründer von FGND Core:
DeLorenzis Foto: Tobias Hase (www.hase-fotografie.de)
1. Eigene Position einschätzen
Schätzen Sie erst einmal die Position Ihres Unternehmens auf dem Behördenradar richtig ein. Dabei hilft dieser einfache Test:
Je mehr der folgenden Fragen Sie mit „Ja“ beantworten können, desto heller wird Ihr Radarsignal leuchten:
•Verarbeitet Ihr Unternehmen besonders schützenswerte Daten, beispielsweise Gesundheitsdaten?
•Ist Ihr Unternehmen auch außerhalb der EU aktiv?
•Gab es bereits in den vergangenen Jahren Kontakt zu Datenschutz-Aufsichtsbehörden, etwa wegen Verstößen oder Beschwerden? Ist Ihr Unternehmen in der Öffentlichkeit besonders sichtbar oder ließe es sich als Branchen-Beispiel hervorheben?
•Setzen Sie publikumswirksam neuartige Technologien oder Verfahren wie Data Collection Plattformen für spätere Marketing-Maßnahmen ein? Oder Cross Channel Tracking / Webtracker, die die digitalen Spuren überwachen, die man etwa bei Online-Shops hinterlässt.
2. Grauzonen nutzen
Treffen fast alle Punkte zu? Das ist kein Grund zur Sorge, sondern hilft bei der Priorisierung des Themas. In jedem Fall sollten Sie die EU-DSGVO nicht als Bedrohung, sondern als Chance für Ihr Unternehmen verstehen. Zwar sorgt momentan das oft beschworene Szenario der drakonischen Bußgelder bei Verstößen gegen Datenschutzvorgaben für Aufmerksamkeit.
Gerade kleine und mittelständische Unternehmen dürften bisher aber kaum Zeit und Geld investiert haben, um sich nun EU-DSGVO-konform aufzustellen. Das weiß auch der Gesetzgeber. Insofern besteht in den kommenden Monaten bei der Anwendung der Verordnung durchaus eine Grauzone, in der sich auch die staatlichen Institutionen zurechtfinden müssen.
Dies sollten Sie nutzen, um mit Ihren Fragen proaktiv auf die Landesdatenschutzbehörden zuzugehen. Einige Behörden, wie etwa das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), stellen bereits online Musterformulare und die wesentlichen Anforderungen für Einzelhändler, Online-Shops, Hotelbetriebe, Steuerberater, Produktionsbetriebe und viele weitere Unternehmen zur Verfügung. Mit diesen Infos können Sie zum Beispiel gut mit der Erstellung einer ersten Dokumentation über den Umgang mit personenbezogenen Daten in Ihrem Unternehmen beginnen (siehe weiter unten).
3. Informationsfluss kartieren
Damit sind wir auch schon bei der nächsten Komplexitätshürde: nach der neuen DSGVO müssen Unternehmen nachweisen, dass sie personenbezogene Daten im Einklang mit der Verordnung verarbeiten. Je nach Unternehmen können das ganz unterschiedliche Verfahren und damit Dokumentationen sein – leider werden Sie also kein Musterformular finden, welche das in Ihrem Fall sind und wie Sie diese erstellen.
Daher starten Sie hier am besten nach dem Top-Down-Prinzip mit einer Ist-Analyse Ihrer IT- und Daten-Struktur: also zuerst die grobe Hard- und Softwarestruktur mit Stationen (unter anderem Server, Rechner, mobile Geräte plus Cloud / Mail-, Archiv-, Streaming-Dienste) identifizieren und aufzeichnen. Anschließend sollte je System festgehalten werden, welche Datenarten erhoben werden, zu welchem Zweck dies erfolgt, wie Sie bzw. Ihre Mitarbeiter die Daten speichern, ob sie diese weitergeben und schließlich wann diese gelöscht werden. Wichtig: schon bei einem Mittelständler können hier schnell 50-80 Prozesse zusammenkommen. Oder mehr, wenn Ihr Geschäftsmodell auf personenbezogenen Informationen beruht. Dokumentieren Sie daher nicht mit dem letzten Anspruch auf Vollständigkeit, dies sollte aber in Folgeschritten erfolgen Noch besser: gehen Sie auch in diesem Fall mit einem ersten, kurzen Entwurf und Ihren Fragen proaktiv auf die Behörden zu, um mit deren Hilfe Transparenz zu schaffen.
4. Löschkonzept entwickeln
Was genau passiert eigentlich mit Ihren – gelöschten – E-Mails oder Dateien? Für eine Antwort hierauf müssen Sie nicht gleich ein IT-Experte sein. Aber es ist wichtig zu wissen, dass eine Aufräumaktion im digitalen Papierkorb Daten nicht wirklich löscht. Diese liegen noch (mindestens) auf einem Server, auf diversen Smartphones undsoweiter – und genau das ist EU-DSGVO-relevant. Denn das Gesetzt räumt ein „Recht auf Vergessenwerden“ ein.
Stellenbewerber, die Ihnen eine digitalen Bewerbungsmappe schicken, können danach nicht nur von Ihnen verlangen, dass Sie diese Daten bei einer Absage löschen. Sondern auch, dass Sie den Speicher- und Löschvorgang transparent nachweisen. In solchen Fällen wird der Gesetzesgeber, ähnlich wie beim Umgang mit Kunden- und Mitarbeiterdaten, sehr genau hinschauen.
Wenn sich Gesetze widersprechen, wird´s richtig heikel…
Das Problem: in vielen Fällen wird es zu Überschneidungen und Widersprüchen mit anderen Datenschutzvorgaben kommen. Eine rege E-Mailkommunikation mit einem Ex-Kollegen aus der Buchhaltung könnte zum Beispiel nach EU-DSGVO ein Pflichtfall fürs Löschen sein – wurden dabei Rechnungen ausgetauscht, dürfte aber die Vorgabe der Finanzbehörden greifen, sie zehn Jahre speichern zu müssen.
Diese Grauzonen lösen Sie am besten mit einem Löschkonzept auf – einem Paper, das ähnlich wie in Punkt 3 die Stationen des Daten-Löschens grob beschreibt.
5. Cyber-Security aufrüsten
Eigentlich sollte Ihre digitale Kommunikation im Zeitalter der Cyber-Spionage ja nach neustem Stand der Technik verschlüsselt sein, oder? Aber vermutlich sieht die Realität anders aus. Die DSGVO gibt Ihnen einen Grund mehr, der Datenverschlüsselung eine hohe Priorität einzuräumen. Denn eine Neuerung des Gesetzes ist essentiell für die Prävention zukünftiger Rechtsstreitigkeiten bei Datenschutzthemen: Wenn Ihr Unternehmen personenbezogene Daten ausreichend verschlüsselt, müssen im Falle einer Datenschutzverletzung betroffene Personen nicht benachrichtigen werden (Art. 34 DSGVO).
Investitionen in eine technologische Aufrüstung können sich also schnell mehrfach rentieren. Aber auch mit anderen Tools wie etwa Compliance Request Portalen sorgen Sie für mehr Datensicherheit- und Transparenz – und wappnen sich zugleich gegen Beschwerden und Klagen zu Datenschutzverstößen.
6. Die gesunde Paranoia pflegen: Datenschutz-Risiken senken mit Sichtschutz
Schlussendlich sollten Sie mit einer gesunden Paranoia einen Blick für Punkte im Alltag entwickeln, an denen Sie mit kleinen Maßnahmen große Datenschutz-Risiken aus dem Weg räumen können. Etwa mit einer Clean-Desk-Politik für alle Mitarbeiter, also einfache Regeln, nach denen kein Unbefugter Informationen sehen kann: richtig aktivierte Bildschirmschoner, verschlossene Unterlagen, mit Sichtschutzfolie beklebte Laptops und Touchpads, speziell geschützte Smartphones.
Skype-Konferenz über den US-Server? Lieber lassen
Und falls Sie gerne via Skype-Konferenz Personalgespräche führen oder Kandidaten für eine neue Stelle kennen lernen – bitte nicht vergessen, dass dies über US-Server läuft und daher Ihr sorgsames Vorgehen nach EU-DSGVO zunichtemachen kann …
