EU-Datenschutz-Grundverordnung
DSGVO-Anforderungen kurzfristig umsetzen
Die Karenzfrist für die Umsetzung der neuen europäischen Datenschutz-Grundverordnung (DSGVO) läuft am 25. Mai ab. Dies verursacht erhebliche Unruhe bei den deutschen Unternehmen: Viele sind noch im Unklaren, wie sie die neuen Vorgaben rechtssicher umsetzen können - und bezweifeln, dies noch bis Mai zu schaffen. Wichtige erste Schritte sind die Dokumentation datenschutzrelevanter Prozesse und die Absicherung von Mobilgeräten, sind diese doch eine Hauptquelle von Datenmissbrauch. Das ergab ein Roundtable beim Münchner Mobile-Office-Anbieter Virtual Solution.
Gemeinsamer Tenor der Gesprächsrunde zum Thema DSGVO, bestehend aus Virtual-Solution-CEO Günter Junk sowie Harald Kiy, Geschäftsführer des Vertriebspartners Sector27 aus Dorsten, und Florian Eckert, einem auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt von der Kanzlei Heussen: Ja, die DSGVO bringt neue Herausforderungen, aber diese lassen sich bewältigen, die wichtigsten auch noch kurzfristig. "Viele Unternehmen haben sich bereits mit der DSGVO beschäftigt", berichtete Virtual-Solution-Chef Junk, "oft bleibt aber die Frage: Wie bekomme ich das umgesetzt?" Zur Beantwortung dieser Frage wird die Zeit nun knapp - schließlich sind es nur noch wenige Wochen bis zum 25. Mai.
Altbekanntes wird erweitert
"Datenschutzgesetze gab es in Deutschland vorher schon", kommentiert Rechtsanwalt Florian Eckert. "Manche Regelungen sind jetzt aber umfangreicher. Die DSGVO bringt allerdings auch Neues, zum Beispiel das Recht auf Datenübertragbarkeit." Denn die EU-Kommission sieht vor, dass europäische Bürger künftig ihre Daten von einem Anbieter zu einem anderen mitnehmen können.
Dies betrifft laut dem Fachjuristen nicht nur die großen Cloud-Provider, sondern auch ganz normale deutsche Unternehmen. So müsse zum Beispiel ein Autohändler dafür sorgen, dass ein Kunde seine Daten zu einem anderen Händler mitnehmen kann.
Eine weitere wichtige Änderung: Ein Unternehmen müsse nun erfassen, woher die personenbezogenen Daten stammen - wurden sie vom Kunden selbst übermittelt, im Hause erfasst oder von dritter Seite bezogen? Auf Anfrage, erläuterte Eckert, müsse ein Kunde die Rohdaten erhalten, die er dem Unternehmen überlassen hat, nicht jedoch die durch weitere Bearbeitung ermittelten Daten. Ein Beispiel: Der EU-Kunde kann vom Hersteller eines Fitness-Trackers die Mess- und GPS-Daten einfordern, nicht jedoch das daraus abgeleitete Gesundheitsprofil.
Für diese Datenportabilität werden die Unternehmen laut Eckert Schnittstellen schaffen müssen - oder die Aufgabe einem Mittler übergeben. Der Jurist sieht hier eine Chance für neue Geschäftsfelder, etwa Spezialdienstleister für die Portierung der Daten von Versicherungsnehmern. Insgesamt, so der Jurist, werde sich die Einstellung zum Thema Datenschutz ändern müssen: "Ich erwarte, dass Datenschutz zukünftig ,Chefsache? wird und stärker im Zentrum der Aufmerksamkeit von Unternehmen steht. Und zwar nicht nur jetzt, kurz vor der DSGVO, sondern auch langfristig immer ,nebenbei?."
Neue Risiken
Für die Unternehmen steigt durch die DSGVO aber nicht nur der Organisations- und Dokumentationsaufwand, sondern auch das Haftungsrisiko. Die in diesem Kontext gern zitierten Bußgelder in Höhe von vier Prozent des weltweiten Unternehmensumsatzes dürften laut Rechtsanwalt Eckert nur bei erheblichen Verstößen zum Tragen kommen. Aber einfach ignorieren könne man Bußgelddrohungen angesichts dieser Maximalhöhe eben nicht mehr, so Sector27-Chef Kiy.
Außerdem ist laut Anwalt Eckert zu beachten: Bußgelder können nicht erst im Schadensfall verhängt werden, sondern auch schon bei mangelnder Vorsorge. Dieser Fall kann zum Beispiel eintreten, wenn die Datenschutzbehörde bei einer Prüfung bemängelt, dass zu datenschutzrelevanten Prozessen die erforderliche Dokumentation fehlt. "Steigende Kosten werden vor allem die höheren Anforderungen an die technischen und organisatorischen Maßnahmen und auch die Dokumentationspflichten, die die DSGVO den Unternehmen auferlegt, auslösen", so der Jurist. "Hinzu kommen die Kosten für die Auskunftsverlangen von betroffenen Personen."
Derzeit mangelt es laut sector27-Geschäftsführer Kiy aber vielerorts noch am Problembewusstsein: Häufig, so Kiy, müsse man einige Unternehmen sogar auf die Sensibilität von Business-Daten im BYOD-Einsatz (Bring Your Own Device) hinweisen. Noch im Januar habe sich dazu sogar bei einem Kritis-Unternehmen Beratungsbedarf gezeigt.
Auch um die öffentlichen Hand ist es laut Kiy nicht besser bestellt: "Viele Behörden sind durch die DSGVO gezwungen, ihren Umgang mit mobilen Geräten zu überdenken, um den Schutz sensibler Daten zu garantieren." Wie weit diese Problematik reicht, machte ein Hinweis von Günter Junk klar: Lehrer kommunizieren mit ihren Schülern heute zielgruppengerecht über Social Media, die Schule stellt ihnen aber keine dienstlichen Mobilgeräte. Wem also gehören nun die Daten, wenn Lehrer zum Beispiel Hausaufgaben, wie längst üblich, per WhatsApp-Gruppe stellen?
Prozesse dokumentierten
"Zur Erfüllung der DSGVO ist es wichtig, die Prozesse für den Umgang mit sensiblen Daten richtig beschrieben zu haben", erklärt der Virtual-Solution-CEO. Die Verantwortung lasse sich dabei nicht einfach an Auftragsverarbeiter delegieren, sondern laste laut DSGVO auf beiden Seiten: "Auftragsverarbeiter werden vom Auftraggeber mehr in die Pflicht genommen, und das muss der Auftraggeber auch nachweisen," so Junk.
Des Weiteren gelte es, "die Endgeräte beherrschbar zu machen", stellen doch insbesondere Smartphones und Tablets laut Junk eines der größten Risiken für DSGVO-Verstöße dar: "Jedes geschäftlich genutzte mobile Endgerät wird auch privat genutzt. Und es werden auch private Apps aufgespielt. Dabei werden Nutzungsvereinbarungen bedenkenlos akzeptiert, da kaum jemand diese liest."
Die gute Nachricht: "Wir geben den Unternehmen Blaupausen für die DSGVO-Umsetzung an die Hand." Hier könne ein IT-Leiter beispielsweise nachlesen, wie er einen datenschutzkonformen BYOD-Einsatz ermöglichen kann, etwa mittels einer Betriebsvereinbarung und Mobility-Management-Tools. Schließlich ist Virtual Solution der Hersteller der Mobile-Office-Software SecurePIM (PIM: Personal-Information-Management). Diese packt Unternehmensdaten und alltäglich benötigte Office-Apps in einen verschlüsselten, zentral verwalteten Container und vermeidet dadurch Datenverluste ebenso wie Datenschutzprobleme.
Alle Daten werden dabei laut Virtual Solution verschlüsselt abgelegt; die Übertragungswege sind ebenfalls verschlüsselt, sodass ein sicherer, in sich geschlossener Arbeitsbereich entsteht. Dies sorgt für die Trennung der Business- von den Privatdaten sowie für den Schutz vor dem Zugriff Dritter. Nur die Business-Daten werden dabei mit der Unternehmens-IT synchronisiert und bei Bedarf aus der Ferne gelöscht. Ergänzend offeriert das Münchner Softwarehaus ein Framework, mit dem sich Unternehmens-Apps auf diese Weise abschotten lassen.
Virtual Solution gibt, wie Junk Günter betont, eine Garantie auf die DSGVO-Konformität von SecurePIM: Sollte ein Unternehmen beim Einsatz der Lösung ein Bußgeld wegen eines DSGVO-Verstoßes erhalten, so erstatte Virtual Solution die Kosten des jährlichen Lizenzvolumens zurück (LANline berichtete).
Laut Junk musste Virtual Solution die Software für Umsetzung der DSGVO-Anforderungen nicht anpassen: Man habe lediglich die Dokumentation erweitert und aktualisiert, um die Eignung der Lösung für den DSGVO-konformen Arbeitsalltag nachvollziehbar darstellen zu können.
Erweiterter Rechtsrahmen
Die DSGVO liefert hier auch einen erweiterten Rahmen für die Kontrolle von Datenmissbrauch etwa mittels einer EMM (Enterprise-Mobility-Management) oder einer solchen Mobile-Office-Lösung, so Rechtsanwalt Eckert: "Die DSGVO lässt die Einwilligung auch im Beschäftigungsverhältnis zu und sieht insbesondere vor, dass für die Frage, ob die Einwilligung freiwillig erteilt worden ist - was bisher im Beschäftigungsverhältnis nicht so einfach zu beantworten war - auch berücksichtigt werden darf, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt." So könne ein Unternehmen beispielsweise die Ausgabe betrieblicher iPhones einfacher mit einer Einwilligung der beschäftigten Person kombinieren.
Eine letzte Frage musste vorerst unbeantwortet bleiben: Wie effektiv sind deutsche Datenschutzbehörden darauf vorbereitet, die Einhaltung der DSGVO flächendeckend zu kontrollieren? "Eine Verordnung ist nur so gut, wie sie auf Umsetzung geprüft wird", so Junk. "Ich hoffe, die Behörden werden hier entsprechende Ernsthaftigkeit an den Tag legen."
Fazit: Ein deutsches Unternehmen sollte mittels grundlegender technisch-organisatorischer Maßnahmen und gründlicher Dokumentation eine Basis für DSGVO-Konfotmität schaffen - und sich besser nicht darauf verlassen, einer Kontrolle langfristig entgehen zu können.
Weitere Informationen finden sich unter www.virtual-solution.com. Ein Test von SecurePIM ist in der März-Ausgabe der LANline enthalten, die am 28. Februar erscheint.
Lesen Sie mehr zum Thema
