DSGVO im Unternehmen

In der Praxis sehen Firmen die DSGVO vor allem als lästiges Übel. Die neue Datenschutzregelung ist für Unternehmen aber auch die Chance, eine seriöse Informationspolitik und zeitgemäße Sicherheitsmaßnahmen zu etablieren. Wichtig: Betroffen sind alle Gewerbetreibenden und die gesamte Firma und die Verantwortlichen – meist die Geschäftsleitung – haften für etwaige Verstöße.

Datenschutz betrifft alle Gewerbetreibenden und das gesamte Unternehmen (Bild: iStockphoto.com / PeopleImages)Nie stand der Datenschutz so im Fokus wie in diesem Jahr. Zu verdanken haben wir dies der neuen »EU-Datenschutz-Grundverordnung« (EU-DSGVO), die alle Unternehmen in Europa seit dem 25. Mai 2018 umgesetzt haben sollten. In der Theorie waren zwei Jahre dafür Zeit. Im ersten Jahr war aber in Deutschland kaum etwas dazu bekannt, wie die DSGVO hätte umgesetzt werden sollen. Daher blieb den Datenschützern eigentlich nur ein Jahr. Hinzukommt, dass viele Firmen viel zu spät angefangen haben. Höflich gesagt, sehr viele haben es unterschätzt – man könnte auch ignoriert sagen.

In einer speicherguide.de-Umfrage im Oktober 2017, sahen sich knapp die Hälfte der Befragten im Plan bzw. hielten es für möglich, bis zum 25. Mai noch das geforderte Soll zu erreichen. Ungefähr im gleichen Zeitraum erklärt IDC, dass 44 Prozent einer IDC-Studie noch keine konkreten, technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen hätten. Bis zum Stichtag dürften noch einige Vollzugsmeldungen hinzugekommen sein. Aus Gesprächen mit Datenschutzexperten und auch unserer eigenen Erfahrung zufolge, dürfte mindestens ein Drittel der kleiner und mittleren Unternehmen (KMUs) bezüglich der DSGVO nicht compliant gewesen sein.

René Rautenberg, ER Secure: »Firmen sollten ihre Mitarbeiter für den Datenschutz sensibilisieren.«Bei kleinen Betrieben sieht es noch drastischer aus: »Vor allem Unternehmen unter 20 Mitarbeitern hatten den Stichtag 25. Mai unterschätzt – obwohl es bereits eine Übergangszeit für zwei Jahren gegeben hatte«, erklärt Datenschutzexperte René Rautenberg von ER Secure, Hersteller eines Datenschutz-Managementsystems. »Darüber hinaus ist vielen Unternehmen erst im April/Mai bewusst geworden, dass es bei der Verordnung um mehr als die Double-Opt-In-Regel bei Werbemails geht, die ohnehin im Wettbewerbsrecht geregelt ist und jetzt lediglich verschärft wurde.«

Die DSGVO betrifft alle Gewerbetreibenden

Pauschal gilt, die DSGVO betrifft jeden Gewerbetreibenden. Es ist nahezu ausgeschlossen, dass man in Deutschland unternehmerisch tätig sein kann, ohne in irgendeiner Form personenbezogene Daten zu verarbeiten. Das Bayerische Landesamt für Datenschutzaufsicht stellt in seiner Broschüre mit dem Titel: »Erste Hilfe zu Datenschutz-Grundverordnung für Unternehmen und Vereine – ein Sofortmaßnahmenpaket« drei einfach Fragen:

• Biete ich Dienstleistungen oder Waren in Deutschland an?
• Biete ich Dienstleistungen oder Waren in der EU an?
• Habe ich Mitarbeiter in meinem Unternehmen?

Wenn man auch nur eine Frage mit »ja« beantworten kann, ist die DSGVO anwendbar und demnach auch verpflichtend.

DSGVO betrifft das komplette Unternehmen

Sabine Noack, Datenschutzbeauftragte: »Die DSGVO bezieht sich nicht nur auf Kunden, sondern schließt auch die Daten der Mitarbeiter, von Lieferanten, Partnern und Dienstleistern mit ein.«Wichtig ist zu erkennen, dass die DSGVO das gesamte Unternehmen betrifft und nicht nur die Webseite und den Newsletter. »Der Datenschutz muss in allen Abteilungen angewandt werden und bezieht sich nicht nur auf Kundendaten«, mahnt die Münchener externe Datenschutzbeauftragte Sabine Noack. »Die DSGVO schließt auch die Daten der Mitarbeiter (Voll- und Teilzeit), von Lieferanten, Partnern und Dienstleistern mit ein.«

Der Datenschutz beginnt aber außerhalb der IT: Die technischen und organisatorischen Maßnahmen (TOM) zur Datensicherheit schließen auch eine Zutritts-, Zugangs- und Weitergabekontrolle mit ein. »Das heißt, es dürfen nur Befugte Zutritt zu den Geschäftsräumen haben«, sagt Frederik Freckmann, externer Datenschutzbeauftragter aus Berlin. »Das ist natürlich nicht neu, im Rahmen der TOM müssen aber der Zutrittsprozess, die Befugnis und die Zuständigkeit sauber dokumentiert werden.« Dies gelte auch für die Weitergabe von Datenträgern, schließt mobiles Arbeiten mit ein und geht bis zu einer Regelung, was mit alten Datenträgern passiert.

Für alle, die zur Zutrittskontrolle ein Chipkartensystem nutzen: »Hier ist zu beachten, dass diese datenschutzrelevant sind, weil sie auslesbar sind – woraus sich Rückschlüsse auf Mitarbeiter und ihr Verhalten ziehen lassen«, ergänzt Datenschutzexperte Rautenberg. »Wir unterstützen hier mit einem Fragebogen, der den Prozess durchleuchtet und mit dem Unternehmen ihre Situation individuell dokumentieren können.«

Dokumentationspflicht erfüllen

Frank Giebel, 3rd Mind Business Consulting: »Die DSGVO unterwirft die Verantwortlichen einer Nachweis- und Rechenschaftspflicht.«Die DSGVO zwingt Unternehmen, sich sämtliche Abteilungen und Prozesse neu vorzunehmen. »Abhängig von Geschäftsfeld, Größe und Branche sollten bei KMUs alleine für die Dokumentation der Verarbeitungstätigkeiten mindestens drei Personentage angesetzt werden«, erklärt Datenschutzexperte Frank Giebel von 3rd Mind Business Consulting. »Wichtig ist, dass der Datenschutz als Chefsache gesehen wird. Geschäftsleitung und Vorstandsebene müssen den Datenschutz ernst nehmen. Dies ist zwar bereits seit der letzten BDSG-Novelle in 2009 so, richtig `angekommen´ scheint es bei manchen aber erst mit der DSGVO zu sein. Diese nimmt die `Verantwortlichen´ auch persönlich in die Haftung und unterwirft diese einer Nachweis- und Rechenschaftspflicht, die Vorgaben eingehalten zu haben. Mit Blick auf die exorbitant erhöhten möglichen Bußgelder und weiteren Sanktionen ist klar, dass es der EU sehr ernst damit ist; ein `weiter so´ oder die Ansicht, `Datenschutz ist nur ein notwendiges Übel´ ist daher nicht nur veraltet, sondern mittlerweile nach vorgenanntem sehr gefährlich.«

Der zu erbringende Aufwand hängt natürlich von der Unternehmensgröße, der Branche und Komplexität des Geschäftsfeldes ab. Wobei sich schon sagen lässt, für kleine Betriebe ist der Aufwand meist durchaus überschaubar. Datenschutzexperten raten dazu, sämtliche Bereiche schrittweise an das neue Regelwerk anzupassen, in denen Daten von Mitarbeitern, Kunden und Lieferanten erfasst und verarbeitet werden. »Rund 80 Prozent der Unternehmen können die schärferen Datenschutzregeln mit Hilfe einer entsprechenden Software bzw. externen Datenschutzbeauftragten selbst realisieren«, meint Rautenberg. Er warnt Unternehmen aber auch davor, sich in trügerischer Sicherheit zu wähnen: »Im Augenblick haben die Behörden selbst alle Hände voll zu tun. In Bayern etwa wurde die Frist für alle Unternehmen ab dem zehnten Mitarbeiter bis 30. September 2018 verlängert, einen Datenschutzbeauftragten zu ernennen und zu melden. Diesen Aufschub sollten Unternehmen nutzen und ihre Hausaufgaben machen. Wer nachweisen kann, dass er das Thema ernst genommen hat, hat im Ernstfall bessere Karten.«

DSGVO: Unternehmen sollten die Chance nutzen

Firmen sollten aber nicht nur den Aufwand sehen. »Die DSGVO ist wichtig«, mahnt die Münchener Expertin Noack. »Weil der Schutz der personenbezogenen Daten von Mitarbeitern, Kunden und Interessenten in Zeiten von ungezügeltem Profiling und damit einhergehenden Missbrauchsmöglichkeiten endlich die Priorität bekommen hat, die er verdient. Unternehmen können die DSGVO als Anlass nehmen, Prozesse, in denen personenbezogene Daten verarbeitet werden, nicht nur datenschutzkonform zu gestalten, sondern auch den einen oder anderen alten Zopf abzuschneiden, Unnötiges los zu werden, längst überfällige Sicherheitsmaßnahmen zu etablieren und mit einer seriösen Informationspolitik bei Kunden, Partnern und Interessenten zu punkten.«

»Unternehmen sollten den Anlass nutzen, um Mitarbeiter auch für dieses Thema zu sensibilisieren«, ergänzt Rautenberg. Vielen sei beispielsweise nicht bewusst, dass es Methoden wie Social-Engineering gebe, bei denen sich Unbefugte durch zwischenmenschliche Beeinflussung Zutritt in Büroräume verschaffen, indem sie sich etwa geschickt nach einem Mitarbeiter erkundigen oder einen anderen glaubwürdigen Vorwand angeben.