Das Thema Datenschutz sollte uns bei jedem Klick in der digitalen Welt begleiten.
Auch bei der dritten UnternehmerLounge der IHK Lüneburg gab es wieder einen interessanten Vortrag zum Thema „Was kostet es (k)einen Datenschutz zu haben“. Der Referent Magnus Johannsen, Justiziar, Rechtswissenschaftler und Geschäftsführer der JOWECON UG aus Lüneburg gab eine Einführung in das Thema Datenschutz und Datensicherheit und die damit verbundenen gesetzlichen Anforderungen.
Das Thema Datenschutz ist im Moment in aller Munde, insbesondere auch wegen neuen EU-Datenschutzverordnung (EU-DSGVO), welche im Mai 2018 in Kraft tritt. Diese Verordnung ist für alle Unternehmen verbindlich, und Verstöße dagegen können teuer werden. So kann bei einer Kontrolle durch die entsprechende Behörde und der Feststellung von Verstößen mit Kosten von ca. 2 – 4% des Vorjahresumsatzes gerechnet werden. Verstöße werden oft von Informationsgebern an die entsprechende Behörde unter Nennung eines faktischen Falls gemeldet, eine offizielle Kontrolle auf Stichprobenbasis ist eher nicht zu erwarten. Damit dies nicht geschieht, ist es für jeden Unternehmer wichtig sich mit dem Thema Datenschutz auseinanderzusetzen. Die Verantwortung liegt dabei beim Geschäftsführer. Dieser muss und kann das Thema wegen der Komplexität nicht alleine umsetzen, ist jedoch angehalten es im Unternehmen voranzutreiben. Wenn man sich mit dem Thema Datenschutz auseinandersetzt sollte man sich mit den DS-GVO (Datenschutz Grundverordnung), BDSGneu (neues Bundestatenschutzgesetz – 2017), ITSiG (IT-Sicherheitsgesetz), BSI (IT-Grundschutz), DSBK (Disaster- Recovery-Plan), VdS (Datenschutz) vertraut machen.
Grundsätzlich darf ein Unternehmen keine personenbezogenen Daten ohne Einverständnis speichern. Eine Einwilligung der Person oder des Kunden ist zwingend erforderlich. Besitzt man Daten, für die es keine Einwilligung gibt, so muss man diese im Zweifel löschen und erneut erheben. Zur Einwilligung sollte man zu Beginn einer Geschäftsbeziehung eine entsprechende Datenschutzvereinbarung mit dem Kunden treffen. Hier empfiehlt es sich eine entsprechende Vorlage mit dem eigenen Rechtsanwalt zu erarbeiten, welche so ausgelegt ist, dass diese keine Streitpunkte mehr offen lässt. Im Falle einer Online-Datenerhebung, z.B. für das Abo eines Newsletters, sollte ein „Double-Opt-in“-Verfahren verwendet werden, wo der Kunde in einem zweiten Schritt seine Einwilligung wiederholt. Weiter ist es wichtig, nicht nur die Daten an sich zu speichern, sondern auch die Metadaten, wie z.B. das Erhebungsdatum, Speicherungsdatum, Änderungsdatum, etc..
Um dem Datenschutz gerecht zu werden, ist nicht nur die Ausarbeitung eines Datenschutzkonzeptes erforderlich, sondern auch die organisatorische und technische Umsetzung der Maßnahmen. Zunächst wird der Ist-Zustand ermittelt und der Soll-Zustand festgelegt. Die Anschließende GAP-Analyse zeigt die zu ergreifenden Maßnahmen auf. Das Thema Datenschutz ist damit allerdings nicht abgeschlossen, vielmehr sollte man dies als kontinuierlichen Prozess begreifen. Dabei bietet es sich an, diesen Prozess an den Demming-Zyklus (Plan-Do-Check-Act, kurz PDCA-Zyklus) zu orientieren. Weiter sind eine Prozessdokumentation und ein Datenschutzverzeichnis erforderlich, was die Datenschutz-Richtlinien enthält. Darin ist definiert, was gespeichert wird, warum und wann es gespeichert wird, was mit den Daten passiert und an wen sie veräußert werden.
Weiter braucht es ein Löschkonzept, wo beschrieben wird, wie mit zu löschenden Daten umgegangen werden muss. Der Fall tritt beispielsweise immer dann ein, wenn eine Person die Speicherung widerruft. In diesem Falle muss es möglich sein, die Daten quasi per Knopfdruck zu löschen. Zu berücksichtigen sind aber in jedem Falle die jeweils gesetzlich definierten Aufbewahrungsfristen. Ein Löschen der Daten aus den Backups wird nicht erforderlich sein, jedoch muss der Zugriff auf die Medien entsprechend eingeschränkt und die Rechte sowie Zugriffe dokumentiert sein. Auch ist es wichtig nach einer Wiederherstellung von Daten aus einem Backup zu definieren, wie das entfernen gelöschter personenbezogener Daten von statten geht.
Auf die Frage hin, sollte IT-Datenschutz und IT-Sicherheit zusammen behandelt werden, sprach sich Magnus Johannsen für ein klares „Ja“ aus. Diese beiden Themen sind eng miteinander verbunden und es bietet sich quasi an, ein ganzheitliches Konzept zu erstellen. Zum Thema IT-Sicherheit gehört neben einem IT-Sicherheitskonzept auch ein Desaster-Recovery-Konzept. Weiter ist es wichtig, dass auch die Mitarbeiter eine entsprechende „Security Awareness“ haben, denn neben den technischen Einrichtungen ist auch der sicherheitsfaktor Mensch eine wichtige Komponente.
Ein weiteres Thema in diesem Zusammenhang ist die internationale Norm ISO/IEC 27001. Diese spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Managementsystems für Informationssicherheit unter Berücksichtigung des Kontexts einer Organisation. Laut Herrn Johannsen ist man gut bedient, wenn man sich an diese Richtlinie hält, um dem Datenschutz gerecht zu werden, auch ohne eine entsprechende Zertifizierung. Eine Zertifizierung der ISO 27001 ist entsprechend teuer und für KMU und damit eher uninteressant. Um diese Richtlinie aufzusetzen braucht es allein einen Aufwand von ca. 40 Tagen, darüber hinaus benötigt man eine Vollzeitstelle, um die Richtlinie aufrecht zu erhalten und die damit verbundenen Aufgaben zu erledigen. Die wesentlichen Vorteile der exakten Einhaltung beziehen sich auf das Qualitätsmanagement. Somit ist dies insbesondere für Unternehmen nach KRITIS (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) sinnvoll und verpflichtend.
Mit dem Projekt „Europa 2020“ und der damit verbundenen Know-how Richtlinie geht die EU einen Schritt weiter und will nicht nur personenbezogene Daten schützen, sondern auch das Wissen der Firmen, wie z.B. Rezepturen, Patente, Prozesse oder andere Artefakte die schützenswertes Know-how eines Unternehmens darstellen.
Da Datenschutz nicht das Kerngeschäft der meisten Unternehmen ist, muss überlegt werden ob ein externer Sachverständiger hinzugezogen wird. Hier haben die meisten Beratungsunternehmen eigene Konzepte, wie z.B. auch JOWECON UG mit dem Produkt DasKon. Hier werden oft auch Zertifizierungen angeboten. Grundsätzlich kann man sagen, dass ein Unternehmen welches nach ISO27001 oder zum Datenschutz zertifiziert ist, im Falle einer Prüfung gut beraten ist, da man sich mit dem Thema auseinandersetzt, ein Bewusstsein dafür besteht und entsprechende Maßnahmen ergriffen wurden.
Zusammengefasst kann man sagen, dass man gut bedient ist, sich mit dem Thema Datenschutz und Datensicherheit auseinanderzusetzen und geeignete Maßnahmen im Unternehmen zu ergreifen. Dabei kommt es nicht auf die 100%ige Umsetzung der kompletten Richtlinien an, sondern vielmehr, dass man einen Plan hat, wie man diesem wichtigen Thema begegnen will. Gerade in KMUs sollte ein schlanker Prozess etabliert werden. Als Grundlage sollte man eng an der ISO27001 arbeiten.
Interessieren auch Sie sich für das Thema Datenschutz und Datensicherheit?
Dann melden Sie sich bei uns, entweder telefonisch unter +49 4105 135 03 99, per Mail an sales@initos.com oder über unser Kontaktformular.