Was Unternehmen zum Thema Datenschutz wissen sollten
Am 28. Januar ist „Europäischer Datenschutztag“ – ein guter Tag, um das Thema Datenschutz in den Fokus zu rücken. Spätestens seit der DSGVO 2018 ist Datenschutz für jedes Unternehmen nicht nur ein rechtliches Konstrukt, sondern hat konkrete Auswirkungen auf das tägliche Geschäft. Wichtige Punkte, die Unternehmen dazu wissen sollten, sind unter anderem folgende:
Daten als profitables Wirtschaftsgut
Ob Online-Shops, Kreditinstitute, Ärzte oder Krankenkassen – an immer mehr Stellen werden heute persönliche Daten erhoben, verarbeitet und gespeichert. Insbesondere private Unternehmen sammeln personenbezogene Daten, um aus ihnen wichtige Erkenntnisse für ihre Geschäftsstrategien abzuleiten. Laut Untersuchungen der Europäischen Kommission gibt es in der EU rund 10 Millionen „Dataworker“, also Beschäftigte, die zentral mit dem Sammeln und Analysieren von Daten befasst sind.
Haben Unternehmen genug Daten im passenden Format, können sie durch computergestützte Analysen Muster von Kunden erkennen und Produkte bzw. Werbung zielgenau ausrichten. Daten sind also für Unternehmen heute von zentraler Bedeutung. „Persönliche Daten sind das neue Öl des Internets und die neue Währung der digitalen Welt“, meinte Meglena Kuneva, ehemalige EU-Kommissarin für Verbraucherschutz, einst.
Die DSGVO
Die Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft getreten ist, legt die Regeln zur Verarbeitung personenbezogener Daten EU-weit einheitlich fest. Ziel ist einerseits der Schutz personenbezogener Daten wie auch die Optimierung des freien Datenverkehrs innerhalb des Europäischen Binnenmarktes. In Deutschland wird die DSGVO zusätzlich um das Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert. Alle deutschen Unternehmen, die personenbezogene Daten erheben und verarbeiten, sind dazu verpflichtet, sich an die beiden Verordnungen zu halten.
Mithilfe des Rechts auf „Selbstbestimmung in Bezug auf persönlichen Daten“ soll jeder selbst darüber entscheiden können, welche personenbezogenen Daten er von sich preisgeben möchte und wer sie verwenden darf. Das Recht entstammt einem Urteil des Bundesverfassungsgerichts von 1983. Da die Gewährleistung dieses Rechts mit zunehmender Digitalisierung immer stärker gefährdet wird, wurde die DSGVO verfasst. Verpflichtend für alle Unternehmen, die Daten verarbeiten, drohen bei Missachtung der Vorgaben empfindliche Bußgelder.
Wir nennen nur einige wichtige Verpflichtungen für Unternehmen, die sich aus der DSGVO ergeben (wichtiger Hinweis: Die Aufstellung ist keinesfalls vollständig und stellt auch keine Rechtsberatung dar):
1. Marktortprinzip
Das Marktortprinzip regelt den räumlichen Anwendungsbereich des europäischen Datenschutzrechtes. Gemäß dieses Prinzips unterliegen alle Unternehmen der DSGVO, die
- in der EU ansässig sind oder
- eine Niederlassung in der EU haben oder
- personenbezogene Daten von EU-Bürgern verarbeiten.
2. Nachweispflicht und Beweislastumkehr
Datenverarbeitende Unternehmen müssen nachweisen, dass sie DSGVO-konform arbeiten und die laut Datenschutzrecht geforderten Sicherheitsmaßnahmen einhalten. Somit liegt die Beweislast bei ihnen. Deshalb müssen Unternehmen umfassende Dokumentationen erstellen, aus denen hervorgeht, dass sie alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen haben. Die Dokumentation muss folgende Punkte enthalten:
- die Art der Datenerfassung
- den Umfang der erhobenen Daten
- die Umstände, die die Erhebung erforderten
- die Zwecke, für die die Daten benötigt werden
- eine Bewertung möglicher Risiken nach Eintrittswahrscheinlichkeit und Schwere
3. Dokumentationspflicht
Wie aufgeführt, sind Unternehmen dazu verpflichtet, lückenlos die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu dokumentieren. Dabei zählen zu den wichtigsten Dokumentationen:
- das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und
- die Beschreibung der Verarbeitungsprozesse wie beispielsweise Löschprozesse oder Meldeprozesse im Falle einer Datenschutzverletzung.
4. Risikobewertung
Risikobewertungen – oder auch Datenschutz-Folgeabschätzungen – sind verpflichtend, wenn sich aus der Art, dem Umfang, den Umständen und Zwecken der Datenverarbeitung ein hohes Risiko für die Rechte einer betroffenen Person ergeben. Diese Bewertungen sollen dazu beitragen, Risiken zu identifizieren, zu analysieren und zu bemessen, um entsprechende Gegenmaßnahmen zu ergreifen und die Risiken zu reduzieren.
5. Meldepflicht bei Datenschutzverletzungen
Im Falle von Datenschutzverletzungen sind Unternehmen angehalten, binnen 72 Stunden diese bei der zuständigen Aufsichtsbehörde wie dem Landesdatenschutzbeauftragten zu melden.
Hohe Geldbußen bei Verstößen
Bei Verletzungen des Datenschutzrechtes drohen Bußgelder. Bei Verstößen gegen die DSGVO stehen Summen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzern-Jahresumsatzes im Raum. Die DSGVO zeigt noch einmal deutlich: Daten sind ein wichtiges Gut. Die Sicherheit von Kundendaten ist für Unternehmen ein elementares Thema – insbesondere, da die Zahl von Cyberattacken in den letzten Jahren stetig zugenommen hat. Gezielt greifen Hacker Konzerne wie auch mittelständische Betriebe an und drohen mit Veröffentlichung der Daten, wenn Lösegeldforderungen nicht erfüllt werden. Kommt es zu einem Schadensfall, ist dazu das Vertrauen der Kunden oft nachhaltig beschädigt – ein enormer Imageverlust ist die Folge.
Wie können Unternehmen Kundendaten schützen?
Die IT-Infrastruktur eines jeden Unternehmens sollte grundsätzlich Basis-Tools wie Firewall und Virenscanner umfassen. Darüber hinaus bedarf es genauer Analysen aller Prozesse, in denen Daten verarbeitet werden. In Zeiten von vermehrten Bedrohungen durch Hacker und Cyberangriffe benötigen Unternehmen ein umfassendes Sicherheitskonzept, das eine systemgestützte Sicherheit ermöglicht und alle Schwachstellen transparent offenlegt. Gerade in mittelständischen Unternehmen existiert dieses oftmals nicht.
Im Rahmen des Sicherheitskonzeptes sollten Unternehmen die Sicherheit ihrer Netzwerkinfrastruktur sicherstellen. Hierfür bietet sich unser intelligentes Sicherheitssystem SCUDOS an. Dies gibt Aufschluss über die Vorgänge in einem Netzwerk, maximiert dessen Transparenz, deckt Sicherheitslücken auf und verhindert unmittelbare Bedrohungen in Echtzeit. SCUDOS liefert vollständige Übersichten aller einem Netzwerk angeschlossenen Geräte in Form von Netzwerktopologien und kann unbefugten Zugriff auf Daten jeglicher Art verhindern.
Ebenso wichtig ist es für Unternehmen, eine sichere digitale Kommunikation zu gewährleisten, denn immer mehr Daten werden digital verschickt. Hierfür eignet sich julia mailoffice als virtuelle Poststelle. julia ermöglicht einen Komplett-Schutz als serverbasierte Lösung zum Ver- und Entschlüsseln von E-Mails sowie zur zentralen Signatur und Signaturprüfung.
Bei der internen Zusammenarbeit, zum Beispiel in Form von Arbeitsgemeinschaften über SharePoint, garantiert emily einen sicheren Datenaustausch untereinander. emily ist ein Web-basiertes System zur sicheren Dokumentenablage und zum sicheren Dokumentenaustausch. Ebenso ermöglicht emily eine sichere Kommunikation zwischen Partnern per Chat. Die Security-Lösung nutzt Mechanismen, die außerhalb des für den Austausch verwendeten SharePoint und dessen Administration liegen, und verschlüsselt so die zu sichernden Daten und Dokumente.
Fazit
DSGVO-konformer Datenschutz stellt Unternehmen vor Herausforderungen und bedeutet oft einen enormen Mehraufwand. Vor dem Hintergrund zunehmender Cyberattacken ist dieser Aufwand jedoch nicht nur gerechtfertigt, sondern absolut notwendig. Die in der Presse genannten Hackerangriffe zeigen die Dringlichkeit des Themas und dass es selbst bei großen Unternehmen und Einrichtungen Nachholbedarf bei der IT-Sicherheit gibt. Doch müssen Sie sich diesem komplexen Thema nicht allein stellen. Unsere IT-Sicherheitsexperten beraten Sie gerne und verhelfen Ihnen zu mehr Sicherheit im Umgang mit Ihren Daten.
