Datenschutz

Aus der Not eine Tugend machen

Die Datenschutz-Grundverordnung gilt seit 25. Mai 2018. Aber noch längst nicht alle Firmen erfüllen die Vorgaben vollständig. Wer die Regelungen stringent umsetzt, kann sich sogar einen Vorteil gegenüber Wettbewerbern verschaffen. EVA MÜLLER-TAUBER

German text DSGVO, translate General Data Protection Regulation. 3d illustration
© ©Alexander Limbach - stock.adobe.com 25. Mai - Stichtag für die Umsetzung der Datenschutz-Grundverordnung (DSGVO)

Jahrelang wurde die EU-Datenschutz-Grundverordnung (DSGVO) ausgearbeitet und diskutiert, jetzt ist die Schonfrist vorbei: Seit dem 25. Mai 2018 sind die Vorgaben der DSGVO, die die Verarbeitung personenbezogener Daten auf EU-Ebene regelt und bereits 2016 in Kraft getreten ist, anzuwenden. Gleiches gilt für das neue Bundesdatenschutzgesetz (BDSG). Für viele Unternehmen ist es damit bereits fünf nach zwölf. Denn nur die wenigsten von ihnen dürften die Datenschutzvorgaben tatsächlich bis zum Stichtag umfassend umgesetzt haben.

Einer repräsentativen Studie des Branchenverbands Bitkom zufolge hatten sich bis Mitte September 2017 rund ein Drittel der Betriebe in Deutschland überhaupt noch nicht mit dem Thema DSGVO auseinandergesetzt. Befragt wurden 500 Unternehmen mit mindestens 20 Mitarbeitern. Selbst von den Firmen, die sich schon damit beschäftigten, glaubten nur rund 19 Prozent, dass sie die Vorgaben bis Ende Mai dieses Jahres fristgerecht und vollständig umgesetzt haben werden. 13 Prozent gaben sogar an, sich bewusst nicht mit dem Thema befassen zu wollen. „Ein risikoreiches Unterfangen“, warnt Rita Bottler, Datenschutzexpertin der IHK für München und Oberbayern. „Wer untätig bleibt, riskiert jetzt mitunter empfindliche Bußgelder, die zu Lasten des Unternehmens gehen.“ Diese liegen bei bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem, welcher Betrag höher ist.

Vor diesem Hintergrund empfiehlt es sich für alle Firmen, die bisher die DSGVO nicht oder nur teilweise umgesetzt haben, das Projekt anzugehen oder voranzutreiben. Auch Tobias Kuen, Mitgründer der SC-Networks GmbH in Starnberg, war anfangs wenig begeistert angesichts des kaum abschätzbaren Aufwands, den die neuen Datenschutzregelungen mit sich bringen würden. Mittlerweile jedoch blickt der 41-Jährige optimistisch in die Zukunft, hat seine Firma das Gros der DSGVO-Vorgaben doch bereits zum Stichtag umgesetzt.

„Wir haben uns aus strategischen Gründen dazu entschieden, aus der Not eine Tugend zu machen und uns nicht nur bei IT- und Datensicherheit, sondern auch in puncto Datenschutz explizit stark aufzustellen“, erläutert der diplomierte Informatiker. „Schließlich leben wir davon, dass uns Unternehmen ihre Daten anvertrauen.“ SC-Networks beschäftigt 50 Mitarbeiter und bietet Software-as-a-Service sowie Cloud-basierte Marketinglösungen. Die Firma konzipiert und entwickelt „Evalanche“, eine E-Mail-Marketing-Automation- und Lead-Management-Lösung, die mittlerweile mehr als 3000 Unternehmen einsetzen. „Mit unserem hohen Datenschutz- und Datensicherheitsstandard haben wir hierzulande einen enormen Wettbewerbsvorteil, vor allem gegenüber unseren zahlreichen US-amerikanischen Mitbewerbern, die in der Regel diese Aspekte weniger stark fokussieren“, erklärt Geschäftsführer Kuen.

Datenschutz ist Chefsache

Um sich diesen Wettbewerbsvorteil auf Dauer sichern zu können, investiert der Mittelständler nachhaltig. Kuen ist im Unternehmen beim Thema Datenschutz der Hauptansprechpartner. Derzeit verwendet er mindestens 30 Prozent seiner Arbeitszeit auf datenschutzrechtliche und organisatorische Themen. „Für uns ist es unabdingbar, das Thema zur Chefsache zur machen“, betont der Unternehmer. „Nicht nur, weil es zu unserem Geschäftsmodell gehört, sondern auch, weil stets die Geschäftsleitung die Verantwortung trägt und zeitnah handeln muss, wenn etwas schiefgeht, auch wenn die Fehler an anderer Stelle gemacht werden.“

Sehr hilfreich sei es, beim Thema DSGVO einen Spezialisten mit Rechtswissen an seiner Seite zu haben, weiß Kuen aus eigener Erfahrung: „Das Thema ist derart komplex – ohne externen Experten dürfte es zumindest bei größeren Betrieben schwer sein, es in einem vertretbaren Zeitraum ganzheitlich und einigermaßen systematisch umzusetzen.“ Bereits seit 2011 beauftragt SC-Networks die Münchner activeMind AG, Spezialist für Datenschutz und -sicherheit, als externen Datenschutzbeauftragten.

Als Ende 2016 die Umsetzung der DSGVO begann, war die Starnberger Firma schon gut vorbereitet. Im Zuge einer kurz davor abgeschlossenen ISO-27001-Zertifizierung hatte Kuen ein Informationssicherheits-Managementsystem installiert. Die dort definierten Prozesse und dokumentierten Verfahren konnte er als Basis nutzen und im Folgenden mit seinen Beratern aus Datenschutzsicht betrachten, bewerten und entsprechend modifizieren. Der activeMind-Vorstand Klaus Foitzick rät Unternehmen, die in den Anwendungsbereich der DSGVO fallen, sich dem Datenschutzthema generell auf diesem Weg zu nähern: „Das Ganze sollte wie ein normales Projekt aufgesetzt werden nach dem üblichen Plan-Do-Check-Act-Schema“.

„Geschäftsleitung, Datenschutzbeauftragter und IT-Sicherheitsbeauftragter sollten hierbei sehr eng miteinander kooperieren“, rät SC-Networks-Chef Kuen, „auch, was die Zeit- und Ressourcenplanung betrifft.“ Zudem empfiehlt er, bei Bedarf andere Ansprechpartner aus dem Unternehmen einzubinden, etwa die Personalabteilung, den Bereichsleiter Technik oder die Softwareentwicklung.

Hilfe bei offenen Fragen

Bei offenen Fragen zur DSGVO hat Datenschutzexperte Foitzick auch schon das Bayerische Landesamt für Datenschutzaufsicht kontaktiert, die für den nicht öffentlichen Bereich zuständige Datenschutzbehörde. „Hier gibt es häufig sehr zeitnah kompetente Antworten“, lobt Foitzick.

Das bestätigt auch Oliver Lehmeyer (45), Geschäftsführer der Cyber Risk Agency GmbH in München. Er berät kleine und mittlere Unternehmen zum Cyberrisikomanagement und unterstützt sie auch bei der DSGVO-Umsetzung: „Aktuelle Kundenfragen kanalisiere ich anonym an die Behörde. Die Mitarbeiter dort sind sehr kooperativ und versuchen, Lösungen zu finden, um die Unternehmen bei ihrem Umsetzungsprozess voranzubringen.“

Und was tun, wenn doch mal etwas passiert und Daten etwa durch einen Hackerangriff verlorengehen? Dann sollte der Unternehmer schnell reagieren. „Er muss schon bei dem Verdacht, dass personenbezogene Daten abgeflossen sein könnten, innerhalb von 72 Stunden eine Meldung an die zuständige Behörde abgeben“, erklärt Lehmeyer. „Um schnell wieder handlungsfähig zu sein, braucht er deshalb einen funktionsfähigen Notfallplan.“

Der Experte empfiehlt daher, die Themen IT-Sicherheit und Datenschutz miteinander zu koppeln. „Warum etwa sollten Mitarbeiter nicht alle Sicherheitsvorfälle inklusive solcher, bei denen personenbezogene Daten betroffen sind, gleichermaßen an den Helpdesk melden und so die in den meisten Unternehmen etablierten Tools und Verfahren nutzen?“

Leitfaden für den Ernstfall

Mit seinen Kunden erstellt Lehmeyer ein Notfallhandbuch, das an zentraler Stelle, etwa beim Pförtner, deponiert werden sollte. Darin sind die einzelnen Schritte und Zuständigkeiten im Falle einer Cyberattacke dokumentiert. Unter anderem ist dort auch festgelegt, wer die 24-Stunden-Notfall-Hotline, die manche Spezialversicherer im Rahmen einer Cyberpolice bieten, kontaktieren darf. Eine solche Cyberversicherung habe den Vorteil, „dass versierte Spezialisten einen bei der schnellen Wiederherstellung der Daten unterstützen und auch konkrete Auskunft darüber geben können, ob personenbezogene Daten abgeflossen sind und somit eine Meldepflicht besteht“, erklärt Lehmeyer.

Selbst mit einer solchen Versicherung bleibe Prävention aber extrem wichtig, so der Experte. Die Sicherheit in der Verarbeitung durch den risikoadäquaten Einsatz technischer und organisatorischer Maßnahmen ist gesetzlich gefordert und auch Voraussetzung dafür, dass im Schadenfall die Cyberversicherung einspringt. „Ich muss als Unternehmer priorisieren und die sensiblen Themen des spezifischen Geschäftsmodells, bei denen hohe Risiken für Betroffene bestehen und hohe Geldbußen drohen, zuerst angehen“, rät Lehmeyer, „da schaut die Behörde zuerst hin.“ Datenschutz-Grundverordnung