Datenschutz in kleinen Firmen: Umsetzung oft mangelhaft
Innerhalb Europas wird der Datenschutz mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In der ersten Jahreshälfte 2018 werden einige für alle verpflichtende Änderungen in Kraft treten. Insbesondere der Bereich IT-Sicherheit wird innerhalb der DSGVO einen höheren Stellenwert einnehmen, als es derzeit im Bundesdatenschutzgesetz (BDSG) der Fall ist. Stichtag für das Inkrafttreten der DSGVO ist der 25.05.2018, was auch für einige IT-Unternehmer ein relevanter Termin werden könnte.
Experten zurate ziehen lohnt sich
Noch sind die wenigsten Unternehmen optimal auf die Umsetzung vorbereitet. Es drohen jedoch erhebliche Strafen, wenn die DSGVO nicht eingehalten wird. Zwar ist dem Großteil der Unternehmen bewusst, dass sie entsprechende Maßnahmen möglichst zeitnah umsetzen müssen, dieses Bewusstsein kann aber nicht über die Unsicherheit hinwegtäuschen, die bei vielen Verantwortlichen entsteht. Insbesondere die Frage, wie genau die personenbezogenen Daten geschützt werden sollen, kann von den wenigsten beantwortet werden. Da das Thema äußerst komplex ist, lohnt es sich in jedem Fall, einen Experten zurate zu ziehen um die Maßnahmen im jeweiligen Unternehmen ordnungsgemäß umzusetzen und die Regelungen einzuhalten.
Technische und organisatorische Aspekte
Jedes Unternehmen, welches personenbezogene Daten verarbeitet, erhebt oder nutzt, ist gesetzlich dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen, um sicher zustellen, dass die Anforderungen des Bundesdatenschutzgesetzes eingehalten werden. Zu den technischen Maßnahmen zählen dabei unter anderem eine biometrische Benutzeridentifikation am Arbeitsplatz, Protokolldateien, um den Verlauf zu dokumentieren, ein ausreichender Passwortschutz sowie verschiedene Benutzerkonten, sofern Arbeitsplätze geteilt werden. Weiterhin muss insbesondere eine ausreichende Daten- bzw. IT-Sicherheit gewährleistet sein.
Zu den organisatorischen Aspekten gehören dabei insbesondere Maßnahmen, die sicherstellen, dass die Verarbeitung personenbezogener Daten möglichst von Beginn an auf ein Minimum reduziert wird. Soweit es möglich ist, müssen diese Daten weitgehend pseudonymisiert werden. Dies wird unter anderem in Artikel 25 der DSGVO geregelt.Zudem muss die IT-Infrastruktur hinsichtlich des Datenschutzes optimiert werden.
Schnelle und sichere Internetverbindung für Unternehmen
Zu den infrastrukturellen Aspekten gehört sicherlich auch der Internetanschluss selbst. Um einen sicheren und zuverlässigen Internetanschluss zu gewährleisten, greifen Unternehmen auf spezielle Business-Internetlösungen zurück. Diese sind zumeist teurer als Angebote für Privatpersonen, bieten jedoch auch Vorteile, unter anderem etwa die Beseitigung von Störungen innerhalb von 12 Stunden, sofern der Anbieter für die Störung verantwortlich ist.
Grundsätzlich gelten die Business-Anschlüsse jedoch auch als deutlich teurer als herkömmliche Verbindungen – allerdings kann man teils auch hier von Sonderangeboten profitieren. Gründer können beispielsweise innerhalb der ersten drei Jahre nach der Gründung ein spezielles Gründerpaket von Unitymedia Business nutzen, welches sich durch folgende Punkte auszeichnet:
-
hohe Bandbreite (150 Mbit/s Download, 10 Mbit/s Uploadgeschwindigkeit)
-
Bereitstellungsgebühr entfällt (Ersparnis von 99,90€)
-
in den ersten 6 Monaten fällt keine Grundgebühr von je 34,90€ an
-
im Falle einer Geschäftsaufgabe ist der Vertrag ohne Wartezeit kündbar
-
statische IP Adresse inkl. – auf Wunsch erweiterbar auf mehrere Adressen
-
persönlicher Ansprechpartner
-
weiterhin wird das Programm lexoffice für ein Jahr kostenlos zur Verfügung gestellt (was einer Ersparnis von 178,80€ im Vergleich zum Kauf entspricht)
Somit spart sich hier der Gründer oder junge Selbstständige mehr als 450€ ein. Alle Einzelheiten zum Gründerpaket von Unitymedia Business findet man hier.
Handlungsempfehlungen für Unternehmen
Um möglichst nicht mit dem Gesetz in Konflikt zu kommen, sollten sobald wie möglich betriebliche Vorbereitungen getroffen werden. Auch um eine möglichst reibungslose Umsetzung zu ermöglichen. Bei der Umsetzung sollte man folgende Schritte einhalten: Zunächst einmal gilt es den Ist-Zustand der Datenschutzstrukturen zu erfassen und zu analysieren. Im zweiten Schritt geht es um die Soll-Planung, bei der rechtliche, technische und organisatorische Aspekte berücksichtigt werden müssen. Im letzten Schritt geht es dann um die eigentliche Implementierung des Datenschutzmanagementsystems und der Dokumentation dieser. Folgende Punkte können dabei als Orientierung dienen:
-
Überprüfung der jeweils im Unternehmen betroffenen Systeme, insbesondere das bestehende Datenschutz Management auf Gesetzeskonformität überprüfen.
-
Erstellung eines Zeitplans für die Umsetzung.
-
Eine Risikoanalyse kann dabei helfen, das Gefahrenpotential für das Unternehmen zu ermitteln.
-
Je nach Unternehmensstruktur und Tätigkeit muss ein Datenschutzbeauftragter ernannt werden. Dieser sollte sich frühzeitig mit dem Unternehmen vertraut machen.
-
Geeignete Maßnahmen zur Dokumentation umsetzen.
Datenschutz ist keineswegs ein Produkt / ein Endzustand, sondern viel mehr ein Prozess der stetig erweitert wird. Diese Aufzählung ist daher keineswegs vollständig, sondern muss individuell an das Unternehmen angepasst werden. Je früher man sich innerhalb eines Unternehmens auf die bevorstehende Gesetzesänderung vorbereitet, desto besser sind die Chancen,, die Anforderungen auch zu erfüllen. Es ist keinesfalls zu empfehlen, abzuwarten bis der deutsche Gesetzgeber das Umsetzungsgesetz verabschiedet hat, da die EU Verordnung unmittelbare Wirkung auf nationale Unternehmen hat. Um die teils drastischen Bußgelder zu vermeiden, ist es unvermeidbar, die neuen Richtlinien schnellstmöglich umzusetzen.