Rund 100 Verfahren meldeten die Datenschutz-Behörden zum ersten Jahrestag der Datenschutz-Grundverordnung (DSGVO), in etwa der Hälfte davon wurden Bußgelder fällig, die sich im ganzen Land auf circa 450.000 Euro summierten.
Die Aufregung um die DSGVO hat sich gelegt, trotzdem herrscht in Unternehmen große Unsicherheit darüber, wie der Schutz der Daten von Kunden, Angestellten und Lieferanten umzusetzen ist. Welche Daten dürfen Unternehmen verarbeiten? Welche Kommunikationstools und Speichertechnik können sie unbesorgt nutzen? Was müssen Mitarbeitende über den Datenschutz wissen und was externe Dienstleister? Und wie lassen sich Datenschutz-Maßnahmen dokumentieren und nachweisen?
Datenschutz setzt zeitgemäße IT-Systeme sowie Software voraus, außerdem sichere Spielregeln für den täglichen Umgang mit Personendaten. Deshalb kooperiert Skyfillers mit der Münchner IITR Datenschutz GmbH. Die Gesellschaft berät rund 2500 mittelständische Unternehmen und Konzerne in punkto Datensicherheit, stellt externe Datenschutzbeauftragte und bietet eine einfach zu bedienende Web-Plattform, mit der Unternehmen Richtlinien zur Datenverarbeitung systematisch aufbauen und dokumentieren können. „Innovative Technik zum Schutz von mobilen Geräten, IT-Systemen und Kommunikationstools ergeben in Kombination mit den Services von IITR Datenschutz eine alltagstaugliche Lösung für Datensicherheit und -schutz in Unternehmen“, erklärt Steffan Röpke, Geschäftsführer von Skyfillers.
Schnelle und einfache Dokumentation
„Unternehmen sollten das Einmaleins des Datenschutzes kennen“, stellt Dr. Sebastian Kraska, Geschäftsführer der IITR Datenschutz klar. „Durch die hohen Bußgelder sehen sich Unternehmen gezwungen, in die IT- und Datensicherheit zu investieren und ihre Systeme aktuell zu halten.“ Bis zu 20 Millionen Euro oder vier Prozent des Umsatzes kann es kosten, wenn sensible Daten an die Öffentlichkeit geraten. Mit den Datenschutz- und Compliance-Kits liefert IITR Datenschutz strukturierte Verzeichnisse, Checklisten, Textvorlagen und Musterbriefe, um die DSGVO in allen Abteilungen umzusetzen.
Eingeteilt in Themenblöcke wie Einkauf, Personalakte, Zeiterfassung, Dokumentenmanagement, Kommunikation und Internetnutzung sowie Website und Tracking lassen sich diese Listen ausfüllen, regelmäßig aktualisieren und hochladen. So entstehen alltagstaugliche Datenschutz-Regeln sowie Verträge mit Dienstleistern, auf lange Sicht aber auch ein praktisches Handbuch und eine umfassende Dokumentation aller Maßnahmen zur Sicherung von Daten. Wenn Kunden, Partner oder Behörden Auskunft verlangen, kann schnell gezeigt werden, wie und wo Daten verarbeitet und gelöscht werden: „Ein Unternehmen muss nachweisen, dass es datenschutzkonform arbeitet, aber auch dass der Datenschutz in allen Prozessen beachtet wird“, erklärt Kraska.
Wirksamer Datenschutz in sechs Schritten
Der auf Datenschutzrecht spezialisierte Anwalt veranschaulicht den Datenschutz in Unternehmen gerne anhand eines Säulentempels. Das Dach bilden die Regeln für den Umgang mit sensiblen Daten: „In einem zentralen Dokument sollten Unternehmen beschreiben, wie und zu welchem Zweck sie Daten speichern und verarbeiten, wer daran beteiligt ist und wer im Unternehmen dazu im Zweifel die Verantwortung trägt“, fasst Kraska zusammen.
Das Dach steht auf drei Säulen:
• Verfahrensregister: „Das ist die Dokumentation aller Prozesse, in denen personenbezogene Daten verarbeitet werden“, so Kraska. „Ein mit den Unternehmensinterna nicht vertrauter Mitarbeiter einer Aufsichtsbehörde muss sich nach Durchsicht dieser Unterlagen einen Eindruck verschaffen können, wer welche Daten zu welchem Zweck verarbeitet und wann diese gelöscht werden.“
• Auftragnehmer: „Dienstleister, die mit personenbezogenen Daten arbeiten, sind vertraglich auf den Datenschutz zu verpflichten“, sagt Kraska. Dazu gehören Lettershops, Adress- oder Kundendatenerfassung, auch die Lohn- und Gehaltsabrechnung, Finanzbuchhaltung oder die Entsorgung von Datenträgern.
• Sichere IT-Systeme: „Mit älteren Systemen, die nicht mehr den Mindeststandards genügen, können keine personenbezogenen Daten verarbeiten werden“, sagt Kraska. „Server und Datenspeicher dürfen gewisse Mindest-Standards nicht unterschreiten.“ Informationen zum Schutz von Servern, Computern, Geräten, Programmen, die Passwort-Policy, das Risiko-Management, Löschungsintervalle sowie die Verträge mit IT- und Cloud-Dienstleistern weisen den technischen Datenschutz nach.
Das Fundament bilden sensibilisierte Mitarbeiter: Für sie finden sich in den Online-Datenschutz- und Compliance-Kits von IITR webbasierte E-Learning-Einheiten, die die Grundlagen des Datenschutzes sowie sichere Kommunikation mit Kunden, Kollegen und Partnern, Verarbeitungs- und Haftungsrisiken erklären. „Datenschutz muss ins Unternehmen hineingetragen und Mitarbeiter sollten darüber informiert werden“, erklärt Kraska. „Der Schulungsumfang richtet sich nach Branche und Größe des Unternehmens und sollte ebenfalls dokumentiert werden.“
DSGVO wirkt
Das zeigt – ein Hexenwerk ist die DSGVO nicht. Das Gesetz zeigt Wirkung, es hat Verbraucher und Unternehmen für den Wert von personenbezogenen Daten sensibilisiert und für EU-weite Regeln gesorgt. Jetzt ist es die Aufgabe von Gerichten und Datenschutz-Behörden, diese einheitlich zu erklären und auszulegen – und vor allem die Umsetzbarkeit zu gewährleisten.