Daten, insbesondere personenbezogene Daten ist das Öl des 21. Jahrhunderts. Somit ist Datenschutz im 21. Jahrhundert eines der wichtigsten Grundrechte, die der Mensch haben sollte.
Um den Schutz dieser Daten geht es in der, im April 2016 im EU-Parlament verabschiedeten "Europäischen Datengrundschutz Verordnung" (EU-DSGVO). Damit wurde eine auf EU-Ebene einheitliche Grundlage geschaffen, die bis dahin in sehr unterschiedlicher Ausprägung und Nachhaltigkeit in den einzelnen EU-Ländern existierenden Gesetze und Richtlinien europaweit zu vereinheitlichen.
Da dem Parlament die Komplexität der Umsetzung für die Betroffenen klar war, einigten sich die Abgeordneten auf eine zwei jährige Übergangsfrist zur Umsetzung der Verordnung. Diese Frist läuft nun am 25. Mai 2018 ab.
Was passiert nach Ablauf dieser Frist? Die Landesdatenschutzbehörden werden in den Unternehmen prüfen, ob die Anforderungen, die die Europäischen Datenschutzverordnung an die Unternehmen in Bezug auf den Schutz und den Umgang mit personenbezogenen Daten stellt, angepasst und umgesetzt wurden.
Welche Anforderungen sind umzusetzen? Auszugsweise die Kernelemente: Die schriftliche Nennung und Hinterlegung eines Datenschutzbeauftragten bei der jeweils zuständigen Landesdatenschutzbehörde. Die Dokumentation der Maßnahmen und deren Umsetzung, um einen aktuellen "Stand der Technik" nachzuweisen, um den Schutz der Daten zu gewährleisten. Die Implementierung eines "Information Sicherheit Management Systems" (ISMS).
Sollten die Anforderungen nicht erfüllt sein, drohen Bußgelder in Abhängigkeit der Unternehmensgröße und nach dem Grad der Nicht-Erfüllung der Datenschutzgrundverordnung, sprich des Verstoßes. Die Höhe des Bußgeldes kann damit schnell, die Höhe der Aufwände der oben genannten Umsetzungsmaßnahmen (Datenschutzbeauftragter, Stand der Technik, Implementierungskosten eines Information Sicherheit Management Systems) übersteigen.
SOTEC hat für die Umsetzung der Anforderung aus der EU-DSGVO ein modulares 3-stufiges Modell entwickelt. Mit diesem Modell wird am Ende die Konformität der Anforderungen aus der EU-DSGVO gewährleistet. Die folgende Grafik veranschaulicht die drei Stufen im Einzelnen:
Die Europäische Datenschutzgrundverordnung hat das Ziel, den Datenschutz in Europa zu vereinheitlichen. Alle Bürger der Europäischen Union sollen so Kontrolle über die eigenen Daten bekommen. In Deutschland passiert die Umsetzung der DSGVO über das so genannte Bundesdatenschutzgesetz, kurz BDSG. DDie zweijährige Übergangszeit endet am 25. Mai 2018. Ab dann gelten nur noch das BDSG neu und die DSGVO.
Damit die zuständigen Behörden – in Deutschland sind das die jeweiligen Landesdatenschutzbeaufragten – nicht als zahlose Papiertiger enden, stattet sie die DSGVO mit umfangreichen Möglichkeiten der Sanktionierung aus. Insgesamt können bis zu 20 Millionen Euro Strafe oder aber 4 Prozent des globalen Gesamtumsatzes im Konzern als Strafe angesetzt werden – je nachdem, welche Summe höher ist. Diese Strafe trifft somit auch große Unternehmen empfindlich und zwingt sie dazu, sich aktiv mit dem Thema Datenschutz auseinander zu setzen.
Die EU-DSGVO gilt für alle Unternehmen, die ihren Sitz innerhalb des Geltungsbereichs der EU-DSGVO haben oder aber dort ihre Waren und Dienstleistungen anbieten. Wer also etwa eine Website auch auf Deutsch anbietet, muss die Rahmenbedingungen der DSGVO erfüllen. Dementsprechend ist davon auszugehen, dass die DSGVO auch auf Ihr Unternehmen anzuwenden ist.
Ab einer gewissen Menge an Mitarbeitern, die sich mit personenbezogenen Daten interner oder externer Natur auseinander setzen, ist ein Datenschutzbeauftragter zu bestellen. Das kann intern oder extern passieren. Der Datenschutzbeauftrage qualifiziert durch eine Zertifizierung einer offiziellen Stelle und verpflichtet sich gleichzeitig dazu, das ihm zugeordnete Unternehmen umfangreich beim Datenschutz zu betreuen. Interne Datenschutzbeauftrage sind Mitarbeiter im Unternehmen und beschäftigen sich in einem nennenswerten Teil ihrer Arbeitszeit mit dem Thema Datenschutz. Sie dürfen selbst nicht in den Umgang mit personenbezogenen Daten eingebunden sein bzw. die zugehörigen Prozesse gestalten. Sonst gelten Sie als befangen. Externe Datenschutzbeauftragte können für ein Unternehmen bestellt werden. Dienstleister wie auch die SOTEC GmbH bieten diesen Service an – das ist zum einen kostengünstiger als die Beschäftigung eines einzelnen Beschäftigten; gleichzeitig machen Sie als Unternehmen sich nicht abhängig von einer bestimmten Person.
Personenbezogene Daten sind alle Daten, die den Namen einer Person mit anderen Daten, etwa E-Mail-Adressen, Telefonnummern, Fotos, Gehältern oder ähnlichem zusammenbringen. Personalakten, aber auch schon das Visitenkartenrondell stellen darüber intern ein Datenschutz-Risiko dar. Auch wenn Sie eine Website betreiben, erfassen Sie Datenschutz-relevante Daten. So müssen Sie etwa in Ihrer digitalen Kommunikation darauf achten, über den Datenschutz aufzuklären und sich für die Kontaktaufnahmme über das so genannte Double-Opt-In-Verfahren eine Erlaubnis zu holen, überhaupt mit der anfragenden Person zu kommunizieren. Auch die Gestaltung Ihrer unternehmensinternen und -externen Prozesse nach den Prinzipien "privacy by default" und "privacy by design" fällt etwa in diesen Bereich.
Ein Verfahrensverzeichnis müssen Sie – die Beweislast kehrt sich nämlich um – auf Nachfrage eines Nutzers hin unverzüglich übermitteln. Die Person – egal ob Mitarbeiter, Kunde, Wettbewerber oder Internetseitenbesucher – benötigt nämlich ab 25. Mai 2018 keinen begründeten Verdacht mehr, dass mit den Daten möglicherweise Schindluder betrieben wird. Vielmehr kann der Nutzer eben verlangen, bestimmte Informationen zu erhalten. Das Verfahrensverzeichnis etwa dokumentiert alle Prozesse innerhalb eines Unternehmens, bei denen mit personenbezogenen Daten umgegangen wird. Das kann das Personalwesen genauso betreffen wie den Vertrieb, das Marketing, die Produktion oder aber auch im Rahmen von Handwerkern oder Dienstleistungsunternehmen den direkten Umgang mit dem Kunden im Salon oder auf der Baustelle. Dieses Verfahrensverzeichnis dokumentiert diese Prozesse, und listet auf, welche Daten aus welchem Grund in welchem Umfang wie lange und wie aufbewahrt werden. Selbstverständlich hat die betroffene Person immer die Chance, die Löschung der Daten zu beantragen, sofern das wiederum nicht geltendem Recht widerspricht, etwa im Falle der mindestens 6-monatigen Aufbewahrungsfrist für Bewerbungsunterlagen.
Technische und Organisatorische Maßnahmen (TOM) dokumentieren, zu welchen technischen und organisatorischen Konditionen die Daten im Unternehmen aufbewahrt und geschützt werden. Das betrifft beispielsweise die IT-Infrastruktur, aber auch die physikalische Sicherheit. Gibt es eine Schließanlage? Wer kann auf welche Daten wie zugreifen? Sind zusätzliche Passwörter erforderlich oder gibt es über Server und ein Active Directory Zugriffsschutz? Werden sensible Daten, die aus dem Drucker kommen, geschützt? Oder kann sie jeder anschauen, bis sie abgeholt werden? Die Liste dieser Maßnahmen gehört in die Anlage eines jeden Vertrags zur Auftragsdatenverarbeitung. Diese Verträge bilden eine wichtige Grundlage in der Zusammenarbeit zwischen Unternehmen und ihren im Auftrag verarbeitenden Datenverarbeitern. Das kann zum Beispiel der Anbieter der Druckerhardware sein, aber auch die Putzkolonne, die unbeaufsichtigt nach Dienstschluss in Ihrem Unternehmen reinigt.
Als Unternehmen sind Sie dazu verpflichtet, sowohl nach intern wie auch nach extern dafür Sorge zu tragen, dass der Datenschutz zu einem wichtigen Thema wird. Mitarbeiter müssen auf das Datengeheimnis verpflichtet werden und Schulungen zum Thema Datenschutz erhalten. Sie müssen sicherstellen, mit allen Datenverarbeitenden Dienstleistern eine ADV unterschrieben zu haben. Darüberhinaus ist es möglicherweise erforderlich, dass Sie Ihre IT-Infrastruktur überarbeiten müssen. Auch die Datenschutzerklärung Ihrer Internetseite sowie die auf Ihrer Internetseite angebotenen Services bedürfen vielleicht einer Überarbeitung. Ab dem Zeitpunkt, wo Sie personenbezogene Daten erfassen, ist eine SSL-Verschlüsselung verpflichtend. Auch die Zusammenarbeit mit Google Analytics macht bspw. einen ADV-Vertrag mit Google in Dublin erforderlich.
SOTEC bietet derzeit als einziges IT-Systemhaus dieses ganzheitliche und nachhaltige Modell zur Erlangung der EU-DSGVO Konformität an, sowie die geforderte stetige Aufrechterhaltung des Informations-Sicherheitsprozesses durch die Implementierung des Information Sicherheit Management Systems.
Durch den modularen Aufbau des Modells kann der Kunde sich entscheiden, für welche Stufe des Modells, unter Berücksichtigung seines aktuellen Stands, er sich entscheidet.
Um die entstehenden Projektkosten darzustellen, bietet SOTEC eine Finanzierungslösung, also eine Streckung des Zahlungsstromes auf bis zu 60 Monate an. Voraussetzung hierfür ist allerdings die Entscheidung, das gesamte Lösungs-Modell einzuführen und wie bei jeder Art von Finanzierung, die entsprechende Bonität.