Die IPEXX Systems GmbH & Co. KG aus Wörnitz ist Experte für IT-Sicherheit und unterstützt Firmen mit Rat und Tat bei der Anwendung der neuen EU-Datenschutz-Grundverordnung „DSGVO“

Wörnitz. Am 25. Mai tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in allen Staaten der Europäischen Union in Kraft. Damit möchte man ein einheitliches Datenschutzniveau in den Mitgliedstaaten gewährleisten. Die neue Regel gilt für personenbezogene Daten natürlicher Personen, die in Unternehmen und anderen Einrichtungen verarbeitet werden. So müssen jene Firmen ab sofort strengere Gesetze zum Datenschutz befolgen. Die Wahlmöglichkeiten, welche die DSGVO vorsieht, hat Deutschland im neuen Bundesdatenschutzgesetz (BDSG-neu) angewendet, dieses tritt ebenso am 25. Mai in Kraft.

Christian Grund, Gründer und Inhaber der IPEXX Systems GmbH & Co. KG aus Wörnitz, ist ausgebildeter Datenschutzbeauftragter (extern) und kennt die Fallstricke und Herausforderungen von Datenschutzbestimmungen. Er arbeitet seit zwölf Jahren in der EDV-Branche und war vor seiner Unternehmensgründung im Jahr 2016 für die IT-Sicherheit bei seinem ehemaligen Arbeitgeber zuständig.

Fragt man den Experten, was unter anderem neu an dieser Regel ist, nennt der 29-Jährige drei wesentliche Aspekte: „Deutlich höhere Geldbußen, Meldepflicht innerhalb von 72 Stunden bei Datenschutzverstößen, Stärkung der Betroffenenrechte.“

Datenschutzbeauftragter - ja oder nein?

Grundsätzlich gilt: Ein Datenschutzbeauftragter muss nur dann in einem Unternehmen vorhanden sein, wenn mehr als 10 Mitarbeiter mit der automatisierten Verarbeitung beschäftigt sind. Christian Grund empfiehlt einen solchen Datenschutz-Mitarbeiter – unabhängig von der Größe des Unternehmens!

Was rät der IT-Experte nun jenen Firmen, die sich bislang noch nicht mit der Umsetzung der neuen Richtlinien beschäftigt haben? Aufgrund der Zeitknappheit sei es nicht mehr möglich, alle Anforderungen der neuen DSGVO bis zum Stichtag umzusetzen, meint Christian Grund. Seine Empfehlung: „Vor dem 25. Mai könnte man mit einem Vorabaudit starten, um das aktuelle Niveau der Datensicherheit im Unternehmen zu ermitteln und anschließend die notwendigsten Punkte umsetzen.“ Noch einen Tipp hat der Wörnitzer parat: Wer bislang noch nichts unternommen hat, sollte zumindest seinen öffentlichen Auftritt, darunter die firmeneigene Webseite, hinsichtlich der neuen Datenschutzverordnung anpassen. „Damit ist gemeint, dass zumindest ein Datenschutzhinweis nach der neuen DSGVO auf der Webseite zu finden ist. Auch bei Datenerhebungen von Kunden und Lieferanten sollte es einen Hinweis auf die neue Bestimmung geben“, schildert Christian Grund.

Angesichts der neuen Verordnung rät er grundsätzlich dazu, Nägel mit Köpfen zu machen und das Thema Datenschutz nachhaltig ernst zu nehmen. Soll heißen: Er empfiehlt ein „Setup Projekt“ zur Einführung eines Datenschutzkonzeptes. „Anschließend sollte in der Firma ein Datenschutzbeauftragter benannt, ein langfristiges Datenschutz-Managementsystem erstellt und idealerweise auch gelebt werden“, sagt der Wörnitzer.

Tipp: Eine Anlaufstelle für Betroffenenrechte einrichten

Der IT-Fachmann rät in einem weiteren Schritt Firmen dazu, eine sogenannte Anlaufstelle für Betroffenenrechte einzurichten. Eine offizielle E-Mail-Adresse auf der eigenen Webseite mit dem Titel, beispielsweise „datenschutz@firma.de“ wäre für ihn ein erster, möglicher Ansatz. In der Folge sollte ein firmeneigener oder externer Datenschutzexperte ein geeignetes Konzept zum Umgang mit Betroffenenanfragen etablieren.

Was aber kann passieren, wenn ein Unternehmen die strikten Gesetze nicht anwendet – neben hohen Strafzahlungen? Eine Unternehmensprüfung durch die Aufsichtsbehörde, die technisch organisatorische Maßnahmen kontrolliert oder Verfahrensverzeichnisse, wäre dann möglich, schildert Christian Grund. Ebenso kann der Betroffene Auskunft über alle gespeicherten Daten innerhalb eines Monats verlangen.

Fazit: Jede Firma speichert personenbezogene Daten

Christian Grund fasst zusammen: Handlungsbedarf hinsichtlich der neuen „DSGVO“ besteht grundsätzlich immer, weil jedes Unternehmen personenbezogene Daten speichert, meint dieser. Darunter fallen bereits Kundenkontakt oder IP-Adressen. Zudem sollte man aktiv werden, wenn man mit Dienstleistern zusammenarbeitet, die als Auftragsdatenverarbeiter gelten. Solange ein Unternehmen noch keine Dokumentation (Verfahrensverzeichnis, Datenschutzrichtlinien, Einwilligungserklärungen) zum Thema Datenschutz etabliert hat, ist es ebenso sinnvoll, die Initiative zu ergreifen.

Was aber hält der IT-Experte persönlich von der neuen EU-Gesetzgebung? „Ich finde, dass man auf dem richtigen Weg ist. Bisher wurde das Thema Datenschutz immer sehr stiefmütterlich behandelt, vor allem von kleineren Unternehmen. Dabei ist das Thema Datenschutz, vor allem für Betroffene zu wichtig, um es zu vernachlässigen. Werden beispielsweise sensible Daten, wie Gesundheitsdaten einer Person, durch einen Datenschutzvorfall öffentlich, kann hier sehr großer Schaden für die betroffene Person entstehen."

Folgende Grundprinzipien ergeben sich aus der DSGVO – laut einem Infoblatt der DATEV Nürnberg: Da ist zum einen das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Demnach ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn, es liegt eine Einwilligung oder eine in der DSGVO normierte Ausnahme vor. Eine solche Ausnahme kann etwa vorliegen, wenn zur Erfüllung eines Vertrags oder einer anderen rechtlichen Verpflichtung personenbezogene Daten verarbeitet werden.

Des Weiteren gilt das Prinzip der Datensparsamkeit. Demzufolge ist die Verarbeitung personenbezogener Daten auf das für den Zweck notwendige Maß zu beschränken. Das Prinzip der Zweckbindung besagt, dass solche Daten lediglich für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden dürfen. Das Prinzip der Datensicherheit führt dazu, dass Unternehmer geeignete technische und organisatorische Maßnahmen zur Datensicherheit umsetzen müssen.