Stichwortsuche

Aktuell braucht ein Unternehmen zwingend einen Datenschutz­beauftragten, wenn sich mindestens zehn Personen mit automatisierter Datenverarbeitung im Betrieb beschäftigen. Foto: Pixabay
Service

Betriebe müssen beim Datenschutz nachbessern

Viele Unternehmen stehen mit dem Thema IT-Sicherheit auf Kriegsfuß. Eine neue EU-Verordnung sorgt langfristig für Datensicherheit – kurzfristig für mehr Bürokratie.

Text: Tasso Enzweiler

Langsam wird es eng, den Unternehmen bleibt nicht mehr viel Zeit, sich auf die neue Europäische Datenschutz-Grundverordnung (DSGVO) einzu­stellen: Am 25. Mai 2018 endet die Übergangsfrist. Firmen, die bis dahin ihre EDV-Prozesse nicht angepasst haben, müssen mit saftigen Bußgeldern rechnen. Das neue EU-Recht sieht Geldstrafen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes für schwere Verstöße gegen die Datenschutzbestimmungen vor.

„Viele Regelungen, die in der DS-GVO niederge­schrieben sind, sind nach dem Bundesdatenschutz­gesetz für Unternehmen in Deutschland schon jetzt verpflichtend“, sagt Dirk Niedernhöfer, Geschäftsführer des Beratungsunternehmens adreko aus Köln. „Allerdings ist durch die erhöhten Bußgelder das Risiko drastisch gestiegen, so dass sich Unternehmen nun unbedingt mit dem Thema Datenschutz beschäftigen müssen.“

Welche Versäumnisse müssen die Unternehmen bei der DS-GVO aufholen?

Das Beratungsunternehmen International Data Corporation, IDC, hat 250 Organisationen in Deutschland mit jeweils über 20 Mitarbeitern befragt. Das ernüchternde Fazit: Die neue Verord­nung wird von vielen Unternehmen auf die leichte Schulter genommen – viele sind sich über ihre Versäumnisse nicht im Klaren. Wer geschlafen hat, muss jetzt wach werden und loslegen: „Unter­nehmen, die jetzt mit dem Thema beginnen, sind mindestens neun Monate im Verzug“, sagt Laura Hopp, Beraterin bei IDC. Im Einzelnen:

  • 44 Prozent der befragten Unternehmen geben an, dass sie weder technologische noch organisatorische Maßnahmen zur Vorbereitung auf die DS-GV0 getroffen haben.
  • Ein Grund hierfür ist, dass viele Unternehmen nicht mit Kontrollen rechnen und Konsequenzen wie Strafzahlungen, Reputationsverlust oder Verbot der Datenverarbeitung als nicht real ansehen.
  • Nach IDC-Erkenntnissen fehlt der ganzheitliche Überblick über personenbezogene Daten im Unternehmen. Es sei erschreckend, dass 23 Prozent der Befragten nicht wüssten, wo ihre Daten gespeichert werden, so Beraterin Hopp. 27 Prozent könnten nicht sagen, wer Zugriff auf personenbezogene Daten in ihrem Unternehmen hat, 34 Prozent sind die Löschfristen nicht bekannt.
  • Darüber hinaus geben 37 Prozent an, dass Dokumente unkontrolliert auf den Fileservern unter Obhut der Mitarbeiter liegen.
  • Um die Grundsätze der DS-GV0 wie das „Recht auf Vergessenwerden“ oder die Datenmini­mierung überhaupt erfüllen zu können, ist ein ganzheitlicher Überblick auf Daten unabdingbar.

Obwohl einem Datenschutzbeauftragten bei der Überwachung der Einhaltung der DS-GV0 eine Schlüsselrolle zukommt, ist diese Position erst bei 17 Prozent der befragten Unternehmen überhaupt besetzt. Dabei müsste der Großteil der Unternehmen nach dem aktuell gültigen Bundesdatenschutzgesetz bereits einen Datenschutz­beauftragten beschäftigen. Immerhin: Jedes zweite Unternehmen plant, diese Position in den nächsten Monaten zu besetzen (siehe unten).

State-of-the-Art-Technologie ist dringend notwendig

Handlungsbedarf gibt es ebenfalls im Hinblick auf die IT-Sicherheit. Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, die permanente Überwachung in Echtzeit sowie Maßnahmen als Reaktion auf Systemauffälligkeiten. Fast die Hälfte der befragten Unternehmen (47 Prozent) plant, in den kommenden Monaten verstärkt in Cyber Security zu investieren.

Um den ungewollten Abfluss von personenbezogenen Daten in Zukunft zuverlässig zu verhindern, sollten die Unternehmen auch in umfassende Schutzmechanismen investieren. Zwar haben die befragten Unternehmen bereits einige Maßnahmen umgesetzt – zum Beispiel die Vergabe von Zu­griffsrechten nur an relevante Personen (68 Prozent) sowie den Entzug von nicht mehr benötigten Zugriffsrechten (62 Prozent).

Jedoch ist in vielen Fällen noch eine unkontrollierte Vervielfältigung der Daten möglich. So wird das Kopieren von vertraulichen Daten in andere Daten nur bei 47 Prozent blockiert. Auch das Verschicken vertraulicher Daten per E-Mail verhindern erst 42 Prozent der Unternehmen. Mitarbeiter, die unachtsam mit den Daten umgehen und diese leichtsinnig weitergeben und vervielfältigen, können in vielen Firmen also nach wie vor großen Schaden anrichten.

Neben der Datenspeicherung steht die Frage der Technik im Vordergrund. Die DS-GVO fordert den Einsatz von State-of-the-Art-Technologie, um Datenlecks schnell aufzudecken. „Diese sind je­­doch nicht umfassend im Einsatz“, sagt Matthias Zacher, Manager Research & Consulting IDC. Einer Anpassung der IT-Systeme kommt somit eine zentrale Rolle zu.

Verantwortliche, die keine modernen Lösungen einsetzen und somit das State-of-the-Art-Prinzip nicht erfüllen, müssen das künftig gut begründen können. Andernfalls geraten Unternehmen, die ihre EDV-Abläufe nicht ernst nehmen und nicht den Bestimmungen anpassen, gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot.

„Auf die Unternehmen kommt durch die neue Verordnung mehr Bürokratie zu“, sagt Datenschutz­experte Niedernhöfer. „Aber die DS-GVO hat auch ihr Gutes: Erstmals werden die Unternehmen angehalten, sich wirksam mit einem gesellschaftlich so wichtigen Thema wie Datenschutz zu beschäftigen.“

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Nach dem aktuell geltenden Bundesdatenschutzgesetz und dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU braucht ein Unternehmen zwingend einen Datenschutz­beauftragten, wenn sich mindestens zehn Personen mit automatisierter Datenverarbeitung in einem Unternehmen beschäftigen.

Alternativ ist ein Datenschutzbeauftragter Pflicht, wenn sich ein Unternehmen, so der Gesetzestext, „umfangreich“ mit sensiblen Daten beschäftigt; damit können zum Beispiel Daten zur persönlichen Gesundheit von Menschen, zur Gewerkschafts- oder Religionszugehörigkeit gemeint sein; dann ist ein Datenschutzexperte auch bei weniger als zehn Mitarbeitern Pflicht.

Ein Datenschutzbeauftragter muss sich in EDV, IT und IT-Sicherheit auskennen und braucht Kenntnisse im Datenschutz-, Sozial-, Verwaltungs-, Vertrags- und Wettbewerbsrecht. Er kann Angestellter des Unternehmens sein, es kann aber auch ein Externer diese Funktion wahrnehmen. Es darf freilich keinen Interessenkonflikt geben, also ein Personalleiter, IT-Leiter oder Geschäftsführer eines Unternehmens kann nicht gleichzeitig Datenschutzbeauftragter sein.

Ob extern oder intern: Der Datenschutzbeauftragte ist letztlich Ansprechpartner für alle Fragen des Datenschutzes – sei es aus dem Unternehmen oder von Seiten der Aufsichtsbehörde. Unternehmen sind verpflichtet, ihren Datenschutzbeauftragten bei der Aufsichtsbehörde zu benennen.

Kostenlose Infoveranstaltung
Am 21. März informiert die IHK Köln in der kostenlosen Veranstaltung „Die neue EU-Datenschutzgrundverordnung – Der Countdown läuft“ von 17:00 bis 19:00 Uhr über die Inhalte der neuen Verordnung und die Anforderungen an die Unternehmen.

Infos zum Programm und Anmeldemöglichkeit auf www.ihk-koeln.de/170122

Fragen?

Birgit Wirtz

WEITERE THEMEN