Es gibt sie noch immer, die Unternehmen, die glauben, die europäische Datenschutzgrundverordnung (EU-DSGVO) betreffe sie nicht. Vermutlich, weil einige denken: Was kann schon passieren, wenn ich doch ohnehin nicht betroffen bin? Die Antwort ist einfach: Teuer kann es werden. 20 Millionen Euro oder vier Prozent des weltweiten Bruttoumsatzes werden fällig, wenn Unternehmen personenbezogene Daten von EU-Bürgern rechtswidrig speichern oder verarbeiten. Doch wie und wodurch können solche fatalen Fehler passieren? Fünf Tipps, was Unternehmen vermeiden sollten.

1. IT-Security nicht vernachlässigen

Die DSGVO gilt schon seit zwei Jahren

In Kraft getreten ist die europäische Datenschutzgrundverordnung eigentlich bereits 2016, am 25. Mai dieses Jahres endet lediglich die Übergangsfrist. Dann wird die DSGVO rechtsverbindlich. Im Fokus der Diskussion stehen Schutzrechte der Bürger wie etwa das Recht auf Löschung der eigenen Daten. Schon das bestehende Bundesdatenschutzgesetz (BDSG) enthält solche Schutzrechte – mit Einführung der DSGVO fallen die Strafen für Rechtsverstöße allerdings um einiges drastischer aus: Bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro pro Verstoß.

Datensicherheit und Datenschutz sind zwei völlig verschiedene Themenkomplexe. Nichtsdestotrotz hängen sie direkt zusammen. Denn ohne adäquate IT-Sicherheit ist auch der Schutz personenbezogener Daten kaum möglich. Und mit den deutlich höheren Bußgeldern der DSGVO im Vergleich zu denen, die das bisherige Bundesdatenschutzgesetz vorsieht, werden auch kriminelle Erpresser ihre Preise erhöhen. Davor warnte kürzlich ein Security-Spezialist von Sophos in einem Interview. Weil die Ware, auf die es Urheber so genannter Erpressungstrojaner (Englisch: Ransomware) abgesehen haben – die Daten von Unternehmen – mit den höheren Bußgeldern der DSGVO nochmals deutlich wertvoller wird. Damit werden auch die Lösegelder steigen, die Erpresser verlangen. Wer also seine IT-Security vernachlässigt, könnte künftig nicht nur vom Staat, sondern auch von Kriminellen kräftiger zur Kasse gebeten werden.

Auch interessant: DSGVO: 10 wichtige Tipps

2. Cloud-Dienste nur mit Auftragsdatenverarbeitung

Datenschutz und Cloud-Nutzung schließen sich nicht gegenseitig aus. Egal ob Public oder Private Cloud – wer Software, Rechen- oder Speicherkapazitäten aus Rechenzentren kommerzieller Anbieter nutzt, unterliegt den gleichen Regeln. Allerdings sollten Anwender unbedingt eine schriftliche Vereinbarung über eine so genannte Auftragsdatenverarbeitung (ADV) mit dem Cloud-Anbieter abschließen. Nur so können sie sicherstellen, dass sich der Provider, der im Auftrag die Daten verarbeitet, ebenfalls an geltendes Recht hält. Das umfasst auch die notwendigen technischen Voraussetzungen, um die DSGVO vollumfänglich zu erfüllen. Eine mündliche Zusicherung sollte hier keinem Unternehmen genügen.

3. Keinen zwecklosen Datenvorrat anlegen

Korbinian Lehner
Korbinian Lehner Korbinian Lehner (© 2017 Telekom)

Korbinian Lehner versteht sich als „Senior Digital Native“ und ist bei der Telekom Deutschland für alle IT-Themen verantwortlich. Zuvor war er in verschiedenen Positionen bei anderen IT-Dienstleistern tätig.

>> Mehr zu Korbinian Lehner auf seiner Köpfe-Seite

Gemäß der DSGVO gilt künftig das Prinzip der Sparsamkeit, wenn es um das Sammeln personenbezogener Daten geht. Das heißt: Unternehmen dürfen persönliche Daten nur erheben, wenn sie einem bestimmten Zweck dienen. Einsammeln, Speichern und auf Halde legen; frei nach dem Motto: Vielleicht können wir sie irgendwann einmal gebrauchen, soll damit ausdrücklich verhindert werden. Das kommt Unternehmen jedoch ebenso entgegen wie Verbrauchern. Denn je weniger kritische Daten vorhanden sind, desto weniger können im Falle eines Daten-Leaks auch betroffen sein. Zur Erinnerung: Die Strafen der DSGVO im Falle von Zuwiderhandlung werden pro Verstoß fällig. So können sich die Summen bei einem massenhaften Datenverlust potenzieren.

Auch interessant: Umsetzung der DSGVO: Deutschland ist Vorbild

4. Datenschutz lieber direkt mitberücksichtigen

Bei vielen Unternehmen ist es aktuell gar nicht anders möglich: Notwendige Datenschutzmaßnahmen werden auf ein fertiges (Software-)Produkt aufgesetzt. Schlimmstenfalls beginnen Unternehmen den Entwicklungsprozess damit komplett von vorn. Die DSGVO fordert jetzt von allen Softwareentwicklern eingebauten Datenschutz, praktisch serienmäßig, ab Werk. Die Fachbegriffe dafür lauten „Privacy by Design“ und „Privacy by Default“. Damit das wirksam funktioniert, sollten sie zudem fester Bestandteil von Unternehmensprozessen sein: Keine Produktentwicklung ohne verbindliche Berücksichtigung der Privacy Governance. Vielversprechend ist eine Verknüpfung mit weiteren Unternehmensprozessen, zum Beispiel keine Budgetfreigabe ohne Bescheinigung der datenschutzrechtlichen Unbedenklichkeit. Nur so verhindern Unternehmen nachhaltig und vollumfänglich, Fehler zu machen und Strafen zu riskieren.

5. WhatsApp Nutzung kritisch hinterfragen!

Open Telekom Cloud – eingebauter Datenschutz

Die Open Telekom Cloud ist das Public-Cloud-Angebot des Bonner Providers auf Basis des offenen Betriebssystems OpenStack. Es wurde konsequent auf ein Höchstmaß an Datensicherheit und Datenschutz getrimmt, was zahlreiche Zertifikate unabhängiger Institutionen belegen. Darunter ist das Trusted Cloud Datenschutzprofil (TCDP) 1.0. Dieses bestätigt, dass die Open Telekom Cloud – aktuell als eines der wenigen Cloud-Angebot am Markt – Unternehmen die technischen Voraussetzungen bietet, die nötig sind, um die künftigen Anforderungen der DSGVO zu erfüllen. Außerdem schließt die Telekom mit Unternehmen, die die Open Telekom Cloud nutzen, auf Wunsch eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) ab. Weitere Informationen zur Open Telekom Cloud finden Sie hier.

WhatsApp ist der am meisten genutzte Messaging-Dienst auf dem Smartphone. 1,5 Milliarden Menschen kommunizieren täglich darüber. Kein Wunder, dass die US-amerikanische, zu Facebook gehörende App nicht nur im privaten, sondern auch im Business-Umfeld zum Einsatz kommt. Das sollten Unternehmen besonders mit Blick auf die DSGVO jedoch mindestens in Frage stellen. Denn: WhatsApp kann nur nutzen, wer der Anwendung erlaubt, alle Kontaktdaten seines Smartphones auszulesen. Dafür müsste man jedoch eigentlich alle im Adressbuch aufgeführten Kontakte explizit um ihre Einwilligung bitten. Ein Aufwand, den mit Sicherheit die Allerwenigsten auf sich nehmen. Selbst, wer seine Mitarbeiter dazu verpflichtet, bei Nutzung von WhatsApp sämtliche Kontakte um Einwilligung zu bitten, wird einerseits vermutlich auf wenig Gegenliebe bei den in den Adressbüchern gespeicherten Menschen stoßen, andererseits das Problem nur verlagern, nicht lösen. Denn kontrollieren kann ein Unternehmen kaum, ob Mitarbeiter tatsächlich alle Einverständnisse eingeholt haben.

Auch interessant: DSGVO: Guter Datenschutz spart Geld

Eine Lösung kann sein, WhatsApp auf dienstlichen Smartphones entweder grundsätzlich zu untersagen oder die dienstliche von der privaten Umgebung per Software zu trennen. Um sicherzustellen, dass diese Vorgaben vollumfänglich von allen Mitarbeitern mit Smartphone entsprechend umgesetzt werden, empfiehlt sich ein unternehmensweites Mobile Device Management (MDM). Damit können Firmen sämtliche firmeneigenen mobilen Endgeräte wie Laptops, Tablets und Smartphones zentral steuern und verwalten. So ließen sich selbst private Endgeräte mithilfe von Container-Lösungen für betriebliche Zwecke einbinden.