Datensicherheit

Worauf Unternehmer jetzt achten müssen

Bei der SIHK zuständig für die Sparte Digitalisierung: Dr. Michael Dolny gibt in der Heimatzeitung Tipps.

Bei der SIHK zuständig für die Sparte Digitalisierung: Dr. Michael Dolny gibt in der Heimatzeitung Tipps.

Foto: Privat

Iserlohn/Hagen.   Am 25. Mai tritt eine neue EU-Verordnung in Kraft. Dr. Michael Dolny von der SIHK erklärt, wo Gefahren für Unternehmen lauern und was zu tun ist

Am 25. Mai tritt die viel diskutierte neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Im Wesentlichen erhalten Verbraucher dadurch künftig deutlich mehr Rechte, wenn es um die Verarbeitung, Löschung, Weitergabe und Auskünfte bezüglich ihrer persönlichen Daten geht.

Dr. Michael Dolny, bei der Südwestfälischen Industrie- und Handelskammer zu Hagen zuständig für die Sparte Digitalisierung, erklärt, was das für die Unternehmen in der Region bedeutet.

Herr Dr. Dolny, man könnte den Eindruck gewinnen, die EU lasse da derzeit ein wahres Bürokratiemonster auf die Unternehmen los . . .

Für viele, vor allem kleinere Unternehmen ist das Thema eine große Herausforderung. Eine große Zahl hat bislang wenig, manche noch gar nichts gemacht. Sie versuchen jetzt Orientierung zu finden, wissen aber nicht, wo sie anfangen sollen. Wir empfehlen dann zum Beispiel einen Zehn-Punkte-Plan abzuarbeiten, den das Bundesministerium für Wirtschaft und Energie veröffentlicht hat. Das Thema wird sich aber nicht in ein paar Monaten erledigt haben, sondern uns dauerhaft begleiten.

Wo sollten Unternehmen beginnen?

Auf der eigenen Homepage, weil die von außen sichtbar ist. Es könnte gut sein, dass da ab Ende Mai mal Leute nachschauen, ob nicht Grund für eine Abmahnung besteht: Gibt es eine Datenschutzerklärung? Sind personenbezogene Daten ausreichend gesichert, zum Beispiel mittels https-Verschlüsselung bei Webformularen? Wichtig ist stets, dass Daten „gemäß dem aktuellen Stand der Technik“ gesichert sind, wobei momentan noch unklar ist, was das konkret heißen soll.

Wo fangen die Probleme an? Darf ich als Unternehmen die Profile meiner Mitarbeiter noch im Internet veröffentlichen?

Das kommt auf den Einzelfall an: Die Durchwahl einer Abteilung, etwa eine Service-Hotline, ist unproblematisch. Die direkte Durchwahl zu einem Einzelnen ist je nach Aufgabengebiet vielleicht noch okay, aber spätestens, wenn Sie auch die Fotos ihrer Mitarbeiter veröffentlichen, sollten Sie um eine Einwilligung bitten.

Was fällt noch unter die neue EU-Verordnung?

Auf vielen Webseiten wird das Benutzerverhalten ausgewertet: Wer schaut sich wie lange welche Seiten an? Das funktioniert in der Regel durch die Erfassung der IP-Adressen. Auch diese gelten als personenbezogen und müssen entsprechend behandelt werden. Weitere Problemzonen sind beispielsweise die „Like-Buttons“ von Facebook & Co.

Ist es korrekt, dass es schon ein Verstoß sein kann, wenn bei E-Mails (im CC) einsehbar ist, wer sie noch erhält?

Das ist so – war aber auch schon vorher ein Problem. Das konnte bislang schnell „böses Blut“ geben, in Zukunft vielleicht auch vermehrt böse Geld kosten. Nämlich dann, wenn jemand vom Anwalt eine Abmahnung verschicken lässt. Die einfache Lösung in dem Fall: Sich selbst als Empfänger der Mail einsetzen und alle anderen in das Feld „BCC“ eintragen.

Wie weit sind die Unternehmen bei der Umsetzung der DSGVO?

Unterschiedlich. Die meisten passen derzeit Formulare an, überarbeiten Verzeichnisse oder lassen sich neue Einwilligungen geben. Das Ganze stellt aber wie gesagt vor allem für kleine Unternehmen eine Riesenherausforderung dar, weil sie im Grunde genommen dasselbe erfüllen müssen, wie die großen. Wer also – wie etwa ein kleiner Taxiunternehmer – keine eigene Rechtsabteilung hat, der weiß oftmals noch nicht einmal, wo er überhaupt anfangen soll.

Mal vom bloßen Aufwand abgesehen – wo gibt es offene Fragen?

Zum Beispiel beim Thema Kundenlisten. Da steht die Frage im Raum, darf ich die bisher verwendeten Listen mit sagen wir einmal 5000 Anschriften überhaupt noch nutzen? Oder muss ich die Kunden für eine Einwilligung erst wieder anschreiben? Oder darf ich sie selbst dafür nicht mehr kontaktieren?

Wer wird über ausstehende Regelungen am Ende entscheiden?

Juristisch gibt es die Vorgaben ja bereits seit zwei Jahren, bis Ende Mai gilt eine Übergangszeit. Viele der grundlegenden Regeln sind auch nicht viel anders als vorher. Es gibt aber mehr bürokratischen Aufwand. Und vor allem fehlt nun eine klare Rechtsprechung um Begriffe wie „technischer Stand der Dinge“ zu präzisieren: Braucht ein kleiner Nagelsalon zur Sicherung der Daten nun eine Firewall für 10 000 Euro? Ich glaube ja eher nicht, aber die Frage lautet: Wo liegt die Grenze?

Ab wann müssen Unternehmen einen Datenschutzbeauftragten beschäftigen? Und ist der dann für Verstöße allein verantwortlich?

In den meisten Fällen gilt: Ab zehn Personen, die im Unternehmen regelmäßig mit personenbezogenen Daten arbeiten, muss ein Datenschutzbeauftragter tätig werden. Dieser kann extern bestellt werden oder – mit gewissen Auflagen – ein Mitarbeiter des Unternehmens sein. In keinem Fall darf der Datenschutzbeauftragte eine Alibifigur sein. Das würde eigentlich auch nichts bringen, denn am Ende ist sowieso der Chef des Unternehmens für die Einhaltung des Datenschutzes verantwortlich.

Für den Fall von Verstößen wird über Bußgelder von 10 oder 20 Millionen Euro diskutiert, was natürlich für zusätzliche Verunsicherung sorgt . . .

Und es kann sogar noch teurer werden, denn alternativ drohen bis zu vier Prozent des weltweiten Umsatzes als mögliches Bußgeld, je nachdem was mehr ist. Nicht nur bei großen Konzernen wie Autobauern oder Banken könnte der Betrag also erheblich höher liegen. Es scheint zudem nicht unwahrscheinlich, dass die Politik wünscht, dass am Anfang einige Exempel statuiert werden.

Was ist mit Daten- und Kommunikationsdiensten wie etwa „WhatsApp“? Sind die im Geschäftsleben überhaupt noch zulässig?

Eigentlich nicht. WhatsApp überträgt alle Kontaktdaten eines Smartphones automatisch auf die Server eines US-Konzerns, was zumindest für geschäftlich genutzte Daten ein Problem darstellt. Daher steht auch im „Kleingedruckten“ der WhatsApp-Geschäftsbedingungen, dass der Dienst nur für den Privatgebrauch vorgesehen ist.

Was bedeutet das Ganze für den Verbraucher? Nur etwas mehr Schreibkram zum Erledigen?

Die Rechte von uns EU-Bürgern werden zunächst einmal gestärkt, denn beispielsweise muss sich jetzt jedes Unternehmen an die gleichen Datenschutz-Regeln halten, egal wo auf der Welt der Firmensitz ist. In der Praxis dürften viele jedoch schon festgestellt haben, dass mehr Einwilligungen verlangt oder Freigabeformulare verschickt werden. Grundsätzlich sollte ich mir da schon stets überlegen, was ich unterschriebe und wem ich meine Daten wofür anvertraue. Aus Verbraucher-Perspektive ist das aber ja nie verkehrt.

Leserkommentare (0) Kommentar schreiben