Anlässlich des ersten Geburtstages der neuen DSGVO haben wir unseren Kollegen und Datenschutzbeauftragten, Dr. Klaus Schumnig, interviewt. Er erklärt uns, was die neue Verordnung leistet, wie sie die (Zusammen-) Arbeit von Unternehmen beeinflusst und wie man mit ein paar praktischen Tipps ganz einfach für sichere Daten im Business-Alltag sorgt.
Welche Veränderungen hat die neue DSGVO für die Unternehmenspraxis mit sich gebracht?
Im Mai 2018 sind die DSGVO als auch das Bundesdatenschutzgesetz in einer novellierten Form in Kraft getreten. Damit ist die Verarbeitung von personenbezogenen Daten nicht geändert worden. Die wesentlichen Änderungen bestehen in dem „WIE“ mit personenbezogenen Daten umgegangen werden soll. Die DSGVO legt den Unternehmen, die mit personenbezogenen Daten arbeiten, eine ganze Reihe an Pflichten auf. Die Verordnung verfolgt damit zwei große Ziele. Einmal den Betroffenen, das heißt jedem Bürger, mehr Rechte über seine persönlichen Daten zu geben. Damit der Bürger seine persönlichen Rechte durchsetzen kann, wurden zum anderen den Firmen eine Reihe von Pflichten auferlegt, wie sie mit personenbezogenen Daten umgehen müssen. Um ein paar Pflichten aufzuzählen die wir als Unternehmen umgesetzt haben: Wir haben z.B. eine verbindliche unternehmensweite Datenschutzrichtlinie, die für jeden einzelnen Mitarbeiter gilt und festlegt, wie das Unternehmen mit Daten umgeht. Weiterhin verwenden wir ein sogenanntes Verfahrensverzeichnis. Hier steht geschrieben, wie und in welcher Form wir in verschiedenen Prozessen aus Geschäftszwecken personenbezogene Daten verarbeiten. Dort ist im Einzelnen definiert, zu welchem Zweck wir die Daten verarbeiten, mit welcher Rechtsgrundlage, welche Löschfristen wir für die Daten haben etc..
Worauf sollten vor allem auch kleine Betriebe beim Datenschutz achten?
Im Grunde gelten auch für Kleinbetriebe dieselben Vorschriften wie für Großkonzerne, vor allem die sogenannten Verfahrensverzeichnisse. Dahinter steht eine bestimmte Systematik und es muss gewährleistet werden, dass dies methodisch analytisch korrekt gemacht wird. Man muss begründen, warum und wie man etwas macht.
Als einfaches Beispiel: Wie erstellt man ein vollständiges Verfahrensverzeichnis?
Man spricht zunächst die Vorgesetzten an und fragt sie, welche Verfahren sie haben. Um der Vollständigkeit gerecht zu werden, sollte man aber noch eine zweite Frage stellen. Nämlich welche Aufgaben jeder einzelne Mitarbeiter hat. So bekommt man einen Überblick über die verschiedenen Aufgaben und Verfahren im Unternehmen. Aber auch dann ist noch keine Vollständigkeit gesichert. Hier bietet sich zusätzlich die Frage nach den Prozessen im Unternehmen an. So können dann die Mitarbeiter und die Prozesse gegeneinander korreliert werden und man kann davon ausgehen, dass eine Vollständigkeit besteht.
Wie schaut es bei der Zusammenarbeit mit anderen Unternehmen aus?
Die DSGVO hat auch dies unter dem Begriff der Auftragsdatenverarbeitung gesondert geregelt. Eine Vereinbarung darüber wird nur abgeschlossen, wenn im Auftrag Arbeiten übertragen werden und nicht nur einfach eine Funktionsübertragung gemeint ist. Wenn mit einem externen Unternehmen ein solcher Auftragsdatenverarbeitungsvertrag abgeschlossen wird, ist genau geregelt, wer für was verantwortlich ist.
Und welche Vorteile hat die neue DSGVO?
Zunächst hat sie den Vorteil für jeden Bürger, dass er ein gesetzlich verbindliches Auskunftsrecht über seine Daten hat. Dort zeigt sich, dass, je gründlicher und vollständiger die Verfahrensverzeichnisse geführt werden, umso besser genau diesen Auskunftsanfragen nachgegangen werden kann. Zudem hat es den Vorteil für jedes Unternehmen selbst, mit seinen Daten bewusster, transparenter und auch reflektierter umzugehen. Sie beschäftigen sich automatisch mit den Fragen „Welche Art von Daten haben wir eigentlich?“ oder „Wann müssen wir die Daten löschen?“ etc.. Und auch wenn eine vollständige Kontrolle der Daten mit Aufwand verbunden ist, sollten uns unsere Daten das wert sein. Und ich bin davon überzeugt, dass diese Art der Datenverarbeitung in einigen Jahren völlig normal sein wird. In unserer digitalen Welt sollten wir vermehrt selbst Wert darauf legen, die Kontrolle über unsere Daten zu behalten.
Sie haben uns 3 tolle Praxistipps mitgebracht. An welchen Rädchen können unseren Kunden denn schnell und einfach drehen, um ihre Daten im Unternehmensalltag besser zu schützen?
-
Sichere Passwörter verwenden:
Es empfiehlt sich, für jeden Account ein anderes und auch komplexes Passwort zu verwenden. Dabei lohnt sich die Mühe, immer verschiedene Zahlenkombination als auch Groß- und Kleinschreibung zu verwenden.
-
Einen Password-Safe erstellen:
Ein Password-Safe ist nichts anderes als eine Kennwortverwaltung. Das kann man am Rechner mit Hilfe spezieller Programme oder mit dem Smartphone über diverse Apps machen. Damit kann der Benutzer Kennwörter und Geheimzahlen verschlüsselt speichern, verwalten und in der Regel auch sichere Kennwörter erzeugen. Egal ob schriftlich oder digital, wichtig ist vor allem, dass die Passwörter sicher verwaltet werden.
-
Genaue Prüfung der Kooperationspartner:
Überlegen Sie sich bei der Zusammenarbeit mit anderen Firmen einfach ganz bewusst, wem Sie welche Daten anvertrauen. Unseriöse Anbieter, bei denen z.B. das Impressum fehlt, sollten Sie meiden. An „Versäumnissen“ wie diesen können Sie erkennen, dass hier mit hoher Wahrscheinlichkeit wenig oder kein Bewusstsein für Datenschutz und -Sicherheit besteht.
Vielen lieben Dank Herr Dr. Schumnig!
Dr. Klaus Schumnig ist IT-Sicherheitsbeauftrager und Datenschutzbeauftragter der Schlüterschen
