Gilt auch für die Kleinsten : Die neue EU-Datenschutzverordnung

Von der neuen Regelung sind nicht nur Großkonzerne, sondern alle Unternehmen bis hin zum Ein-Personen-Betrieb betroffen. Bei etwaigem Datenmissbrauch und Nichteinhalten der Verordnung drohen hohe Geldstrafen. Der niederösterreichische IT-Dienstleister und Unternehmensberater Andreas Chvatlinsky vertreten durch die Chvatlinsky & Co. GmbH, kurz CHVACO, hat es sich zur Aufgabe gemacht, mittleren bis kleinsten Unternehmen mit eigens entwickelten Tools und Services dabei zu helfen, ihre internen Abläufe an die neue Gesetzeslage anzupassen.

„Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft“, warnt Andreas Chvatlinsky, Firmeninhaber und selbst geprüfter Datenschutzexperte. „Ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb sind ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter, und eine unbeabsichtigte Missachtung der Verordnung kann aufgrund der horrenden Strafen ein Unternehmen in den Ruin treiben.“

Die Datenschutzgrundverordnung soll dafür sorgen, dass personenbezogene Daten in Zukunft nur noch dann in einem Unternehmen gespeichert und verarbeitet werden dürfen, wenn die betroffene Person auch gezielt ihr Einverständnis dazu gegeben hat. Und auch wenn das der Fall ist, hat das Unternehmen alle nur denkbaren Maßnahmen zu treffen, um zu verhindern, dass die gespeicherten Informationen nach außen gelangen.

„Ein Datenmissbrauch oder ein Datendiebstahl kann leider nie zu 100 Prozent ausgeschlossen werden, das muss dann aber innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, die dann überprüft, ob wirklich alle zumutbaren Vorkehrungen zum Schutz der Daten umgesetzt wurden“, schildert Chvatlinsky. Eine Verletzung der Meldepflicht kann Strafen in der Höhe von bis zu 20 Millionen Euro nach sich ziehen.

Besonders sensibel sind u.a. Informationen, aus denen die ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen oder auch die sexuelle Orientierung einer Person abgeleitet werden können. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie. „Bei uns scheint der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel auf, also fallen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen“, betont Chvatlinsky. Nun gilt es für jedes Unternehmen, bis zum Stichtag am 25. Mai 2018 seine kompletten Datenbestände zu überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einzuholen und vor allem die optimalen Schutzvorkehrungen zu installieren. Großbetriebe haben dafür einen eigenen Datenschutzkoordinator, mittlere und kleine Betriebe stehen damit jedoch vor einer ohne entsprechendes Know-how kaum zu bewältigenden Herausforderung.

An dieser Stelle setzt nun die Chvatlinsky und Co. GmbH an: Das Unternehmen hat auch ein Angebotspaket für Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern geschnürt, bei dem anhand zahlreicher Checklisten sämtliche Risikofaktoren vom Cloud-Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke analysiert werden. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da Datenschutz nicht nur eine Frage der Technik ist, kommt auch der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu. „Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang“, beruhigt Chvatlinsky seine Kunden. „Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheits-Maßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache.“

Eine besondere Herausforderung sieht Chvatlinsky in der Datenschutzgrundverordnung allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. „Die Leute mögen technisch gut und versiert sein, aber es sind eben meist keine Datenschutzexperten, es fehlt diesbezüglich oft an notwendigem Know-how und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können.“

Auch das von CHVACO entwickelte Security-Tool „WOG“, das schon seit längerer Zeit erfolgreich im Kampf gegen erpresserische Ransomware eingesetzt wird, wurde inzwischen um zahlreiche Funktionen hinsichtlich der Datenschutzgrundverordnung erweitert. So erinnert beispielsweise ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Sensible Dateien lassen sich per Mausklick verschlüsseln, wobei ein intelligenter Passwortmanager dafür sorgt, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können.

Die Programmierer von CHVACO arbeiten deshalb an einer möglichst flexiblen Lösung, um IT-Tätigkeiten jeglicher Art zu 100 % nachvollziehbar und transparent abwickeln zu können. Kernstück dieser Lösung ist dabei ein Ticket- und Incidentsystem, das bei Chvatlinsky bereits selbst im Einsatz ist. Das oben angeführte WOG-System ist bereits für solche Prozesse vorbereitet. In der nächsten Release verwaltet das Tool sämtliche Zugangsberechtigungen, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind – dieses garantiert wiederum eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.

„Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen“, beschreibt Chvatlinsky. „Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten.“