Mit welchen Themen müssen sich KMU und sogar EPU rund um die EU-Datenschutz-Grundverordnung (DSGVO) unbedingt beschäftigen? Mit einigen – ganz unabhängig von der Unternehmensgröße.
Datenschutz-Experte Christoph Riesenfelder gibt die Antworten.
forum.ksv: Was bedeutet die DSGVO vor allem für Kleinbetriebe? Welche Rolle spielt die Unternehmensgröße?
Riesenfelder: Die DSGVO und das neue österreichische Datenschutzgesetz stellen auf die verarbeiteten Daten ab, nicht auf die Größe des Unternehmens – also z. B. nicht auf Umsatz oder Mitarbeiterzahl. Entscheidend dafür, welche Maßnahmen getroffen werden müssen, sind grundsätzlich die Art der personenbezogenen Daten und der Umfang, die Umstände und die Zwecke ihrer Verarbeitung. Man muss also in einem ersten Schritt die Frage stellen: Was für personenbezogene Daten verarbeiten wir überhaupt? Ein Zwei-Personen-Start-up, das z. B. gesundheitsbezogene Daten von App-Benutzern verarbeitet, vielleicht sogar von abertausenden Kunden, muss sich also möglicherweise mehr Gedanken machen als ein mittleres Industrieunternehmen, das v. a. Mitarbeiterdaten und Kontaktdaten von Lieferanten und Kunden verarbeitet.
Müssen KMU und EPU, die personenbezogene Daten regelmäßig verarbeiten, mit zusätzlichen Aufwänden und Kosten rechnen?
Die DSGVO verursacht in jedem Fall spürbare Aufwände und Kosten. EPU und KMU haben meist andere Sorgen als die Erfüllung rechtlicher Pflichten. Dennoch muss man das Thema Datenschutz umso ernster nehmen, je mehr z. B. der Kundenstock aus natürlichen Personen besteht, deren Daten insbesondere sensibel sind, also sogenannte „besondere Datenkategorien“ darstellen. Damit kommt auch der Daten- und IT-Sicherheit größere Bedeutung zu, und das wiederum heißt: Rechtsberatung, Umsetzungsunterstützung und Daten- und IT-Sicherheitsmaßnahmen müssen heutzutage entsprechend budgetiert werden. Und leider sind das Kosten, die nicht immer direkt weiterverrechenbar sind.
Was sollen die Unternehmen dann also tun?
Den Kopf nicht in den Sand stecken: Mit Kunden, die in Bezug auf Datenschutz schlechte Erfahrungen machen, verliert man sein Geschäft, denn heute gibt es für fast alle Produkte und Dienstleistungen Alternativen. Wir alle werden sensibler und verzeihen „Schludrigkeit“ im Umgang mit unseren Daten zunehmend weniger. Die entstehenden Kosten sind also auch als Investitionen betrachtbar, z. B. in solide Kunden- und Mitarbeiterbeziehungen.
Wie würden Sie vorgehen, um die DSGVO mit dem geringstmöglichen Aufwand umzusetzen?
Zuerst einmal nach dem Motto „Breite vor Tiefe“. Und dann in die Tiefe gehen, wo es nötig ist. Das bedeutet aber auch: priorisieren und nochmals priorisieren. Und: umgehend mit dem DSGVO-Umsetzungsprojekt beginnen, denn die Zeit wird wirklich knapp. Ferienzeiten, Quartalsenden, der Regelbetrieb – all das lenkt ab. Definieren Sie daher ehestmöglich themenspezifische Arbeitspakete und arbeiten Sie diese konsequent ab, am besten nach dem folgenden Muster: 1. Definieren des Soll-Zustands, des „Governance-Rahmens“, d. h., was sind die uns betreffenden Teile der DSGVO und des DSG? 2. Erheben des Ist-Zustandes, also der Ausgangslage. 3. Ermitteln und Dokumentieren der Abweichungen, also des „Compliance-Levels“. 4. Planen der Maßnahmen zur Schließung der Lücken und 5. Umsetzen der geplanten Maßnahmen. Das alles ist keine Hexerei. Allerdings einiges an Arbeit, denn ja, die neuen Datenschutz-Regelungen sind wirklich herausfordernd.
Mit welchem Arbeitspaket sollte denn jedes Unternehmen beginnen?
Mit dem Verzeichnis der Verarbeitungstätigkeiten, von mir kurz Verfahrensverzeichnis genannt. Denn: Was ich nicht kenne, kann ich nicht managen. Im Verfahrensverzeichnis findet sich die Grundlage für alle weiteren Schritte. Es ist die Mutter aller Maßnahmen und basiert im Idealfall auf den bereits an das Datenverarbeitungsregister gemeldeten Datenanwendungen.
Gibt es ein Rezept, nach dem das Verzeichnis der Verarbeitungstätigkeiten anzulegen ist?
Einige der verpflichtend anzuführenden Felder darin finden sich in der DSGVO, und zwar in den Artikeln 30 und 31. Darüber hinaus sollte man aber weiterdenken und zusätzliche Felder aufnehmen. Welche, das hängt davon ab, wie man das Verzeichnis anlegt: als Minimalvariante für die Aufsichtsbehörde oder als Chance, seine Datenverarbeitung besser zu verstehen und effektiv steuern zu können. Rechnen Sie mit mindestens fünf bis zehn zusätzlichen Feldern, z. B. der anwendbaren Rechtsgrundlage, dem Erfassungsdatum, dem Änderungsdatum und der Abteilung, die diese Daten verantwortet. Dazu betreten wir alle allerdings Neuland, und es entsteht leider Aufwand, die passende Variante zu finden. Eine für alle, die gibt es nicht.
Gibt es denn kein Werkzeug, keine Softwarelösung, die das erledigt?
Eine berechtigte Frage. Eine offizielle, alltagstaugliche, verbindliche Vorlage ist mir nicht bekannt. Es gibt viele Ansätze. Man kann bei Kleinstverarbeitungen auf Tabellenkalkulationsprogramme oder Textverarbeitungsprogramme und Formulare darin zurückgreifen. Bei 20, 50 oder mehr Datenanwendungen ist so eine Lösung aber kaum wartbar. Man muss das Verzeichnis nachweisbar pflegen und auf Stand halten. Also bleiben Datenbanken als nächste Option. Manche Unternehmen haben IT-nahe Verwaltungslösungen im Einsatz. Diese können unter Umständen adaptiert werden. Oder man beschafft eine Speziallösung.
Wird von der DSGVO eine bestimmte Form des Verzeichnisses verlangt?
Eine bestimmte Form ist vom Gesetzgeber nicht vorgeschrieben, es muss auch nicht auf Papier sein. Allerdings müssen die Mindestinhalte vorhanden sein. Insgesamt muss man feststellen: Zum Thema Verfahrensverzeichnis herrscht, oft zu Recht, bei nahezu allen, v. a. kleinen Unternehmen Ratlosigkeit. Einerseits die konkrete Anforderung, andererseits kaum praxistaugliche, v. a. kostengünstige oder bewährte Lösungen zu deren Umsetzung. Man muss sich also individuell oder in Abstimmung z. B. mit Verbänden überlegen, was sinnvoll und möglich ist – abhängig von der Zahl der Datenanwendungen und dem angestrebten Umfang des Verzeichnisses. Eine passende Lösung zu finden ist eine schwierige Aufgabe. Einfach zuzuwarten ist allerdings auch kein gangbarer Weg.
Wieso ist es für KMU so wichtig, sich mit der Frage der Rechtsgrundlage zu beschäftigen?
Man vergisst leicht, dass die Verarbeitung von personenbezogenen Daten grundsätzlich unzulässig ist – außer es liegt dafür eine zulässige Rechtsgrundlage vor. Für jedes Unternehmen, egal ob EPU, KMU oder große Organisation, heißt hier die Frage: Auf welcher Basis verarbeiten wir diese Daten eigentlich? Haben wir eine Einwilligung dazu? Nachweislich? Müssen wir diese Daten z. B. an Behörden übermitteln? Sind sie zur Auftragserfüllung nötig, z. B. Kontaktdaten? Im Zweifel lautet die Devise: Personenbezogene Daten sollten so sparsam wie möglich erhoben und verarbeitet werden. Bereinigen Sie also Ihre Datenbestände und seien Sie besonders achtsam, wenn es z. B. um Daten von Kindern oder „sensible“ Daten geht.
Worauf müssen KMU und auch EPU bei der Nutzung von öffentlichen Cloud-Lösungen besonders achten?
Große Unternehmen verbieten meist öffentliche Cloud-Angebote und stellen ihren Mitarbeitern eigene Lösungen zur Verfügung. Zum Beispiel betreiben sie mit OwnCloud eine Alternative zu Dropbox oder verwenden andere, im Hause betriebene Lösungen, d. h. private Clouds. KMU allerdings wollen und müssen meist aus Kosten- und Praktikabilitätsgründen öffentliche Cloud-Angebote nützen. Und dabei heißt es aufzupassen: Wird die Lösung z. B. in den USA betrieben, heißt es zu prüfen, ob der Anbieter Privacy-Shield-zertifiziert ist und ob er den Abschluss von sogenannten Standardvertragsklauseln anbietet. Kann man sogar bestimmen, dass die Daten ausdrücklich in der EU verarbeitet werden? Werden Datenschutzverletzungen an die Kunden umgehend gemeldet? Das sind die großen Fragen, die hier entstehen. Unternehmen wie z. B. Microsoft bieten solch zulässige Lösungen für die Verarbeitung personenbezogener Daten auch für Kleinstunternehmen an. Ansonsten ist man schnell außerhalb der rechtlichen Zulässigkeit.
Kritische Erfolgsfaktoren bei der DSGVO-Umsetzung
- Planung interner Ressourcenverfügbarkeiten – externe Fachleute können in den meisten Arbeitspaketen unterstützen und beraten
- Gegebenenfalls Planung zusätzlicher interner Ressourcen (weisungsgebunden!), die vor Ort tätig und ständig verfügbar sind, z. B. Aufbau von hausinternem juristischem Know-how
- Einrichtung der Gesamtprojektkoordination durch eine interne Ressource
- Einrichtung der Arbeitspakete-Leitungen durch internes Personal
- Erstellung eines detaillierten Projektplanes durch die gesamtkoordinierende Person
- Grobe Kostenschätzung für internes Personal und externe Spezialisten
(z. B. Recht, Datensicherheit, Prozesse etc.) - Bedenken, dass umfangreiche Teamarbeit nötig sein wird
- Sichtbare und laufende Mitwirkung und Unterstützung seitens der Geschäftsleitung und aller Führungskräfte
- Methodische Vorgehensweisen und Einsatz von Personen, die durchsetzungsstark sind und das Projekt in ihrem Umfeld treiben
- Ehestmöglicher Tätigkeitsbeginn und straffe Terminplanung der notwendigen Workshops
- Priorisieren, priorisieren, priorisieren: Was ist wichtig? Dringend? Hat große Flächenwirksamkeit?
Über den Interviewpartner:
Christoph Riesenfelder ist Spezialist für Informations-, Daten- und IT-Sicherheitsmanagement sowie Datenschutz und seit über 25 Jahren in der Beratung tätig.