Rechtskonforme Umsetzung ist Pflicht

DSGVO Datenschutzgrundverordnung

Die EU-DSGVO ist am 25. Mai 2018 ohne weitere Übergangsfrist europaweit in Kraft und gilt ab diesem Tag in der ganzen EU unmittelbar. In Österreich wurde begleitend das Datenschutzgesetz novelliert, dessen Neufassung auch ab Mai 2018 anwendbar ist (Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017).

Kein Grund für Panik, aber…

Viele Unternehmen sind aktuell noch kaum auf die Herausforderungen der EU-DSGVO vorbereitet und sich der drohenden Konsequenzen kaum, nur in gewissen Bereichen oder gar nicht bewusst. Die DSGVO bringt viele und massiv erhebliche Veränderungen mit sich. Dies erfordert auf jeden Fall die Anpassung von Arbeitsabläufen und Prozessen, IT-Systemen und Strukturen in der Datenverarbeitung.

Wir helfen Ihnen bei der Umsetzung

Hier ist zunächst eine Analyse und Risikobewertung erforderlich, auf deren Grundlage das Unternehmen eine sorgfältige Projektplanung erstellen sollte. Schwerpunkte liegen dabei auf Transparenz und Dokumentation des Datenschutzmanagements. Ziel ist die Erstellung eines konkreten Maßnahmenkatalog mit technischen sowie organisatorischen Lösungsansätzen für die Einhaltung und Umsetzung der EU-DSGVO.

Mögliche Handlungsfelder und -bereiche:

IT & Systemdokumentation, Verarbeitungsverzeichnis, AV Verträge mit Kunden, Lieferanten, Security Audit nach DSGVO, Mitarbeiterschulung & Belehrung, Rights-, Identity-, Priviliged User- und Access Management, Datensicherung, Datenverschlüsselung, Advanced Malware Protection, Mobile Device Management, Konfigurations- und Patchmanagement, …

Die vier Säulen des Datenschutzes

Dokumentation

Social Security

IT Security

DSGVO Legal

Dokumentation

Das Verarbeitungsverzeichnis – eine Chance für Unternehmen

Die wohl aktuell wichtigste Säule im Bereich Datenschutz ist die Dokumentation der gesamten Infrastruktur und Prozessabläufe. Dies ist mit der Wirksamkeit der Datenschutzgrundverordnung (DSGVO) verpflichtend geworden für jegliche Art von Unternehmensgrößen. Ob EPU, KMU oder Konzern, eine ausführliche und aktuelle IT Dokumentation ist die Basis zur komplexen Umsetzung der DSGVO.

Meist wird der Aufwand als störend gewehrtet, zumindest wenn man keine hat, jedoch alle Kunden der MAG Mental Acrobatics Group besitzen eine ausführliche und stets aktuelle IT Dokumentation, zumindest das was unser Team weiß, hegt und pflegt wird dokumentiert. Nun darauf aufbbauend können jegliche Art von internen und externen Prozessen dargestellt werden und entsprechen aus heutiger Sicht der gesetzlichen Vorgaben.

Durch die Erstellung und Erabeitung eines Verarbeitungsverzeichnisses gibt es aber auch die Chance für Unternehmen Prozesse zu straffen, zu optimieren und anzupassen. So konnten bisher durch unser Team Prozesse im Bereich der Mitarbeiter verbessert und optimiert werden, da es klare Richtlinien und Abläufe gibt bei Einstellung eines Mitarbeiters, als auch was durchaus als „wichtiger“ empfunden wurde, beim Verlassen einer Person des Betriebes.

Social Security

Der Mensch als größte Schwachstelle

Wir bestehen seit 1996 als Unternehmen und kurz nach der Gründung als IT-Dienstleister und was uns in all den Jahren, nun schon zwei Jahrzehnten erfahren ist kommt nun Ihnen zu Gute. Meist wird nur das „surfen“ und „Emails“ als Bedrohung erkannt und wahrgenommen. Jedoch die größten „Lücken“ enstehen durch bewußte und auch unbewußte Eingriffe in Systeme. Da wäre zu einem der Abfluss von Daten bei Wechsel oder Kündigungen (Kontaktdaten, Projektdaten, …) oder gar firmeninternen Geheimnisse (Kerndaten).

Aber auch der Versuch IT Security Maßnahmen zu umgehen, denn Zuhause geht es ja auch z.B. Proxy Server Einsatz am Client um Content der gesperrt wurde trotzdem zu sehen, Private Online Storages mit Firmendaten darauf, Tools für TV Programme um Fußball zu schauen, Email Clients mit privaten Accounts, um nur einige der „harmloseren“ Dinge zu nennen

Klare Richtlinien und Kontrolle dieser sind verpflichtend einzuhalten und gegebenfalls zu ahnden. Eine zahnlose Umsetzung im Unternehmen birgt massive Gefahren bis hin zum Totalverlust alles Daten durch böswillige Verschlüsselung der Daten und Applikationen. Wir können noch so IT Security umsetzen, viel Geld investieren, der Faktor Mensch (ob bewußt oder unbewußt) ist und bleibt das Risiko. Setzen Sie auf unser Team.

 

IT-Security

Technische Maßnahmen verpflichtend (TOMS)

In den Bereichen Dokumentation und Social Security werden organisatorische Maßnahmen abgehandelt. Im Bereich IT security kommen wir nun zu dem technischen Maßnahmen nach der DSGVO. Klar ist eine gut konfigurierte und stets aktuelle Firewall ist heute ebenso Standard wie eine aktuelle Endpoint Protection, ein Virenschutz alleine ist heute wirkungslos. Jedoch bedarf es heute „state of art“ mehr als nur diese Schutzmechanismen.

SSL Inspection, UTM, IPS sind nur einige Begriffe, aber auch bisherige Stiefkinder wie Tablets und Mobile Phones müssen heute geschützt integriert werden. Erstmals wurde definitv Maßnahmen im einem Gesetz definiert, dazu gehört auch der Schutz vor Datenverlust (Backup Szenarien) als auch Schutz vor unerlaubtem Zugriff und weit tiefergreifender verpflichtenden Maßnahmen im internen Netzwerk.

Jedoch auch im Bereich Applikationen und Web Services müssen nun alle Daten & Fakten stimmen, aber auch technische Maßnahmen wie SSL Zertifikate, Cookie Tools und vieles mehr muss hier rechtskonform umgesetzt werden. Wir als MAG Mental Acrobatics Group bieten zu 100% gesetzeskonforme Lösungen an, um Ihr Unternehmen einerseits vor Angriffen und Datenverlust zu schützen, als auch gesetzlich zu entsprechen.

DSGV – Legal

Dokumente, Verträge, rechtskonforme Umsetzung

Selbst wenn man die ersten drei Säulen umgesetzt hat, geht es hierbei um zu dokumentierende Vertragswerke die sowohl intern als auch extern umgesetzt werden müssen. Da gibt es Vereinbarungen mit Mitarbeiterns zu schließen, Audits im Bereich Security durchzuführen aber auch externe Dienstleister verpflichtend an die DSGVO zu binden. Jedoch auch Apps und Software zu verbieten die nicht entsprechen (siehe Fall WhatsApp in Unternehmen). Dokumentieren, dokumentieren und abermals dokumentieren ist ebenso heute umumgänglich als auch der rechtskonforme Umgang mit Neukunden, Bestandskunden und Lieferanten.

Komplex ist diese Materie leider sehr und viele Quellen (darunter fallen leider auch öffentliche Stellen, Medien und Vertretungen) verbeiten teils nicht vollständige Informationen als auch teils grausame Falschmeldungen und Infos im Bereich der rechtskonformen Umsetzung.

Unser Team beschäftigt sich seit 2016 mit der Datenschutzgrundverordnung (DSGVO) als auch mit den kommenden Herausforderungen (z.B. e-privacy Verordnung) und ist stets am Plus der Zeit. Wenn wir nicht weiter Wissen, dann haben wir nahmhafte Kanzleien und Rechtsanwälte zu Hand, die ebenfalls schon gespannt sind auf die neustesten Entscheidungen.

Viele offene Fragen und Missverständnisse

Das Gesetz betrifft mich nicht

Die EU DSGVO gilt für Sie, sobald Sie persönliche Daten speichern, egal ob Sie ein Unternehmen sind, ein Verein oder ein EPU, denn es trifft alle komplett unabhängig von Ihrer Betriebsgröße. Das größte Missverständnis ist das die DSGVO auch für Blogger und private Webseiten gilt, denn dann „verarbeiten“ Sie Daten ob Sie dies wollen oder nicht, sprich es trifft auch Privatpersonen und dies nicht nur als Konsument.

Ich brauche kein Verarbeitungsverzeichnis

Das ist wohl das größte Missverständnis, denn es gibt zwar Ausnahmen, jedoch der Punkt nicht regelmäßig mach dies obsolet.  Und die Aussage „Ich verarbeite doch gar keine persönlichen Daten!“ damit stellt man sich selbst ein Bein. Denn sind Sie sich da sicher? Sie haben kein E-Mail Programm, kein Warenwirtschafts-System, kein Telefonbuch, keine Angestellten, keine Krankmeldungen, keine Löhne zu zahlen, keine Ausdrucke auf denen Kundenadressen stehen (Rechnungen?), sie haben keinen Internet-Auftritt und bestellen keine Ware für Kunden, oder machen Dienstleistungen für Ihre Kunden? Wenn das wirklich so ist – was genau machen Sie dann? Dies gilt auch für Vereine!

Zustimmung für alles und jeden

Die Datenschutzgrundverordnung ist richtigweise erkannt ein „Verbotsgesetzt“, dennoch bestehen zahlreiche Ausnahmen, die eine Verarbeitung von Daten auch ohne Zustimmung der betroffenen Personen durchaus ermöglichen. Die wichtigste Ausnahme ist die „Vertragserfüllung“, für welche Sie grundsätzlich keineextra  Zustimmung benötigen. Die Vertragserfüllung ermöglicht Ihnen die Verarbeitung von Daten (inklusive die Kommunikation via E-Mail) um die vereinbarte Leistung überhaupt erfüllen zu können. Ist die Leistung erfüllt und ist Ihre Leistungserbringung von keinen gesetzlichen Aufbewahrungspflichten oder möglichen Gewährleistungen betroffen, müssen die Daten nach Abschluss der Leistung gelöscht werden, aber Achtung nur dann wenn nicht andere Gesetze (z.B. Finanz) eine Löschfrist bzw. Aufbewahrungszeitraum haben. Eine Zustimmung ist nur dann erforderlich, wenn Sie die Daten der Betroffenen über den eigentlichen Geschäftszweck hinaus verarbeiten möchten – also wenn Sie zum Beispiel zusätzlich einen Newsletter übermitteln wollen oder die Daten für einen längeren Zeitraum speichern möchten. Jedoch wird von offizieler seite stets „empfohlen“ sich Einwilligungserklärungen einzuholen „zum Zwecke der Dokumentation“ und „eigener Sicherheit“. Entscheiden Sie selbst.