DSGVO
Datenschutzgrundverordnung
Die EU-DSGVO ist am 25. Mai 2018 ohne weitere Übergangsfrist europaweit in Kraft und gilt ab diesem Tag in der ganzen EU unmittelbar. In Österreich wurde begleitend das Datenschutzgesetz novelliert, dessen Neufassung auch ab Mai 2018 anwendbar ist (Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017).
Rechtskonforme Umsetzung ist Pflicht
Kein Grund für Panik, aber…
Viele Unternehmen sind aktuell noch kaum auf die Herausforderungen der EU-DSGVO vorbereitet und sich der drohenden Konsequenzen kaum, nur in gewissen Bereichen oder gar nicht bewusst. Die DSGVO bringt viele und massiv erhebliche Veränderungen mit sich. Dies erfordert auf jeden Fall die Anpassung von Arbeitsabläufen und Prozessen, IT-Systemen und Strukturen in der Datenverarbeitung.
Wir helfen Ihnen bei der Umsetzung
Hier ist zunächst eine Analyse und Risikobewertung erforderlich, auf deren Grundlage das Unternehmen eine sorgfältige Projektplanung erstellen sollte. Schwerpunkte liegen dabei auf Transparenz und Dokumentation des Datenschutzmanagements. Ziel ist die Erstellung eines konkreten Maßnahmenkatalog mit technischen sowie organisatorischen Lösungsansätzen für die Einhaltung und Umsetzung der EU-DSGVO.
Mögliche Handlungsfelder und -bereiche:
IT & Systemdokumentation, Verarbeitungsverzeichnis, AV Verträge mit Kunden, Lieferanten, Security Audit nach DSGVO, Mitarbeiterschulung & Belehrung, Rights-, Identity-, Priviliged User- und Access Management, Datensicherung, Datenverschlüsselung, Advanced Malware Protection, Mobile Device Management, Konfigurations- und Patchmanagement, …
Die vier Säulen des Datenschutzes
Dokumentation
Social Security
IT Security
DSGVO Legal
Dokumentation
Das Verarbeitungsverzeichnis – eine Chance für Unternehmen
Die wohl aktuell wichtigste Säule im Bereich Datenschutz ist die Dokumentation der gesamten Infrastruktur und Prozessabläufe. Dies ist mit der Wirksamkeit der Datenschutzgrundverordnung (DSGVO) verpflichtend geworden für jegliche Art von Unternehmensgrößen. Ob EPU, KMU oder Konzern, eine ausführliche und aktuelle IT Dokumentation ist die Basis zur komplexen Umsetzung der DSGVO.
Meist wird der Aufwand als störend gewehrtet, zumindest wenn man keine hat, jedoch alle Kunden der MAG Mental Acrobatics Group besitzen eine ausführliche und stets aktuelle IT Dokumentation, zumindest das was unser Team weiß, hegt und pflegt wird dokumentiert. Nun darauf aufbbauend können jegliche Art von internen und externen Prozessen dargestellt werden und entsprechen aus heutiger Sicht der gesetzlichen Vorgaben.
Durch die Erstellung und Erabeitung eines Verarbeitungsverzeichnisses gibt es aber auch die Chance für Unternehmen Prozesse zu straffen, zu optimieren und anzupassen. So konnten bisher durch unser Team Prozesse im Bereich der Mitarbeiter verbessert und optimiert werden, da es klare Richtlinien und Abläufe gibt bei Einstellung eines Mitarbeiters, als auch was durchaus als „wichtiger“ empfunden wurde, beim Verlassen einer Person des Betriebes.
Social Security
Der Mensch als größte Schwachstelle
Wir bestehen seit 1996 als Unternehmen und kurz nach der Gründung als IT-Dienstleister und was uns in all den Jahren, nun schon zwei Jahrzehnten erfahren ist kommt nun Ihnen zu Gute. Meist wird nur das „surfen“ und „Emails“ als Bedrohung erkannt und wahrgenommen. Jedoch die größten „Lücken“ enstehen durch bewußte und auch unbewußte Eingriffe in Systeme. Da wäre zu einem der Abfluss von Daten bei Wechsel oder Kündigungen (Kontaktdaten, Projektdaten, …) oder gar firmeninternen Geheimnisse (Kerndaten).
Aber auch der Versuch IT Security Maßnahmen zu umgehen, denn Zuhause geht es ja auch z.B. Proxy Server Einsatz am Client um Content der gesperrt wurde trotzdem zu sehen, Private Online Storages mit Firmendaten darauf, Tools für TV Programme um Fußball zu schauen, Email Clients mit privaten Accounts, um nur einige der „harmloseren“ Dinge zu nennen
Klare Richtlinien und Kontrolle dieser sind verpflichtend einzuhalten und gegebenfalls zu ahnden. Eine zahnlose Umsetzung im Unternehmen birgt massive Gefahren bis hin zum Totalverlust alles Daten durch böswillige Verschlüsselung der Daten und Applikationen. Wir können noch so IT Security umsetzen, viel Geld investieren, der Faktor Mensch (ob bewußt oder unbewußt) ist und bleibt das Risiko. Setzen Sie auf unser Team.
IT-Security
Technische Maßnahmen verpflichtend (TOMS)
In den Bereichen Dokumentation und Social Security werden organisatorische Maßnahmen abgehandelt. Im Bereich IT security kommen wir nun zu dem technischen Maßnahmen nach der DSGVO. Klar ist eine gut konfigurierte und stets aktuelle Firewall ist heute ebenso Standard wie eine aktuelle Endpoint Protection, ein Virenschutz alleine ist heute wirkungslos. Jedoch bedarf es heute „state of art“ mehr als nur diese Schutzmechanismen.
SSL Inspection, UTM, IPS sind nur einige Begriffe, aber auch bisherige Stiefkinder wie Tablets und Mobile Phones müssen heute geschützt integriert werden. Erstmals wurde definitv Maßnahmen im einem Gesetz definiert, dazu gehört auch der Schutz vor Datenverlust (Backup Szenarien) als auch Schutz vor unerlaubtem Zugriff und weit tiefergreifender verpflichtenden Maßnahmen im internen Netzwerk.
Jedoch auch im Bereich Applikationen und Web Services müssen nun alle Daten & Fakten stimmen, aber auch technische Maßnahmen wie SSL Zertifikate, Cookie Tools und vieles mehr muss hier rechtskonform umgesetzt werden. Wir als MAG Mental Acrobatics Group bieten zu 100% gesetzeskonforme Lösungen an, um Ihr Unternehmen einerseits vor Angriffen und Datenverlust zu schützen, als auch gesetzlich zu entsprechen.
DSGVO – Legal
Dokumente, Verträge, rechtskonforme Umsetzung
Selbst wenn man die ersten drei Säulen umgesetzt hat, geht es hierbei um zu dokumentierende Vertragswerke die sowohl intern als auch extern umgesetzt werden müssen. Da gibt es Vereinbarungen mit Mitarbeiterns zu schließen, Audits im Bereich Security durchzuführen aber auch externe Dienstleister verpflichtend an die DSGVO zu binden. Jedoch auch Apps und Software zu verbieten die nicht entsprechen (siehe Fall WhatsApp in Unternehmen). Dokumentieren, dokumentieren und abermals dokumentieren ist ebenso heute umumgänglich als auch der rechtskonforme Umgang mit Neukunden, Bestandskunden und Lieferanten.
Komplex ist diese Materie leider sehr und viele Quellen (darunter fallen leider auch öffentliche Stellen, Medien und Vertretungen) verbeiten teils nicht vollständige Informationen als auch teils grausame Falschmeldungen und Infos im Bereich der rechtskonformen Umsetzung.
Unser Team beschäftigt sich seit 2016 mit der Datenschutzgrundverordnung (DSGVO) als auch mit den kommenden Herausforderungen (z.B. e-privacy Verordnung) und ist stets am Plus der Zeit. Wenn wir nicht weiter Wissen, dann haben wir nahmhafte Kanzleien und Rechtsanwälte zu Hand, die ebenfalls schon gespannt sind auf die neustesten Entscheidungen.
Viele offene Fragen und Missverständnisse
Das Gesetz betrifft mich nicht
Die EU DSGVO gilt für Sie, sobald Sie persönliche Daten speichern, egal ob Sie ein Unternehmen sind, ein Verein oder ein EPU, denn es trifft alle komplett unabhängig von Ihrer Betriebsgröße. Das größte Missverständnis ist das die DSGVO auch für Blogger und private Webseiten gilt, denn dann „verarbeiten“ Sie Daten ob Sie dies wollen oder nicht, sprich es trifft auch Privatpersonen und dies nicht nur als Konsument.
Ich brauche kein Verarbeitungsverzeichnis
Das ist wohl das größte Missverständnis, denn es gibt zwar Ausnahmen, jedoch der Punkt nicht regelmäßig mach dies obsolet. Und die Aussage „Ich verarbeite doch gar keine persönlichen Daten!“ damit stellt man sich selbst ein Bein. Denn sind Sie sich da sicher? Sie haben kein E-Mail Programm, kein Warenwirtschafts-System, kein Telefonbuch, keine Angestellten, keine Krankmeldungen, keine Löhne zu zahlen, keine Ausdrucke auf denen Kundenadressen stehen (Rechnungen?), sie haben keinen Internet-Auftritt und bestellen keine Ware für Kunden, oder machen Dienstleistungen für Ihre Kunden? Wenn das wirklich so ist – was genau machen Sie dann? Dies gilt auch für Vereine!
Zustimmung für alles und jeden
Die Datenschutzgrundverordnung ist richtigweise erkannt ein „Verbotsgesetzt“, dennoch bestehen zahlreiche Ausnahmen, die eine Verarbeitung von Daten auch ohne Zustimmung der betroffenen Personen durchaus ermöglichen. Die wichtigste Ausnahme ist die „Vertragserfüllung“, für welche Sie grundsätzlich keineextra Zustimmung benötigen. Die Vertragserfüllung ermöglicht Ihnen die Verarbeitung von Daten (inklusive die Kommunikation via E-Mail) um die vereinbarte Leistung überhaupt erfüllen zu können. Ist die Leistung erfüllt und ist Ihre Leistungserbringung von keinen gesetzlichen Aufbewahrungspflichten oder möglichen Gewährleistungen betroffen, müssen die Daten nach Abschluss der Leistung gelöscht werden, aber Achtung nur dann wenn nicht andere Gesetze (z.B. Finanz) eine Löschfrist bzw. Aufbewahrungszeitraum haben. Eine Zustimmung ist nur dann erforderlich, wenn Sie die Daten der Betroffenen über den eigentlichen Geschäftszweck hinaus verarbeiten möchten – also wenn Sie zum Beispiel zusätzlich einen Newsletter übermitteln wollen oder die Daten für einen längeren Zeitraum speichern möchten. Jedoch wird von offizieler seite stets „empfohlen“ sich Einwilligungserklärungen einzuholen „zum Zwecke der Dokumentation“ und „eigener Sicherheit“. Entscheiden Sie selbst.