EU-DSGVO
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Unterstützung für EPU und KMU

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht nur Großkonzerne, sondern alle Unternehmen bis hin zum Ein-Personen-Betrieb betroffen, warnt IT-Dienstleister Andreas Chvatlinsky. Auch ihnen drohen bei etwaigen Datenmissbrauch und Nichteinhalten der Verordnung Geldstrafen.

"Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft", warnt der niederösterreichische IT-Dienstleister und Unternehmensberater Andreas Chvatlinsky, selbst geprüfter Datenschutzexperte. "Ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb sind ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter, und eine unbeabsichtigte Missachtung der Verordnung kann auf Grund der horrenden Strafen ein Unternehmen in den Ruin treiben."

Die Datenschutzgrundverordnung soll dafür sorgen, dass personenbezogene Daten in Zukunft nur noch dann in einem Unternehmen gespeichert und verarbeitet werden dürfen, wenn die betroffene Person auch gezielt ihr Einverständnis dazu gegeben hat. Und auch wenn dies der Fall ist, hat das Unternehmen alle nur erdenkbaren Maßnahmen zu treffen, um zu verhindern, dass die gespeicherten Informationen nach außen gelangen. Ein Datenmissbrauch oder ein Datendiebstahl – der auch beim Treffen aller Vorkehrungen nie zu hundert Prozent ausgeschlossen werden kann – muss außerdem innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. "Die Behörde überprüft dann, ob wirklich alle zumutbaren Vorkehrungen zum Schutz der Daten umgesetzt wurden", so Chvatlinsky. Eine Verletzung der Meldepflicht kann im Extremfall Strafen in der Höhe von bis zu 20 Mio. Euro nach sich ziehen.

Sensible Daten

Besonders sensibel sind unter anderem Informationen, aus denen die ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen, oder auch die sexuelle Orientierung einer Person abgeleitet werden können. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt laut Chvatlinsky auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie: "Bei uns scheint der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel auf, also fallen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen."

Nun gilt es für jedes Unternehmen, bis zum Stichtag am 25. Mai 2018 seine kompletten Datenbestände zu überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einzuholen, und Schutzvorkehrungen zu installieren. Großbetriebe haben dafür einen eigenen Datenschutz-Beauftragten, der mittleren und kleinen Betrieben meistens nicht zur Verfügung steht.

Angebotspaket für Kleinunternehmen

An dieser Stelle setzt Chvatlinsky mit einem Angebot seines Unternehmens Chvatlinsky und Co. GmbH, kurz Chvaco, an: Mit einem speziellen Angebotspaket richtet er sich an Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern. Mittels Checklisten werden Risikofaktoren vom Cloud-Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke analysiert. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da Datenschutz nicht nur eine Frage der Technik ist, kommt auch der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu.

"Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang", beruhigt Chvatlinsky. "Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheits-Maßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache."

Eine besondere Herausforderung sieht Chvatlinsky in der Datenschutz-Grundverordnung allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. "Die Leute mögen technisch gut und versiert sein, aber es sind eben meist keine Datenschutzexperten, es fehlt diesbezüglich oft an notwendigem Know How, und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können."

WOG für einfacheren Datenschutz

Ein von Chvaco entwickeltes Security-Tool namens "WOG", das beispielsweise gegen Ransomware eingesetzt wird, wurde inzwischen um zahlreiche Funktionen hinsichtlich der Datenschutzgrundverordnung erweitert. So erinnert beispielsweise ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Sensible Dateien lassen sich den Angaben zufolge per Mausklick verschlüsseln, wobei ein Passwortmanager dafür sorgt, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können.

Die Programmierer von Chvaco arbeiten an einer möglichst flexiblen Lösung, um IT-Tätigkeiten jeglicher Art zu hundert Prozent nachvollziehbar und transparent abwickeln zu können. Kernstück dieser Lösung ist dabei ein Ticket- und Incidentsystem, das bei Chvatlinsky bereits selbst im Einsatz ist.

Das bereits erwähnte WOG-System ist schon für solche Prozesse vorbereitet. In der nächsten Release soll das Tool außerdem sämtliche Zugangsberechtigungen verwalten, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind – dieses trägt wiederum Sorge für eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.

"Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen", beschreibt Chvatlinsky. "Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten."

Mehr Artikel zum Thema: EU-DSGVO

Die letzten Datenschutz-Einhörner gibt es noch

In einigen Branchen gibt es letzte Einhörner, die sich noch...

Weiterlesen

S&T und LGP laden zu DSGVO-Infoveranstaltung

S&T und LANSKY, GANZGER + partner laden am 24. Oktober 2017...

Weiterlesen

Software-Lösung für DSGVO-Umsetzung

Die Software Intervalid 1.0 nimmt nicht nur bei der...

Weiterlesen

Post hilft bei DSGVO-Umsetzung

Die Österreichische Post AG berät Geschäftskunden zu allen...

Weiterlesen

Die EU-DSGVO und ihre Mythen

Kein Richter und auch nicht die Datenschutzbehörde werden...

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im...

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen

Microsoft-Tools für DSGVO

Microsoft hat ein Set an kostenlosen Assessment-Tools zur...

Weiterlesen

Von EU-DSGVO bis Datenschutz-Risikomanagement

Während sich manche noch eine existierende oder noch nicht...

Weiterlesen

Kosten bei Datenpannen sinken

Laut einer Studie des Ponemon Instituts sind die...

Weiterlesen

Der DSB – gewöhnen wir uns endlich daran!

Ein neues Berufsbild entsteht und es macht Sinn. Vor allem...

Weiterlesen

Der Datenschutz in Deutschland ist rechtlich etabliert

Geht es um Normen, Standards und Richtlinien lohnt sich...

Weiterlesen

EU-Datenschutz-Grundverordnung erhöht Druck auf Mittelstand

Die neue EU-Datenschutz-Grundverordnung, die ab 2018 gilt,...

Weiterlesen

Digitaler Dreisprung zur EU-Datenschutzgrundverordnung

Mehr als ein Grund genug für Europa, mit der...

Weiterlesen

Die EU-DSGVO und der Auftragsverarbeiter

Nicht einmal "gegendert" und trotzdem hat sie jedes...

Weiterlesen

"Registrierkassenpflicht war ein Kinderspiel"

Die Stadt Wien setzt schon um, was auf alle österreichischen...

Weiterlesen

Datenschutz ist kein IT-Thema

Wir wissen mittlerweile, dass der ideale EU...

Weiterlesen