EU-DSGVO
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Unterstützung für EPU und KMU

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht nur Großkonzerne, sondern alle Unternehmen bis hin zum Ein-Personen-Betrieb betroffen, warnt IT-Dienstleister Andreas Chvatlinsky. Auch ihnen drohen bei etwaigen Datenmissbrauch und Nichteinhalten der Verordnung Geldstrafen.

"Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft", warnt der niederösterreichische IT-Dienstleister und Unternehmensberater Andreas Chvatlinsky, selbst geprüfter Datenschutzexperte. "Ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb sind ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter, und eine unbeabsichtigte Missachtung der Verordnung kann auf Grund der horrenden Strafen ein Unternehmen in den Ruin treiben."

Die Datenschutzgrundverordnung soll dafür sorgen, dass personenbezogene Daten in Zukunft nur noch dann in einem Unternehmen gespeichert und verarbeitet werden dürfen, wenn die betroffene Person auch gezielt ihr Einverständnis dazu gegeben hat. Und auch wenn dies der Fall ist, hat das Unternehmen alle nur erdenkbaren Maßnahmen zu treffen, um zu verhindern, dass die gespeicherten Informationen nach außen gelangen. Ein Datenmissbrauch oder ein Datendiebstahl – der auch beim Treffen aller Vorkehrungen nie zu hundert Prozent ausgeschlossen werden kann – muss außerdem innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. "Die Behörde überprüft dann, ob wirklich alle zumutbaren Vorkehrungen zum Schutz der Daten umgesetzt wurden", so Chvatlinsky. Eine Verletzung der Meldepflicht kann im Extremfall Strafen in der Höhe von bis zu 20 Mio. Euro nach sich ziehen.

Sensible Daten

Besonders sensibel sind unter anderem Informationen, aus denen die ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen, oder auch die sexuelle Orientierung einer Person abgeleitet werden können. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt laut Chvatlinsky auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie: "Bei uns scheint der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel auf, also fallen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen."

Nun gilt es für jedes Unternehmen, bis zum Stichtag am 25. Mai 2018 seine kompletten Datenbestände zu überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einzuholen, und Schutzvorkehrungen zu installieren. Großbetriebe haben dafür einen eigenen Datenschutz-Beauftragten, der mittleren und kleinen Betrieben meistens nicht zur Verfügung steht.

Angebotspaket für Kleinunternehmen

An dieser Stelle setzt Chvatlinsky mit einem Angebot seines Unternehmens Chvatlinsky und Co. GmbH, kurz Chvaco, an: Mit einem speziellen Angebotspaket richtet er sich an Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern. Mittels Checklisten werden Risikofaktoren vom Cloud-Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke analysiert. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da Datenschutz nicht nur eine Frage der Technik ist, kommt auch der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu.

"Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang", beruhigt Chvatlinsky. "Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheits-Maßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache."

Eine besondere Herausforderung sieht Chvatlinsky in der Datenschutz-Grundverordnung allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. "Die Leute mögen technisch gut und versiert sein, aber es sind eben meist keine Datenschutzexperten, es fehlt diesbezüglich oft an notwendigem Know How, und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können."

WOG für einfacheren Datenschutz

Ein von Chvaco entwickeltes Security-Tool namens "WOG", das beispielsweise gegen Ransomware eingesetzt wird, wurde inzwischen um zahlreiche Funktionen hinsichtlich der Datenschutzgrundverordnung erweitert. So erinnert beispielsweise ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Sensible Dateien lassen sich den Angaben zufolge per Mausklick verschlüsseln, wobei ein Passwortmanager dafür sorgt, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können.

Die Programmierer von Chvaco arbeiten an einer möglichst flexiblen Lösung, um IT-Tätigkeiten jeglicher Art zu hundert Prozent nachvollziehbar und transparent abwickeln zu können. Kernstück dieser Lösung ist dabei ein Ticket- und Incidentsystem, das bei Chvatlinsky bereits selbst im Einsatz ist.

Das bereits erwähnte WOG-System ist schon für solche Prozesse vorbereitet. In der nächsten Release soll das Tool außerdem sämtliche Zugangsberechtigungen verwalten, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind – dieses trägt wiederum Sorge für eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.

"Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen", beschreibt Chvatlinsky. "Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten."

Mehr Artikel zum Thema: EU-DSGVO

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen

EU-DSGVO: Darauf müssen Recruiter 2018 achten

Gerade bei Datenerhebung, -verarbeitung und -sicherheit...

Weiterlesen