Mesaic
Mesaic's View on the Web

Mesaic über die Datenschutzverordnung: DSGVO Checkliste #1

Im ersten Artikel unserer neuen Blog-Serie geben wir einen kurzen Einblick in das derzeit heiß diskutierte Thema der Datenschutzverordnung geben. Eine Checkliste um schnell und flexibel allen Ansprüchen der neuen Gesetzgebung gerecht zu werden.

Niko Uphoff
von Niko Uphoff
am

Ein Thema über das derzeit alle sprechen: Die europäische Datenschutz-Grundverordnung (EU-DSGVO). Im ersten Artikel unserer neuen Blog-Serie wollen wir Ihnen einen kurzen Einblick in das derzeit heiß diskutierte Thema geben. Dafür geben wir Ihnen eine Checkliste an die Hand, mit der Sie flexibel und schnell allen Ansprüchen der neuen Gesetzesgebung gerecht werden.

Das Datenschutzgesetz in 2018

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) nach einer zweijährigen Übergangsphase endgültig in Kraft. Diese europäische Gesetzregelung betrifft alle Unternehmen, die Daten von europäischen Bürgern - sowohl innerhalb als auch außerhalb der EU - verarbeiten. Beim Verstoß gegen diese neuen Regelungen müssen Unternehmen mit hohen Geldstrafen rechnen. Je nach Verstoß können sich die Bußgelder auf bis zu 20.000.000 EUR belaufen. Die Höhe des Betrags kann je nach Unternehmen auch bis zu vier Prozent des jährlichen Gesamtumsatzes betragen. Hierbei kommt es darauf an, welcher Betrag höher ist.

Unser Anspruch ist es daher jederzeit DSGVO-konform zu agieren, was dazu führt, dass wir uns sehr darum bemühen, die neuesten Technologien einzusetzen und den Datenschutz jeder einzelnen Person in den Fokus zu stellen. Gemäß der neuen DSGVO möchten wir die sogenannte “Privacy by design” nutzen, was bedeutet, dass sowohl der Datenschutz als auch die Privatsphäre unserer Kunden bei der Weiterentwicklung unserer Software-Technologie umfassend berücksichtigt wird. Dazu gehört beispielsweise die Implementierung eines flexiblen Berechtigungsmodells innerhalb unserer Plattform, welches den Kunden ermöglicht, Zugriffe und Nutzerrollen eigenständig festzulegen. Der Zugriff verschiedener Rollen kann daher sorgfältig und selbstständig konfiguriert werden, auch in Hinblick darauf, welcher Nutzer welche Details und Nachrichten sehen kann.

Weitere Einblicke, wie wir bei Mesaic die DSGVO-Anforderungen innerhalb unserer Technologie erfüllen, lesen Sie im zweiten Teil unserer Blog-Serie. Seien Sie gespannt!

Bauen Sie Ihren EU-Datenschutz entsprechend der neuen Verpflichtungen aus

Die Umsetzung von sowohl technischen als auch organisatorischen Maßnahmen erfordert ein hohes Maß an Aufmerksamkeit. Denn die Einhaltung der Datenschutzrichtlinien muss nicht nur gewährleistet, sondern auch nachgewiesen werden. Hinzu kommt, dass die Rechte der betroffenen Parteien zu jeder Zeit berücksichtigt werden müssen, unabhängig dem aktuellen technischen Entwicklungsstandes. Besonders vor dem Hintergrund finanzieller Strafen wird dieser Aspekt nun relevanter als je zuvor.
Zusätzlich müssen die meisten Unternehmen einen Datenschutzbeauftragten benennen, der entweder ein Mitarbeiter oder auch ein beauftragter Vertragspartner sein kann. Ganz gleich wie dabei die Entscheidung ausfällt, maßgeblich ist, dass dadurch kein Interessenkonflikt aufgrund anderer Aufgaben und Pflichten entsteht. Daher ist es in vielen Fällen hilfreich, einen externen Partner für das unternehmerische Datenschutzthema zu beauftragen.
In Bezug auf alle erhobenen sowie verarbeiteten Daten muss sichergestellt sein, dass diese jederzeit erfasst und dokumentiert sind. Daher ist jedes Unternehmen verpflichtet, eigenverantwortlich eine Bestandsaufnahme der Aktivitäten rund um die Datenverarbeitung vorzunehmen. Diese Dokumentation beinhaltet beispielsweise die Verarbeitungszwecke, eine Beschreibung der betroffenen Personen sowie der erhobenen, personenbezogenen Daten und (soweit möglich) eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen. Ein Beispiel für einen mögliche Umsetzung, finden Sie auf der Seite der Bitkom.

Sollte die Datenverarbeitung eine direkte Gefahr für die Rechte und Freiräume der Personen darstellen, müssen Unternehmen darüber hinaus bereits vor der Verarbeitung eine sogenannte Datenschutz-Folgenabschätzung (gemäß Artikel 35 der DSGVO) durchführen. Denn die DSGVO stärkt die Rechte der betroffenen Personen, zu denen u. a. das Recht auf Auskunft, Richtigstellung und Löschung (“Recht auf Vergessenwerden) zählt. Zusätzlich hat die betroffene Person das Recht, alle von ihr erhobenen, personenbezogenen Daten zu erhalten (“Recht auf Datenübertragbarkeit”). Diese Daten müssen dafür in einem strukturierten sowie für Maschinen/Computer lesbaren Format bereitgestellt werden. Wenn die betroffene Person eine Auskunft über ihre erhobenen Daten wünscht, sollten diese - sofern es technisch möglich ist - direkt an eine Kontrollstelle übermittelt werden, sodass die Person schnellstmöglich benachrichtigt wird.
Im Falle eines Verstoßes sind Unternehmen dazu verpflichtet, spätestens 72 Stunden nach bekannt werden die Aufsichtsbehörde zu benachrichtigen. Die Meldung muss dabei die Art der Daten, eine ungefähre Anzahl der betroffenen Personen sowie die entsprechenden personenbezogenen Datensätze enthalten. Außerdem kommen Unternehmen in diesem Fall nicht drumherum, die beteiligten Personen über diesen Verstoß zu informieren.

DSGVO-Richtlinien: In 3 Schritten zur sicheren Datenverarbeitung

Neben den Anforderungen, die sich aus der neuen Gesetzgebung ergeben, gibt es einige Richtlinien, die befolgt werden können, um das Risiko einer Datenschutzverletzung zu minimieren.

1. Gewährleisten Sie eine Informationssicherheit

Eine der grundlegenden Maßnahmen, die durchgeführt werden müssen, ist die Aktualisierung veralteter Betriebssysteme, worunter auch Windows XP fällt, dessen Verwendung aufgrund von Sicherheitslücken nicht empfohlen wird. Darüber hinaus muss sichergestellt sein, dass andere Sicherheitssoftware-Programme wie Virenscanner, Spoofing- und Spam-Filter nicht nur installiert, sondern zusätzlich immer auf dem aktuellsten Stand sind. Zusätzlich sollten Sie darauf achten, dass alle mobilen Geräte - nicht nur Notebooks und Smartphones, sondern auch USB-Sticks - mit einer Verschlüsselung versehen sind. Dadurch sind die Geräte - selbst im Falle eines Verlustes - gegen ein Datenleck geschützt. Sollten Sie oder Ihre Mitarbeiter ein mobiles Gerät verlieren, dürfen Sie nicht vergessen, die Aufsichtsbehörde über diesen Vorfall und den bereits erwähnten möglichen Verstoß gegen den Datenschutz zu informieren. Dies gilt ebenfalls, falls der Mail-Account eines Mitarbeiters gehackt wird. Unter diesen Umständen können persönliche Daten nicht nur gelesen werden, sondern Unbefugte haben Zugriff auf Ihre Kontakte, mit denen sie in Ihrem Namen kommunizieren könnten.
Ein weiterer wichtiger Punkt ist die Sicherheit von Passwörtern. Sie sollten in Bezug auf Länge und Art der Zeichen komplex sein. Empfehlenswert und vorteilhaft ist auch eine regelmäßige Anpassung bzw. ein Wechsel der Passwörter. Die Verwendung eines Passwort-Managers stellt sicher, dass jedes Passwort eindeutig ist und nicht für verschiedene Programme genutzt wird. Sollte es dazu kommen, dass ein Passwort verloren geht, gibt es einen zusätzlichen Schritt der in Bezug auf die Sicherheit helfen könnte. Die sogenannte Zwei-Faktor-Authentifizierung (2FA) erfordert neben dem Passwort, das der Nutzer festlegt, auch noch ein zusätzliches Element, das nur der Benutzer kennt. Dies kann entweder ein von einer App generierter Code, ein Code aus einer Textnachricht oder aber auch eine andere Information oder Abfrage sein.

2. Synchronisieren Sie Ihre Drittanbieter

Beim sogenannten Outsourcing (dt.: Ausgliederung) von Diensten ist es erforderlich, dass Sie im Zuge der DSGVO eine Datenverarbeitungsvereinbarung abschließen. Diese sollte die folgenden Punkte beinhalten: Ort der Datenspeicherung, festgelegter Zeitraum, in dem eine Datenschutzverletzung gemeldet werden muss, Zeitpunkt der Löschung von Daten nach Vertragsende, Umfang der Überprüfung des Auftragsnehmers sowie einige weitere. Außerdem sollten Sie definieren, ob die erhobenen Daten auch von einem Zulieferer bzw. Partner eingesehen und verarbeitet werden dürfen. Dies ist nicht nur im Zuge der Anforderungen der DSGVO sinnvoll und wichtig, sondern eine generell wertvolle Vereinbarung.

3. Bewerben Sie die Relevanz der DSGVO intern

Der letzte, aber wahrscheinlich wichtigste Schritt ist, dass Sie Ihre Mitarbeiter über die geltenden DSGVO-Richtlinien informieren und sie über die Bedeutung der Thematik für das Unternehmen sensibilisieren. Dies sollten Sie allerdings nicht nur mit Ihrem Datenschutzbeauftragten absprechen, sondern mit jedem Mitarbeiter teilen, da alle von dem neuen Gesetz betroffen sind und ein Verständnis dafür entwickeln müssen. Sie können dies durch interne Schulungen und Workshops vor Ort oder auch durch die Nutzung von E-Learning-Plattformen realisieren.
Sie fragen sich: Wie fördern wir intern bei Mesaic das Bewusstsein für die neuen Datenschutzrichtlinien? In regelmäßigen Abständen gibt es bei uns interne Präsentationen, in denen wir auf die neuesten Bestimmungen hinweisen und auch im Onboarding-Prozess für neue Teammitglieder werden Themen wie die Zwei-Faktor-Authentifizierung, gemeinsame Passwörter, und vieles mehr besprochen.
Obwohl es zunächst danach klingt, als könnten die neuen Vorschriften möglicherweise einige Geschäftsmodelle einschränken, sieht es in der Realität nicht danach aus. Da es nun nicht nur mehr sondern vor allem neue Anforderungen in Bezug auf die Privatsphäre jeder einzelnen Person gibt, die erfüllt werden müssen, stehen Unternehmen vor der Herausforderung, neue Technologien etwas mühsamer und aufwendiger zu implementieren - aber auch das ist weiterhin, noch möglich.

Verpassen Sie nicht den nächsten Teil unserer Blogserie!

In diesem zeigen wir Ihnen, wie die neue DSGVO und Messaging Services sowohl direkt als auch indirekt zusammenhängen, welche Aspekte wir bei Mesaic berücksichtigen und welche nötigen Schritte wir vornehmen, um eine Konformität zu gewährleisten.

Niko Uphoff
Niko Uphoff
Niko ist Co-Founder von Mesaic. Als CTO brennt er für hochmoderne Technologien und ist Experte auf dem umfangreichen Themengebiet des Modern (Web) Developments.

Mesaics Blog Update

Der neueste Blogartikel. Alle zwei Wochen in deiner Mailbox.

Anmeldensend
Error
Success
Facebook
Twitter
Xing
LinkedIn
🍪

Wir verwenden Cookies, auch von Dritten, um eine angenehme Kundenerfahrung zu ermöglichen. Mit der weiteren Nutzung dieser Website akzeptieren Sie unsere Cookie Richtlinien