Risikofaktor IoT: Schützenswert sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
von Dr. Ralf Magagnoli
Am 25. Mai 2016 trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU-Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt.
Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von EU-Bürgern verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler und KMU.
Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert.
DSGVO und IoT
Als Daten gelten dabei nicht nur Kontakdaten wie Name, Adresse, E-Mail Adresse, Telefonnummer. Damit betrifft sie auch das IoT, sammeln seine Geräte doch zuhauf vielfältige Nutzerdaten. Je nach Funktion reichen diese von Blutgruppe, über das bevorzugte TV-Programm bis hin zum Aufenthaltsort des Hundes. Hier sollte ein Privacy-by-Design-Ansatz verfolgt werden, damit schon bei der Entwicklung die Datenschutzrisiken gering gehalten werden können und Datensicherheit gewährleistet ist. Schließlich ist auch zu klären wo im Unternehmen die Daten überhaupt gespeichert sind und wer Zugriff darauf hat.
Was ist neu?
Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden. Hinzu kommt die Verpflichtung, ein sogenanntes „Privacy by Design“ einzuführen, mit dem datenschutzrelevante Maßnahmen von Beginn an in Design sowie Entwicklung von Systemen, Prozessen und Produkten integriert werden. Auch sind mehr Daten betroffen, so etwa Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Die Anforderungen an „bestimmbare Personen“ sind sehr gering. Auch Lieferanten können betroffen sein, zum Beispiel solche, die von einem Unternehmen beauftragt werden, personenbezogene Mitarbeiterdaten zu verarbeiten.
Mehr Rechte für Beschäftigte, mehr Pflichten für die Unternehmen
Nach Auffassung vieler Fachleute werden die Pflichten des Arbeitgebers beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden. Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte haben hier einen großen Aufwand, da die dafür zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen.
Vieles hängt von der Art und Größe des Unternehmens ab
Einige Experten warnen, die Aufgaben im Zusammenhang mit der Verordnung zu unterschätzen. Die häufig vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeichnisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentieren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betroffenenrechte. Eine Lösung muss all diese Aspekte mitberücksichtigen und ganzheitlich erfüllen. In welchem „Detailgrad“ die Umsetzung auf Unternehmensebene erfolgt, hängt jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.
Von der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und aktiv werden.
Zertifizierungen als Basis
Manche Unternehmen profitieren von bereits vorhandenen Zertifizierungen, etwa nach ISO 9001 oder ISO / IEC 27001. Diese Zertifizierungen dienen als Basis für ein Datenschutzmanagementsystem (DSMS), das die Compliance mit der EU-DSGVO gewährleistet. Ähnliches gilt für die Zertifizierung nach dem Standard BS 10012:2017. Trotzdem muss vieles noch angepasst werden im Hinblick auf die neuen Regeln.
Datenschutz als Querschnittsaufgabe
Wichtig sei es, darin stimmen Experten überein, das Thema EU-DSGVO als Querschnittsthema im gesamten Unternehmen zu verankern und das Bewusstsein der Mitarbeiter für diese Problematik zu schärfen. Vom Vorstand oder der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und teilweise aktiv werden:
• | Vorstand und Geschäftsführung müssen die veränderte datenschutzrechtliche Praxis im Unternehmen kennen; |
• | die IT-Abteilung muss prüfen, welche technisch-organisatorischen Maßnahmen für das geforderte Risk-Management notwendig sind; |
• | die Finanzabteilung muss die Kosten berücksichtigen, die dem Unternehmen durch Anpassungsprozesse entstehen; |
• | die Rechtsabteilung muss viele Verträge anpassen; |
• | die Compliance-Abteilung muss die Risiken eines Verstoßes gegen die Verordnungen berücksichtigen – diese betreffen die außerordentlich hohen Bußgelder, aber auch den Vertrauensverlust, der bei Kunden, Lieferanten oder Mitarbeitern entstehen kann; |
• | die Forschungs- und Entwicklungsabteilung muss schon bei einem frühen Projektstadium darauf achten, dass die datenschutzrechtlichen Grundsätze eingehalten werden; |
• | für die Personalabteilung entsteht ein hoher Aufwand, da sie einerseits Mitarbeiterschulungen zum Thema organisieren, andererseits den Mitarbeitern auf Nachfrage nachweisen muss, wie ihre Daten geschützt werden; auch der Betriebsrat ist einzubinden. |
Ist es sinnvoll, darüber hinauszugehen?
Vielleicht aber ist es sinnvoll, noch ein paar Schritte weiterzugehen. Die Einhaltung der EU-DSGVO-Compliance sollte Teil einer umfassenden Unternehmensphilosophie sein und von der Spitze her gelebt werden – damit ist das EU-DSGVO-Management Chefsache. Es sollte nicht einfach eine lästige Pflicht sein, denn immerhin geht es darum, das Image des Unternehmens in der Öffentlichkeit, bei gegenwärtigen und künftigen Mitarbeitern sowie bei Geschäftspartnern als verantwortungsvoll handelnde Organisation zu stärken. Dazu gehören auch ein umfassender Schutz der Daten und der sichere IT-Betrieb.
Die Risiken einer Verletzung des Datenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z. B. Kanada oder Japan.
Echte Mehrwerte im Wettbewerb entstehen, wenn es gelingt, über entsprechende Maßnahmen und ihre Dokumentation Vertrauen zu schaffen. Zudem fördern transparente personenbezogene Daten die Automatisierung von Prozessen und treiben somit die Digitalisierung voran. Einige aktuelle Studien belegen, dass Unternehmen, die auf diesem Weg vorangegangen sind, sich bereits Vorteile verschafft haben. Es liegt also an den Unternehmen selbst, ob ihnen die EU-DSGVO mehr nutzt oder doch eher schadet. //
Autorenvita Dr. Ralf Magagnoli