Datenschutz nimmt eine immer wichtigere Rolle im geschäftlichen Alltag ein, insbesondere Digitalunternehmen müssen hier eine Vielzahl von Faktoren berücksichtigen. Ab 2018 gilt die Datenschutz Grundverordnung (DS-GVO), welche zusätzliche rechtliche Rahmenbedingungen zum bestehenden Bundesdatenschutzgesetz schafft. Unternehmen, die diese Vorschriften nicht beachten, drohen hohe Geldbußen.
Datenschutz wird häufig nicht ernst (genug) genommen
Schon jetzt sollten Unternehmen die neue Datenschutzverordnung beachten und möglichst zeitnah dafür sorgen, dass diese auch eingehalten werden kann. Viele Unternehmen setzen sich derzeit noch nicht intensiv genug mit dem Thema Datenschutz auseinander, manche sind sich nicht einmal bewusst darüber, welche Konsequenzen die DS-GVO für die Unternehmensaktivitäten hat. Die hohen Geldbußen bei nicht-Beachtung können insbesondere bei StartUps schnell zur Insolvenz führen, daher ist eine zeitnahe Auseinandersetzung mit dem Thema nicht zu vermeiden.
Unternehmen müssen Datensicherheit gewährleisten
Schon jetzt müssen, sobald personenbezogene Daten innerhalb eines Unternehmens gespeichert, verarbeitet oder genutzt werden, strenge Vorschriften eingehalten werden. Diese sind im Bundesdatenschutzgesetz (BDSG) geregelt. Das jeweilige Unternehmen ist dazu verpflichtet, die Sicherheit der gespeicherten, verarbeiteten oder genutzten Daten zu gewährleisten. Dieser Schutz der personenbezogenen Daten muss durch technische sowie organisatorische Maßnahmen erfolgen. Zu den organisatorischen Maßnahmen zählen unter anderem die Mitarbeitersensibilisierung, Passwortrichtlinien oder regelmäßige Datenschutz-Audits. Zu den technischen Maßnahmen wiederum zählen unter anderem individuelle Benutzeridentifikationen oder Backup- und Berechtigungskonzepte.
Sonderfall StartUps
Innerhalb der Unternehmen nehmen StartUps eine Sonderrolle ein. Zumeist arbeiten sie ohnehin mit externen Dienstleistern zusammen, oftmals mit Unternehmen, die ihren Sitz nicht im europäischen Raum haben. Die Zusammenarbeit mit diesen externen Dienstleistern muss mittels eines Vertrages gemäß dem BDSG legitimiert werden. Zu diesen Unternehmen zählen beispielsweise Email-Dienste, CMS Systeme, Logging-Tools oder auch Anbieter von Cloud-Speichern. Sobald mindestens 10 Personen personenbezogene Daten für ein StartUp verarbeiten, muss ein betrieblicher Datenschutzbeauftragter bestellt (ernannt) werden. Eine freiwillige Bestellung, auch bei weniger Mitarbeitern, kann mitunter Vorteile bringen. Für StartUps ist es durchaus sinnvoll, zumindest für die Anfangszeit einen externen Datenschutzbeauftragten zu bestellen.
Was ändert sich mit der DS-GVO?
Die DS-GVO gilt nicht nur für Unternehmen mit Sitz innerhalb Europas, sondern für alle Unternehmen, die EU-Daten verarbeiten, also auch für Newsletter Versender, Callcenter oder Hosting-Anbieter mit Sitz im Ausland. Die Verarbeitung dieser Daten ist nur dann rechtmäßig, wenn der Betroffene einwilligt, oder aber die Verarbeitung seiner personenbezogenen Daten zwingend erforderlich ist, wie es etwa bei Vertragsangelegenheiten der Fall ist. Für bestimmte Daten gibt es zusätzliche, strengere Vorschriften, etwa bei Gesundheitsdaten oder allgemein bei Daten von Kindern. Durch die DS-GVO ergeben sich zudem folgende Änderungen:
- Erhebliche Geldbußen bei Verstößen gegen die DS-GVO
- Informationspflicht von betroffenen Personen
- Der Betroffene kann die Übertragung der jeweils gespeicherten Daten an einen anderen Verantwortlichen einfordern
- Bei der Verarbeitung von Daten von Minderjährigen (unter 16 Jahren) muss neben der Zustimmung des Kindes auch eine Zustimmung der Erziehungsberechtigten erfolgen.
Gerade dann, wenn personenbezogene Daten etwa im Zusammenhang mit Backups bei einem Cloud-Anbieter gespeichert werden, müssen diese Daten zusätzlich geschützt werden, um einen Zugriff von unberechtigten Personen zu verhindern.
Schnelle Internetverbindung unumgänglich
Um beispielsweise Backups bei einem Cloud-Anbieter zu speichern, ist eine stabile und möglichst schnelle Internetverbindung wesentliche Grundvoraussetzung. Nur entsprechende Business-Lösungen von Internet-Providern ermöglichen eine gewisse Ausfallsicherheit in Verbindung mit schneller Uploadgeschwindigkeit. In der Regel sind solche Business-Tarife im Vergleich zu Angeboten für Privatkunden teurer, bieten aber auch entsprechende Sicherheiten.
StartUps können derzeit von einem günstigen Einsteigerangebot profitieren. Der Internet-Provider Unitymedia Business bietet Gründern ein Internet-Paket für den Business-Bereich zu besonders attraktiven Konditionen. Einzige Einschränkung hierbei ist, dass sich das Angebot an Unternehmen innerhalb der ersten drei Jahre nach der Gründung richtet. StartUps und junge Unternehmen können von folgenden Vorteilen profitieren:
- hohe Bandbreite (150 Mbit/s Download, 10 Mbit/s Uploadgeschwindigkeit)
- Bereitstellungsgebühr entfällt (Ersparnis von 99,90€)
- in den ersten 6 Monaten fällt keine Grundgebühr von je 34,90€ an
- im Falle einer Geschäftsaufgabe ist der Vertrag jederzeit kündbar
- statische IP Adresse auf Wunsch inkl. – erweiterbar auf 4 Adressen
- weiterhin wird das Programm lexoffice für ein Jahr kostenlos zur Verfügung gestellt (was einer Ersparnis von 178,80€ im Vergleich zum Kauf entspricht)
Somit spart sich der Gründer hier mehr als 450€ ein. Alle Einzelheiten zu diesem Angebot findet man hier.
Unterstützung von Experten ist empfehlenswert
Insbesondere junge Unternehmen und StartUps sollten die Chance nutzen, sich frühzeitig auf erforderliche Maßnahmen zu einigen und diese umzusetzen. Datenschutz sollte im besten Fall von Beginn an als ein zentraler Bestandteil des Unternehmens angesehen werden. So ist es möglich, die mit der Datenschutzverordnung einhergehenden Sicherheitsmaßnahmen auch frühzeitig in den Unternehmensalltag zu integrieren. Die Regelungen, Vorschriften und Bestimmungen im Zusammenhang mit dem Datenschutz sind äußerst komplex. Insbesondere das Zusammenspiel zwischen bestehendem BDSG und DS-GVO sind für Personen, die sich nicht umfassend informiert haben, schwer zu verstehen. Unter Umständen ist es daher sinnvoll, für diese Umsetzung einen Experten zu Rate zu ziehen, um die teilweise komplexen Anforderungen auch erfüllen zu können. Somit kann das Risiko eines Verstoßes gegen die Verordnungen weitestgehend minimiert werden.