2018 EU Datenschutz: Ist das Unternehmen bereit?

In Kürze: Wie plant ein KMU jetzt und trifft rechtzeitige Vorkehrungen für den 25. Mai 2018, wenn die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft tritt?
Die Anpassungen sind für Deutsche, Österreichische und Schweizer KMU kompliziert und kostenaufwendig.
Dieser Beitrag zeigt auf, wo die Probleme liegen.
Nutzen Sie unsere Checkliste und machen Sie den Fitness Test.

Der nachfolgende Beitrag aus unserer Reihe zur neuen Datenschutzgrundverordnung kurz DSGVO oder auf englisch General Data Protection Regulation (GDPR) zeigt auf, welche Dinge Marketing-, Personalfachleute und Manager berücksichtigen müssen.

Weitere wichtige News zum EU Datenschutz

2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun? (sie sind hier)
2018 EU Datenschutz Ratgeber: Zielgerade Januar/Februar 2018

#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU-Datenschutzgrundverordnung (DSGO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand?
#MCLago 2018 EU Datenschutz: Marketing Trends – Januar 2018

Download White Paper:  Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf http://MCLago.com/download/13/

#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – Januar 2018 Anmeldung

Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.

Fragen einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Hier ist eine kurze Zusammenfassung der Dinge, die sie wissen sollten.

1. Kleine und mittlere Unternehmen (KMU)

Kleine und mittlere Unternehmen (KMU) sowie Kleinstunternehmen definiert die Kommission (siehe 6. Mai 2003/361/EC) anhand von drei Kennzahlen:

– Anzahl Angestellte (Vollzeitäquivalenz),
– Bilanzsumme, und
– Umsatz

Ein KMU beschäftigt weniger als 250 Personen Vollzeit und erziehlt höchstens einen Jahresumsatz von 50 Mio. oder deren Jahresbilanzsumme beläuft sich auf höchstens 43 Mio. Euro.

Das Kleinstunternehmen hat weniger als 10 Personen in Vollzeit eingestellt und der Jahresumsatz / Jahresbilanz überschreitet keine 2 Mio. Euro.

Definition von: COMMISSION RECOMMENDATION of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises [notified under document number C(2003) 1422] (Text with EEA relevance) (2003/361/EC) (May 20, 2003).

Ein Vollzeitäquivalent  (Abkürzung: VZÄ, englisch: Full-Time Equivalent – FTE) ist eine wichtige Kennzahl, welche die relative Anzahl an Personen beschreibt, die ein 100% Pensum in der Firma arbeiten.

Teilzeitkräfte, Saisonniers und andere Nicht-Vollzeit-Kräfte werden dabei addiert, um das Vollzeitäquivalent für alle Arbeitsplätze zu erhalten.

2. Wie werden KMU von der DSGVO tangiert?

Ungefähr 99% aller 23 Mio Unternehmen in der EU sind Micro, Kleine und mittlere Unternehmen.

Sie beschäftigen fast zwei Drittel aller Arbeitnehmer, d.h. sie sind laut EU Commission für mehr als 75 Mio. Arbeitsplätze verantwortlich.

In einigen Sektoren wie z.B. Textil, Bau und Möbel sind rund 80% aller Arbeitskräfte in Micro, Kleinen und Mittleren Unternehmen beschäftigt.  

Siehe auch: International Finance Corporation: Micro, Small, and Medium Enterprises: A Collection of Published Data (MS Excel file, 17 May 2005).

Doch inwiefern werden KMU von der neuen Datenschutz Grundverordnung in Europa tangiert?

Stärker als man denkt.

Zuerst einmal müssen wir die Dokumentation auf Vordermann bringen, was Datenschutz und Datensicherheit betrifft. Nur dann können die neue EU-Datenschutz-Grundverordnung (DSGVO) in Englisch General Data Protection Regulation (GDPR) sowie die e-Privacy Verordnung eingehalten werden.

Im weiteren ist dies auch mit Kosten verbunden. Die Abläufe müssen klar strukturiert sein. Doch auch die Dokumentation zum Thema muss fast in allen Fällen verbessert werden.

Diese Dinge sollten ebenfalls helfen, um das Sicherheitsdispositiv zu verbessern.

Das Alles hat seinen Preis.

Sicherheit und Datenschutz ist Pflicht - EU DSGVO | Urheber iStock
Sicherheit und Datenschutz ist Pflicht – EU DSGVO | Urheber iStock

3. Umsetzung des DSGVO im KMU: Fitness Checkliste

Kürzlich war ich in einem Unternehmen, um mich mit dem Experten und den Aufsichtsratsmitgliedern zu treffen. Unser Thema war, wie die DSGVO das Direktmarketing, Mailings, aber auch das Nutzen von Cookies beeinträchtigen könnte. Mit schrecken stellten die Teilnehmer fest, dass das Unternehmen noch nicht fit war, um DSGVO-compliant zu sein.

Aus diesem Grunde sah ich mich gezwungen, eine Checkliste mit Fragen auszuarbeiten. Diese machte ich dem Team schmackhaft, indem ich sie daran erinnerte, es wie einen Fitness Test zu sehen.  Es würde uns aufzeigen:

  1. wo wir Schwächen hätten,
  2. ob es aber auch Stärken geben würde, durch die wir weit über dem Durchschnitt seien, was die DSGVO-Fitness betrifft und
  3. welche „low hanging fruit“ (Projekte, die mit wenig Aufwand grosse Wirkung generieren) zuerst realisiert werden sollten.

Hier ist unsere Checkliste mit 12 Fragen, die Ihnen weiterhelfen wird.

Wenn Sie die Antworten schriftlich ausarbeiten, haben Sie einen ersten wichtigen Schritt unternommen, um vor dem 25 Mai 2018 DSGVO Compliance sicher stellen zu können.

Das heisst, die Antworten sind wie das Resultat Ihres Inventars des Weinkellers. Wo sind wir gut versorgt und wo müssen wir nachbestellen – in diesem Fall nachbessern, um ein akzeptables Niveau für den Datenschutz zu erreichen.

Checkliste: Ist unser Unternehmen fit für die DSGVO?

Versuchen Sie diese Antworten schriftlich zu erstellen. Dabei ist es immer wichtig, dass sie auch dokumentieren, warum sie mit bestimmten Dinge noch nicht fertig sind. Erklären Sie dabei bitte auch, wieso eine Lösung X vorgenommen wurde und nicht eine andere.

Nur somit können Sie nachher genau feststellen, welche kritischen Dinge als nächstes umgesetzt werden müssen.

1. Wie viele personenbezogene Daten, die Sie in Ihrem Unternehmen sammeln, speichern und nutzen, können Sie derzeit mit eigenen Mitteln ausfindig machen? Haben Sie dies vielleicht bereits dokumentiert?

2. Können Sie erkennen und wurde dokumentiert, wer personenbezogene Daten einsehen oder bearbeiten kann? Auch wer welche Bearbeitungen vorgenommen hat zu welchem Zeitpunkt muss dokumentiert sein.

3. In Sachen personenbezogene Daten können Sie bereits:

  • dokumentieren, wer welche Daten im Unternehmen verwaltet?,
  • den Zeitpunkt und Art des Austausches von Daten aufzeigen/ermitteln?
  • Zeitpunkt und Form des Austausches mit Dritten aufzeigen (d.h. Sie haben eine Übersicht über die Auftragsverarbeiter von Ihren Daten, wie z.B. Buchhaltung und Computing in der Cloud)?

4. Ist dies in den vielen Fällen, in denen die Verarbeitung von personenspezifischen Daten auf die Einwilligung des Betroffenen beruht, ebenfalls dokumentiert (liegt z.B. die Einwilligung vor wie beim Double Opt-In beim Marketing Newsletter des Unternehmen)?

5. Haben Sie abgeklärt ob Sie einen Datenschutzbeauftragten benötigen?
Grundlegend ist wenigstens in DE, dass wenn 10 oder mehr Personen mit einem mobilen Endgerät oder PC arbeiten, muss in der Regel ein betrieblicher Datenschutzbeauftragter bestellt werden.
Öffentliche Stellen sind in DE verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Dieser Datenschutzbeauftragte kann auch ein externer Dienstleister sein.

6. Sind für Aktivitäten mit personenbezogenen Daten Datenschutz- und Sicherheitsmechanismen eingebaut?
Das heisst z.B., dass dank speziell eingesetzter Technologie die Datenschutz- und Sicherheitsmechanismen gestärkt werden.
Mindestens jährlich werden Penetration Tests durchgeführt. Die Einspielung von Sicherheitsupdates für Software und Systeme werden gemäss Wichtigkeit zeitgemäss (z.B. innerhalb 24 Std. auch an langen Wochenenden) veranlasst und schriftlich dokumentiert.

7. Haben Sie, wie im DSGVO vorgeschlagen, eine Verschlüsselung sensibler Personendaten von z.B. Kunden oder Mitarbeitern vorgenommen?

8. Nach der DSGVO müssen personenbezogene Daten gelöscht werden, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden und keine gesetzliche Pflicht zur Aufbewahrung besteht. Setzen Sie diese Anforderungen bereits um?

9. Die DSGVO sieht vor, dass Ihr Unternehmen geeignete Technologien und/oder Prozesse einsetzt, um personenbezogene Daten zu sichern und gegen Angriffe zu verteidigen. Wenn Sie einen Vorfall identifizieren, müssen Sie nicht nur die entsprechenden Regulierungsbehörden, sondern auch die betroffenen Personen benachrichtigen. Für welche dieser Pflichten haben Sie bereits Prozesse etabliert?

10. Haben Sie eine geeignete Risikomethode, um die Datenschutz-Folgeabschätzung vorzunehmen und wurde der Prozess für die Datenschutz-Folgeabschätzung schon einmal getestet?

11. Haben Sie eine Kosten-Nutzen Analyse durchgeführt und auch die „Implementierungskosten“ als Abwägungskriterium berücksichtigt?
PS. Da der Schutz der Betroffenen im Vordergrund steht (siehe Punkt 10), sind wohl ausser bei existentiellen Bedrohungen die wirtschaftlichen Erwägungen zur Lockerung des Schutzstandards als Rechtfertigung kaum zulässig.

12. Haben Sie ein Inventar der Social Media Konten und Nutzer dieser Firmenkonten?
Sind Sie sich den Verpflichtungen im Bereich des Schutzes personenbezogener Daten auf diesen Plattformen bewusst? Welche Vorkehrungen haben Sie getroffen?
PS. Am 24.10.2017 hat der Generalanwalt des Europäischen Gerichtshofes (EuGH) seine Schlussanträge in der Rechtssache C‑210/16 vorgelegt. Falls der EuGH den Schlussanträgen folgt, ist das Unternehmen, welches eine Facebook Seite betreibt

… für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich.

Ausgelöst hatte den Rechtsstreit eine Anordnung des Schleswig-Holsteinischen Landeszentrums für Datenschutz (ULD) im Jahr 2011. Dieses verlangte von der Wirtschaftsakademie Schleswig-Holstein (WAK) die Deaktivierung von deren Fanpage aufgrund datenschutzrechtlicher Verstösse.

PPS. Auswirkungen kann dieser Rechtsstreit auch auf ein derzeit vor dem Oberlandesgericht Düsseldorf verhandelten Verfahren haben. Dort geht es um den Facebook Like-Button und die Frage, ob der Betreiber eines solchen Buttons mitverantwortlich ist für etwaige Datenschutzverstösse.

Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b), ob Vertraulichkeit, Integrität und die Verfügbarkeit der verarbeitenden Systeme und Dienste sicher gestellt sind.

Der Artikel 32 DSGVO verlangt auch die Gewährleistung der „Belastbarkeit“ der Systeme und Dienste. Dies bedeutet, dass die Dienste und System gegen ungewollte und gewollte, zufällige und geplante Störungen abgesichert sind (siehe auch Punkt 11 oben).

Punkt 12 zeigt ebenfalls auf, dass wenn der EuGH den Schlussanträgen vom Generalanwalt folgt, das Unternehmen für eventuelle Datenschutzverstösse von Facebook hinter der Fanpage verantwortlich ist. Nach DSGVO macht dies Sinn, denn Facebook könnte hier auch als Auftragsverarbeiter eingestuft werden. Damit würde die Verantwortung wiederum beim Unternehmen liegt.

Sicherheit und Datenschutz ist Pflicht - doch für KMU ist es nicht einfach - EU DSGVO | Urheber iStock
Sicherheit und Datenschutz ist Pflicht – doch für KMU ist es nicht einfach – EU DSGVO | Urheber iStock

4. Ressourcen für KMU

Hier noch ein paar Ressourcen, welche Ihnen helfen sollten, sich auf den 25. Mai 2018 vorzubereiten. Es lohnt sich hier ca 4 Stunden zu investieren und sich schlau zu machen. Das hilft auch dem Marketing Spezialisten, Ihre Standpunkte im Zusammenhang mit der DSGVO besser zu kommunizieren.

EU-Datenschutz-Grundverordnung (DSGVO) Ressourcen für KMU
1. Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab 25. Mai 2018 unmittelbar. Der Text ist im Amtsblatt der EU veröffentlicht: http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016R0679

2. Die Seite der Wirtschaftskammer Österreich. Klar formuliert und verständlich: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Der-Datenschutzbeauftragt.html/

3. Die Position des Datenschutzbeauftragten und wie dessen Unabhängigkeit gesichert wird vom Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB): https://www.edoeb.admin.ch/datenschutz/00626/00743/00874/01051/index.html?lang=de

4. Gut erklärt, mit Checklisten von der Bayrischen Datenschutzbehörde: https://www.lda.bayern.de/de/datenschutz_eu.html

5. EU-Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, GDPR): Tipps für Mittelständler im e-Book von Microsoft (auch sehr hilfreich): https://info.microsoft.com/DE-SCRTY-CNTNT-FY18-10Oct-06-SohaltderMittelstanddieEU-MGC0001185_01Registration-ForminBody.html

Dokumente der Artikel-29-Gruppe (künftig: EU-DS-Ausschuss) zur DSGVO

6. Leitlinien zum Recht auf Datenübertragbarkeit (deutsche Vorversion)

7. Leitlinien zum Recht auf Datenübertragbarkeit (deutsche Vorversion)

Zur Zeit werden die Informationen der Artikel-29-Gruppe (die Datenschutzbeauftragten der Mitgliedsländer der EU), welche sich bald EU-DS-Auschuss nennt) auf einer neuen Webseite integriert.

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 (sollte man bald über diesen Link bekommen)

8. Verständliche und transparente Datenschutzhinweise: 1-Pager vom Bundesministerium für Justiz und Verbraucherschutz – IT-Gipfel 2015  – Der 1-Pager 

Wenn Sie weitere Ressourcen benötigen, nutzen Sie die Liste der weiteren Beiträge zum Thema Datenschutz ganz oben in diesem Beitrag.

5. #Trends2Watch

Wir möchten hier auf 2 #Trends2Watch hinweisen.

  1. Datenschutzrechtliche Informationspflichten auf Facebook (Skype, WhatsApp, Instagram, Xing, etc.) nachzukommen, ist unmöglich:  Im Regelfall haben Unternehmen keine Kenntnis darüber, welche Daten Facebook, für welche Zwecke für eine Fanpage verarbeitet.
    Doch das Unternehmen ist in Sachen Datenschutz mitverantwortlich für Daten seiner Fans und wie diese von Facebook verarbeitet werden (siehe Checkliste, Punkt 12).
    Facebook wird diese Informationen kaum offenlegen wollen, da diese ein Teil ihres Geschäftsmodells repräsentieren.
  2. Administrativer wie auch finanzieller Mehraufwand ist signifikant: Kunden profitieren vom DSGVO, was gut ist.
    Das Verarbeiten von personenspezifischen Daten wird markant teurer für Unternehmen.
    Prozesse müssen verbessert werden und diese wichtige Arbeit muss genauestens dokumentiert sein.
    Skalierungen oder „economies of scale“ reduzieren diese Kosten pro Kunden für Konzerne.
    Damit wird die immer wichtiger werdende Nutzung von Algorithmen und grossen Datensätzen für Innovation, Marktbearbeitung, usw. sehr viel teurer für KMU mit z.B. weniger als 50 Vollzeit Arbeitsplätzen.
    Das erschwert den Markteinstieg von Start-Ups und die Konkurrenzfähigkeit der KMU. Dies fördert damit auch die weitere Marktkonzentration, was Konsumenten nicht freuen dürfte.

Obwohl die DSGVO gute Dinge bringt, resultiert es für alle Unternehmen in einem grossen Mehraufwand. Die Kosten für das Sammeln, Verarbeiten und Nutzen von Big Data geht signifikant in die Höhe. Prozesse müssen verbessert werden und diese müssen genauestens dokumentiert sein. Skalierungen oder „economies of scale“ reduzieren diese Kosten pro Kunden für Konzerne. Doch für KMU wird es viel teurer.

6. Was ist Ihre Meinung

Die obigen Ausführungen zeigen, dass Compliance in Sachen Datenschutz für KMU kein Zuckerschlecken ist.  Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.

Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Ist Ihre Organisation für die DSGVO bereit?
  • Wie haben Sie mit der Umsetzung für die DSGVO begonnen?
  • Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?

Urs E. Gattiker - DrKPI@

Professor Urs E. Gattiker ist Europa’s Experte für Social Media Analyse (seine Fachbücher).
Urs ist CEO von CyTRAP Labs GmbH, Management Consultants mit der DrKPI@ Linie von Produkten für Smart Data Insights (Strategie, Marketing, Verkauf).
Er ist Präsident vom Marketing Club Lago #MCLago, dem 4-Länder Club beim Deutschen Marketing Verband.

2 thoughts on “2018 EU Datenschutz: Ist das Unternehmen bereit?

    • 6. November 2017 at 8:12
      Permalink

      Lieber Detlef

      Herzlichen Dank für Ihren ommentar. Das ist eine interessante Liste mit wichtigen Punkten wie z.B.:

      1. …
      2. Datenschutz-Folgenabschätzung: Privacy Impact Assessment als Prozess etablieren; Art. 35
      3. Prozess implementieren zur Meldepflicht bei einer Datenpanne; Art. 33 f….

      10. TOMs (technisch-organisatorische Maßnahmen) bewerten und dokumentieren und dazu Informationssicherheitsmanagement und Penetrationstests planen; Art. 32 Abs. 1 lit. d

      Die von mir zusammengestellte Liste oben ist wohl ein wenig anders formuliert. Der Fokus ist dabei Top Management zu helfen, sich in die Materie einzuarbeiten, da sie ja ultimativ die Verantwortung wird tragen müssen.

      5. Haben Sie abgeklärt ob Sie einen Datenschutzbeauftragten benötigen?
      Grundlegend ist wenigstens in DE, dass wenn 10 oder mehr Personen mit einem mobilen Endgerät oder PC arbeiten, muss in der Regel ein betrieblicher Datenschutzbeauftragter bestellt werden.
      Öffentliche Stellen sind in DE verpflichtet, einen Datenschutzbeauftragten zu bestellen.
      Dieser Datenschutzbeauftragte kann auch ein externer Dienstleister sein.

      6. Sind für Aktivitäten mit personenbezogenen Daten Datenschutz- und Sicherheitsmechanismen eingebaut?
      Das heisst z.B., dass dank speziell eingesetzter Technologie die Datenschutz- und Sicherheitsmechanismen gestärkt werden.
      Mindestens jährlich werden Penetration Tests durchgeführt. Die Einspielung von Sicherheitsupdates für Software und Systeme werden gemäss Wichtigkeit zeitgemäss (z.B. innerhalb 24 Std. auch an langen Wochenenden) veranlasst und schriftlich dokumentiert.

      7. Haben Sie, wie im DSGVO vorgeschlagen, eine Verschlüsselung sensibler Personendaten von z.B. Kunden oder Mitarbeitern vorgenommen?

      Ich mag auf der von Ihnen hingewiesenen Seite aber auch die Links zu den Gesetzestexten, weiteren Ressourcen, usw.

      Freundlichst
      Urs

      Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

X