Im Mai 2018 tritt die neue EU-DSGVO in Kraft
Chancen und Risiken der EU-DSGVO für den Mittelstand
Ich möchte hier auf die Bedeutung eingehen, welche diese Verordnung für uns Gewerbebetreibende hat. Meistens werden nur die Risiken in den Vordergrund gestellt, das ist auch gut so, weil man sich die möglichen finanziellen Auswirkungen schon sehr bewusst machen sollte. Aber es gibt auch eine andere Betrachtungsweise auf die ich hier auch eingehen möchte.
Falls Sie diese Themen auch mit Freunden oder Kollegen besprechen wollen, hier können Sie sich einen kleinen Flyer zu diesem Thema herunterladen. Flyer zur DSGVO Er soll Ihnen als Erinnerung oder Diskussionsgrundlage dienen.
Für was steht die EU-DSGVO
Zuerst etwas zur Namensgebung:
DSGVO steht für Datenschutzgrundverordnung, wir in Deutschland kennen seit einigen Jahren das BDSG (Bundesdatenschutzgesetz). Bis jetzt hat das BDSG ergänzt durch Landesdatenschutzgesetze den Umgang mit personenbezogenen Daten in Deutschland geregelt.
Dieses hätte schon innerhalb Deutschlands zu unterschiedlichen Ausprägungen des Gesetzes führen können. Mit dem Blick auf die EU und deren Länder, erkennt man aber auch schnell das eine große Vielfallt an unterschiedlichen Gesetzen, zum selben Thema, das Handeln nicht einfacher macht.
Mit der EU-DSGVO, sieht das jetzt anders aus. Somit ist klargestellt, sie gilt nicht nur für uns deutsche, sie ist für ganz Europa bindend. Des weiteren ist hervorzuheben, dass es sich hierbei um eine Verordnung handelt. Im Gegensatz zu einer Richtlinie wird eine Verordnung direkt bindend, sie muss nicht in lokales Recht gewandelt werden.
Anmerkungen zum Umgang mit Daten
Fast alle Gewerbebetreibenden nutzen eine IT, auch wenn das heute oft nicht mehr so wahrgenommen wird.
Ich glaube, dass es ohne PC´s, Software und weiteren digitalen Helfern kaum noch Branchen gibt, welche eine gute Kundenbeziehung oder Lieferantenkontakte herstellen bzw. halten können. Oft verwenden wir täglich Tabletts, Handys, USB Sticks oder mobile Anwendungen und rechnen das schon nicht mehr zu IT Equipment. Das hohe Risiko dabei ist, dass wir diese Geräte nicht so wie IT in einem Serverraum betrachten und das ist falsch. Ein Handy hat heute 128 GB und mehr Speicher, da liegen Mails der letzten Jahre auf den Mobiltelefonen sowie eventuell Angebote und Kalkulationen für Kunden. Gehe wir damit entsprechend um? Die Frage muss sich jeder selbst beantworten. Ich glaube sehr viele gehen damit nicht entsprechend um, sonst könnte folgendes nicht passieren:
Was wir alles verlieren !
Laut diversen Meldungen wurden im Jahr 2014, alleine in London über 190.000 Handys in Taxen liegen gelassen, davon mehr als 50% ungesichert. Es wurden aber auch extrem viele USB Sticks, Nato Unterlagen und ein Hund zurückgelassen. Also es gibt immer das Risiko etwas zu verlieren, auch wenn wir das nicht wollen. Die Geräte gehören so zu unserem Alltag, dass sie nichts besonderes mehr sind.
Warum wir besser auf unsere Daten achten sollten
Es ist eben nicht ein 9 EUR USB Stick den wir verlieren, sondern der Wert der Daten auf dem Stick. Das sehen wir oft so nicht. Hinzu kommt auch das sich sehr viele heute Arbeit mit nach Hause nehmen, deswegen werden mehr und mehr sensible Daten auf diversen Wegen transportiert. Oft geraten diese Datenträger in Vergessenheit, sie liegen achtlos zu Hause rum oder werden anderweitig verwendet.
Wir vergessen, dass die Daten in falschen Händen, ein vielfaches des Wertes von dem Datenträger besitzen. Wenn dann diese Informationen genutzt werden, dann kann das für die betroffenen Kunden schwerwiegende Folgen haben. Und genau hier soll die EU-DSGVO einen Riegel vorschieben. Und mal ganz ehrlich, wer hat denn wirklich bis jetzt den Schaden gehabt, doch nicht das Unternehmen welches die Daten verloren hat. Wie wir in der Presse immer wieder lesen konnten, kamen z.B. die Datenlecks von Yahoo erst in 2016 ans Licht, erst da wurde bekannt das in 2013 über 1 Millarde Nutzerdaten abgegriffen wurden.
Für die Konzerne war es bis jetzt einfach, sie legten eine Passwortänderung fest und meinten alles ist jetzt gut. Aber die meisten Anwender verwenden ähnliche Passwörter (leider) auf diversen Systemen und wenn sie nicht wissen das diese abhanden gekommen sind, dann werden sie ähnliche Passwörter auch auf anderen Systemen nicht ändern.
Ziel der EU-DSGVO
Die DSGVO hat sich zum Ziel gesetzt dieses Nutzerverhalten zu ändern. Und die Person mit ihren Rechten an die eigenen Daten, in den Vordergrund zu stellen. So solllen Fälle wie mit Yahoo in Europa nicht mehr vorkommen dürfen. Deswegen wurde auch zusätzlich die Meldepflicht, von 72 Stunden, nach einem solchen Vorfall eingeführt.
Es gab schon immer Regelungen zum Datenschutz, auch in Deutschland, nur haben die nicht sehr viele ernst genommen. Dieses lag auch an dem fehlenden Strafen für diese Vergehen. Wie so oft bei Reglungen ohne schmerzliche Folgen, gingen die meisten damit ziemlich gleichgültig um. Deswegen wurde hier jetzt deutlich nachgebessert und mit den richtigen Strafen bei Verstößen, findet die neue DSGVO auf einmal überall Beachtung. Sie war auch auf vielen Ständen bei der CeBIT 2017 ein Thema und fast alle neuen IT Lösungen, die jetzt vorgestellt werden, werben mit der Einhaltung der DSGVO. Nur ein Tool alleine, bzw der Kauf dieses löst aber nicht das ganze Problem.
Risiken und Folgen für Sie und Ihr Unternehmen
Ich finde es eigentlich nicht gut über das Thema Strafen eine Aufmerksamkeit zu erzielen, aber da auf dieses Thema sowieso eingegangen werden muß, hier die Risiken bei Verstößen.
Die geschädigte natürlichen Person hat Schadensersatzansprüche gegen alle beteiligten der Datenverarbeitung, welche durch eine unsachgemäße und im Wiederspruch zur DSGVO stehenden Verarbeitung entstanden ist. Wie sich hier der Rahmen für die Forderungen darstellt, kann ich den aktuellen Veröffentlichungen nicht entnehmen.
Es wird hier unterteilt in Strafen wegen Verstößen gegen die EU-DSGVO und Schadensersatzansprüche der betroffenen Personen. Als Gewerbetreibender kann man also von beidem zeitgleich getroffen werden. Wichtig ist hier noch eine kleine Einschränkung, die DSGVO behandelt „echte“ Personen anders, als juristischen Personen. Es gibt hier also einen kleinen Unterschied.
Der Bußgeldrahmen reicht bis zu 20 Millionen EUR oder aber 4% des letztjährigen weltweiten Konzernumsatzes. (Bitte beachten Sie hierzu auch die Link-Sammlung am Ende dieses Artikels).
Hinzu kommt, dass der Verlust teilweise offen kommuniziert werden muss. Die betroffenen User müssen folglich aktiv informiert werden. Nach einem derartigen Vorfall hat der Unternehmer sowieso keine andere Wahl mehr, als alle Forderungen aus der EU-DSGVO umzusetzen. Das zur verfügung stehende Budget wird aber auf Grund der verhängten Strafe deutlich reduziert sein und ob er noch über den selben Kundenstamm wie vor dem Vorfall verfügt, das wird die Zeit zeigen.
Daher kann ich nur empfehlen sich proaktiv mit diesem Thema zu befassen und die größten Lücken schon im Vorfeld zu schließen.
Chancen in der EU-DSGVO
Ich glaube aber, dass Sie auch durchaus Wettbewerbsvorteile erzielen können. Wenn Sie offen kommunizieren, dass Sich sich mit diesem Thema auseinandersetzen. Neue IT Sicherheits Technologien einführen und die Daten Ihrer Kunden schützen, dann werden diese das auch belohnen.
Wo kann ich mich weiter über den Sachverhalt Informieren?
Alle meine Ratschläge hier auf dieser Webseite, spiegeln meine persönliche Quintessenz aus Veröffentlichungen die ich gelesen habe wieder. So wie ich mich extrem gut in den Produkten und Maßnahmen zur Erhöhung der technischen und auch organisatorischen IT-Sicherheit auskenne, gibt es Menschen die sich sehr gut in Rechtsfragen zu dem Thema EU-DSGVO auskennen.
Hier also einige Beispiele wie sich entweder im Selbststudium mit diesem Thema befassen können oder aber professionelle Hilfe bei gezielten Fragestellungen hinzuziehen können.
Sie müssen nur Google bemühen und landen auf sehr vielen Seiten, welche sich mit dem Thema EU-DSGVO auseinandersetzen.
Das Problem wie bei allem im Internet ist, wie Sie verifizieren können, ob das was Sie dort lesen wirklich richtig ist. Dieses betrifft meine Webseite hier genau so wie die von vielen anderen Anbietern. Es gibt natürlich auch staatliche Seiten, die sich damit befassen, nur leider sind die oft sehr umfangreich oder in einer Sprache geschrieben, die nicht Rechtsanwälten schwer fällt.
Deswegen möchte ich trotz unseres digitalen Zeitalters auch auf das geschriebene Buch verweisen, siehe 2ten Reiter in dieser Aufstellung. Hier können Sie z.B. bei Amazon zuvor Bewertungen lesen, sich über den Autor informieren und Sie können sicher sein, das es nicht auf dem Weg zu Ihnen verändert wurde 😉
Trotzdem habe ich einige Liks zu diesem Thema zusammengestellt, OHNE den Anspruch das diese korrekt sind (wie schon geschrieben ich bin kein Rechtsanwalt)
Link zu einem Blog von https:\\planit.legal der sich auch mit diesem Thema befasst
Anmerkung:
Zu dem Zeitpunkt wo ich den/die Link/s hier eingefügt habe, konnte ich dort keine falschen Infos oder schadhaften Code entdecken. Trotzdem muss ich mich, wie so viele andere Seite auch, von den Meinungen dort distanzieren, da ich ja nicht wissen kann, was dort steht, wenn Sie einige Tage später auf diesen Link drücken. So ist leider das Internet !!
Es gibt bis jetzt schon recht viel veröffentlichte Fachliteratur. Die Amazon Suche liefert direkt 3 Seiten Ergebnisse zu dem Begriff EU-DSGVO. Von einer kompakten Inhaltswiedergabe bis zu umfassenden Büchern oder nur dem Gesetzestext ist hier alles zu bekommen.
Jeder der sich im Selbststudium mit den Rahmenbedingungen auseinandersetzen möchte, findet bei Amazon das Passende.
Der einzige Nachteil ist, Sie müssen sehr viel Zeit, IT Fachwissen und das Verständniss für gesetzliche Formulierungen mitbringen.
Daher gibt es auch noch die 3te Möglichkeit –> siehe nächste Reiterkarte
Eine fachliche Beratung kann aus meiner Sicht auf 2 Arten starten.
- Sie wenden sich an einen selbständigen Datenschutzbeauftragten
- Sie wenden sich an einen Fachanwalt für IT-Rechtsfragen
Beides kann ich Ihnen in OWL vermitteln, über diesen Weg erhalten Sie eine rechtlich abgesicherte Grundlage, für den Aufbau bzw. die Umsetzung Ihrer technischen Infrastruktur, um die gesteckten Ziele zu erreichen.
Zu den oben genannten 3 von mir favorisierten Herangehensweisen, möchte ich folgendes Hinzufügen. Um einen technischen Grundschutz, vor Viren, Ausfällen und Verlust werden Sie nie herumkommen.
Es kann also durchaus Zielführend sein, mit einem entsprechenden Grundkonzept zu diesen 3 Blöcken, in eine externe Beratung einzusteigen.
Dieses kann deutlich die Kosten für eine Beratung senken, da Sie ja schon einen Fahrplan haben, sich mit Ihren Zielen schon befasst haben und auch entstehende Risiken für Ihr Unternehmen schon bewerten können.
Bei den Vorbereitungen zu einem solchen Gespäch, unterstütze ich Sie gerne. Der Datenschutzbeauftragte oder auch der Fachanwalt, wird Ihnen auch meistens keine Produktempfehlungen geben. Er wird Ihnen den Rahmen aufzeigen, in dem Sie handeln müssen.
Auch bei diesen Gespächen kann ich Sie begleiten, um den theoretischen Anspruch in ein technisches Konzept zu überführen.
Was sind alles personenbezogene Daten?
Um die Tragweite der EU-DSGVO zu verstehen, müssen Sie verstehen, was personenbezogene Daten nach aktueller Rechtssprechung sind. Weil da hat sich in den letzten Jahren einiges verändert. Um es anders herum zu sagen es ist weit mehr als die Kreditkarten Daten von Kunden. Ich höre immer wieder das man die ja nicht sammelt und deswegen keine personenbezogenen Daten hat. Das ist falsch, laut aktuellster Rechtsprechung sind schon die IP Adressen die gespeichert werden und einem Kunden zuzuordnen sind, personenbezogene schützenswerte Daten! Und weil Sie selbst bei einer Newsletter Bestellung, meistens schon mehr eingeben müssen wie Ihre mail Adresse, arbeiten sie auch hier schon mit Daten die ihnen nicht abhanden kommen dürfen.
Ziele der EU-DSGVO
Wenn wir die juristische Betrachtung aber einmal außer Acht lassen und uns dem Kern der EU-DSGVO widmen, geht es ja darum den Kunden zu schützen. Er soll vor finanziellen Verlusten und Rufschädigung geschützt werden, auch indirekt entstehende Folgekosten z.B, auf Grund von entstandenen Lieferverzögerungen sind hier abgedeckt.
Die EU-DSGVO soll den Kunden also vor viel mehr schützen, als nur den Schaden, der dem Kunden durch einen Missbrauch der Daten entsteht. Es soll der Kunde auch vor Auswirkungen geschützt werden, welche ihn betreffen, weil Sie als Unternehmer Ihre IT nicht genug abgesichert haben. Dieses sind jegliche Art von Ausfällen, welche durch eine entsprechende und verhältnismäßige Absicherung Ihrer IT zu umgehen gewesen wären.
Beispiele für Haftungsfragen
Hier zwei Beispiele:
Sie verlieren Ihren Datenbestand, weil nach einem Stromausfall Ihre Festplatten defekt sind, eine gültige Datensicherung fehlt Ihnen leider auch. In diesem Fall hätten Sie gleich mehrfach auf geeignete Maßnahmen verzichtet, da sie keine Notstromversorgung einsetzen, welche Ihre Server herunterfährt und kein Backup vorhanden ist. Gleiches gilt auch wenn eine Schadsoftware Ihre Daten unbrauchbar macht.
oder
Einem Mitarbeiter von Ihnen wird das Firmen Notebook gestohlen und die letzten Einkauf-Kalkulationen, werden missbräuchlich verwendet. Auch hier besteht ein Verschulden von Ihnen als Geschäftsführer. Ein Notebook muss zum einen vor ungewolltem Zugriff geschützt werden und die Daten vor ungewolltem Auslesen gesichert sein. Das Problem für Sie als Geschäftsführer wird deswegen akut, weil das Fehlverhalten eines Mitarbeiters Ihnen bzw. Ihrer Organisation zugerechnet werden kann. Der Geschädigte kann sich zum Teil aussuchen, gegen wen er in diesem Fall vorgehen möchte, er wird sich dann den mit den besseren Erfolgsaussichten zur Begleichung seines Schadens aussuchen.
Die Kette von weiteren Beispielen, welche alle durchaus realistisch sind, könnte ich hier beliebig fortführen.
Wann haften Sie ?
Ein Schadensersatzanspruch setzt immer ein schuldhaftes Verhalten des Unternehmers voraus. Oft heißt es, wenn Sie fahrlässig gehandelt haben, dann sind sie auch verantwortlich für den entstandenen Schaden. Die große Frage bis jetzt war aber, was ist eine fahrlässige Handlung und genau hier gibt es jetzt etwas mehr Klarheit. Der Unternehmer haftet auch im Rahmen der Fahrlässigkeit, wenn er die ihm zumutbaren Maßnahmen zur Absicherung seiner IT unterlassen hat. Als zumutbar sind alle Maßnahmen definiert, die sich gegen heute bekannte Risiken richten.
Hier ist trotzdem Vorsicht geboten, weil sich das „Bekannte“ ja jeden Tag erweitert! Also eine Absicherung gegen das heute bekannte, kann schon in 2 Monaten, wenn es neue bekannte Bedrohungen gibt, als veraltet angesehen werden.
Deswegen müssen Sie sich für Maßnahmen entscheiden, welche schon heute Risiken abdecken, von denen wir vielleicht erst in einem Jahr reden werden. Alternativ, können sie sich jeden Monat nach den neuesten Bedrohungsszenarien erkundigen und für jede neue Lücke eine individuelle Lösung einkaufen. Das, ist aber sehr zeit- und auch kostenintensiv. So werden aktuell überall diverse Tools gegen Ransomeware angeboten, was aber, wenn das überhaupt nicht das Problem von 2018 sein wird?
Welche Technologie ist die richtige?
Als Beispiel möchte ich die Ransomeware (Verschlüsselungs-Trojaner) Welle vom letzten Jahr anführen. Es gab nachweislich schon Software, welche aus dem Jahr 2015 stammt, schon damals käuflich zu erwerben war, welche die Verschlüsselungs-Schadsoftware von Ende 2016 aufgehalten hat. Firmen mit diesen Produkten waren nicht betroffen. Viele andere trotz eines Virenschutzes waren betroffen. Die Frage ist also mit welchem Produkt deckt man die Ist- und die Zukunftssituation am besten ab?
Die aktuelle Situation zeigt aber, dass kaum ein „normaler“ Virenscanner dieses Risiko abdecket. Auch ein „sicheres Surfverhalten“ reicht nicht mehr aus. Daher rückt die Aussage eines Symantec Chefs von vor zwei Jahren, der behauptete “.. der normale AV Schutz ist tod…“ wirklich immer näher.
Genau an dieser Stelle kann ich Ihnen helfen, ich kann sie unterstützen, Ihren bisherigen Virenschutz so zu ergänzen, dass Sie für die Zukunft gerüstet sind. Auch kann ich Ihnen zum großen Teil kostenlose Werkzeuge geben, bzw. nennen, mit denen Sie viele Risiken eindämmen können.
Die 4 Grundelemente einer sicheren IT.
Ein Virenschutz stellt heute die Basis für jeglichen Betrieb dar. Er sollte immer zweigeteilt aufgebaut sein. Zum einen hat jeder PC/Client einen installierten Schutz und am Übergabepunkt zum Internet gibt es zusätzlich ein zentrales Gerät, welches Ihr Netz schützt.
Was heute hier möglich ist, können Sie auch in einem anderen Artikel von mir nachlesen.
Wichtig ist zu wissen, dass dieses nicht zwangsläufig mit enormen Kosten verbunden sein muss.
Ihre Daten sollten so abgelegt und transportiert werden, dass bei einem Verlust dritte keinen nutzen daraus ziehen können. Dafür gibt es heute viele Tools, welche teilweise schon in den von uns genutzten Programmen enthalten sind. Ohne weitere Kosten, sind hier schon deutliche Zugewinne an Sicherheit möglich, sie müssen nur eingeschaltet werden.
Für den Fall, dass einmal etwas kaputt oder verloren geht, sollte immer ein Backup zur Hand sein. Hier bieten viele Firmen, gerade für den Mittelstand kostenlose Produkte an. Mit diesen kann Ihr PC oder Notebook täglich unbemerkt zentral gesichert werden. So haben Sie im Schadensfall maximal einen Arbeitstag verloren und müssen nicht erst langwierig Ihren PC und alle Software neu installieren.
Neue Schutztechnologien müssen auch verstanden werden. Deswegen sollten auch die neu eingeführten Maßnahmen immer durch eine Schulung begleitet werden. Weil nur richtig angewendet erfüllen sie ihren Zweck.
Es gibt sicherlich noch viele weitere Facetten einer Absicherung, aber die 3 oben genannten, unterstützt durch eine Schlung, sollten als erstes erfüllt sein.
Ich persönlich finde es auch besser die Bausteine nacheinander anzugehen. Eine halbherzig angegangene große Komplettlösung, hilft nicht, wenn sie nicht zum Abschluss gekommen ist. Daher lieber einen Schritt nach dem anderen machen und langsam das Sicherheitsniveau anheben, dass überfordert auch nicht Ihre Mitarbeiter.
Muss alles neu angeschafft werden?
Je nachdem, wem Sie diese Frage stellen, werden sie unterschiedliche Antworten bekommen. Meine ist nein! Sie müssen nicht alles neu kaufen, Sie könne Ihre Investitionen in IT Sicherheit weiter nutzen, Sie müssen sie nur an der einen oder anderen Stelle ergänzen. Es gibt Produkte die hier übergreifend funktionieren, lassen Sie sich beraten und zweckorientierte Lösungen von mir aufzeigen. Nicht alles kann oder muss technisch gelöst sein. Wie Sie meinem Flyer entnehmen können, gibt es auch durchaus sehr zielführende organisatorische Maßnahmen.
Sie wissen nicht was Sie einsetzen und vor was Sie eigentlich geschützt sind?
Auch das ist kein Problem und bei der Vielzahl von möglichen Lösungsansätzen, kann ich das auch gut verstehen.Vieles in der IT besteht aus gewachsenen Systemlandschaften, hier kann schnell der Überblick verloren gehen.
Wir können uns gerne zusammensetzen und das einmal besprechen, gerne auch zusammen mit Ihrem IT Lieferanten. Mein Ziel ist, dass Sie vor den IT-Risiken geschützt sind und beruhigt dem Inkrafttreten der EU-DSGVO im Mai 2018 entgegensehen können.
Sie sind nur ein 1 oder 2 Personen Unternehmen oder ein StartUp
Das macht überhaupt nichts, das Risiko ist aus meiner Sicht für kleinste Unternehmen genauso hoch wie für große Konzerne. Meine Möglichkeiten Sie zu unterstützen sind sehr vielfältig und ich behalte auch die Kosten die Ihnen entstehen sehr genau im Blick. Heute kann extrem viel in Videokonferenzen bzw. mit Fernbedienung umgesetzt werden. Anfahrtskosten für eine 1 stündige Unterstützungsleistung sind heute nicht mehr notwendig auch kann die Unterstützung sehr spontan ohne viel Planungsabstimmung erfolgen.
Kosten
Meine Kostenstruktur passt sich gerne Ihrem Unternehmen an! Wie das geht und was das für Sie bedeutet, darüber können wir uns gerne persönlich unterhalten. Senden Sie mir bitte einfach eine E-Mail und ich komme auf Sie zu.