Für kleine und mittelständische Unternehmen (KMU) kann die Einhaltung der Datenschutzbestimmungen eine Herausforderung darstellen, es droht Unmengen an Bürokratie, technisches Wissen im Bereich IT Security ist Mangelware, Kontrollprozesse und Notfallpläne scheinen eher nur vom Hörensagen aus Grosskonzernen bekannt.
Aber doch gibt es da ein Problem von denen viele nicht wissen:
Jedes Jahr werden die Kontrollen und die daraus verhängten Bußgelder wegen Datenschutzverstössen um einen Faktor 2-3 mehr.
Viele Geschäftsführer wissen noch gar nichts von Ihrer persönlichen Haftung für Datenschutzverstöße Ihrer Mitarbeiter und der bürokratisch erschlagenden Dokumentationspflicht. Das Hauptproblem ist aber nochmals ein ganz anderes:
Wer Daten verarbeitet muss Technisch-Organisatorische Maßnahmen (TOM) ergreifen, um die Datenverarbeitung abzusichern. In der Kurzfassung bedeutet das:
- Mitarbeiter müssen jährlich geschult werden und das sind bei kleinen und mittelständischen Unternehmen ganz schön viele
- Das Thema IT Security muss in einer Bestandsaufnahme kontrolliert und sehr wahrscheinlich ausgebaut werden
- Dokumentationspflichten auf Datenverarbeitungstätigkeiten müssen sehr wahrscheinlich durch eine Software Lösung unterstützt werden
- Ein Löschkonzept muss erarbeitet werden
- Eine zentrale Geräte Konfiguration für Mitarbeiter mit strikter Trennung von Privat und Arbeit muss eingeführt werden
- Risiken müssen in einer Datenschutz Folgeabschätzung ermittelt werden
Was tun gegen den Bürokratie Tiger
Das wahrscheinlich beste Mittel um ohne hohe Berater- und Bürokratiekosten den Datenschutz in den Griff zu bekommen ist die Automatisierung. Hier ein paar Tipps, wie man mittels Automatisierung Zeit und Kosten beim Datenschutz sparen kann:
- Nutzen Sie Generatoren wie Datenschutzerklärungs-Generator, TOM-Dokumentations-Generator, Verzeichnis der Verarbeitungstätigkeiten Generator
- Nehmen Sie Ihr Datenschutz Audit selbst in die Hand mit Tools wie dem Datenschutz-Selbstaudit, so sparen Sie sich Zeit bei der Bestandsermittlung und helfen ggf. Ihrem Datenschutzbeauftragten bei der Vorarbeit
- Arbeiten Sie Verträge nicht teuer beim Anwalt neu aus, sondern nutzen Sie Vorlagen wie für den Auftragsdatenverarbeitungsvertrag
- Testen Sie Ihren Internet Auftritt automatisiert auf Datenschutz Konformität mit einem Website-Checker Tool
- Machen Sie sich ein Bild von Ihrem Datenschutz mit Fragebögen, wie dem Datenschutz Selbstest
- Machen Sie sich ein Bild von Ihrer IT Security mit unserem kostenlosen IT Security Selbsttest
Überprüfen Sie Ihre Dienstleister
Ein weiterer ganz wichtiger Punkt ist die Überprüfung welche externe Dienste man überhaupt einsetzt. Erinnert man sich an die Abmahnwelle wegen der Verwendung von Google Fonts, so sieht man schnell, dass auch kostenlose Software zu einem finanziellen Schaden führen kann, wenn Sie unsachgemäß verwendet wird. Gerade mittelständische Firmen glauben oft, dass mit dem Kauf einer Software und einem Siegel zu ISO 27001 auf der Software alle Pflichten erfüllt sind.
Aber: da liegen Sie falsch!
Viel wichtiger ist darauf zu achten, wie man diese Software konfiguriert, denn das Prinzip von Privacy by Default ist mit Nichten durchgängig am Markt etabliert. Es ist von entscheidender Bedeutung Ihre Software so zu konfigurieren, dass bei Datenverarbeitender Tätigkeit Dinge wie Mandantentrennung durch Verschlüsselung, Pseudonymisierung und physischer Trennung der Verarbeitung gegeben ist. Bei der meisten Software sind derartige Datenschutz freundliche Voreinstellungen nicht die Regel.
Achten Sie auch darauf wo Sie einkaufen. Wenn nur der Preis beim Kauf eines Routers oder einer Hardware Firewall entscheidend ist, dann fällt die Entscheidung schnell auf ein Gerät aus Fernost. Nicht selten wird dann aber von außen mitgehört oder nicht so genau auf Absicherung vor Cyberangriffen geachtet.
Gleiches gilt auch für blindes Vertrauen in den Datenschutz amerikanischer Unternehmen. Mag sein, dass nun ein Angemessenheitsbeschluss besteht, der sagt, dass Datenverarbeitung auch auf der anderen Seite des Ozeans angemessen gesichert ist. Nur es ist zu bedenken, dass Schrems III schon in der Entstehung ist und sehr wahrscheinlich gleich wieder das augenwischerische Abkommen (ohne echte Verbesserungen) mit den USA wegen Datenschutz Bedenken kippen wird, so wie es schon 2 mal geschehen ist.
Mitarbeiter Sensibilisierung ist Trumpf
Können Sie sich vorstellen, dass Ihre Mitarbeiter Fehler machen? Sei es bei der Verarbeitung von Daten, bei der Vergabe sicherer Passwörter, Beim Öffnen unsicherer Emails oder bei Weitergabe von Unterlagen an Dritte. Wie schnell ist das geschehen, dass ein Foto eines Mitarbeiters auf einer Webseite oder in einer Zeitung auftaucht, diesen aber niemand um seine Einwilligung gefragt hat. Ein klarer Datenschutzverstoß,
Aber: nicht der Mitarbeiter der das reingestellt hat muss dafür haften, sondern Sie als Geschäftsführer.
Denn Sie waren verantwortlich, Sie haben Ihre Mitarbeiter nicht geschult, ihnen keine Vorschriften gemacht was Sie nutzen dürfen und auch keine Einwilligungen vorab eingeholt.
Ein weiteres Beispiel: sind Sie sich zu 100 % sicher, dass Ihre Mitarbeiter Unterlagen von abgelehnten Bewerbern sofort gelöscht haben? Wenn nicht, dann sollten Sie aufpassen, denn Bewerbungsunterlagen enthalten oft unwissentlich besonders schützenswerte Daten, was einen großen Unterschied bei etwaigen Bußgeldern macht, wie Sie in unserem Bußgeld Rechner gerne nachvollziehen können.
Angst vor den Kosten
Viele kleine und Mittelständische Unternehmen werden der obigen Argumentation die hohen zu erwartenden Kosten für die Umsetzung des Datenschutz entgegenhalten. Aber das ist ein Trugschluss, mit ein bisschen Eigeninitiative bekommen Sie z.B. mit unserm DSGVO-Bundle den Datenschutz schon ab 79 € im Monat in den Griff. Für diejenigen die noch weniger Arbeit haben wollen, gibts dann auch noch die Möglichkeit eine Flatrate mit uns abzuschliessen, zu ebenfalls vernüftigen Preisen.