Dr. Frederike Rehker, Datenschutzbeauftragte und Florian Goldenstein, Head of IT Security bei Konica Minolta über die Herausforderungen der EU-Datenschutz-Grundverordnung.
Welche Anforderungen stellt die EU-DSGVO an Unternehmen, die Daten von EU-Bürgern speichern?
Die EU-DSGVO leitet eine völlig neue Ära des Datenschutzrechts ein. Alle Prozesse, in denen personenbezogene Daten eine Rolle spielen, müssen neu bewertet werden. Zu beachten ist auch ein verändertes Haftungsgefüge zwischen Betroffenen, Unternehmen und deren Dienstleistern: Bei Kooperationen besteht eine gesamtschuldnerische Haftung, so dass eine Kontrolle der Partner an Relevanz gewinnt. Insgesamt drohen bei Verstößen Sanktionen in Millionenhöhe.
Welches sind die größten Herausforderungen hierbei?
Die Erfüllung erweiterter Betroffenenrechte, das Erarbeiten von Konzepten zur Datenlöschung sowie die Beachtung des Grundsatzes „Privacy by Design“ bei der Entwicklung neuer Produkte verlangen Unternehmen einiges ab. Eine weitere Herausforderung stellen veraltete Infrastrukturen dar. Die EU-DSGVO fordert Sicherheitsmaßnahmen nach „Stand der Technik“. Dazu gehören etwa belastbare Abwehrmechanismen gegen Attacken, Antiviren- und Antimalware-Software sowie strenge Identifizierungs- und Authentifizierungsmechanismen. Kommunikationswege müssen verschlüsselt sein. Eine Next-Generation Firewall und ein IT Governance Konzept sind nun ein Muss.
Mit welchen Problemen kämpfen Unternehmen?
Die Bewältigung der Abweichung zwischen Ist und Soll der datenschutzrechtlichen Anforderungen ist ein Kraftakt. Innerhalb eines jeden Unternehmens muss eine tiefgreifende Sensibilisierung für das Thema Datenschutz erfolgen, die sich in einer veränderten Unternehmenskultur widerspiegelt. Die Erfüllung von Betroffenenrechten, insbesondere des Anspruchs auf Datenlöschung und des „Rechts auf Vergessen“, ist mit Sicherheit eine große technische und organisatorische Herausforderung. Betroffen ist nicht nur die eigene Datenverarbeitung, sondern auch die aller Dienstleister und Partner, die solche Informationen verarbeiten. Auch die Cloud ist eine Herausforderung. Fakt ist: Wenn ein Unternehmen Daten in eine Public Cloud ablegt, ist es für diese verantwortlich.
Was müssen Unternehmen jetzt tun, um die Anforderungen bis Mai 2018 umzusetzen?
Das hängt natürlich von der Branche des Unternehmens und der Menge sowie der Art verarbeiteter personenbezogener Daten ab. Ein mittlerer Handwerksbetrieb hat sicherlich einen überschaubareren Aufwand als der Betreiber eines Online-Shops. Als Faustregel gilt: Je mehr Prozesse digital ablaufen, desto aufwändiger ist die Umsetzung des Datenschutzes. Vielen Unternehmen ist nicht klar, wie viele Prozesse betroffen sind. Die Umsetzung bis Mai 2018 erfordert eine strukturierte Vorgehensweise. Wer bis heute noch nicht angefangen hat, sollte jetzt Vollgas geben, am besten mit externer Unterstützung.
Wie unterstützt Konica Minolta Unternehmen hierbei?
Wir bieten das gesamte Portfolio: Angefangen bei einer Ist-Analyse unserer zertifizierten Consultants über die daraus resultierenden „to dos“ unter Erstellung einer Prioliste bis hin zur Unterstützung bei der Umsetzung. Dabei ist zu berücksichtigen, dass alle Abteilungen betroffen sind, die mit personenbezogenen Daten umgehen. Die Datenverarbeitung mit Subunternehmen ist zu prüfen. Im Bereich unserer Multifunktionssysteme unterstützt Konica Minolta mit einem großen Angebot an Dienstleistungen, wie mit speziellen APPs, Einstellungsmöglichkeiten und der sicheren Datenlöschung bei Rückgabe. So profitieren Kunden von einem umfangreichen Paket an Lösungen.
Wer prüft denn Vergehen gegen das Gesetz und wie realistisch sind die hohen Bußgeld-Auflagen?
Neben der Verhängung von drastischen Bußgeldern durch die Aufsichtsbehörden, verfügen auch Betroffene, Verbraucherverbände und Datenschutzvereine über erweiterte Rechte. Wir sehen es als realistisch an, dass die Verhängung von abschreckenden Sanktionen erfolgen wird.