Datenschutz leicht gemacht

Datenschutz leicht gemacht

DataGuard Die Anforderungen der DSGVO an den Datenschutz sind hoch. Mit einem externen Partner wie dem Münchner Compliance-Spezialisten DataGuard können Unternehmen sich wieder auf ihr Kerngeschäft konzentrieren.

Erst vor wenigen Wochen hat sich die EU-Kommission grundsätzlich zufrieden damit gezeigt, wie sich ihr riesiges Datenschutz-Werk in den Alltagsbetrieb der Unternehmen integriert. Die DSGVO sei unzweifelhaft eine Erfolgsgeschichte, sagte Věra Jourová, Vizepräsidentin der EUKommission, bei der Präsentation des ersten Erfahrungsberichts aus Brüssel. Im Mai 2016 wurden die umfangreichen Bestimmungen verabschiedet, nach zweijähriger Übergangszeit war die DSGVO schließlich anwendbar – nach langen, zähen Vorbereitungen. Das Ziel: Den Datenschutz endlich vom Kopf auf die Beine zu stellen. Der ungeprüften Sammelleidenschaft der Unternehmen im Internet sollte eine verbraucherfreundliche Lösung entgegengestellt werden, die auf Zustimmung, Kontrolle und Transparenz beruht. Das Ergebnis gilt längst als gelungen, trotz anfänglich großer Skepsis in der Öffentlichkeit. Mehr noch: Andere Länder nehmen sich die DSGVO inzwischen zum Vorbild, die EU-Statuten sind zum Maßstab für funktionierenden Datenschutz geworden.
Allerdings, und das musste auch EU-Vizepräsidentin Jourová kürzlich bei der Präsentation ihrer Evaluation gestehen, durchaus erst dank der erheblichen Anstrengungen durch die Unternehmen. Denn um allen Regeln in jeder Situation gerecht zu werden, bedarf es umfangreicher und aufwendiger Maßnahmen, von einem Verzeichnis der Verarbeitungstätigkeiten bis hin zu Mitarbeiterschulungen. Ab einer bestimmten Betriebsgröße muss zudem ein Datenschutzbeauftragter benannt werden – konkret: Wenn das Unternehmen ständig 20 oder mehr Mitarbeiter damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten, oder – ganz unabhängig von der Mitarbeiterzahl – wenn das Unternehmen mit besonders sensiblen Daten arbeitet. Keine Frage, die DSGVO verursacht viel Arbeit und hohe Kosten. In einer Umfrage des Mannheimer Leibniz-Zentrums für Europäische Wirtschaftsforschung gaben jüngst geschlagene 60 Prozent der befragten 600 Unternehmen an, dass die DSGVO ihre Geschäftstätigkeit komplizierter gemacht habe.
Die Folge: Um sich wieder ungehindert um ihr Kerngeschäft kümmern zu können, lagern viele Firmen den Datenschutz komplett aus, überlassen es externen Beratern und Dienstleistern, DSGVO-Konformität überall dort herzustellen, wo personenbezogene Daten gespeichert und genutzt werden. Viele Consulting-Firmen bieten das Thema mit an, auch IT-Dienstleister nehmen es häufig in ihr Portfolio auf, inzwischen gibt es sogar eine eigene DSGVO-Versicherung, die bei Rechtsstreitigkeiten bis zu einer Million Euro greift. In München arbeitet die DataCo GmbH mit ihrer Marke DataGuard als einer der wenigen reinen DSGVO-Spezialisten. Über 100 Mitarbeiter kümmern sich dort ausschließlich um das Thema Datenschutz bei mittlerweile über 1000 Unternehmen.

Datenschutz-Maßnahmen

Aber wie funktioniert das im Einzelnen? DataGuard hat eine mehrstufige Analyse aufgesetzt, an deren Beginn detaillierte Fragebögen zu den Datenschutz- Anforderungen des Unternehmens stehen, die in der eigens von DataGuard entwickelten Datenschutz-Plattform eingebunden sind. Die Plattform arbeitet mit Machine-Learning-Technologien und destilliert aus bis zu 1500 Einzelpunkten konkrete Handlungsempfehlungen. Nach Klärung aller eventuell noch offenen Fragen unterstützt Data- Guard seine Kunden bei der Umsetzung aller empfohlenen Maßnahmen, jeder einzelne Schritt wird auf der Plattform dokumentiert.

Individuelle Beratung

Da die Anforderungen an Datenschutz und Datensicherheit aber je nach Branche und Unternehmensgröße variieren, bietet Data-Guard unterschiedliche, auf die speziellen Anforderungen zugeschnittene Pakete an. Der Vorteil: Während viele DSGVO-Beratungen auf Stundenbasis basieren und daher sehr schnell sehr teuer werden können, berechnet DataGuard etwa für KMUs zwischen 1000- 3000 Euro einmalig für den Audit-Prozess und danach zwischen 150- 500 Euro monatlich bei einem Zwei-Jahres-Vertrag. Werkstätten, Einzelhändler, Restaurants oder Handwerker haben schließlich weitaus niedrigere Datenschutz- Anforderungen als Unternehmen mit mehr als 100 Mitarbeitern etwa aus den datenintensiven Branchen Finanzen, IT oder Personaldienstleistung. Markenartikler, die in komplexe Konzernstrukturen eingebunden sind, werden von DataGuard eigens individuell eingestuft, abhängig von den Wünschen und Anforderungen des Unternehmens. Vielfach arbeiten dort bereits interne Datenschutz-Teams an dem Thema, weshalb die Unternehmen oft nur spezielle Bereiche oder einzelne Marken auslagern.

Datenschutz Made in Europe

Zuständig für den Schutz personenbezogener Daten in der EU sind jeweils die nationalen Stellen der einzelnen Mitgliedsstaaten. In Deutschland ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (www.bfdi.bund.de). Die Bundesbehörde sitzt in Bonn und wird derzeit von dem SPD-Politiker Ulrich Kelber geleitet. Verantwortlich in den Bundesländern sind allerdings die 16 Landesdatenschutzbeauftragten. Koordinierend zwischen Bund und Ländern sowie als Bindeglied zum Europäischen Datenschutzausschuss wirkt die Zentrale Anlaufstelle des BfDI.

Möglich werden die im Vergleich zu Consulting-Firmen um bis zu 90 Prozent niedrigeren Preise durch das einmalige Zusammenspiel aus persönlicher Beratung durch Datenschutz-Experten mit langjähriger Berufserfahrung und der intelligenten Plattform, die unübersichtliche Excel-Sheets ersetzt, wie sie in vielen Unternehmen üblich sind. Die Internet-Plattform wird dabei von beiden Parteien genutzt, um so nicht nur den Status quo des Kunden in Sachen Datenschutz erfassen zu können, sondern auch die Dokumentation aller datenschutzrelevanten Vorgänge sicherzustellen. In die Plattform integriert sind zudem Vorlagen und Tools. So können darüber etwa Datenschutzerklärungen generiert werden und Mitarbeiter des Kunden erhalten Online-Schulungen in Sachen Datenschutz. Die Plattform ist dabei leicht verständlich gestaltet, um sie für Kunden ohne umfangreiche Einführung nutzbar zu machen.

"Andere Länder nehmen sich die DSGVO inzwischen zum Vorbild, die EU-Statuten sind zum Maßstab für funktionierenden Datenschutz geworden."

Was nicht heißt, dass adäquater Datenschutz ein Kinderspiel wäre. Im Gegenteil. Allein schon das richtige Löschkonzept für personenbezogene Daten zu erstellen, erweist sich bei näherem Hinsehen als überaus zeitaufwendige Aufgabe. Das sogenannte Recht auf Vergessenwerden ist eine der wichtigsten Errungenschaften der DSGVO und wird vom Gesetzgeber entsprechend komplex gehandhabt. Robert Mäckle, Senior Datenschutzbeauftragter bei Data- Guard, gibt einen Einblick in die Materie: „Der vielleicht mühseligste Schritt beim Löschkonzept kommt gleich am Anfang: Es muss zunächst festgestellt werden, wo im Unternehmen überall personenbezogene Daten vorhanden sind und wer tatsächlich für diese verantwortlich ist. Zudem darf sich das Löschkonzept nicht nur auf unternehmensintern gespeicherte Daten beziehen. Viele Software-as-a-Service-Dienstleister geben personenbezogene Daten standardmäßig an Auftragsverarbeiter weiter. Auch das muss sich im Löschkonzept widerspiegeln.“ Ist das erledigt, müssen die Daten aber noch kategorisiert werden, etwa nach Daten zu Gesundheit, zur politischen Weltanschauung oder zu religiösen Überzeugungen, alles Bereiche, die durch die DSGVO besonders geschützt sind. Mäckle: „Nach der Kategorisierung personenbezogener Daten im Unternehmen beginnt die Arbeit am eigentlichen Löschkonzept.“ Systematisch müssten dabei erst die jeweiligen Löschregeln für alle aufgefundenen Arten von Daten beachtet werden, dann gehe es an deren Umsetzung und Dokumentation, sodann gelte es, einen Verantwortlichen für all diese Aufgaben zu bestimmen und schließlich sei auch noch an die Aktualisierung und Weiterentwicklung des Löschkonzepts zu denken.

Was sind „personenbezogene Daten“?

Die Europäische Kommission hat die wichtigsten Daten, die zur Identifizierung einer Person führen, folgendermaßen konkretisiert:

  • Name und Vorname
  • Privatanschrift
  • persönliche E-Mail-Adresse
  • Ausweisnummern
  • Standortdaten des Mobiltelefons
  • IP-Adresse
  • Cookie-Kennung
  • Werbekennung des Telefons
  • Krankenhaus- und Arzt-Daten

Damit die Daten rechtlich nicht mehr als personenbezogen gelten, müssen sie, so die Europäische Kommission, „in einer Weise anonymisiert“ werden, „dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“ und zwar „unumkehrbar“.

Datenschutz ist ein Prozess. Regeln werden an die sich ständig verändernde Computertechnik angepasst bzw. neu hinzugenommen, siehe etwa das jüngste Urteil vom EuGH und dem BGH zum Thema Cookies. Neuartige Daten fließen in die IT-Systeme der Kunden, Geschäftsmodelle verändern sich, werden erweitert, neue Produkte machen eine Anpassung der Datenschutz- Praktiken notwendig. Zu den zentralen Leistungen von Data- Guard gehört daher auch ein Kontingent an Beratungszeiten – jeweils abgestimmt auf das spezifische Datenschutzpaket. Die Stunden können von den Unternehmen je nach Bedarf abgerufen werden. Wie sinnvoll dies ist, zeigt sich gerade jetzt am Beispiel von Restaurants, Biergärten, Friseurläden oder Vergnügungsparks, also denjenigen Unternehmen, die nach der partiellen Öffnung des Lockdowns Kontaktdaten ihrer Kunden erfassen müssen und damit vor neuen datenschutzrechtlichen Herausforderungen stehen. Welche Daten sollen genau erfasst werden und wie ist richtig mit ihnen umzugehen? Was einfach und nach reinem Bauchgefühl aussieht, zeigt sich im Detail als durchaus knifflig.

"Erfassen Sie wirklich nur die Daten, die Sie erfassen müssen – und dies auch nur, so lange Sie müssen."
Andreas Riehn, Senior Consultant DataGuard

Minimum an Datenerfassung

Andreas Riehn, Senior Consultant, empfiehlt deshalb, unbedingt auf Nummer sicher zu gehen: „Erfassen Sie nur so viel wie unbedingt notwendig, keinesfalls mehr. Was unbedingt erforderlich ist, ergibt sich aus den länderspezifischen Regeln. Neben den genannten Daten kann das beispielsweise auch der Zeitraum des Besuchs sein. Wer mehr als das geforderte Minimum an Daten erfasst – also beispielsweise die E-Mail-Adresse, obwohl nur die Anschrift verlangt wird, oder umgekehrt –, dem fehlt schlicht die Rechtsgrundlage für die Datenverarbeitung. Und das wäre wiederum problematisch im Sinne der DSGVO, die eine Verarbeitung ohne Rechtsgrundlage ausschließt.“ Und das bedeutet: Auch jede zusätzliche Verwendung der Daten ist tabu. Schließlich werden diese nur deshalb erhoben, um den Behörden im Infektionsfall die Nachverfolgung zu erleichtern. „Natürlich wäre es denkbar“, meint Riehn, „den Gast oder Kunden direkt auf der Kontaktliste um seine Einwilligung zur Datenverarbeitung für Werbezwecke zu bitten.“ Doch genau dies sei eben tunlichst zu unterlassen, so der Datenschutzexperte. „Vermischen Sie diese beiden Anliegen nicht“, rät Riehn. „Erfassen Sie wirklich nur die Daten, die Sie erfassen müssen – und dies auch nur so lange Sie müssen.“
DSGVO-Konformität ist schon aus Compliance-Gründen ein wichtiger Wettbewerbsvorteil, der in Verhandlungen als Vertrauensvorschuss wirkt – aber eben nicht nur: Allein bis zu Beginn dieses Jahres verhängten die Datenschutzbeauftragen der Länder und des Bundes insgesamt 225 Strafen wegen Verstößen gegen die DSGVO, etliche davon auch in Millionenhöhe. So muss der Telekommunikationskonzern 1&1 9,55 Millionen Euro zahlen, nachdem Kundendaten von Callcenter-Mitarbeitern allein schon bei Nennung von Namen und Geburtsdatum herausgegeben wurden. Und gegenüber der Immobiliengesellschaft Deutsche Wohnen wurde gar ein Bußgeld von 14,5 Millionen Euro verhängt, weil das Unternehmen die Daten von Mietsuchenden und Mietern trotz Aufforderung nicht nur jahrelang nicht gelöscht hatte – technisch war das zudem gar nicht möglich gewesen. Wie weit die Bußgeld-Spanne reicht, zeigt das Beispiel Rapidata. Der Freiburger Internet- Provider muss 10 000 Euro zahlen, weil er trotz mehrmaliger Aufforderung keinen Datenschutzbeauftragten im Unternehmen bestimmt hatte.

Vertrauen durch Schutz

Auch dafür sind Datenschutz- Spezialisten wie DataGuard da: Um ihre Kunden vor eben solchem Unheil zu bewahren. Aber mehr noch, um sie in wirklich 100% DSGVO-konforme Unternehmen zu verwandeln. Denn nur wer die Daten seiner Kunden und Geschäftspartner schützt, hat sich auch deren Vertrauen verdient.

Weitere Informationen unter: www.dataguard.de

 

DataGuard im Kurzporträt

Kivanç Semen, Thomas Regier, Dr. Markus Fisseler und Reinhard Gorenflos gründeten DataGuard vor beinahe drei Jahren, um Unternehmen eine pragmatische, softwaregestützte und preislich faire Datenschutz-Lösung anzubieten. Anwaltskanzleien und Beratungsfirmen fehlt oft das nötige technische und juristische Detailwissen für eine 100-prozentige DSGVO-Konformität. Heute unterstützt das DataGuard-Team eine vierstellige Kundenzahl bei der Erreichung dieses Ziels. Dabei verfolgt DataGuard einen „Privacy-as-a-Service-Ansatz (PaaS). DataGuard ist damit zu einem bundesweit führenden Anbieter von externem Datenschutz für KMUs bis hin zu internationalen Großkonzernen geworden.

Kivanç Semen ist studierter Wirtschaftsinformatiker (BSc) und Wirtschaftsingenieur (MSc). Er legte bereits im Studium am Karlsruhe Institute of Technology, an der Carnegie Mellon University in Pittsburgh (USA) sowie an der Universidad Carlos III in Madrid seinen Schwerpunkt auf Datenschutz und IT-Security. Semen ist qualifizierter Datenschutzbeauftragter (DEKRA) und hat bereits mehr als 100 KMU-Kunden als persönlicher Datenschutzbeauftragter betreut. Bereits mit 17 gründete er die IT-Beratung GEKES. Seit 2010 arbeitet Semen als Technologieunternehmer. Deutsch-türkischer Abstammung, kommt er aus der Nähe von Stuttgart und ist bekennender Fan des VfB Stuttgart. Er engagiert sich als Mentor und Pro-Bono-Berater. Bei DataGuard ist Semen Leiter der Bereiche IT, Plattform und Consulting/Datenschutz. Er ist als CTO und Geschäftsführer des Unternehmens die treibende Kraft hinter der (Weiter-)Entwicklung der Webplattform sowie der Konzeption neuer Features und Legal Technology Use Cases über den Datenschutz hinaus, etwa im Bereich ISO-Zertifizierung, Compliance und Schulungen.

Thomas Regier ist Mitgründer und Geschäftsführer des B-to-B-Legal-Technology-Unternehmens DataGuard aus München. Er studierte Wirtschaftsund Politikwissenschaften an der Harvard University (Master of Public Administration), der University of Cambridge (MPhil) sowie der Universität St. Gallen (B.A. VWL und B.A. BWL). Im Studium setzte er sich vor allem mit den Themen Digitalisierung, Datenschutz und Cybersecurity/-policy auseinander. Thomas Regier hat vor der Gründung von DataGuard über 10 Jahre im Ausland studiert und gearbeitet. Er war als Director Finance bei dem Biotechnologie-Wachstumsunternehmen InGeneron Inc. in Boston sowie als Analyst/ Associate in der Investment Banking Division bei Goldman Sachs in London tätig und arbeitete dort an den Themen Technology/Media/Telecom M&A und Equity Capital Markets. Zuvor gründete und führte Regier zwei Technologieunternehmen. Er ist Münchner mit chinesisch-argentinischen Wurzeln. Als Co-Founder von DataGuard ist Regier für den Geschäftsausbau zuständig und betreut die TÜV-Prüfung der Datenschutzbeauftragten des Unternehmens.

Die Datenschutz-Lösung von DataGuard wird auch über die Deutsche Telekom an deren Geschäftskunden vertrieben. Im März dieses Jahres investierte die Londoner Private-Equity-Firma One Peak 20 Millionen US-Dollar in das weitere Wachstum des Legal-Tech-Unternehmens.

Bilder zum Artikel: