DSGVO

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die seit Mai 2018 unmittelbar in allen Mitgliedsstaaten gilt. Sie regelt, wie personenbezogene Daten verarbeitet werden dürfen, also alle Informationen, die sich auf eine identifizierbare Person beziehen, etwa Namen, Adressen, E-Mail-Adressen, Kundennummern oder IP-Adressen. Ziel ist ein einheitlich hoher Schutz dieser Daten innerhalb der EU bei gleichzeitig freiem Datenverkehr im Binnenmarkt.

Im Zentrum stehen einige Grundsätze, an denen sich jede Verarbeitung messen lassen muss: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Vereinfacht gesagt: Daten dürfen nur für einen klaren, vorher festgelegten Zweck und auf einer rechtlichen Grundlage erhoben werden, nur so lange wie nötig gespeichert und müssen angemessen geschützt sein. Für betroffene Personen verankert die Verordnung zudem konkrete Rechte wie Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.

In der Praxis beginnt DSGVO-Konformität mit einem Überblick darüber, welche personenbezogenen Daten überhaupt vorhanden sind und wo sie verarbeitet werden. Dieser Überblick mündet in das Verzeichnis von Verarbeitungstätigkeiten, das fast jedes Unternehmen führen muss. Daraus leiten sich die rechtlichen Grundlagen ab, etwa eine Einwilligung, die Erfüllung eines Vertrags oder ein berechtigtes Interesse. Werden Dienstleister mit der Verarbeitung beauftragt, ist in der Regel ein Vertrag zur Auftragsverarbeitung erforderlich.

Technisch und organisatorisch verlangt die DSGVO angemessene Schutzmaßnahmen. Dazu zählen ein durchdachtes System von Zugriffsrechten, der Einsatz von Verschlüsselung für sensible Daten, eine verlässliche Authentifizierung sowie ein Schutz vor Angriffen durch Firewall-Systeme und weitere Cyber-Security-Maßnahmen. Ebenso gehören eine geordnete Archivierung im Rahmen gesetzlicher Aufbewahrungspflichten und tragfähige Backup-Strategien dazu, denn Datenverlust durch Ransomware oder technisches Versagen ist auch ein Datenschutzthema. Kommt es trotz aller Vorkehrungen zu einer Datenpanne, sind enge Meldefristen einzuhalten.

Die DSGVO gilt unabhängig von der Unternehmensgröße. Auch kleine und mittlere Betriebe verarbeiten Daten von Kunden, Lieferanten und Mitarbeitern und stehen damit in der Pflicht. Verstöße können empfindliche Bußgelder nach sich ziehen, die sich am Umsatz orientieren können. Mindestens ebenso schwer wiegt jedoch der Vertrauensverlust: Wird bekannt, dass ein Unternehmen sorglos mit Daten umgeht, schadet das der Reputation oft nachhaltiger als die Geldbuße selbst.

Gleichzeitig ist Datenschutz kein reines Pflichtthema. Ein nachweisbar sorgsamer Umgang mit Daten ist im B2B-Geschäft zunehmend ein Vertrauens- und Vertriebsargument, weil Geschäftspartner ihrerseits in der Verantwortung stehen und auf konforme Lieferanten angewiesen sind. Besonders bei der Auswahl von Cloud-Lösungen und Software lohnt der Blick darauf, wo Daten gespeichert werden. Ein in der EU betriebener Dienst, etwa auf Basis einer DSGVO-konform konfigurierten Plattform wie Microsoft Azure, vereinfacht die rechtliche Bewertung erheblich.

Datenschutz wird dann am wirtschaftlichsten, wenn er früh mitgedacht und nicht im Nachhinein aufgesetzt wird. Wer im Zuge der Digitalisierung neue Prozesse und Werkzeuge einführt, kann Datenschutz und Datensicherheit gleich als Grundprinzip verankern, statt später teuer nachzubessern. Dieses Prinzip, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, ist in der Verordnung ausdrücklich verankert.

Wichtig ist dabei die Abgrenzung der Rollen: Die DSGVO regelt rechtliche und organisatorische Pflichten, deren konkrete Auslegung im Einzelfall eine Rechtsberatung erfordert. Technische Beratung wiederum hilft, die geforderten Schutzmaßnahmen sauber umzusetzen. Beides greift ineinander, ersetzt sich aber nicht.

Bei ITTK begegnet uns das Thema DSGVO in nahezu jedem Projekt, weil Infrastruktur, Cloud, Telefonie und Marketing allesamt personenbezogene Daten berühren. Als unabhängige Beratung aus Düsseldorf legen wir Wert darauf, technische Lösungen so vorzuschlagen, dass sie sich datenschutzkonform betreiben lassen, etwa durch die bewusste Wahl europäischer Rechenzentren oder durch saubere Berechtigungskonzepte. Eine eigene Rechtsberatung leisten wir dabei bewusst nicht, sondern verweisen für die juristische Bewertung auf die zuständigen Fachleute.

Gerade Unternehmen aus NRW, die mit Geschäftspartnern im gesamten EU-Raum arbeiten, profitieren davon, Datenschutz von Anfang an als festen Bestandteil ihrer IT- und Kommunikationsentscheidungen zu behandeln. Unsere Rolle ist es, die technischen Stellschrauben so zu setzen, dass die geltenden Anforderungen praktikabel erfüllbar bleiben.