Datenschutz: Neue Pflichten für Unternehmen

Strengere Regeln, weniger Ausnahmen und mehr Rechte für die Verbraucher: Europa hat den Umgang mit personenbezogenen Daten neu geregelt. Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Sie ersetzt die bislang unübersichtlichen nationalen Gesetze der verschiedenen Mitgliedsstaaten. Auch wenn vieles in der Verordnung dem bisherigen deutschen Standard entspricht, ist für Unternehmen hierzulande noch einiges zu tun. Das betrifft auch Fragen der IT-Sicherheit. „Es lohnt sich auf jeden Fall, sich rechtzeitig damit zu befassen“, rät Franz Becicka, Datenschutzkoordinator bei LEW TelNet.

 

 

Für wen gelten die Regelungen der neuen Datenschutz-Grundverordnung?

Für alle Unternehmen in der EU – unabhängig von der Branche oder der Größe. Die DSGVO schließt explizit auch Firmen mit Sitz außerhalb der EU ein, sofern sich ihre Angebote an Bürger in der EU richten – das sog. Marktortprinzip. Dies betrifft auch Großkonzerne wie Facebook oder Google, die bislang europäische Schutzstandards umgehen konnten.

 

Um was geht es bei der neuen Verordnung?

Grob gesagt geht es, wie schon im Bundesdatenschutzgesetz, um den sicheren Umgang mit personenbezogenen Daten. Das betrifft die Erhebung, Speicherung und Verarbeitung solcher Daten, deren Schutz und vieles mehr. Aber auch die IT-Sicherheit ist nach wie vor ein wichtiger Baustein des neuen Datenschutzpaketes. „Ohne IT-Sicherheit ist schließlich kein Datenschutz möglich“, sagt der LEW TelNet-Datenschutzkoordinator, Franz Becicka.

 

Was sind die wichtigsten Regeln der neuen Verordnung zur IT-Sicherheit?

Bereits heute ist der Schutzstandard im Bereich der IT-Sicherheit in Deutschland durch die nationale Gesetzgebung hoch – und damit auch der Aufwand, den Unternehmen betreiben müssen. Neu hinzugekommen sind durch die DSGVO höhere Anforderungen an die Dokumentation dieser Maßnahmen, die künftig zudem in ein Gesamtkonzept eingebunden sein müssen. Basis dafür ist eine Risikoanalyse. Das heißt: Schutzmaßnahmen werden nicht pauschal vorgeschrieben, sie müssen verhältnismäßig sein. „Wenn ein Unternehmen beispielsweise mit besonders sensiblen Personendaten arbeitet, muss es massiv in die IT-Sicherheit investieren“, sagt Becicka. Technische Schutzmaßnahmen müssen zudem dem „Stand der Technik“ entsprechen, heißt: Unternehmen müssen am Puls der Zeit sein und laufend prüfen, wo es Nachbesserungsbedarf gibt. Außerdem werden Verstöße gegen die Verordnung mit hohen Bußgeldern geahndet: Die können bis zu 20 Millionen Euro oder vier Prozent des weltweiten erzielten Jahresumsatzes betragen. Kontrolliert wird übrigens nicht nur nach Datenschutzpannen, sondern auch initiativ durch die Behörden.

 

Wer profitiert von der neuen Verordnung?

Ganz klar: die Verbraucher. Sie werden künftig besser über ihre Rechte und den Umgang mit ihren Daten informiert. Außerdem müssen künftig alle Pannen innerhalb von 72 Stunden gemeldet werden. Und allein die hohen Bußgelder dürften Unternehmen europaweit davon abhalten, allzu lasch mit persönlichen Daten umzugehen.

 

Wer unterstützt Unternehmen dabei, die neue Verordnung einzuhalten?

Verfügt ein Unternehmen nicht selbst über das nötige Know-how oder die entsprechenden Ressourcen, empfiehlt Franz Becicka, sich an die entsprechenden Landesdatenschutzbehörden oder an externe Experten zu wenden.

 

Wie unterstützt LEW TelNet die Kunden bei der Umsetzung?

Hat ein Unternehmen ermittelt, welche besonderen Anforderungen an die eigene Datenschutzorganisation gestellt werden, ist LEW TelNet Ansprechpartner für eine Reihe von technischen Maßnahmen. Denn viele technische Schutzmaßnahmen – vom überwachten, sicheren Serverraum bis zum redundanten Netz – können Unternehmen im Alleingang nur mit großem Aufwand realisieren. LEW TelNet dagegen bietet mit Rechenzentrumsdiensten und Infrastrukturlösungen bereits Rundum-Sorglos-Pakete.

 

Ist die Auslagerung der eigenen Daten in das Rechenzentrum von LEW TelNet eine Möglichkeit, für mehr Sicherheit zu sorgen?

Auf jeden Fall. LEW TelNet betreibt ein eigenes, vom TÜV Süd zertifiziertes Rechenzentrum in Augsburg. Dorthin können Kunden ihre Daten oder Systeme auslagern – und damit eine Reihe von Schutzstandards erfüllen, ohne sich selbst darum kümmern zu müssen. Denn das LEW TelNet-Rechenzentrum verfügt über ein eigenes IT-Sicherheits-Managementsystem. Dadurch wird das Auftreten potentieller Schwachstellen, Bedrohungslagen und anderer Risiken kontinuierlich überwacht und die Systeme werden bei Bedarf umgehend nachgeschärft sowie kontinuierlich weiter entwickelt. Externe und interne Audits garantieren eine hohe Sicherheit auf dem von der DSGVO geforderten Stand der Technik. „Wir können den Kunden somit einen Teil seiner Verpflichtungen abnehmen, wenn er unsere Infrastruktur nutzt“, sagt Franz Becicka.

 

Wie sieht es mit Regio Data Space aus?

Gleiches gilt für Regio Data Space, der schwäbischen Cloud. Weil alle Daten dort sicher verwahrt sind und sich die entsprechenden Server in der Region befinden, besteht ein klarer Standortvorteil. „Bei vielen Cloudlösungen weiß man nicht, wo die Daten letztlich gespeichert werden“, erklärt der Experte von LEW TelNet. Möglicherweise auf einem Server außerhalb der EU? Das kann bei sensiblen Daten für Unternehmen sehr schnell zum Problem werden. Mit Regio Data Space geht der Kunde auf Nummer sicher.

 

Gibt es weitere Produkte von LEW TelNet, die den Datenschutz verbessern können?

LEW TelNet bietet verschiedene Lösungen die dazu beitragen können, die geforderten Standards einzuhalten – von der Firewall der nächsten Generation (Managed Security Gateway) bis zum Backup. Auch die Standortvernetzung mit Glasfaser, ohne über öffentliche Netze wie das Internet gehen zu müssen, sorgt für eine hohe Sicherheit beim Datenaustausch.