Ab dem 25. Mai 2018 muss die EU-Datenschutzgrundverordnung umgesetzt sein. Mit eigens entwickelter Software und Services will der IT- und Datenschutzexperte Andreas Chvatlinsky Kleinbetriebe mit bis zu fünf Mitarbeitern DSGVO-fit machen. [...]
Seit 1996 ist die im niederösterreichischen Obersiebenbrunn beheimatete Firma Chvatlinsky und Co. GmbH (Chvaco) mit Zweigstelle im ersten Wiener Gemeindebezirk als IT-Dienstleister tätig. In diesen Jahren hat sich das Unternehmen zu einem Systemhaus mit eigener Software-Entwicklung gemausert. Der Ausbau geht stetig voran: Seit letztem Jahr bietet Eigentümer und Geschäftsführer Andreas Chvatlinsky auch den Bereich Unternehmensberatung an, seit diesem Sommer ist er geprüfter Datenschutzexperte. Mit diesem Wissen ausgestattet, weiß er um die weitreichenden Veränderungen, die durch die DSGVO bewirkt werden. „Für die IT verändert sich am 25. Mai 2018 die Welt“, betont Chvatlinsky. Leider nehmen viele Unternehmen die DSGVO zu wenig oder gar nicht ernst. „Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft“, warnt Andreas Chvatlinsky und fügt hinzu, dass ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb genauso von der neuen Regelung betroffen ist.
„Es wird zu wenig dokumentiert“
Bei Kleinbetrieben sei zu wenig geregelt und werde zu wenig dokumentiert, konstatiert der Chvaco-Chef. Undokumentierte Fernwartungen, nicht geregeltes BYOD (Bring Your Own Device), also ob und wie jemand mit seinem eigenen Smartphone ins Firmennetz darf oder nicht, seien nur zwei Punkte, die künftig präzise formuliert und dokumentiert werden müssten. Bisher war das Risiko mit Strafen um die 10.000 Euro kalkulierbar, mit der DSGVO drohen Strafen bis maximal 20 Millionen Euro – das verlangt nach geeigneten Umsetzungsmaßnahmen. Zertifizierungen nach Standards wie ISO 27000 oder ISO 9000 seien für Kleinbetriebe keine gangbaren Möglichkeiten, da mit hohen Kosten von zigtausend Euro zu teuer und zu aufwändig. Was können Klein(st)betriebe also tun?
Bei Kleinbetrieben sei zu wenig geregelt und werde zu wenig dokumentiert, konstatiert der Chvaco-Chef. Undokumentierte Fernwartungen, nicht geregeltes BYOD (Bring Your Own Device), also ob und wie jemand mit seinem eigenen Smartphone ins Firmennetz darf oder nicht, seien nur zwei Punkte, die künftig präzise formuliert und dokumentiert werden müssten. Bisher war das Risiko mit Strafen um die 10.000 Euro kalkulierbar, mit der DSGVO drohen Strafen bis maximal 20 Millionen Euro – das verlangt nach geeigneten Umsetzungsmaßnahmen. Zertifizierungen nach Standards wie ISO 27000 oder ISO 9000 seien für Kleinbetriebe keine gangbaren Möglichkeiten, da mit hohen Kosten von zigtausend Euro zu teuer und zu aufwändig. Was können Klein(st)betriebe also tun?
„Zu allererSt Verschlüsseln“
Hier hat Chvatlinsky einen guten Ratschlag parat: „Die allererste Maßnahme ist die Verschlüsselung der Daten.“ Denn selbst wenn personenbezogene Daten unerlaubterweise abgesaugt oder ein Notebook gestohlen würde, könnten Hacker mit den Daten nichts anfangen, wenn diese verschlüsselt wären. Wer jetzt glaubt, er sei ohnedies von der DSGVO nicht betroffen, da er keine personenbezogenen Daten von Kunden speichere, der sei möglicherweise im Irrtum, so Chvatlinsky. Besonders sensible und daher schützenswerte personenbezogene Daten seien Informationen über ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen sowie auch die sexuelle Orientierung.
Doch die Informationen beträfen nicht nur die Kunden eines Unternehmens, sondern auch dessen Mitarbeiter, weiß Chvatlinsky. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie. Da bei uns der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel aufscheine, so der Chvaco-Chef, fielen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen und seien schützenswerte, personenbezogene Daten.
Hier hat Chvatlinsky einen guten Ratschlag parat: „Die allererste Maßnahme ist die Verschlüsselung der Daten.“ Denn selbst wenn personenbezogene Daten unerlaubterweise abgesaugt oder ein Notebook gestohlen würde, könnten Hacker mit den Daten nichts anfangen, wenn diese verschlüsselt wären. Wer jetzt glaubt, er sei ohnedies von der DSGVO nicht betroffen, da er keine personenbezogenen Daten von Kunden speichere, der sei möglicherweise im Irrtum, so Chvatlinsky. Besonders sensible und daher schützenswerte personenbezogene Daten seien Informationen über ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen sowie auch die sexuelle Orientierung.
Doch die Informationen beträfen nicht nur die Kunden eines Unternehmens, sondern auch dessen Mitarbeiter, weiß Chvatlinsky. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie. Da bei uns der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel aufscheine, so der Chvaco-Chef, fielen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen und seien schützenswerte, personenbezogene Daten.
Um also zum Stichtag 25. Mai 2018 DSGVO-konform zu sein, müssen Unternehmen ihre kompletten Datenbestände überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einholen, und die bestmöglichen, dem Stand der Technik entsprechenden Schutzvorkehrungen implementieren. Das sind Aufgaben, für die bei Großbetriebe ein eigener Datenschutzkoordinator zuständig ist, mittlere und kleine Betriebe stehen hier jedoch vor einer gewaltigen Herausforderung.
Weitgehend automatisiert zur DSGVO-Konformität
Deswegen hat die Chvatlinsky und Co. GmbH ein Angebotspaket für Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern geschnürt, bei dem anhand zahlreicher Checklisten sämtliche Risikofaktoren –vom Cloud Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke – analysiert werden. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da die größte Sicherheitslücke ja der Mensch ist, kommt der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu. „Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang“, beruhigt Chvatlinsky. „Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheitsmaßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache.“
Deswegen hat die Chvatlinsky und Co. GmbH ein Angebotspaket für Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern geschnürt, bei dem anhand zahlreicher Checklisten sämtliche Risikofaktoren –vom Cloud Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke – analysiert werden. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da die größte Sicherheitslücke ja der Mensch ist, kommt der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu. „Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang“, beruhigt Chvatlinsky. „Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheitsmaßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache.“
Eine besondere Herausforderung sieht Chvatlinsky in der DSGVO allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. „Die Leute mögen technisch gut und versiert sein, sind aber meist keine Datenschutzexperten, es fehlt diesbezüglich an Knowhow, und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können.“ Deswegen hat Chvatlinsky die hauseigene Security-Software „WOG“, die schon seit längerer Zeit erfolgreich im Kampf gegen erpresserische Ransomware eingesetzt wird, um zahlreiche Funktionen hinsichtlich der DSGVO erweitert. Damit soll Betrieben in weiten Teilen automatisiert zur Einhaltung der DSGVO verholfen werden. Die Möglichkeit zur vollständigen Verschlüsselung ist bereits seit jeher vorhanden und einfach per Mausklick zu bewerkstelligen.
Ein intelligenter Passwortmanager sorgt dafür, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können. Da Dokumente mit personenbezogenen Daten im Sinne des „Rechts auf Vergessen“ nach sechs Monaten zu löschen sind, erinnert ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Dazu zählen auch Ini-tiativberwebungen, die ebenfalls nicht länger als sechs Monate gespeichert werden dürfen. Auch ein von der DSGVO gefordertes Verfahrens- und Auftragsverarbeitungsverzeichnis kann einfach per Mausklick erstellt werden.
Damit IT-Tätigkeiten jeglicher Art zu 100 Prozent nachvollziehbar und transparent abgewickelt werden können, wird auf ein Ticket- und Incidentsystem zurückgegriffen, das bei Chvatlinsky bereits selbst im Einsatz ist. In der nächsten Version soll WOG sämtliche Zugangsberechtigungen verwalten, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind. Dieses garantiert eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.
WOG ist derzeit für Windows verfügbar, bei Bedarf auch für Linux. Wenn die Software vom Markt gut angenommen werde, sei künftig auch eine Apple-Version nicht auszuschließen, sagt Chvatlinsky.
„Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen“, beschreibt Chvatlinsky. „Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten.“
Be the first to comment