Umsetzung der EU-Datenschutzverordnung für Klein- und Kleinstbetriebe Umsetzung der EU-Datenschutzverordnung für Klein- und Kleinstbetriebe - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


12.10.2017 Klaus Lorbeer/pi

Umsetzung der EU-Datenschutzverordnung für Klein- und Kleinstbetriebe

Von EU-Datenschutzgrundverordnung sind nicht nur Großkonzerne, sondern alle Unternehmen bis hin zum Ein-Personen-Betrieb betroffen. Der niederösterreichische IT-Dienstleister und Unternehmensberater Andreas Chvatlinsky vertreten durch die Chvatlinsky & Co. GmbH, kurz CHVACO hat es sich zur Aufgabe gemacht, mittleren bis kleinsten Unternehmen mit eigens entwickelten Tools und Services dabei zu helfen, ihre internen Abläufe an die neue Gesetzeslage anzupassen.

Geschäftsführer Andreas Chvatlinsky hilft auch Kleinunternehmen bei der Umsetzung der Datenschutz-grundverordnung.

Geschäftsführer Andreas Chvatlinsky hilft auch Kleinunternehmen bei der Umsetzung der Datenschutz-grundverordnung.

© Chvatlinsky & Co. GmbH

"Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft", warnt Andreas Chvatlinsky, Firmeninhaber und selbst geprüfter Datenschutzexperte. "Ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb sind ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter, und eine unbeabsichtigte Missachtung der Verordnung kann auf Grund der horrenden Strafen ein Unternehmen in den Ruin treiben."

Hohe Strafen auch für Kleinunternehmen
Die Datenschutzgrundverordnung soll dafür sorgen, dass personenbezogene Daten in Zukunft nur noch dann in einem Unternehmen gespeichert und verarbeitet werden dürfen, wenn die betroffene Person auch gezielt ihr Einverständnis dazu gegeben hat. Und auch wenn dies der Fall ist, hat das Unternehmen alle nur erdenkbaren Maßnahmen zu treffen, um zu verhindern, dass die gespeicherten Informationen nach außen gelangen. 

Ein Datenmissbrauch oder ein Datendiebstahl kann leider nie zu 100 Prozent ausgeschlossen werden, dies muss dann aber innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, die dann überprüft, ob wirklich alle zumutbaren Vorkehrungen zum Schutz der Daten umgesetzt wurden", schildert Chvatlinsky. Eine Verletzung der Meldepflicht kann Strafen in der Höhe von bis zu 20 Millionen Euro nach sich ziehen.

Als ersten und wichtigsten Schritt rät Chvatlinsky deswegen zur Verschlüsselung aller sensiblen Daten. Würden die Daten gestohlen, könnten die Hacker doch nichts damit anfangen, wenn sie nicht darauf zugreifen können. 

Schützenswerte Daten
Besonders sensibel sind unter anderem Informationen, aus denen die ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen, oder auch die sexuelle Orientierung einer Person abgeleitet werden können. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie. "Bei uns scheint der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel auf, also fallen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen", betont Chvatlinsky.

Nun gilt es für jedes Unternehmen, bis zum Stichtag am 25. Mai 2018 seine kompletten Datenbestände zu überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einzuholen, und vor allem die optimalen Schutzvorkehrungen zu installieren. Großbetriebe haben dafür einen eigenen Datenschutzkoordinator, mittlere und kleine Betriebe stehen damit jedoch vor einer ohne entsprechendes Knowhow kaum zu bewältigenden Herausforderung. Zudem muss man das Risiko selbst einschätzen und entsprechende Maßnahmen treffen.

Angebotspaket für Kleinunternehmen
An dieser Stelle setzt nun die Chvatlinsky und Co. GmbH an: Das Unternehmen hat auch ein Angebotspaket für Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern geschnürt, bei dem anhand zahlreicher Checklisten sämtliche Risikofaktoren vom Cloud-Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke analysiert werden. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da Datenschutz nicht nur eine Frage der Technik ist, kommt auch der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu. 

"Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang", beruhigt Chvatlinsky seine Kunden. "Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheitsmaßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache."    

Eine besondere Herausforderung sieht Chvatlinsky in der Datenschutz-grundverordnung allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. "Die Leute mögen technisch gut und versiert sein, aber es sind eben meist keine Datenschutzexperten, es fehlt diesbezüglich oft an notwendigem Knowhow, und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können."

Auch das von CHVACO entwickelte Security-Tool "WOG", das schon seit längerer Zeit erfolgreich im Kampf gegen erpresserische Ransomware eingesetzt wird, wurde inzwischen um zahlreiche Funktionen hinsichtlich der Datenschutzgrundverordnung erweitert. So erinnert beispielsweise ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Sensible Dateien lassen sich per Mausklick verschlüsseln, wobei ein intelligenter Passwortmanager dafür sorgt, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können. 

Hilfe für kleine IT-Dienstleister
Die Programmierer von CHVACO arbeiten deshalb an einer möglichst flexiblen Lösung, um IT-Tätigkeiten jeglicher Art zu 100 Prozent nachvollziehbar und transparent abwickeln zu können. Kernstück dieser Lösung ist dabei ein Ticket- und Incidentsystem, das bei Chvatlinsky bereits selbst im Einsatz ist. 

Das oben angeführte WOG-System ist bereits für solche Prozesse vorbereitet. In der nächsten Version verwaltet das Tool sämtliche Zugangsberechtigungen, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind - dieses garantiert wiederum eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.

"Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen", beschreibt Chvatlinsky. "Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten." 

Weitere infos unter www.chvaco.at.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: