Sie sind hier: HomeTelekommunikation

Wie Start-ups sich richtig vorbereiten: Fehlende Compliance zur EU-DSGVO kann teuer werden

Die neue EU-Datenschutz-Grundverordnung naht mit großen Schritten. James LaPalme, VP Business Development & Cloud Solutions bei Winmagic erklärt, was insbesondere kleine Unternehmen und Start-ups beachten sollten.

Bildquelle: © fotolia.com
James LaPalme, VP Business Development & Cloud Solutions bei Winwagic Bildquelle: © Winwagic

James LaPalme, VP Business Development & Cloud Solutions bei Winwagic

In rund einem Jahr tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Was bedeutet das für Unternehmen im Allgemeinen und Start-ups im Speziellen?

James LaPalme: Die neue Verordnung bringt das Thema Datenschutz nicht nur auf den aktuellen Stand der Technik, sondern verhilft EU-Bürgern auch zu mehr Kontrolle über ihre personenbezogenen Daten. Im Gegenzug stellt sie hohe Anforderungen an alle Unternehmen. Und um diese zu erfüllen, bleibt nicht mehr viel Zeit. Schließlich ist für die Verordnung bereits am 25. Mai 2018 Stichtag. Noch im September 2016 war laut Bitkom-Studie für 44 Prozent der deutschen Unternehmen die DSGVO überhaupt kein Thema. Ist sie allerdings offiziell EU-Recht, und kommt es unter ihr zu einer Verletzung, drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Firmenumsatzes – gerade für Startups ein echtes KO-Kriterium. Unternehmen jedweder Größe sind daher gefordert, ein ganzheitliches Sicherheitskonzept zum Schutz von Unternehmens- und Kundendaten zu entwickeln.

Die Erwartungshaltung der DSGVO gegenüber dem Datenschutz ist sehr hoch. Reicht es nicht, wenn Unternehmen sich an das Bundesdatenschutzgesetz halten?

LaPalme: Der Schutzbegriff beim DSGVO geht noch viel weiter als beim aktuellen deutschen Standard. So können personenbezogene Daten, die sich natürlichen Person zuordnen lassen, bereits als verletzt gelten, wenn allein ihre Verfügbarkeit betroffen ist. Das heißt konkret: Kunden oder Arbeitnehmer müssen auch bei technischen Ausfällen möglichst schnell wieder auf ihre personenbezogenen Daten zugreifen können. Sollte es dennoch zum Beispiel zu einem Datenleck kommen, muss dies binnen 72 Stunden gemeldet werden – das war in dieser strengen Form beim BDSG nicht der Fall. Gründer sollten sich also über den Aufwand, der auf sie zukommen kann, bewusst sein. Damit es kein böses Erwachsen gibt, hilft es, sich jetzt einige Fragen zu stellen: Welche eigenen Vorgaben, Technologien und Prozeduren muss meine Organisation einführen, um die Regularien der EU zu erfüllen? Was ist sinnvoll, praktisch und überhaupt in dem definierten Zeitrahmen umsetzbar?

Wirklich konkrete Maßnahmen sucht man bei der Verordnung eher vergebens. Wie gelingt es Unternehmen dennoch, mit der EU-DSGVO konform zu sein?

LaPalme: Auch wenn die Vorgaben der EU vielleicht streng sind, kann jedes Unternehmen – ob klein oder groß – sie einhalten. Dazu ist die Zusammenarbeit mit IT-Sicherheitsexperten ein wichtiger Schritt. So heißt es beispielsweise in der Verordnung, es seien vernünftige Sicherheitsmaßnahmen zu implementieren. VPN-Netze, Firewalls und Virenscanner zum Schutz der eigenen IT sollten auch für Gründer absoluter Standard sein. Aber es gibt Fälle, in denen diese nicht ausreichen: Profi-Hacker können auch hohe Sicherheitshürden überwinden. Oder was ist, wenn ein Mitarbeiter etwa ein Smartphone oder einen Laptop der Firma verliert? Dafür gibt es bereits eine ganz konkrete Lösung, und zwar die Datenverschlüsselung. Denn gestohlene oder abhandengekommene Daten gelten nicht als verloren, wenn sie für Unbefugte nicht lesbar sind – schließlich sind sie damit auch nicht kompromittierbar. Personenbezogene Daten, die verschlüsselt sind, bleiben damit stets geschützt. Für einen Datendieb sind sie einfach wertlos.