DSGVO: Kleine Unternehmen und das Recht auf Vergessen werden - Sind Sie bereit?

von Gastbeitrag: Kafka Kommunikation

Wie geht eine Marketingfirma, für die Kundendaten die Grundlage Ihres Geschäftsmodells bilden, mit einer Anfrage zum Recht auf Vergessen werden um?

In den meisten kleineren Unternehmen gibt es keine Mechanismen, um festzuhalten, wohin Daten verschickt oder wo diese gespeichert werden - und schon gar nicht, um zu ermitteln, welche Informationen aufbewahrt bzw. gelöscht werden müssen. Ohne entsprechende Prozesse und Technologien kann bereits die Suche nach Daten eines einzigen Antragstellers mehr Zeit und Ressourcen kosten, als sich ein kleines Unternehmen leisten kann.

Der erste Schritt ist daher, sich mit den Anforderungen der DSGVO vertraut zu machen und zu ermitteln, wie sie sich zu Vorschriften verhalten, die bereits vom Unternehmen befolgt werden. Möglicherweise ist man verpflichtet, finanzielle Transaktionsdaten eine bestimmte Zeit lang aufzubewahren. Oder man verfügt über Personaldaten, einschließlich Gehaltsabrechnungsdaten, die im Hause gespeichert und geschützt sind. Sich mit den Vorschriften auseinander zu setzen und zu ermitteln, was für Informationen man besitzt und wie diese geschützt werden, ist ein guter Ansatzpunkt zum Herstellen der DSGVO-Konformität.

Wenn man die Vorschriften kennt, wird es einem leichter fallen, genau zu ermitteln, wo sich die personenbezogenen Daten befinden. Die meisten dieser Daten betreffen Mitarbeiter, Zulieferer oder (potenzielle) Kunden. Viele befinden sich an üblichen Orten, wie in CRM-Datenbanken, andere hingegen sind besser versteckt, etwa in Berichtdateien auf Laptops, Dateiservern oder Kollaborationsplattformen in der Cloud. Es gibt jedoch einfache Lösungen zum Auffinden von Dateien, die "ruhende" DSGVO-Daten enthalten - egal, ob auf Laptops, Dateiservern oder Cloud-Plattformen. All dies sind Orte, die bei einem Antrag auf Datenlöschung bedacht werden müssen.

Komplizierter wird die Sache, wenn man bedenkt, welche Aufgaben ein kleineres Unternehmen an externe Dienstleister vergeben hat. Zum Beispiel Bankverbindungen, die an einen externen Gehalts- oder Rentendienstleister weitergegeben wurden, Kontaktlisten, die einer Telefonvermarktungsfirma geschickt wurden oder Bestellformulare, die über einen Cloud-Dienst wie Dropbox oder WeTransfer an ein Logistikunternehmen übermittelt wurden. Selbst wenn Informationen das Unternehmen verlassen, ist man weiterhin dafür verantwortlich. Die Unternehmen müssen also wissen, wem sie was gegeben haben, um Anträgen auf Datenlöschung gerecht werden zu können.

Verfolgt man den Fluss von DSGVO-Daten, der über E-Mail und das Internet in Unternehmen und nach außen strömt, entwickeln man ein Verständnis dafür, in welchen Unternehmen kritischen Daten gespeichert sind. Durch die Überwachung und Suche von kritischen DSGVO-Daten findet man heraus, was erforderlich ist, um Compliance zu erreichen, d. h. was man bereits tut und wo es Lücken gibt. Der Schwerpunkt der Compliance liegt auf drei Aspekten:
Personen sind gleichzeitig die größte Stärke und die größte Schwachstelle. Sie machen Fehler, speichern Informationen am falschen Ort und nutzen Umwege, durch die die IT-Abteilung oft die Kontrolle über die Daten verliert. Unternehmen müssen genau wissen, wie Daten von den Mitarbeitern weitergeben werden, und ggf. Aufklärungsprogramme oder Verfahrensänderungen erwägen, um etwaige Lücken zu schließen.

Prozesse und die zugehörigen Richtlinien müssen nicht nur berücksichtigt werden, wenn man sich auf einen Antrag auf Datenlöschung vorbereitet, sondern auch, wenn das Unternehmen Maßnahmen festlegt, die beim Eingang eines solchen Antrags erfolgen müssen. Es gibt diverse Prozesse, die aktualisiert und eingeführt werden müssen, um Compliance herzustellen. Compliance herzustellen bedeutet im Grunde einen guten Umgang mit Daten und die Verringerung von Risiken.

Technologien erleichtern die DSGVO-Konformität durch die Automatisierung manueller Schutzvorgänge. Sie übernehmen die Durchsetzung von Sicherheitspolicen und machen Daten sichtbar, die in und aus dem Unternehmen fließen. Dadurch werden sowohl die Mitarbeiter als auch das Unternehmen geschützt. Adaptive Sicherheitssysteme können zudem eingerichtet so werden, dass DSGVO-Informationen entsprechend der Richtlinie automatisch und konsequent aus sämtlichen Nachrichten herausgefiltert werden, besonders, wenn diese das Unternehmen verlassen. Dadurch lassen sich menschliche Fehler (eine E-Mail an den falschen Empfänger) vermeiden, und Prozesse, wie Apps zur automatischen Erstellung von Kundenberichten, müssen nicht überarbeitet werden.

Was die Vorbereitung auf die DSGVO betrifft, so sind kleine Unternehmen besonders gefährdet. Vielen ist überhaupt nicht bewusst, wie stark sie betroffen sein werden. Sie vertreten die Auffassung, dass die DSGVO für sie nicht gilt. Anderen wiederum mangelt es an Wissen und den Ressourcen mittlerer oder größerer Konkurrenten, um eine wirkungsvolle DSGVO-Strategie zu verfolgen.

Wenn man sich jedoch auf die richtigen Bereiche konzentriert und die wichtigsten Prozesse und Technologien in den Mittelpunkt stellen, ist ein Unternehmen vollständig auf die DSGVO und den ersten Antrag auf Datenlöschung vorbereitet. Auch wenn einem das alles wie Bürokratie erscheint, lohnt es sich, es richtig zu machen. Besonders hervorzuheben ist das gesteigerte Vertrauen vorhandener und künftiger Kunden und Partner - ein nicht zu unterschätzender Aspekt, wenn das Unternehmen künftig wachsen möchte. Es bleiben noch vier Wochen. Falls Sie noch keine Vorbereitungen getroffen haben, ist es jetzt an der Zeit, den Weg zur Compliance zu beschreiten.