So kann die EU-DSGVO Ihre Geschäfte ab 2018 beeinflussen:

Spätestens ab Mai 2018, dem Ende der Umsetzungsfrist zur EU-DSGVO, ist auch für kleine und mittelständische Unternehmen, Ärzte, Anwalte, Steuerberater und sonstige Freiberufler damit zu rechnen, dass sich die Verschärfung der Datenschutzanforderungen durch das Gesetz gravierend auswirken wird. Unter anderem wurden die Anforderungen an den Schutz vor Datenverlust erhöht: Wer personenbezogene Daten erhebt oder bearbeitet muss nachweisen können, dass er DSGVO-compliant ist.

Zwar werden die genannten Gruppen mit großer Wahrscheinlichkeit vorerst nicht bevorzugt im Visier der EU-Datenschützer stehen, aber Partner und Kunden aus dem Konzernbereich werden sich bei ihren Lieferanten, den KMUs, Arztpraxen und Freiberuflern, rückversichern. Da eine Verpflichtung zur Anbieterauswahl besteht und die Konzerne für Verstöße und Zuwiderhandlungen bei Zulieferern haftbar gemacht werden können, werden Konzerne nur noch mit solchen Anbietern zusammenarbeiten, bei denen Verstöße eher nicht zu erwarten sind.

Das heißt konkret: Wenn Ihr Unternehmen/Ihre Praxis ab spätestens Mai 2018 keinerlei Nachweis über eine sichere IT-Infrastruktur vorweisen kann,

wird es Aufträge und/oder Kunden (vor allem große) verlieren,

kann in Folge von Schäden in Regress genommen werden und

es besteht möglicherweise kein Versicherungsschutz etc..

Genau hier liegt die Gefahr für kleine und mittelständische Unternehmen, Ärzte und Freiberufler, wenn sie weiterhin in einer abwartenden Haltung verharren. Es wird nicht reichen einen Schwimmlehrer einzustellen, wenn man bereits merkt, dass das Wasser kommt! Daher lautet unsere Empfehlung genau wie die des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesärztekammer: Es ist höchste Zeit sich jetzt einen Überblick zu verschaffen, um am Ende nicht das Nachsehen zu haben und das eigene Unternehmen unnötig zu gefährden.

Wenn man die Entwicklung untergegangener oder aber jahrzehntelang erfolgreicher Unternehmen analysiert, stellt sich immer wieder heraus, was die wesentliche Zutat für Erfolg ist: Es sind gar nicht die Produkte oder Dienstleistungen, sondern es ist vor allem eine Geschäftsleitung, die die Zeichen der Zeit rechtzeitig erkennt und handelt.

Das Geschick Ihres Unternehmens bzw. Ihrer Praxis liegt in Ihren Händen. Gerade aus diesem Grund ist es für Sie wichtig auch Ihren IT-Dienstleister danach auszuwählen, ob er sich nachweislich mit IT-Sicherheit und Datenschutz sehr gut auskennt. Wir raten Ihnen sich zu informieren und zu handeln, am besten sofort!

Wir hören oft: Bei weniger als zehn Mitarbeitern muss nicht zwingend ein Datenschutzbeauftragter bestellt werden. Das stimmt. Trotzdem muss das Unternehmen datenschutzkonform arbeiten und die Geschäftsleitung ist dafür verantwortlich. Neuerdings muss der Verantwortliche für die Datenverarebitung (zum Beispiel der Inhaber einer Firma/Praxis) die Einhaltung der Grundsätze nachweisen können. Datenpannen müssen innerhalb von 72 Stunden beim Bundesdatenschutzbeauftragten gemeldet werden.

Wegen der Pflicht zur Anbieterauswahl in Bezug auf Datenschutz und IT-Sicherheit ist es generell empfehlenswert, sich bei den Geschäftspartnern (Kunden, Lieferanten, Dienstleistern) abzusichern. Das kann in Form einer Erklärung sein, die der Geschäftspartner unterschreiben muss. Hat er keinen Nachweis wie zum Beispiel eine Basisprüfung ITQ, sollte möglichst von Geschäften abgesehen werden. Die Zusammenarbeit könnte sonst zu einem unkalkulierbaren Risiko werden.

Wenn keine geeigneten Maßnahmen im Bereich Datenschutz und IT-Sicherheit vorgenommen wurden, sehen sich Haftungspersonen (Geschäftsleitung, Vorstand) folgenden Risiken ausgesetzt:

persönliche Haftung in Folge von grober Fahrlässigkeit bzw. Vorsatz

Versicherungsschutz fraglich in Folge von Verletzung der Obliegenheitspflichten (Verpflichtung Schäden zu verhindern oder zu minimieren)

Verletzung der Rechenschaftspflicht zur Dokumentation (z.B. Verfahrensverzeichnis)

Verstöße gegen das Datenschutzrecht (EU-DSGVO, BDSG) müssen innerhalb von 72 Stunden bei Landesdatenschutzbeauftragen gemeldet werden

Verletzung der Pflicht zur Anbieterauswahl, wenn Anbieter sich aus Gründen des Datenschutzes als ungeeignet erweisen.

Umso wichtiger ist es für Sie, rechtzeitig den Status Quo in Sachen IT-Sicherheit und Datenschutz zu ermitteln, zum Beispiel mit einer Basisprüfung ITQ. Es darf als wahrscheinlich gelten, dass zumindest vorübergehend zum Beispiel IT-Sicherheitschecks wie die ITQ-Basisprüfung für viele Anforderungen als ausreichend angesehen werden. Dabei handelt es sich um eine neutrale und etablierte Methode zur Ermittlung und Verbesserung des Niveaus von IT- und Informationssicherheit im Bereich KMU sowie Arztpraxen (sie gelten auch als Unternehmen) auf Basis des BSI-Grundschutzes/DIN ISO. Die Durchführung und Berichterstellung sind innerhalb von 1-2 Wochen möglich. Näheres finden Sie unter dem Punkt IT-Sicherheitschecks.

„Die DS-GVO fordert Datensicherheit. Die ITQ-Basisprüfung schafft eine schnelle und transparente Einschätzung der Lage“  - Philipp Herrmann, PRW Rechtsanwälte, München

Apropos Datenschutz: IT-Sicherheit und Datenschutz haben gemeinsame Schnittmengen und sind nicht unabhängig von einander zu erreichen. Wir beschäftigen daher einen IT-Sicherheitsspezialisten, der neben seiner Tätigkeit als Auditor im Bereich IT-Sicherheitschecks ebenfalls zum Datenschutzfachmann ausgebildet wurde. Neben Datenschutzberatung, Schulung Ihrer Mitarbeiter und Erstellung oder Überarbeitung eines professionellen Datenschutzkonzeptes kann er auch als Datenschutzbeauftragter bei Ihnen tätig werden.

Was Sie tun können und sollten, besprechen wir gerne mit Ihnen persönlich, in Ruhe und auf Augenhöhe. Wir geben Empfehlungen in enger Anlehnung an die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesärztekammer. Es bleibt Ihnen überlassen, was Sie damit machen.

Wir schaffen verlässliche Strukturen auf hohem IT-Sicherheitsniveau und beraten Sie gern!

 

Ihre IT-Sicherheitsspezialisten bei msv

Dipl.-Ing. Martin Schlaak, Geschäftsleitung, Auditor ITQ und Trainer IT-Sicherheit, Fachkraft für Datenschutz (DEKRA), Notfallmanagement

Dietrich Neumann, Programmierer, Auditor ITQ und Trainer IT-Sicherheit

Hans-Jürgen Schubert, IT-Spezialist im Arztgeschäft, Managed Service und Manages Security

Diplom-Volkswirtin Claudia Schlaak, Buchhaltung, Personal und Marketing, Koordination der Sicherheitschecks und Schulungen

 

Wir freuen uns auf eine Kontaktaufnahme per Telefon oder Mail!

Wenn Sie uns besuchen möchten: Unser Firmensitz ist Vordorf und liegt 15km nördlich von Braunschweig. Durch die hervorragende Autobahnanbindung gehören auch Wolfenbüttel, Salzgitter, Wolfsburg, Gifhorn, Peine und Hannover zu unserem Einzugsgebiet. Wir betreuen jedoch auch kleine und mittlere Unternehmen in Schleswig-Holstein, Hamburg, der Lüneburger Heide und im Moseltal.

 

JSN Boot template designed by JoomlaShine.com