So kann die EU-DSGVO Ihre Geschäfte ab 2018 beeinflussen:

Spätestens seit 25. Mai 2018, dem Ende der Umsetzungsfrist zur EU-DSGVO, ist auch für kleine und mittelständische Unternehmen, Ärzte, Anwalte, Steuerberater und sonstige Freiberufler damit zu rechnen, dass sich die Verschärfung der Datenschutzanforderungen durch das Gesetz gravierend auswirken wird. Unter anderem wurden die Anforderungen an den Schutz vor Datenverlust erhöht: Wer personenbezogene Daten erhebt oder bearbeitet muss nachweisen können, dass er DSGVO-compliant ist.

Zwar werden die genannten Gruppen mit großer Wahrscheinlichkeit vorerst nicht bevorzugt im Visier der EU-Datenschützer stehen, aber Partner und Kunden aus dem Konzernbereich werden sich bei ihren Lieferanten, den KMUs, Arztpraxen und Freiberuflern, rückversichern. Da eine Verpflichtung zur Anbieterauswahl besteht und die Konzerne für Verstöße und Zuwiderhandlungen bei Zulieferern haftbar gemacht werden können, werden Konzerne nur noch mit solchen Anbietern zusammenarbeiten, bei denen Verstöße eher nicht zu erwarten sind.

Nicht zu vernachlässigen ist auch die Gefahr, dass Personen, die Ihnen aus irgendwelchen Gründen nicht wohlgesonnen sind, zum Beispiel Konkurrenten, aufgebrachte Kunden oder entlassene Mitarbeiter, bei der Aufsichtsbehörde den Verdacht eines Datenverstoßes melden. Oder die vielen Abmahnanwälte, die das Netz systematisch nach nicht ordnungsgemäßem Impressum, fehlerhafter Datenschutzerklärung und so weiter durchsuchen.

Das heißt konkret: Wenn Ihr Unternehmen/Ihre Praxis ab spätestens Mai 2018 keinerlei Nachweis über eine sichere IT-Infrastruktur und datenschutzkonformes Handeln vorweisen kann,

kann es Aufträge und/oder Kunden (vor allem große) verlieren,

kann in Folge von Schäden in Regress genommen werden und

es besteht möglicherweise kein Versicherungsschutz etc..

Genau hier liegt die Gefahr für kleine und mittelständische Unternehmen, Ärzte und Freiberufler, wenn sie weiterhin in einer abwartenden Haltung verharren. Es wird nicht reichen einen Schwimmlehrer einzustellen, wenn man bereits merkt, dass das Wasser kommt! Daher lautet unsere Empfehlung genau wie die des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesärztekammer: Es ist höchste Zeit sich jetzt einen Überblick zu verschaffen und u.a. bestehende Verträge, technisch-organisatorische Maßnahmen, die Datenschutzerklärung und das Datenschutzkonzept zu überprüfen, um am Ende nicht das Nachsehen zu haben und das eigene Unternehmen unnötig zu gefährden.

Wenn man die Entwicklung untergegangener oder aber jahrzehntelang erfolgreicher Unternehmen analysiert, stellt sich immer wieder heraus, was die wesentliche Zutat für Erfolg ist: Es sind gar nicht die Produkte oder Dienstleistungen, sondern es ist vor allem eine Geschäftsleitung, die die Zeichen der Zeit rechtzeitig erkennt und handelt.

Das Geschick Ihres Unternehmens bzw. Ihrer Praxis liegt in Ihren Händen. Gerade aus diesem Grund ist es für Sie wichtig auch Ihren IT-Dienstleister danach auszuwählen, ob er sich nachweislich mit IT-Sicherheit und Datenschutz sehr gut auskennt. Wir raten Ihnen sich zu informieren und zu handeln, am besten sofort!

Wir hören oft: Bei weniger als zehn Mitarbeitern muss nicht zwingend ein Datenschutzbeauftragter bestellt werden. Das stimmt in den meisten Fällen. Trotzdem muss das Unternehmen datenschutzkonform arbeiten und die Geschäftsleitung ist dafür verantwortlich. Neuerdings muss der Verantwortliche für die Datenverarbeitung (zum Beispiel der Inhaber einer Firma/Praxis) die Einhaltung der Grundsätze nachweisen können.

Es gibt einen Haufen von Mustern und Vorlagen, nur dummerweise müssen viele davon individualisiert werden, also an die Geschäftsabläufe in Ihrem Unternehmen /Ihrer Praxis angepasst werden. Und selbst wenn es standardisierte Vorlagen wie zum Beispiel für die Meldung von Datenpannen innerhalb von 72 Stunden beim Bundesdatenschutzbeauftragten, muss man wissen, dass es diese Unterlagen gibt und wo man sie findet. Datenschutz ist inzwischen ein sehr komplexes Thema geworden, das einige Zeit in Anspruch nimmt. Sie können versuchen alles selbst zu erledigen, Sie können aber auch Unterstützung von einer Fachkraft einholen. Dadurch  sind Sie auf der sicheren Seite und können sich Ihrem Hauptgeschäft widmen.

Wegen der Pflicht zur Anbieterauswahl in Bezug auf Datenschutz und IT-Sicherheit ist es generell empfehlenswert, sich bei den Geschäftspartnern (Kunden, Lieferanten, Dienstleistern) abzusichern. Das kann in Form einer Erklärung sein, die der Geschäftspartner unterschreiben muss. Hat er keinen Nachweis wie zum Beispiel eine Basisprüfung ITQ, sollte möglichst von Geschäften abgesehen werden. Die Zusammenarbeit könnte sonst zu einem unkalkulierbaren Risiko werden.

Wenn keine geeigneten Maßnahmen im Bereich Datenschutz und IT-Sicherheit vorgenommen wurden, sehen sich Haftungspersonen (Geschäftsleitung, Vorstand) folgenden Risiken ausgesetzt:

persönliche Haftung in Folge von grober Fahrlässigkeit bzw. Vorsatz

Versicherungsschutz fraglich in Folge von Verletzung der Obliegenheitspflichten (Verpflichtung Schäden zu verhindern oder zu minimieren)

Verletzung der Rechenschaftspflicht zur Dokumentation (z.B. Verfahrensverzeichnis)

Verstöße gegen das Datenschutzrecht (EU-DSGVO, BDSG) müssen innerhalb von 72 Stunden bei Landesdatenschutzbeauftragen gemeldet werden

Verletzung der Pflicht zur Anbieterauswahl, wenn Anbieter sich aus Gründen des Datenschutzes als ungeeignet erweisen.

Umso wichtiger ist es für Sie, rechtzeitig den Status Quo in Sachen IT-Sicherheit und Datenschutz zu ermitteln, zum Beispiel mit einer Basisprüfung ITQ. Es darf als wahrscheinlich gelten, dass zumindest vorübergehend zum Beispiel IT-Sicherheitschecks wie die ITQ-Basisprüfung für viele Anforderungen als ausreichend angesehen werden. Dabei handelt es sich um eine neutrale und etablierte Methode zur Ermittlung und Verbesserung des Niveaus von IT- und Informationssicherheit im Bereich KMU sowie Arztpraxen (sie gelten auch als Unternehmen) auf Basis des BSI-Grundschutzes/DIN ISO. Die Durchführung und Berichterstellung sind innerhalb von 1-2 Wochen möglich. Näheres finden Sie unter dem Punkt IT-Sicherheitschecks.

„Die DS-GVO fordert Datensicherheit. Die ITQ-Basisprüfung schafft eine schnelle und transparente Einschätzung der Lage“  - Philipp Herrmann, PRW Rechtsanwälte, München

Apropos Datenschutz: IT-Sicherheit und Datenschutz haben gemeinsame Schnittmengen und sind nicht unabhängig von einander zu erreichen. Wir beschäftigen daher einen IT-Sicherheitsspezialisten, der neben seiner Tätigkeit als Auditor im Bereich IT-Sicherheitschecks ebenfalls zum Datenschutzfachmann ausgebildet wurde. Neben Datenschutzbera-tung, Schulung Ihrer Mitarbeiter und Erstellung oder Überarbeitung eines professionellen Datenschutzkon-zeptes kann er auch als Datenschutzbeauftragter bei Ihnen tätig werden. Sofern Sie IT-Kunde von uns sind, dürfen wir Sie nur beraten und alle nötigen Unterlagen erstellen, aber nicht als Datenschutzbeauftragter benannt werden. Gerne nennen wir Ihnen einen externen Datenschutzfachmann, der von Ihnen benannt werden kann.

In den letzten Wochen haben wir viel Zeit damit verbracht, die Datenschutzerklärungen auf den Webseiten unserer Kunden sowie befreundeter Unternehmen/Ärzte DSGVO-konform zu gestalten. Jeder, also auch Leute, die Ihnen nicht wohl gesonnen sind oder die Verdiener an Abmahnwellen, kann mit wenigen Klicks erkennen, wenn die Datenschutz-erklärung auf Ihrer Webseite gegen die DSGVO verstößt. Daher wird das Thema Datenschutzerklärung auch im ersten Teil unserer Workshops "Datenschutz leicht gemacht für Unternehmer und Ärzte" in Braunschweig und Hamburg abgearbeitet.

Wir raten Ihnen: Wenn Sie noch nichts oder wenig getan haben in Sachen DSGVO-Konformität, dann wird es höchste Zeit sich einen Datenschutzberater oder einen Datenschutzbeauftragten zu suchen. Da diese momentan völlig überlastet sind, könnte auch einer unserer Workshops helfen schnell DSGVO-konform zu werden und unnötigen Abmahnkosten zu entkommen. Am besten Sie melden sich gleich an, denn die Plätze sind begrenzt um ein effektives Arbeiten gewährleisten zu können.

Was Sie tun können und sollten, besprechen wir gerne mit Ihnen persönlich, in Ruhe und auf Augenhöhe. Wir geben Empfehlungen in enger Anlehnung an die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesärztekammer. Es bleibt Ihnen überlassen, was Sie damit machen.

Wir schaffen verlässliche Strukturen auf hohem IT-Sicherheitsniveau und beraten Sie gern!

 

Ihre IT-Sicherheitsspezialisten bei msv

Dipl.-Ing. Martin Schlaak, Geschäftsleitung, Auditor ITQ und Trainer IT-Sicherheit, Fachkraft für Datenschutz (DEKRA), Notfallmanagement

Hans-Jürgen Schubert, Senior Consultant, IT-Spezialist im Arztgeschäft, Managed Service und Managed Security, Datenschutz

 

Wir freuen uns auf eine Kontaktaufnahme per Telefon oder Mail!

Wenn Sie uns besuchen möchten: Unser Firmensitz ist Vordorf und liegt 15km nördlich von Braunschweig. Durch die hervorragende Autobahnanbindung gehören auch Wolfenbüttel, Salzgitter, Wolfsburg, Gifhorn, Peine und Hannover zu unserem Einzugsgebiet. Wir betreuen jedoch auch kleine und mittlere Unternehmen in Schleswig-Holstein, Hamburg, der Lüneburger Heide und im Moseltal.

 

JSN Boot template designed by JoomlaShine.com