Neuer Datenschutz in der Praxis

EU-DSGVO - Unternehmen müssen sich jetzt vorbereiten

14.07.2017 von Dirk Schugardt und Horst Speichert
Am 18. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Da zahlreiche technische, organisatorische und juristische Fragen zu klären sind, sollten Unternehmen schon jetzt mit den Vorbereitungen beginnen.

"Schon wieder eine neue Regulierung", dürften sich viele Unternehmen denken. Doch es gibt gute Gründe für die neue EU-Datenschutz-Grundverordnung (EU-DSGVO); sie selbst listet mehr als 170 Erwägungsgründe auf. Dazu zählen der Schutz von EU-Bürgern bei der Verarbeitung personenbezogener Daten unabhängig von Staatsangehörigkeit oder Aufenthaltsort sowie die Harmonisierung der Vorschriften.

Tatsächlich gab es bisher einen Flickenteppich unterschiedlicher Datenschutzgesetze in den verschiedenen EU-Mitgliedstaaten. Dieser führte zu einem regelrechten Negativ-Wettbewerb, sodass sich Unternehmen in Ländern mit vergleichsweise schwachen Datenschutzregelungen niederlassen und trotzdem von den Vorteilen des uneingeschränkten EU-Handels profitieren konnten.

Die EU-DSGVO wird das europäische Datenschutzrecht nun vereinheitlichen, auch wenn es in vielen Bereichen, bedingt durch zahlreiche Öffnungsklauseln, weiterhin unterschiedliche nationale Regelungen geben wird. Daher wird gleichzeitig also auch ein neues Bundesdatenschutzgesetz (BDSG) erforderlich, das diese zahlreichen Öffnungsklauseln umsetzt. Zudem sollen die Befugnisse der Datenschutz-Behörden vor allem gegenüber international tätigen Konzernen gestärkt werden. Dies zeigen zum Beispiel die vergleichsweise hohen Bußgelder, die mit dem Strafmaß von Kartell- und Wettbewerbsverstößen vergleichbar sind. Eine mögliche Verhängung von 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes stellt selbst für große, US-basierte Internet-Unternehmen ein erhebliches Risiko dar.

Alle Unternehmen betroffen

Doch nicht nur Facebook, Google, Microsoft, Amazon und Co. sind von den neuen Regelungen betroffen. Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten, müssen sich daran halten. Die EU-DSGVO beschreibt dabei ein vollständig neues Datenschutzrecht, das aber durchaus viel Ähnlichkeit mit bisherigen Regelungen aufweist. Trotz dieser Ähnlichkeiten müssen Unternehmen ihre Compliance-Maßnahmen jedoch komplett neu aufbauen.

Durch den insgesamt höheren Compliance- und IT-Risikoansatz wird auch ein stärkeres Risikomanagement mit Datenschutzfolgenabschätzung nötig.
Foto: fotogestoeber - Shutterstock.com

Insbesondere ist dabei zu beachten, dass die Rechtspositionen Betroffener deutlich ausgebaut werden. Die EU-Bürger erhalten zum Beispiel "ein Recht auf Vergessen", also das Löschen von veralteten Daten beziehungsweise ihrer Ansicht nach zu Unrecht erhobenen oder falschen Informationen. Zudem ist auf Anfrage die vollständige Transparenz zu gewährleisten. Dies bedeutet, dass die Kette der Verarbeitung der Daten aufgezeigt werden muss, also bei wem sich welche personenbezogenen Daten befinden, wie diese genutzt wurden und auch weitergegeben werden.

Damit muss das Unternehmen nicht nur den eigenen Umgang mit diesen Daten prüfen, sondern auch von allen Dienstleistern und Partnern, die solche Informationen bearbeiten oder speichern. Dies gilt unabhängig davon, wo sich diese befinden, da nicht der Ort entscheidend ist, sondern die Tatsache, dass es sich um Daten von EU-Bürgern handelt (das sogenannte Marktortprinzip). Auch die Datenportabilität muss gewährleistet sein, also die Übertragung der personenbezogenen Informationen von einem zu einem anderen Anbieter. Diese Vorgaben führen zu einem veränderten Haftungsgefüge zwischen Unternehmen und Dienstleistern.

Unternehmen reagieren spät auf EU-DSGVO
Foto: Carmao

Durch den insgesamt höheren Compliance- und IT-Risikoansatz wird auch ein stärkeres Risikomanagement mit Datenschutzfolgenabschätzung nötig. Welche Datenschutzrisiken betreffen mein Unternehmen und neu auch den Betroffenen, wie sind diese Risiken zu bewerten und welche Maßnahmen müssen umgesetzt werden? Denn mussten die technischen und organisatorischen Maßnahmen bisher in angemessener Weise erfolgen, so ist nun der "Stand der Technik" die gesetzliche Maßgabe.

Herausforderungen und Chancen

Dies führt zu einigen großen konkreten Herausforderungen. So sind die bisherigen Verträge für die Auftragsdatenverarbeitung (ADV) mit den Dienstleistern an die neuen Regelungen anzupassen beziehungsweise neu zu schließen. Dies gilt nicht nur für den Umgang mit personenbezogenen Daten, sondern auch für den erweiterten Anwendungsbereich des Datenschutzrechts außerhalb der EU, soweit Dienstleistungen in Zusammenhang mit personenbezogenen Daten von EU-Bürgern erbracht werden. Auch die bisherigen Verfahrensbeschreibungen sind zu überarbeiten, da die Dokumentationspflichten erweitert und die Betroffenenrechte ausgedehnt wurden.

Gerade hier führt die EU-DSGVO nicht nur zu höheren Anforderungen, sondern auch zu Erleichterungen. Zum Beispiel reicht nun ein einfaches Popup-Fenster zur Abfrage beim Nutzer, ob er dem Einsatz von Cookies zustimmt, anstelle des bislang vorgeschriebenen Sammelns von Daten nach dem Listenprivileg. Unternehmen können nun durch teils vereinfachte Datenschutzvorgaben auch die Effizienz ihrer Marketingmaßnahmen erhöhen. Im Bereich Kundenmanagement (CRM) lassen sich neue, schlankere Prozesse einführen. So lohnt es sich, die Regelung genau zu prüfen, nicht nur zur Vermeidung von Compliance-Problemen, sondern auch für eine höhere Wettbewerbsfähigkeit.

Während viele große Unternehmen dies mit Hilfe eigener Abteilungen oder externen juristischen und technischen Beratern in der Regel bereits durchführen, stellt der Vorgang für kleine und mittelständische Firmen eine gewisse Herausforderung dar. Vor allem angesichts der bevorstehenden Sommerpause und dem Weihnachtsurlaub bleibt bis Mai 2018 nicht mehr allzu viel Zeit, sodass sie bereits jetzt damit beginnen sollten. Dazu ist ein eigenes Datenschutzprojekt nötig, bei dem es sich lohnt, externe Berater mit entsprechenden Erfahrungen einzubinden.

Das ist zu beachten

Wie lange ein solches Projekt dauert und welchen Aufwand es erfordert, lässt sich nur im Einzelfall abschätzen. Denn es hängt nicht nur von der Anzahl der Mitarbeiter, den eingesetzten Prozessen und Webdiensten sowie der Art der Kundenkontakte ab, sondern auch von der Verbindung mit anderen Unternehmen, den genutzten Kommunikationsmitteln, der Datenverarbeitung und -speicherung und vielem mehr. Dabei ist zu berücksichtigen, dass in den jeweiligen Firmen alle Abteilungen betroffen sind, die mit personenbezogenen Daten umgehen. Dazu gehören in der Regel IT, Personal, Marketing, Vertrieb und Recht. Auch der Datenaustausch mit zahlreichen externen Partnern ist zu prüfen, etwa Lieferanten für die Produktion, Logistik-Partnern, Web-Hostern, Cloud-Providern, Datenanalysten oder Personaldienstleistern. Daher gibt es auch keine Standardlösung für die Compliance und den Datenschutz gemäß EU-DSGVO.

Maßnahmen zur Umsetzung der DSGVO - IDC
Foto: IDC

In jedem Fall muss der Datenschutzbeauftragte als Stabstelle umfassendere Rechte besitzen, denn sein Haftungsrisiko steigt. Auch der IT-Leiter hat das Datenschutzrecht nun mit einer deutlich höheren Priorität zu behandeln, da er die IT-Sicherheit der personenbezogenen Daten nun nach "Stand der Technik" erfüllen muss und ebenso stärker in Haftung genommen werden kann. Entsprechend ist ein strengeres und umfassenderes Risikomanagement nötig, um mögliche Gefahren zu ermitteln, geeignete Maßnahmen zu entwickeln und umzusetzen sowie ein transparentes, zuverlässiges Reporting einzuführen.

Schritt für Schritt zum Datenschutz

Was sollten Unternehmen also tun? Im ersten Schritt müssen sie abklären, wo sie derzeit stehen und welche Aufgaben zu erledigen sind. Diese Ist-Analyse kann zu durchaus überraschenden Erkenntnissen führen. Zum Beispiel war in der Praxis ein Unternehmen mit nur elf Mitarbeitern, das ein Webportal im sozialen Umfeld betreibt, nicht weniger als zwei Monate nur mit der Umsetzung der Datenschutzanforderungen beschäftigt. Schließlich gehen die Mitarbeiter und externen Dienstleister mit hochsensiblen persönlichen Daten um.

Auch ein kleiner Handwerksbetrieb oder ein Händler mit Online-Shop muss aufgrund der gesammelten Kundendaten entsprechende Maßnahmen ergreifen - sowohl in Bezug auf IT-Sicherheit wie Firewalls, Intrusion Detection und Verschlüsselung, als auch bezüglich Datenschutz wie Anonymisierung, transparente Speicherung und Verwendung der Informationen sowie das Einholen der Einwilligung zur Verarbeitung der persönlichen Daten. Je mehr Prozesse hier online ablaufen, desto aufwändiger ist die Umsetzung des Datenschutzes.

Eine große Herausforderung kann dabei auch die Existenz veralteter Infrastrukturen darstellen. Diese wurden nur selten nach dem Prinzip "Security by Design" aufgebaut. Doch eine stringente und konsequente Erkennung und Behebung von Schwachstellen bereits bei Entwicklung und Installation der Lösungen wird immer wichtiger, um das erstellte Sicherheitskonzept nicht zu gefährden. Entsprechend müssen Unternehmen herausfinden, welche Sicherheitsmaßnahmen sie für die Compliance mit dem EU-DSGVO benötigen. Dabei sind auch damit vernetzte Systeme wie Cloud-Lösungen, Partner-Anwendungen oder Lieferketten zu berücksichtigen. Anschließend ist zu ermitteln, ob diese Maßnahmen mit der bisherigen Infrastruktur realisierbar sind oder ob neue Hardware und Software nötig wird.

Die größten Hürden

Die Compliance mit der EU-DSGVO ist daher ein aufwändiges Projekt, das zahlreiche Maßnahmen für die rechtliche, organisatorische und technische Umsetzung erfordert. Doch bei vielen Unternehmen muss sie sozusagen nebenher laufen, da zum Beispiel große Migrationsprojekte, die Erfüllung neuer Marktanforderungen, die Einführung von Industrie-4.0-Projekten oder andere Aufgaben mit hoher Priorität anstehen. Entsprechend werden die Investitionen in den Datenschutz normalerweise über einen Zeitraum von ein bis drei Jahren verteilt. Trotzdem müssen die Vorgaben der EU-DSGVO bis 18. Mai 2018 umgesetzt sein. Dies erfordert eine strukturierte Vorgehensweise.

Dabei sind häufig interne Hindernisse zu überwinden. Gerade bei kleinen und mittelständischen Unternehmen herrscht oft eine Haltung nach dem Motto: "Das haben wir schon immer so gemacht und es ist noch nie etwas passiert." Häufig liegt es aber nur an einer guten Portion Glück, dass das Unternehmen noch nicht von Cyberkriminellen angegriffen wurde, die persönliche Kundendaten ausgelesen haben. Daher müssen Berater oft erst ein gewisses Bewusstsein in der obersten Führungsebene schaffen, damit sie die Problematik und die Risiken erkennt.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Aber auch wenn durch die angedrohten drakonischen Strafen bereits die Erkenntnis gereift ist, ein Compliance-Projekt anzugehen, wird häufig noch nicht verstanden, dass eine strukturierte Vorgehensweise gemäß zu ermittelnder Prioritäten nötig ist. Zudem erfordert ein solches Projekt Zeit, Manpower, finanzielle Ressourcen und die ausdrückliche Unterstützung durch die Führungsebene. Schließlich darf der Datenschutzbeauftragte mit der Aufgabe nicht alleine gelassen werden, da ansonsten die Veränderungen im Unternehmen nicht umgesetzt werden können und scheitern. Zudem kann sich die Geschäftsführung vor der Aufgabe nicht verstecken, da die Bußgeldbescheide auch an sie zugestellt werden.

Zu treffende Maßnahmen

Die Anzahl und Komplexität der einzuführenden Maßnahmen sollte dabei nicht unterschätzt werden. Zum Beispiel erfordert die neue Regelung die Nutzung von Sicherheitsmaßnahmen nach dem Stand der Technik. Dazu gehören etwa belastbare Abwehrmechanismen gegen größere DDoS-Attacken, Antiviren- und Antimalware-Software sowie strenge Identifizierungs- und Authentifizierungsmechanismen. Eine Next-Generation Firewall entspricht beispielsweise dem Stand der Technik. Dies bedeutet, dass eine IP-Table-Firewall, die nicht mehr zeitgemäß ist, aufgrund konkreter gesetzlicher Anforderungen ausgetauscht werden muss. In welchen Bereichen Maßnahmen nötig und sinnvoll sind, sollte zudem eine Schutzbedarfsanalyse zeigen. Die EU-DSGVO erfordert hier zwar ein höheres Anforderungsprofil an das Risikomanagement, jedoch können Unternehmen dann auch die Effizienz ihrer Schutzmaßnahmen erhöhen. Zudem erhalten sie damit den Vorteil, dass sie bisherige Redundanzen oder unnötige Maßnahmen und Lizenzen einsparen können.

Ein weiterer positiver Aspekt der EU-DSGVO ist die Möglichkeit auf etablierte Vorgehensweisen zurückzugreifen. Wer zum Beispiel bereits ein funktionierendes, ständig aktualisiertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einsetzt, hat die halbe Arbeit schon erledigt. Er muss hier lediglich den Anwendungsbereich erweitern und gemäß der Regelung erforderliche Prozesse für den Datenschutz und die rechtlichen Prüfungen ergänzen. Dies funktioniert relativ einfach, wenn die bisherigen Prozesse in der Praxis gut umgesetzt werden.

Trotzdem müssen die Unternehmen auch dann den Ist-Status ermitteln, gemeinsam mit den Fachbereichen die Prozesse prüfen, die erledigten und noch zu erledigenden Aufgaben auflisten und eine Prioritätenliste erstellen. Dabei können sie auch externe Berater einbinden, welche die genutzten Verfahren, Daten und IT-Systeme analysieren sowie rechtlich prüfen, ob sie erlaubt und zweckgebunden sind. Dazu gehören neben Auftragsdatenverarbeitung auch Einwilligungen von Kunden, Risikomanagement, Dokumentationen, Betriebsvereinbarungen sowie IT-Sicherheits- und Datenschutzrichtlinien. Anschließend werden die durchzuführenden Aufgaben aufgezeigt und priorisiert, die zur technischen und rechtlichen Absicherung nötig sind.

Auf weitere Änderungen vorbereiten

Unternehmen sollten sich schon von Anfang an darauf vorbereiten, dass sich die Rechtsprechung ständig weiterentwickelt. So sind nach dem 18. Mai 2018 diverse Gerichtsurteile zu erwarten, welche die Auslegung der EU-DSGVO stärker präzisieren. Diese werden von Verwaltungsgerichten und dem Europäischen Gerichtshof erlassen. Es ist auch nicht auszuschließen, dass die EU selbst die Datenschutz-Grundverordnung immer wieder aktualisiert und neuen Entwicklungen anpasst. Auch aufgrund vieler offener Fragen und gewisser Lücken im aktuellen Text sollten sich Unternehmen auf einen dauerhaften Prozess einstellen.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Für deutsche Firmen ist dabei besonders wichtig, dass die EU-Verordnung mit dem neuen Bundesdatenschutzgesetz (BDSG) verzahnt ist. In dessen Geltungsbereich bleiben zum Beispiel die Themen Arbeitnehmerdatenschutz oder eine stark ausgeweitete Videoüberwachung, auch am Arbeitsplatz. Auch bisherige Regelungen wie die Bestellpflichten für den Datenschutzbeauftragten bleiben bestehen. Auch wenn viele Experten die EU-Verordnung aufgrund ihrer zahlreichen Öffnungsklauseln eher für eine Richtlinie halten, müssen sie Unternehmen wegen der möglichen hohen Strafen befolgen.

Jetzt starten

Aufgrund der zahlreichen Herausforderungen und zu bearbeitenden Themen sollten Unternehmen schon jetzt mit dem Projekt "EU-DSGVO Compliance" starten. Dabei sind die bestehenden Prozesse zu prüfen, um sie zu erweitern oder nach Möglichkeit auch zu vereinfachen. Zum Beispiel lässt sich jetzt ein ausreichender Passwortschutz über Single-SignOn und Zwei-Faktor-Authentifizierung realisieren. So müssen sich die Mitarbeiter nicht mehr verschiedene komplexe Passwörter merken, wodurch sich gleichzeitig ihre Zufriedenheit und die Sicherheit für das Unternehmen erhöhen. Werden die Vorgaben der EU-DSGVO konsequent und nachweisbar eingehalten, lässt sich dies auch für Marketing und Vertrieb nutzen. Denn selbst die Kunden von kleinen Handwerksbetrieben möchten heute sicher sein, dass sich ihre persönlichen Daten in guten Händen befinden. So eröffnet die neue EU-Regelung auch neue Geschäftsmöglichkeiten.