Pressemitteilungen

Umsetzung der EU-Datenschutzverordnung für Klein- und Kleinstbetriebe

Von EU-Datenschutzgrundverordnung sind nicht nur Großkonzerne, sondern alle Unternehmen bis hin zum Ein-Personen-Betrieb betroffen. Der niederösterreichische IT-Dienstleister Bernhard Schmied vertreten durch die Chvatlinsky & Co. GmbH, kurz CHVACO hat es sich zur Aufgabe gemacht, mittleren bis kleinsten Unternehmen mit eigens entwickelten Tools und Services dabei zu helfen, ihre internen Abläufe an die neue Gesetzeslage anzupassen.

Geschäftsführer Bernhard Schmied hilft auch Kleinunternehmen bei der Umsetzung der Datenschutz-grundverordnung.

© Chvatlinsky & Co. GmbH

"Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft", warnt Bernhard Schmied, Firmeninhaber und selbst geprüfter Datenschutzexperte. "Ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb sind ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter, und eine unbeabsichtigte Missachtung der Verordnung kann auf Grund der horrenden Strafen ein Unternehmen in den Ruin treiben."

Hohe Strafen auch für Kleinunternehmen
Die Datenschutzgrundverordnung soll dafür sorgen, dass personenbezogene Daten in Zukunft nur noch dann in einem Unternehmen gespeichert und verarbeitet werden dürfen, wenn die betroffene Person auch gezielt ihr Einverständnis dazu gegeben hat. Und auch wenn dies der Fall ist, hat das Unternehmen alle nur erdenkbaren Maßnahmen zu treffen, um zu verhindern, dass die gespeicherten Informationen nach außen gelangen. 

Ein Datenmissbrauch oder ein Datendiebstahl kann leider nie zu 100 Prozent ausgeschlossen werden, dies muss dann aber innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, die dann überprüft, ob wirklich alle zumutbaren Vorkehrungen zum Schutz der Daten umgesetzt wurden", schildert Chvatlinsky. Eine Verletzung der Meldepflicht kann Strafen in der Höhe von bis zu 20 Millionen Euro nach sich ziehen.

Als ersten und wichtigsten Schritt rät Chvatlinsky deswegen zur Verschlüsselung aller sensiblen Daten. Würden die Daten gestohlen, könnten die Hacker doch nichts damit anfangen, wenn sie nicht darauf zugreifen können. 

Schützenswerte Daten
Besonders sensibel sind unter anderem Informationen, aus denen die ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen, oder auch die sexuelle Orientierung einer Person abgeleitet werden können. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie. "Bei uns scheint der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel auf, also fallen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen", betont Chvatlinsky.

Nun gilt es für jedes Unternehmen, bis zum Stichtag am 25. Mai 2018 seine kompletten Datenbestände zu überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einzuholen, und vor allem die optimalen Schutzvorkehrungen zu installieren. Großbetriebe haben dafür einen eigenen Datenschutzkoordinator, mittlere und kleine Betriebe stehen damit jedoch vor einer ohne entsprechendes Knowhow kaum zu bewältigenden Herausforderung. Zudem muss man das Risiko selbst einschätzen und entsprechende Maßnahmen treffen.

Angebotspaket für Kleinunternehmen
An dieser Stelle setzt nun die Chvatlinsky und Co. GmbH an: Das Unternehmen hat auch ein Angebotspaket für Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern geschnürt, bei dem anhand zahlreicher Checklisten sämtliche Risikofaktoren vom Cloud-Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke analysiert werden. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da Datenschutz nicht nur eine Frage der Technik ist, kommt auch der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu. 

"Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang", beruhigt Chvatlinsky seine Kunden. "Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheitsmaßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache."    

Eine besondere Herausforderung sieht Chvatlinsky in der Datenschutz-grundverordnung allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. "Die Leute mögen technisch gut und versiert sein, aber es sind eben meist keine Datenschutzexperten, es fehlt diesbezüglich oft an notwendigem Knowhow, und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können."

Auch das von CHVACO entwickelte Security-Tool "WOG", das schon seit längerer Zeit erfolgreich im Kampf gegen erpresserische Ransomware eingesetzt wird, wurde inzwischen um zahlreiche Funktionen hinsichtlich der Datenschutzgrundverordnung erweitert. So erinnert beispielsweise ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Sensible Dateien lassen sich per Mausklick verschlüsseln, wobei ein intelligenter Passwortmanager dafür sorgt, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können. 

Hilfe für kleine IT-Dienstleister
Die Programmierer von CHVACO arbeiten deshalb an einer möglichst flexiblen Lösung, um IT-Tätigkeiten jeglicher Art zu 100 Prozent nachvollziehbar und transparent abwickeln zu können. Kernstück dieser Lösung ist dabei ein Ticket- und Incidentsystem, das bei Chvatlinsky bereits selbst im Einsatz ist. 

Das oben angeführte WOG-System ist bereits für solche Prozesse vorbereitet. In der nächsten Version verwaltet das Tool sämtliche Zugangsberechtigungen, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind - dieses garantiert wiederum eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.

"Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen", beschreibt Chvatlinsky. "Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten." 

Quelle: www.computerwelt.at

Unterstützung für EPU und KMU

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht nur Großkonzerne, sondern alle Unternehmen bis hin zum Ein-Personen-Betrieb betroffen, warnt IT-Dienstleister Bernhard Schmied. Auch ihnen drohen bei etwaigen Datenmissbrauch und Nichteinhalten der Verordnung Geldstrafen.

"Es ist ein weit verbreiteter Irrglaube, dass die Datenschutzgrundverordnung nur Unternehmen mit mehr als 250 Mitarbeitern betrifft", warnt der niederösterreichische IT-Dienstleister Bernhard Schmied. "Ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb sind ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter, und eine unbeabsichtigte Missachtung der Verordnung kann auf Grund der horrenden Strafen ein Unternehmen in den Ruin treiben."

Die Datenschutzgrundverordnung soll dafür sorgen, dass personenbezogene Daten in Zukunft nur noch dann in einem Unternehmen gespeichert und verarbeitet werden dürfen, wenn die betroffene Person auch gezielt ihr Einverständnis dazu gegeben hat. Und auch wenn dies der Fall ist, hat das Unternehmen alle nur erdenkbaren Maßnahmen zu treffen, um zu verhindern, dass die gespeicherten Informationen nach außen gelangen. Ein Datenmissbrauch oder ein Datendiebstahl – der auch beim Treffen aller Vorkehrungen nie zu hundert Prozent ausgeschlossen werden kann – muss außerdem innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. "Die Behörde überprüft dann, ob wirklich alle zumutbaren Vorkehrungen zum Schutz der Daten umgesetzt wurden", so Chvatlinsky. Eine Verletzung der Meldepflicht kann im Extremfall Strafen in der Höhe von bis zu 20 Mio. Euro nach sich ziehen.

Sensible Daten

Besonders sensibel sind unter anderem Informationen, aus denen die ethnische Herkunft, politische Einstellung, religiöse oder weltanschauliche Überzeugungen, oder auch die sexuelle Orientierung einer Person abgeleitet werden können. Da die Datenschutzgrundverordnung in allen EU-Staaten gilt, fällt laut Chvatlinsky auch die in einigen Ländern als kritische Information eingestufte Zugehörigkeit zu einer Gewerkschaft in diese Kategorie: "Bei uns scheint der Gewerkschaftsbeitrag automatisch auf dem Lohnzettel auf, also fallen automatisch auch alle Mitarbeiterdaten in den Bereich sensibler Informationen."

Nun gilt es für jedes Unternehmen, bis zum Stichtag am 25. Mai 2018 seine kompletten Datenbestände zu überprüfen, die entsprechenden Genehmigungen zur Datenspeicherung bei Kunden, Geschäftspartnern und Mitarbeitern einzuholen, und Schutzvorkehrungen zu installieren. Großbetriebe haben dafür einen eigenen Datenschutz-Beauftragten, der mittleren und kleinen Betrieben meistens nicht zur Verfügung steht.

Angebotspaket für Kleinunternehmen

An dieser Stelle setzt Chvatlinsky mit einem Angebot seines Unternehmens Chvatlinsky und Co. GmbH, kurz Chvaco, an: Mit einem speziellen Angebotspaket richtet er sich an Kleinst- und Kleinbetriebe mit bis zu fünf Mitarbeitern. Mittels Checklisten werden Risikofaktoren vom Cloud-Computing über E-Mail-Marketing bis hin zur Nutzung von privaten Handys für Geschäftszwecke analysiert. Gemeinsam mit dem Kunden werden dabei allfällige Schwachstellen aufgespürt und Lösungsansätze zur Behebung der Probleme entwickelt. Da Datenschutz nicht nur eine Frage der Technik ist, kommt auch der Sensibilisierung der Mitarbeiter für dieses Thema eine wesentliche Bedeutung zu.

"Wirklich teuer ist die Umsetzung der Datenschutzgrundverordnung eigentlich nur ganz am Anfang", beruhigt Chvatlinsky. "Wenn erst einmal alle Probleme erfasst und die notwendigen Sicherheits-Maßnahmen getroffen worden sind, wird die Einhaltung der Vorschriften zu einer reinen Routinesache."

Eine besondere Herausforderung sieht Chvatlinsky in der Datenschutz-Grundverordnung allerdings für kleine IT-Dienstleister, oft Einzelpersonen, die beispielsweise für einen kleinen Handels- oder Gewerbebetrieb die Computer warten und reparieren. "Die Leute mögen technisch gut und versiert sein, aber es sind eben meist keine Datenschutzexperten, es fehlt diesbezüglich oft an notwendigem Know How, und vor allem die Infrastruktur im Hintergrund, um die gesetzlichen Anforderungen tatsächlich erfüllen zu können." 

WOG für einfacheren Datenschutz

Ein von Chvaco entwickeltes Security-Tool namens "WOG", das beispielsweise gegen Ransomware eingesetzt wird, wurde inzwischen um zahlreiche Funktionen hinsichtlich der Datenschutzgrundverordnung erweitert. So erinnert beispielsweise ein Löschfristenmanager den Benutzer daran, wenn die Aufbewahrungsfrist für ein bestimmtes Dokument oder einen Ordner abgelaufen ist. Sensible Dateien lassen sich den Angaben zufolge per Mausklick verschlüsseln, wobei ein Passwortmanager dafür sorgt, dass die Daten für einen vordefinierbaren Zeitraum von bis zu maximal acht Stunden ohne wiederholte Passworteingabe bearbeitet werden können.

Die Programmierer von Chvaco arbeiten an einer möglichst flexiblen Lösung, um IT-Tätigkeiten jeglicher Art zu hundert Prozent nachvollziehbar und transparent abwickeln zu können. Kernstück dieser Lösung ist dabei ein Ticket- und Incidentsystem, das bei Chvatlinsky bereits selbst im Einsatz ist.

Das bereits erwähnte WOG-System ist schon für solche Prozesse vorbereitet. In der nächsten Release soll das Tool außerdem sämtliche Zugangsberechtigungen verwalten, sodass jegliche Wartungsarbeiten an der IT nur mit einem Ticket möglich sind – dieses trägt wiederum Sorge für eine lückenlose Aufzeichnung und Nachvollziehbarkeit aller Eingriffe.

"Kurzfristiges Ziel ist es, Kleinstunternehmen und EPUs aus dem IT-Umfeld weiterhin die Möglichkeit zu bieten, ihre Leistungen im B2B-Bereich erbringen zu können und zu dürfen", beschreibt Chvatlinsky. "Mittelfristig setzen wir dann auf eine Clusterbildung von Einzelpersonen und Kleinstbetrieben mit absoluter Transparenz und Nachvollziehbarkeit der erbrachten Leistungen bei gemeinsam betreuten Kunden oder Projekten."

 

Unternehmersoftware hat viele Gesichter

"Visionen Chvaco - Dr. E. Pröll"

 

 

Hr. Chvatlinsky (CEO) nützte die Gelegenheit die Visionen & Innovationen der Chvatlinsky & Co GmbH bei Dr. E. Pröll zu deponieren.