Beratung kombiniert mit Service aus Machine-Learning-WebplattformDer DSGVO den Schrecken nehmen
21. März 2019Im September 2018 machte der Karlsruher Chat-Anbieter Knuddels Schlagzeilen: nicht mit seinem kostenlosen Flirt-Portal, sondern als erstes Unternehmen, das bundesweit die Folgen der Datenschutzgrundverordnung (DSGVO) zu spüren bekam. Denn es hatte gegen die im Mai 2018 innerhalb der EU in Kraft getretenen DSGVO verstoßen und kassierte dafür ein Bußgeld. In Folge einer schweren Sicherheitslücke waren gehackte Daten tausender Nutzer im Internet aufgetaucht. Ein Fehler, der den Chat-Anbieter 20.000 Euro kostete. Wie können sich Unternehmen vor derartigen Problemen schützen?
Unwissenheit schützt vor Strafe nicht – das erfuhren im Jahr 2018 noch rund 40 weitere Unternehmen, die Bußgeldbescheide wegen DSGVO-Verstößen erhielten. Dabei traf es vor allem kleinere und mittelständische Betriebe. Eine Tatsache, die Thomas Regier, Geschäftsführer und Mitgründer des Start-ups Dataguard, nicht wundert: „Große Unternehmen haben ein ganzes Compliance-Team, das sich um die Umsetzung der DSGVO-Regeln kümmert. Kleineren Unternehmen fehlt dafür oft die Zeit, das Geld und das Knowhow. Und da kommen wir ins Spiel.“
Der „Datenschutzgrundverordnung den Schrecken nehmen“ – so lautet das Ziel des Start-ups Dataguard. 2017 von Thomas Regier, Kivanç Semen und Markus Fisseler gegründet, bietet es Unternehmen Hilfestellung bei allen Fragen rund um die DSGVO. Das Besondere: Das Unternehmen kombiniert persönliche Beratung mit Services aus einer Machine-Learning-Webplattform. Diese automatisiert und digitalisiert manuelle Prozesse. Anwender können das gesamte Datenschutzpaket ganz einfach über die Telekom beziehen, denn DataGuard ist Teil von TechBoost, dem Start-up-Programm der Deutschen Telekom.
Datenschutz zum Festpreis
Alle Unternehmen stehen vor derselben Herausforderung: Sie müssen seit Inkrafttreten der DSGVO Auskunft über die Speicherung personenbezogener Daten geben können und erklären, wozu sie Telefonnummern, Adressdaten oder Bankverbindungen verwenden. Darüber hinaus verlangt die Verordnung die Entwicklung von Löschkonzepten sowie eine kontinuierliche Dokumentation des Umgangs mit persönlichen Daten.
Zudem verpflichtet das Bundesdatenschutzgesetz (BDSG) Unternehmen mit mehr als zehn Mitarbeitern zur Benennung eines Datenschutzbeauftragten (DSB). „Gerade viele Mittelständler beauftragen damit einen externen Rechtsanwalt oder IT-Dienstleister und belasten dadurch ihr Budget mit relativ hohen Ausgaben“, sagt Regier. Hier setzen er und seine Mitgründer mit einer pragmatischen sowie kostengünstigen Alternative, im Stile einer DSB-as-a-Service-Lösung, an. Statt teurer Stundensätze zahlen Kunden transparente, kalkulierbare Monatspreise. Und profitieren dabei sowohl von der Beratung durch einen Datenschutzbeauftragten, als auch von den Vorteilen der Technologie dieser Lösung.
Individuelle Handlungsanweisungen auf Knopfdruck
Denn das Start-up hat eine Machine Learning Plattform entwickelt, mit der sich der manuelle Aufwand bei der Umsetzung der DSGVO-Vorgaben deutlich reduzieren lässt. Die Webplattform automatisiert und digitalisiert zahlreiche manuelle Datenschutzprozesse. Mithilfe einer übersichtlichen Dashboard-Funktion haben die Kunden einen Überblick über den Fortschritt des Datenschutzes in ihrem Unternehmen. So lässt sich beispielsweise nachvollziehen, wo es noch offene Fragen gibt oder wie viele Mitarbeiter bereits im Datenschutz geschult wurden.
Das zahlt sich aus, denn schließlich müssen Unternehmen auf dem Weg zur DSGVO-Konformität jeden einzelnen Prozess-Stein einzeln aufheben und schauen, ob er den Anforderungen der Verordnung genügt. So umfasst etwa das Audit für ein 30-köpfiges Unternehmen rund 800 bis 1.000 Fragen.
Aus den Antworten generiert die Plattform quasi auf Knopfdruck alles, was ein Unternehmen für die Umsetzung der DSGVO braucht – und zwar abgestimmt auf die individuellen Bedürfnisse. Dazu gehören beispielsweise Verarbeitungsverzeichnisse, Prozessdokumentationen und Handlungsempfehlungen wie die Anschaffung eines Schredders, um die personenbezogenen Daten von Bewerbern zu vernichten. Werden die Fragestellungen komplexer, kommen die Datenschutzbeauftragten des Dienstleisters in Spiel.
Datenschutzerklärung: Nicht Kür, sondern Pflicht
Ebenso mühelos wie verschiedene Dokumentationen lässt sich mit der innovativen Plattform auch eine rechtskonforme Datenschutzerklärung für die Unternehmenswebsite erstellen. Diese ist ebenfalls seit Mai 2018 verpflichtend. „Viele halten das wohlmöglich für überflüssige Bürokratie. Doch Datenschutz heißt ja nicht, Daten zu sichern. Sondern vielmehr, die Menschen dahinter zu schützen. Und dafür schafft die Erklärung eine wichtige Basis“, sagt der Geschäftsführer.
Sie verdeutlicht Internet-Nutzern, ob und in welcher Art und Weise auf einer Webseite personenbezogene und andere sensible Daten erhoben werden. „Welche Inhalte in eine Datenschutzerklärung hineingehören, hängt also direkt von der Datenerhebung auf der Webseite ab“, so Regier.
Seiner Erfahrung nach sind die Inhalte meist weit umfassender als viele Seitenbetreiber annehmen. Auch dann, wenn auf einer Webseite offensichtlich keine personenbezogenen Daten eingegeben werden, erfasst diese dennoch oft viele persönliche Informationen. „Wer sich etwa mit Google Analytics oder anderen Tracking-Tools über seine Besucher informiert, ist verpflichtet, diese darüber zu informieren“, sagt Regier. Ihm zufolge ist auch bei Facebook, Twitter und anderen sozialen Medien Vorsicht angebracht. Werden etwa sensible Daten via Plugins an die Betreiber dieser Plattformen weitergegeben, muss die betroffene Person auch darüber in der Datenschutzerklärung informiert werden.
Hohes Risiko mit Datenschutzerklärungen von der Stange
„Wer sich rechtskonform verhalten möchte, darf wirklich nichts außer Acht lassen, auch nicht die Cookie-Richtlinien“, so der Experte. Dazu sei es zwingend nötig, eine passgenaue Datenschutzerklärung zu erstellen – und zwar für jede einzelne Website. „Eine Mustervorlage gibt es dafür nicht. Das Dokument muss immer exakt auf die vorhandenen Gegebenheiten zugeschnitten sein.“, sagt Regier. Mit Hilfe der Machine Learning Plattform von Dataguard gelingt dies jedoch mühelos.
Gleichzeitig lassen sich damit auch Verstöße gegen die Verordnung und drohende Abmahnungen zuverlässig verhindern. Das ist wichtig, denn seit dem Inkrafttreten der DSGVO gelten wesentlich schärfere Sanktionen. Insofern ist der Chat-Anbieter Knuddels noch mit einem blauen Auge davongekommen. Denn für schwerwiegende Datenschutzverstöße können sich die Geldstrafen jetzt auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen – je nachdem, welcher Betrag höher ist. (rhh)
Hier geht es zu Dataguard