Warum Startups die DSGVO ernst nehmen sollten!

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union tritt am 25. Mai verbindlich in Kraft und soll einen einheitlichen datenschutzrechtlichen Rahmen für Europa schaffen – die Verordnung betrifft auch zahlreiche Gründer. Grundsätzlich liegt der Schlüssel zur Compliance darin, die DSGVO ernst zu nehmen. Der größtmögliche Fehler wäre es anzunehmen, dass diese für das eigene Unternehmen nicht gilt, nur weil es sich um ein Startup handelt. Sobald Daten von EU-Bürgern gespeichert werden – unabhängig davon, ob es sich um Mitarbeiter- oder Kundendaten handelt – gelten für das Unternehmen die gleichen Vorschriften wie für jedes Großunternehmen. Für kleine Unternehmen gibt es allerdings eine gute Nachricht: die Herausforderungen im Zusammenhang mit dem „Auffinden“ von Daten sollten generell leichter zu bewältigen sein, da die Belegschaft kleiner ist und deshalb Informations- und Kommunikationsketten leichter zu verfolgen sind.

1) Teamwork ist gefragt
Unabhängig von der Größe des Unternehmens ist ein Aspekt entscheidend: Um Compliance sicherzustellen, wird ein funktionsübergreifendes Team benötigt, das gemeinsam und in Abstimmung mit anderen Bereichen an der Einführung der Sicherheitsmaßnahmen arbeitet. Schließlich handelt es sich bei der Einhaltung der DSGVO nicht um ein Thema, welches lediglich von der IT- oder HR-Abteilung alleine gestemmt werden kann. Dies bedeutet nicht zwangsläufig die Beauftragung eines externen Teams; vielmehr sollte das Team intern heraus entwickelt werden und entsprechend wachsen. Wenn das Personal die Abläufe kennt, ist es für das Unternehmen auch leichter, den Vorschriften gerecht zu werden.

2) Besonnenheit ist besser als Übermut
Bevor Unternehmen weitreichende Entscheidungen treffen, empfiehlt es sich, zunächst den Ist-Zustand zu betrachten. Startups neigen dazu, im Eiltempo voranzupreschen. Dies ist im Hinblick auf Fortschritt und Innovation natürlich großartig, führt aber in manchen Fällen zu unnötigen Geschäftsrisiken, weil mögliche Folgen nicht durchdacht werden. Ein Beispiel hierfür ist die Implementierung eines gemeinsamen Kooperationsdienstes wie DropBox, ohne Berücksichtigung der Tatsache, dass Mitarbeiter auch eine Reihe anderer Dienste nutzen und die Geschäftsführung darüber nicht informiert ist. Dadurch werden wichtige Information an unbekannte Orte verschoben, was Unternehmen teuer zu stehen kommen kann, wenn die DSGVO erst einmal voll in Kraft getreten ist. Natürlich möchten Unternehmen Aktivitäten nicht unnötig einschränken, sollten aber auch kein Risiko eingehen angesichts der Folgen, die eine Datenpanne oder die Missachtung der Bestimmungen haben kann.

3) Wissen einholen, um Lücken zu schließen
Unternehmen sollten sich in jedem Falle mit den Vorschriften der Verordnung vertraut machen und herausfinden, wo die bereits eingeführten Maßnahmen Lücken haben. In einigen Fällen wurde bereits eine akzeptable Nutzungsrichtlinie im Hinblick auf die IT-Systeme für Mitarbeiter eingeführt, die zum Zweck der DSGVO aber aktualisiert werden muss. Vielleicht handelt es sich auch nur um eine Kleinigkeit, wie die Aktualisierung einer Datenschutzrichtlinie oder einer Datensammlungsrichtlinie auf der Webseite, was dem jeweiligen Unternehmen viel Geld spart. Wichtig ist es in jedem Fall, diese Lücken zu kennen, um diese dann gezielt anzugehen.

4) Offensiv vorgehen zahlt sich aus
Die meisten Unternehmen (ob Startup oder Großunternehmen) müssen bestehende Prozesse anpassen und neue einführen, um der DSGVO gerecht zu werden. Zum Beispiel, die Zustimmung von Kunden einholen, sodass diese weiter bedienen werden können. Startups, die diesen Schritt noch nicht getan haben, sollten dies in jedem Falle so früh wie möglich tun. Darüber hinaus wird die Einführung weiterer Prozesse erforderlich sein, um auf Kundenforderungen reagieren zu können. Ein Beispiel hierfür ist die Forderung, von Marketinglisten gestrichen zu werden, oder aber auf den etwas umfassenderen Anspruch auf Löschung der Daten („Recht auf Vergessenwerden“).

5) Eine Lösung gegen Datenverlust
Startups sollten die Datenverstöße und Datenverluste im Blick haben und wie diese verhindert werden können, denn die Strafen sind so hoch, dass sie existenzbedrohend sein könnten. Es gibt kostenwirksame Lösungen für Data Loss Prevention, die mit E-Mail-, Web- und Endpunktsicherheit kombiniert werden können – es muss keine eigenständige Lösung sein.

6) Effektives Patch-Management
Dies ist ein wichtiger Punkt, den Firmen leider häufig unterschätzen, der aber zu den absoluten Grundlagen im Hinblick auf die IT-Sicherheit und Compliance gehört. Unternehmen aller Größe, auch und gerade junge Unternehmen, sollten einen Prozess zum Patchen und Aktualisieren von OS und Anwendungen einführen, um Sicherheitsprobleme zu verringern. Gleiches gilt für Basis-Sicherheitstechnologien, wie Anti-Virus und Backup.

7) Ein Plan für den Ernstfall
Es empfiehlt sich, einen sogenannten Cyber Incident Response Plan zu entwickeln. Der Begriff erweckt den Anschein, als sei dies nur relevant für Großunternehmen, aber selbst die kleinsten Organisationen sollten einen solchen Plan unterhalten. Schließlich zeigte der Wannacry-Vorfall 2017, dass jedes Unternehmen zum Ziel werden kann und die Angreifer wahllos vorgehen, wenn es um Ransomware geht. Eine gute Strategie ist das Verfolgen der Cyber-Incident-Szenarien in der Presse und die Überlegung, wie das eigene Unternehmen reagiert hätte. Wäre der Vorfall auch für das eigene Unternehmen ein Problem gewesen oder verfügt es bereits über einen angemessenen Plan und Abwehrmaßnahmen, um sicherzustellen, dass man nicht in die Schlagzeilen gerät? Die entwickelten Pläne sollten regelmäßig getestet und präzisiert werden, insbesondere, wenn das Unternehmen wächst und neue Produkte und Services anbietet, die ein potentielles Compliance-Risiko darstellen.

8) Rechtzeitig handeln, solange Zeit bleibt
Mittlerweile bleiben Verantwortlichen keine zwei Monate mehr, bis die DSGVO in Kraft tritt. Aus diesem Grund kommt es darauf an, dass Unternehmen sehr schnell entsprechende Sicherheitsvorkehrungen treffen. Die Vorbereitung beginnt mit den zwei grundlegenden Fragen „Wo sind meine Daten?“ und „Wie schütze ich sie?“ Hat man als Startup erst einmal angefangen, sich mit diesen Fragen zu beschäftigen, werden viele sehen, dass es gar nicht so schlimm ist, wie es zunächst scheint. Es gibt außerdem viele Beratungsmöglichkeiten, angefangen bei der ICO-Webseite oder bei IT-Partnern, die auf diesem Weg helfen können. Abschließend ist es noch wichtig zu betonen, dass die Beschäftigung mit der DSGVO und der Entwicklung einer Compliance-Strategie keine einmalige Arbeit ist. Sobald die Compliance erreicht ist, darf nicht vergessen werden, sie auch aufrechtzuerhalten. Hierbei sei vor allem die Dokumentationspflicht erwähnt. Unternehmen werden im Zuge der Verordnung erhöhte Rechenschaftspflichten auferlegt, die sich auf die Dokumentation der Datenverarbeitungen und Maßnahmen zur Wahrung des Datenschutzes beziehen.

Zum Autor
Michael Kretschmer ist VP EMEA von Clearswift RUAG Cyber Security.

Kennt Ihr schon unseren #StartupTicker? Der #StartupTicker berichtet tagtäglich blitzschnell über die deutsche Start-up-Szene. Schneller geht nicht!

Mehr Startup-Substanz im Newsfeed – folgt ds auf Facebook

Startup-Jobs: Auf der Suche nach einer neuen Herausforderung? In der unserer Jobbörse findet Ihr Stellenanzeigen von Startups und Unternehmen.

Foto (oben): Shutterstock