Mit Userlikes DSGVO-Checkliste fit für die Zukunft

Die Datenschutzgrundverordnung (DSGVO) verändert die tägliche Arbeit von Unternehmen mit Geschäfts- und Kundenbeziehungen, besonders im Internethandel.

Die neuen, verpflichtenden Richtlinien der EU stellen für Unternehmen sowohl eine Herausforderung als auch eine Chance dar, verantwortungsvoller mit Kundendaten umzugehen. Wir erklären am eigenen Beispiel, an welchen Schrauben Sie drehen sollten, um das eigene Unternehmen fit für die DSGVO zu machen.

Die DSGVO – Herausforderung und Chance

Die DSGVO ist eine Verordnung der EU, die europaweit die Richtlinien zur Verarbeitung personenbezogener Daten vereinheitlicht und verschärft. Sie löst im geschäftlichen Kontext einige Probleme beim Umgang mit dem Thema Datenschutz und ersetzt die bisher geltende Richtlinie 95/46/EG.

Die Verordnung ist für alle betroffenen Unternehmen in der EU ab dem 25. Mai 2018 umzusetzen. Anders als etwa ISO-Zertifikate (wie ISO 27001 oder ISO 9001) ist die DSGVO nicht optional.

Das neue Papier harmonisiert nicht nur die Datenschutzgesetze aller EU-Länder, sie löst auch einige Probleme, die in der Vergangenheit oft erst durch große Skandale bei datenverarbeitenden Unternehmen offensichtlich wurden. Ein prominentes Beispiel ist Uber, das im Jahr 2015 Millionen von Kundendaten verlor und den Vorfall anschließend auch noch vertuschte.

Mit der DSGVO erhalten die Datenschutzbehörden für solche Fälle schärfere Sanktionierungswerkzeuge, durch die sie die datenverarbeitenden Unternehmen finanziell empfindlich treffen können. Zudem schreibt die Verordnung Unternehmen generell weitreichende Auskunftspflichten im Kontext ihrer Datenverarbeitung vor. So betrachtet steigt für Ihre Firma mit der DSGVO die Selbstverantwortung, korrekt mit den Daten Ihrer Nutzer umzugehen.

Gleichzeitig erleichtert die Vereinheitlichung der Rechtslage auch viele Dinge. Falls Sie ein Unternehmen sind, das sich bisher im Zuge der Verarbeitung personenbezogener Daten mit den vielen unterschiedlichen nationalen Auslegungen auseinandersetzen musste, dürfen Sie in der neuen, einheitlichen Regelung einen Vorteil sehen. Zwar werden im Detail weiterhin landesspezifische Unterschiede in der Rechtslage möglich sein, die Harmonisierung dieser überwiegt jedoch klar.

Was sind “personenbezogene Daten” laut DSGVO?

Da oft Unklarheit über die Definition “personenbezogener Daten” besteht und sie bei der neuen Verordnung für Unternehmen im Zentrum des Interesses stehen, hier eine kurze Abgrenzung basierend auf der DSGVO. Personenbezogene Daten sind:

  • Daten, die sich auf eine identifizierte oder identifizierbare, tatsächlich existierende Person, beziehen. Dazu gehören Name, Adresse, E-Mail-Adresse, IP-Adresse sowie Cookies
  • Daten, die eine Aussage über das wirtschaftliche Verhältnis darstellen

Für welche Unternehmen greift die DSGVO?

Pauschal lässt sich sagen: Wenn ein Unternehmen in der EU mehr als 10 Mitarbeiter beschäftigt und mindestens ein Mitarbeiter einen E-Mail-Account im Geschäftskontext besitzt, greift die DSGVO. Ein weiteres hinreichendes Kriterium ist, dass das Verarbeiten von personenbezogenen Daten zum Kerngeschäft der Firma gehört.

Schaut man ganz nüchtern auf die Unternehmenswelt im Jahr 2018, so gilt die Verordnung somit für nahezu alle mittelständischen und großen Konzerne in der EU. Doch auch die kleine Pizzeria um die Ecke, die bei Online-Bestellungen personenbezogene Daten wie die Adressen ihrer Kunden aufnimmt, dürfte davon eingeschlossen sein.

Was ändert sich für betroffene Unternehmen?

Viele Endkunden registrieren sich auf Internetseiten von Dienstleistern und Händlern ohne genau zu wissen, welche ihrer Daten bei den Unternehmen gespeichert werden. Hier stärkt die DSGVO die Rechte der Kunden mit dem Recht auf Information über die Speicherung ihrer persönlichen Daten. Ab dem Stichtag darf jeder Verbraucher auf Unternehmen zugehen und Auskunft über die Verarbeitung, Korrekturen, die Aushändigung oder die Löschung der Daten verlangen.

Da bisher die wenigsten Unternehmen ihre Kunden proaktiv und ausführlich über die Verarbeitung ihrer Daten informierten und in einigen Systemen bisher technisch keine Option zur Veränderung oder zum Export von Stammdaten vorgesehen war, dürfte die DSGVO für viele Firmen einen Mehraufwand bedeuten. Wie groß dieser ist, hängt vom Umfang und der Art der Datenverarbeitung im Geschäftsprozess ab.

Für die Pizzeria um die Ecke etwa hielte sich der Aufwand in Grenzen. Sie könnte die für Lieferungen nötigen Kundendaten zum Beispiel drei Stunden nach Erfassung automatisch löschen. Entsprechend einfach wäre es für dieses Unternehmen dann, auf Anfragen von Kunden zur Datenverarbeitung zu reagieren. Die Antwort wäre schlicht “keine Daten vorhanden”.

Bildet das Kerngeschäft jedoch komplexe Kommunikationsströme mit Daten ab, so muss jeder Austausch verstanden werden. Es entstehen eine Reihe von Fragen, die das Unternehmen beantworten können muss:

  • Wo werden personenbezogene Daten zwischen uns und unseren Kunden übertragen?
  • Werden diese Daten sicher übertragen, falls ja, zu welchem Zweck?
  • Werden diese Daten sicher gespeichert?
  • Werden diese Sicherungen verschlüsselt archiviert?
  • Wie lange werden die Daten aufbewahrt?
  • Welches Subunternehmen verarbeitet die Daten in unserem Auftrag?
  • Haben wir Verträge, die den Austausch der Daten regeln?
  • Welche Daten verarbeiten wir im Auftrag für unsere Kunden?

Jede dieser Fragen, die Sie nicht eindeutig beantworten können, stellt ein potenzielles Risiko für Sie da, mit den Regeln der DSGVO zu brechen.

Übertragen Sie zum Beispiel (historisch bedingt) Daten zwischen Ihren Servern und denen eines Dienstleisters, der diese Daten für sie hostet oder verarbeitet, sollte ab dem 25.05.2018 auch ein Vertrag zwischen dem Dienstleister und Ihnen vorliegen. Aus diesem muss der Zweck der Datenverarbeitung hervorgehen, also der Kerndienstleistung, die Sie empfangen.

Falls Ihren Kunden bereits eine vollständige Ansicht ihrer Stammdaten vorliegt, anderweitig keine weiteren Daten mehr gesammelt wurden, und dem Bundesdatenschutzgesetz der letzten Jahre entsprechend Auftragsdatenverarbeitungsverträge mit Dienstleistern existieren, so besitzen Sie eine gesunde Basis zum Ausbau für die DSGVO.

Viele Dienstleister haben bereits entsprechende Data-Processing-Agreements (DPA) auf ihren Websites, etwa Slack und Pipedrive. Diese müssen Sie lediglich auf die für Sie relevanten Punkte prüfen. Allerdings brauchen Sie nicht jeden Dienstleister (z.B. Wachdienst, Hausmeister) im DPA gegenüber Ihren Kunden erwähnen. Ihre Liste genutzter Dienstleister darf sich auf solche im direkten Zusammenhang mit Ihrer Kerndienstleistung beschränken.

Bei Userlike besitzen wir pro Dienstleister und zukünftig pro Kunde ein DPA.

Privacy-by-Design

Der Ausdruck “Privacy-by-Design” bringt die Forderung zum Ausdruck, Softwaresysteme bereits zum Zeitpunkt ihrer Konzeption datenschutzfreundlich zu gestalten, was eine Art idealer Standard darstellt. So sollten Privatsphäre-Einstellungen von Anfang an so programmiert werden, dass sie in der Ausgangskonfiguration hohen Datenschutz bieten. Nutzer erhalten dadurch die Möglichkeit, bewusst zu entscheiden, wie offen sie mit ihren Daten umgehen möchten.

Nehmen wir an, Ihre Software zeichnet die Nutzung von Kunden-Accounts auf und sendet diese Information an Ihr Unternehmen. Nach dem Privacy-by-Design-Ansatz wäre diese Funktion standardmäßig deaktiviert. Der Nutzer kann sie aber später immer noch selbst aktivieren.

Möchten Sie bessere Kundenbeziehungen?

Testen Sie Userlike kostenlos und chatten Sie mit Ihren Kunden auf Ihrer Website, Facebook Messenger und Telegram.

Mehr erfahren

Aber auch in Bereichen, auf die der Nutzer keinen direkten Einfluss hat, kann man für ein datenschutzfreundliches Setup sorgen. Bei Userlike wickeln wir etwa den Austausch personenbezogener Daten und API-Calls ausschließlich über in Deutschland betriebene Server der Firma Hetzner ab, die ihrerseits den hohen deutschen Datenschutzstandards entspricht. Lediglich nicht personenbezogene Elemente, also unser Chat-Widget, alle Assets, wie JavaScript-Dateien, Bilder und CSS-Stylesheets werden bei uns über AWS ausgeliefert.

Datenschutzbeauftragter

Der Datenschutzbeauftragte (DSB) ist unter bestimmten Bedingungen im Unternehmen zu benennen, die allerdings auf nahezu alle Unternehmen zutreffen. In der DSGVO ist die Rolle des DSB gegenüber vorigen Bestimmungen im Kern unverändert, er hat nicht mehr oder weniger Pflichten als zuvor. Alle Unternehmen, die diese Position zuvor vernachlässigt haben, sollten aber spätestens jetzt reagieren.

Der DSB muss eine gewisse Qualifikation aufweisen, untersteht unmittelbar der Geschäftsführung und darf aufgrund seiner Position im Unternehmen in keinem Interessenkonflikt stehen. Er ist der Ansprechpartner bei Fragen zum Datenschutz für:

  • Datenschutzbehörden
  • Geschäftsführung
  • Kunden
  • Lieferanten
  • Mitarbeiter

Zudem ist der DSB innerhalb seines Unternehmens verantwortlich für die Sensibilisierung für datenschutzrechtliche Fragen, Probleme und Lösungen. Dies geschieht gegenüber Geschäftsführung und Mitarbeitern etwa auf Basis von Schulungen. Mit Blick auf die DSGVO sollten Mitarbeiter vor allem über die neuen Rechte der Kunden aufgeklärt werden sowie darüber, wie das eigene Unternehmen damit umgeht, z.B. durch neue Prozesse für die Bearbeitung von Kundenanfragen. Bei Userlike übernehme ich diese Rolle.

Schulung von Mitarbeitern

Alle Mitarbeiter Ihres Unternehmens, die intensiven Kundenkontakt pflegen, sollten über die neuen Rechte der Kunden informiert werden. Es bleibt zwar abzuwarten, wie Endverbraucher mit diesen umgehen, allerdings sollten Sie nicht darauf warten bis Eventualitäten Realität werden – andernfalls könnten Sie schnell schlecht dastehen.

Wenn ein Kunde Ihren Mitarbeiter also fragt, welche Daten in Ihrem Unternehmen zu seinem Konto gespeichert sind, sollte Ihr Angestellter bereits einen klaren Prozess zur Hand haben und wissen, wie er dem Kunden die entsprechenden Daten bereitstellen kann.

Sicherlich müssen Ihre Mitarbeiter nicht alle Feinheiten und Details der DSGVO kennen. Sie sollten dem Kunden jedoch zumindest erklären können, wie dieser seine eigenen Rechte nun auf dem Portal wahrnehmen kann. Oft reicht es aus, Kunden einfach einen Link zur eigenen Stammdatenverwaltung zu schicken. Idealerweise kann dieser dort alle existierenden Daten einsehen und verändern.

Bei Userlike haben wir in den letzten drei Monaten die Fragen unserer Kunden zum Thema Datenschutz und IT-Security gesammelt und in einer FAQ mit Antworten zusammengefasst. Diese umfasst ca. 50 Fragen, die je nach Sensibilität entweder als “öffentlich” oder “privat” deklariert wurden und entsprechend für alle Kunden bzw. bestimmte Kunden einsehbar sind.

Alle Fragen und Antworten wurden an unser Customer-Success-Team weitergeleitet, damit jede Person, die uns mit Fragen zum Thema kontaktiert, schnell verlässliche Informationen erhält. Das Team wurde von mir zudem teils in Einzelterminen, teils in Gruppenschulungen über Hintergründe und Umfang der neuen Richtlinien informiert und für das Thema Datenschutz sensibilisiert.

Verschlüsselung des Transportweges

Wir empfehlen Ihnen, wie Userlike, ein SSL-, oder präziser, ein TLS 1.2-Zertifikat zu nutzen, um Daten auf dem Weg von Ihrem Server zum Kunden (Transportweg) zu verschlüsseln. So stellen Sie sicher, dass Sie Ihren Pflichten gemäß DSGVO nachgekommen sind.

Vermeiden Sie die Nutzung von Symantec-Zertifikaten, da Google diese nicht mehr erlaubt. Wenn Sie sich kein Zertifikat für 100€ pro Jahr Leisten möchten, aber eine eigene kleine IT, versuchen Sie es mit dem Zertifikatsmanagement von Let's Encrypt. Falls Sie Ihre Daten bei AWS hosten ist das Zertifikatsmanagement bereits enthalten.

Verschlüsselung der Daten

Wenn die Daten sicher auf Ihren Server transportiert wurden, bedeutet dies nicht, dass sie dort auch sicher gespeichert sind. Bei klassischen Hosting-Produkten wird die Festplatte eines gebuchten Servers oft standardmäßig nicht verschlüsselt. Dies trifft besonders bei Nutzung von Datenbank-Management-Systemen wie MySQL oder PostgreSQL zu.

Was also tun? Nutzen Sie Tools wie LUKS, ein kostenloses Programm für Linux, mit dem Sie die Festplatten Ihrer Server verschlüsseln können - und das auch wir bei Userlike nutzen. AWS bietet Ihnen bereits beim Bestellen von Festplatten die Option, diese zu verschlüsseln. Über den Wert solch einer Zusage kann sicher gestritten werden. Falls eine ursprünglich defekte Festplatte Ihres Datenbankservers sich jedoch plötzlich bei ebay wiederfindet und die Datenschutzbehörde Ihren Datenschutzbeauftragten kontaktiert, taugt das definitiv nicht als Ausrede.

In der Regel haben Datenbankserver eine lange Lebenszeit. Im Hosting-Kontext heißt das: auch die Hardware des Servers und der Preis des gebuchten Produktes weisen ein Alter von mindestens drei Jahren auf.

Üblicherweise tauscht der Hosting-Anbieter seine eigenen Produkte alle 2-3 Jahre gegen neue aus. Der Preis bleibt oft gleich, jedoch werden die Server mit mehr Ressourcen an CPU, Arbeits- und Festplattenspeicher ausgestattet. Wenn Sie also Ihren Datenbankserver zwecks Verschlüsselung nach DSGVO auf einen neuen Server migrieren, haben Sie gute Chancen, mehr Gegenwert bei ähnlichem Kostenaufwand zu bekommen.

Man könnte nun argumentieren, dass für den aktuellen Datenbank-Server nicht unbedingt mehr Ressourcen notwendig sind und auch in Zukunft betroffene Server nicht viel ausgelastet sein werden. Allerdings sollte hier berücksichtigt werden, dass als Reaktion auf die Sicherheitslücken von Meltdown und Spectre Patches installiert werden mussten, die Performance-Einbußen von 5 bis 30% verursachen.

Insgesamt kann der Austausch von alten Servern durch neue einige Probleme auf einmal für Sie lösen. Selbst wenn sich zusätzliche Ressourcen und Leistungseinbußen komplett ausgleichen und auch die laufenden Kosten für den Server sich nicht ändern, so haben Sie zumindest alle Hürden von Meltdown, Spectre und DSGVO genommen.

Unabhängig davon sollten Sie die Verschlüsselung aller personenbezogenen Daten als Werkzeug ansehen, um Risiken für Ihre Kunden und Ihr Unternehmen zu minimieren.

Dokumentation der Löschung von Daten

Oft wird das Thema Datenlöschung als Belastung betrachtet. Wir empfehlen, wertneutral an das Thema heranzugehen.

Angenommen eine Festplatte Ihres Datenbankservers fällt aus und muss ausgetauscht werden. Befinden Sie sich in einer Hosting-(nicht Housing-)Situation, verpflichtet sich der Rechenzentrumsbetreiber, in einem solchen Fall die defekte Festplatte (gegen Gebühr) auszutauschen und die Daten darauf zu löschen. Problematisch ist, dass Sie hiervon kein Protokoll erhalten. Kommen Kunden oder Behörden auf Sie zu, um Auskunft zu erhalten, können Sie nicht zeigen, was mit den Daten geschehen ist.

Screenshot der Kommandozeilen-Aufnahme bei der Löschung einer Server-Festplatte.
Dokumentation der Löschung einer Platte mit shred.

Zum manuellen Löschen der Daten auf Serverebene existieren freie Tools wie shred, die mit einer n-fachen Iterationshäufigkeit die Sektoren der Festplatten mehrfach überschreiben und damit die Löschung quasi “versiegeln”.

Um auf Nummer sicher zu gehen, löschen Sie Ihre Festplatten selbst. Ihr dazu erstelltes Protokoll dient als Nachweis, dass Sie Ihrer Pflicht gegenüber Kundenanfragen und Datenschutzbehörden nachgekommen sind. Bei Userlike erstellen wir zu diesem Zweck Screenshots der Kommandozeilen-Aufnahme und legen diese intern für etwaige spätere Rückfragen ab.

AWS schickt früher genutzte und nach Löschung wieder freigegebene Festplatten seinerseits in einen speziellen Pool. Platten in diesem Pool werden von automatisierten Jobs zuerst sicher gelöscht und danach für die weitere Verwendung bei anderen Kunden freigegeben. Dieses Verfahren können Sie als sicher und zuverlässig betrachten.

Prozessperspektive

Aus der Unternehmens-Prozess-Perspektive erweitert die DSGVO ein Unternehmen um zusätzliche interne und externe Prozesse. Pauschal kann angenommen werden, dass pro Recht ein separater Prozess existiert. Der Endkunde kann nun z.B. vier Prozessinstanzen auslösen.

  • Kunde fragt, welche Informationen über ihn gespeichert sind
  • Kunde bittet, dass bestimmte Informationen korrigiert werden sollen
  • Kunde bittet, dass seine Daten in einem strukturierten Datenformat zum Download bereitgestellt werden
  • Kunde bittet, dass seine Daten gelöscht werden

Diese Anfragetypen erfüllen alle Voraussetzungen, um aus Prozesssicht automatisiert zu werden. Sie weisen einen hohen Wiederholungsgrad aus (hohe Anzahl an Anfragen steht in naher Zukunft bevor) und sind hochgradig strukturierbar. Eine Prozessinstanz sollte bestenfalls nicht länger als 72 Stunden dauern, besonders bei Anfragen von Datenschutzbehörden.

Stellt die Datenschutzbehörde des (Bundes-)Landes eine Anfrage an das Unternehmen, muss der Datenschutzbeauftragte antworten.

Fragen, die bei der DSGVO offen bleiben

Auch wenn die DSGVO die meisten Szenarien und Fälle im Unternehmensalltag abdeckt, so wird man in manchen Punkten auf entsprechende Urteile warten müssen, bis Rechtssicherheit besteht:

  • Haftungsfrage des Datenschutzbeauftragten
  • Recht auf Vergessen und Backups
  • Kollisionen mit IT-Security-Richtlinien, wenn diese vorschreiben jeglichen Netzwerkverkehr zu protokollieren

Dieser Artikel wurde nicht von einem Juristen verfasst und stellt keinen Anspruch auf juristische Richtigkeit dar. Konsultieren Sie im Zweifel sicherheitshalber immer Ihren Rechtsanwalt.