Grundsätzlich verlangt die EU von allen Unternehmen „Sicherheitsmechanismen auf dem aktuellen Stand der Technik“ – was auch immer das im Detail bedeutet. Fakt ist: Das betrifft sowohl die einzelnen Rechner als auch den Datenserver, den Exchange-Server sowie mobile Geräte, mit denen die Kollegen im Home-Office oder unterwegs arbeiten. Ein konkretes Beispiel: Viele Unternehmen nutzen eine Softwarelösung, mit der sie ihre Kunden, Lieferanten und Projekte zentral organisieren. Aber wann wurde dieses Programm eigentlich zuletzt geupdated? Gibt es überhaupt noch Support vom Hersteller? Erfüllt die Software die Anforderungen der neuen Richtlinie? Wenn nein: Gibt es eine Alternative?

Wenn Sie eine dieser Frage mit „keine Ahnung“ beantworten, dann sind Sie entweder nicht zuständig (dafür sollten Sie jeden Tag dankbar sein!) oder Sie haben ein Problem. Der schwache Trost: Damit sind Sie nicht alleine. Insbesondere Kleine und Mittlere Unternehmen (KMU) stehen vor großen Herausforderungen. Das Bewusstsein für das Thema IT ist vielerorts kaum vorhanden. Die PCs müssen halt irgendwie funktionieren, Hauptsache die Internetverbindung steht und die Telefonanlage funktioniert. Ob das Betriebssystem nun Windows XP, Vista, 7 oder 10 heißt, ist vielerorts ein unbekanntes Detail. Entsprechend unklar sind die Zuständigkeiten – und demjenigen, der verantwortlich sein soll, fehlt oft die erforderliche Qualifikation.

Das führt uns direkt zum zweiten Punkt: Dem Verhalten. Ihre teure State-of-the-Art-Infrastruktur mit Verschlüsselungslösungen, an denen sich die NSA die Zähne ausbeißt, nützt Ihnen gar nichts, wenn Ihre Mitarbeiter auf jeden Spam-Link klicken, den sie finden können. Das ist bislang vor allem ein Ärgernis, weil Viren, Trojaner und Co. die Arbeitsabläufe verzögern und oft eine (teure) Bereinigung nötig ist. Ab Mai erhält das Verhalten eines jeden Mitarbeiters aber zusätzlich eine juristische Dimension: Laut EU-Datenschutzverordnung haftet immer derjenige persönlich, der Daten bearbeitet, persönlich dafür verantwortlich, dass sie auch ordnungsgemäß verarbeitet werden. Das bedeutet, ein Unternehmen muss im Ernstfall jederzeit nachweisen können, wer wann was mit welchen Daten veranstaltet hat.

Klingt einfach, wird in der Praxis aber kompliziert. Ein Klassiker ist die Urlaubsvertretung: Ins E-Mail-Postfach des Kollegen schauen, wenn der nicht da ist, oder sogar aus Bequemlichkeit Mails von diesem Account verschicken? Ab 25. Mai ein absolutes No-Go. Stattdessen müssen Unternehmen im Idealfall über eine Zwei-Faktor-Authentifizierung verfügen, bei der ein Nutzer nicht nur sein Passwort, sondern zum Beispiel auch sein Smartphone benötigt. Und da geht es nur um die Anmeldung am PC. Auch für Messenger-Dienste, Home-Office oder die Nutzung von Datenträgern müssen Firmen dringend verbindliche Regeln festlegen und die Mitarbeiter entsprechend schulen. Denn die datenschutzkonforme IT mag zwar keinen unmittelbaren finanziellen Gewinn versprechen – ab Mai kann sie aber für die Firma und die Mitarbeiter Strafzahlungen, sprich: Verluste, verhindern.

Wir werden bis Mai in loser Folge über bestimmte Aspekte der DSGVO berichten, die insbesondere für die Medienbranche von Bedeutung sind.