Am 25. Mai 2018 wird die neue EU-Datenschutz-Grundverordnung, kurz DSGVO, nach zweijähriger Übergangsfrist wirksam. Im Fokus der neuen Regelung stehen zum einen die Vereinheitlichung bislang teils unterschiedlicher Gesetzgebungen der EU-Mitgliedsstaaten, zum anderen die Stärkung des Schutzes personenbezogener Daten. Neben europäischen Unternehmen betrifft die Regelung auch Unternehmen, die Ihren Sitz außerhalb der EU haben und mit europäischen Unternehmen zusammenarbeiten.
Der Stichtag naht, und es bleiben viele Fragen offen, verbunden mit diversen Auslegungsmöglichkeiten der DSGVO. Welche neuen Rechte und Pflichten entstehen für Unternehmen und Privatpersonen? Welche Maßnahmen hat Plunet bislang unternommen, um die neuen Bestimmungen zu erfüllen? Auf welche Sicherheitsvorkehrungen können sich Plunet-Kunden einstellen? Wir haben unseren Datenschutz-Experten Sufian Reiter – Head of Operations bei Plunet – zum Thema befragt und einige aufschlussreiche Antworten erhalten.
Kannst Du bitte kurz erklären, was die EU-DSGVO für Unternehmen bedeutet? Was genau verändert sich mit der neuen Regelung im Vergleich zu vorher?
Für Unternehmen bedeutet es zuallererst einmal mehr Aufwand. Alle Unternehmen müssen ihre Datenverarbeitungsprozesse hinterfragen, überarbeiten und dokumentieren – das beinhaltet auch Softwareapplikationen und Verträge. Für EU-Bürger hingegen bedeutet es mehr Rechte und Entscheidungsfreiheit. Für alle führt es letztendlich zu mehr Sicherheit im Umgang mit personenbezogenen Daten und verringert die Wahrscheinlichkeit von Datenpannen wie bei Facebook. Kurz lässt sich das nur schwerlich erklären. Im Grunde genommen wurden die länderspezifischen Gesetze jetzt auf EU-Ebene umgesetzt und weitergeführt und am Ende haben wir nun ein Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet, dass der Umgang mit personenbezogenen Daten erst einmal grundsätzlich verboten ist, es sei denn die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies.
Du hast gerade Facebook angesprochen – ein US-amerikanisches Unternehmen. Betrifft das EU-Gesetz auch deren Datenschutzvorkehrungen?
Das Gesetz schützt EU-Bürger wie Dich und mich. Es ist egal, wo das verarbeitende Unternehmen sitzt. Da Facebook und Co. mit unseren Daten arbeiten, müssen sie sich daran halten. Tun Sie das? Tatsächlich sind die US-amerikanischen Unternehmen sehr schnell dabei, sich an unserer EU Datenschutzverordnung zu orientieren. Zum einen ist das für sie ein großer Markt, und zum anderen wird über kurz oder lang auch in Nordamerika ein ähnliches Gesetz kommen.
Was sind Deiner Auffassung nach die wichtigsten Punkte, die Unternehmen bei der Umsetzung der DSGVO berücksichtigen sollten?
Die Datenschutzvereinbarung auf der Firmenwebseite zu aktualisieren, ist sehr wichtig. Ich kann mir vorstellen, dass die Abmahnkarawanen ab Juni relativ aktiv werden und das kann dann sehr teuer werden. Ansonsten müssen die Verträge mit Dienstleistern geprüft werden. Hierbei sind insbesondere die Dienstleister wichtig, die eben nicht in der EU sitzen. Und der allgemeine Datenumgang. Man muss sicherstellen, dass wirklich nur die Personen Zugriff zu den Daten haben, die sie auch wirklich benötigen.
Wie gut ist Plunet auf die gesetzlichen Veränderungen vorbereitet, und welche Maßnahmen hat Plunet bislang unternommen, um dem neuen Gesetz gerecht zu werden?
Das kann man heute noch nicht abschätzen, aber ich denke, wir sind ganz gut dabei. Wir haben all unsere Verträge überarbeitet. Wir haben die Datenschutzvereinbarung der Webseite überarbeitet. Wir haben dokumentiert, welche Daten wir wo, wann und wie erheben – das war ein ganz schöner Aufwand. Plunet BusinessManager mussten wir auch an einigen Stellen überarbeiten. Insbesondere das Prinzip des Rechts auf Löschung ist in Hinblick auf Datenbankapplikationen nicht ganz so einfach. Wenn man Daten einfach so löscht, kann das zu Inkonsistenzen führen. Daher mussten wir die Applikation großflächig umbauen. Wir haben jetzt eine externe Firma beauftragt, die notwendige Penetrationstests durchführt und unser System täglich auf Sicherheitslücken prüft. Als nächstes benötigen wir auch noch neue Vereinbarungen mit allen Mitarbeitern. Und dann stellt sich die Frage, was passiert nach dem 25. Mai, wenn die Gerichte anfangen, Recht zu sprechen bzw. das Recht zu interpretieren? Vielleicht folgen dann noch weitere Aufgaben.
Was ist für Plunet-Kunden wichtig zu wissen und zu beachten?
Wichtig ist, dass es jeden betrifft. Und dass Plunet BusinessManager nur EIN Teil ihres Geschäftsmodells ist. Sie können sich nicht darauf verlassen, wenn Plunet fit ist – bin ich es auch. Plunet nimmt die Rolle eines Datenverarbeiters ein. Der Kunde bleibt der Datenverantwortliche. Es ist seine Aufgabe, dafür zu sorgen, dass die Daten, die er erhebt und verwaltet, zu jedem Zeitpunkt sicher sind. Insbesondere der Umgang mit Dateien ist ein bisschen schwierig. Plunet selbst arbeitet mit Meta-Informationen. Die Dateien fassen wir ja eigentlich gar nicht an, sondern stellen sie nur in Projekten zur Verfügung. Aber was ist, wenn sich in diesen Dateien schützenswerte personenbezogene Daten befinden – und vor allem, was muss ich sicherstellen, wenn ich diese Daten einem Übersetzer in Delhi zur Verfügung stellen will? Das liegt grundsätzlich in der Verantwortung der Kunden.
Folgen noch weitere Neuerungen? Falls ja, welche und wann?
Ab dem 25. Mai wird Recht gesprochen. Dann werden wir sehen, wie die Gerichte die Gesetzestexte interpretieren. Muss jetzt die E-Mail-Kommunikation vollständig verschlüsselt werden? Wenn ich beispielsweise den Namen eines Kundenkontaktes in einer E-Mail im Jahr 2013 verwendet habe, und er möchte, dass all seine Daten gelöscht werden – muss ich dann auch mein Postfach durchforsten und schauen, dass ich alles lösche, was in irgendeiner Verbindung zu ihm steht? Welche Authentifizierung ist zeitgemäß? Benutzername und Passwort – oder doch die Zwei-Faktor-Authentifizierung? Es gibt noch viele offene Fragen und man muss sehen, wie das Gesetz interpretiert wird. Bis dahin kann ich jedem nur raten, einfach nach bestem Wissen und Gewissen alle schützenswerten Daten so gut wie möglich zu schützen.
Welche Auswirkungen wird Deiner Meinung nach die neue EU-Datenschutz-Grundverordnung auf das zukünftige Arbeiten in der Übersetzungsbranche haben?
Ich hoffe, keine allzu große. Die Amerikaner ziehen bestimmt bald nach und am Ende sind wir alle ungefähr auf dem gleichen Rechtsstand. Das wird jetzt ein bis zwei Jahre Thema sein, aber im Grunde wird die Messlatte jetzt zum Wohle aller Einzelpersonen ein Stückchen höher gehängt.
Danke für den aufschlussreichen Einblick!
Über Sufian Reiter
Sufian Reiter ist seit 2008 für Plunet tätig. Angefangen als Head of Sales, verantwortet er seit einigen Jahren als Head of Operations sämtliche internen Prozesse von Plunet. Neben technischen und wirtschaftlichen Themen sind auch die Herausforderungen des Datenschutzes ein Bestandteil seiner täglichen Arbeit.
