Umsetzung der DS-GVO bei Boxcryptor Teil 1: Überblick verschaffen
Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit 25. Mai 2018 die neue Datenschutz-Grundverordnung. Eine neue Regelung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.
Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen und Neustrukturierungen. Viele Umfragen zeigen, dass das Thema DS-GVO Angst und Schrecken verbreitet.
Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb unsere CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung umsetzt.
Schritt 1: Informationen über die DS-GVO sammeln
Für den Einstieg in das Thema Datenschutz Grundverordnung habe ich mir zunächst mal die Verordnung im Original durchgelesen. Ich persönlich bin mit dem offiziellen Dokument der Europäischen Union gut zurechtgekommen. Doch es gibt auch verschiedene Helferlein, wie zum Beispiel die Apps mit Volltextsuche und Lesezeichenfunktion.
Neben dem Gesetzestext habe ich mir aber auch Artikel und Fachbeiträge gesucht, die speziell auf uns als IT-Dienstleister, Softwarehersteller und mittelständisches Unternehmen zugeschnitten sind. Um einen umfassenden Überblick zu bekommen haben wir uns deshalb im Team ausgetauscht, Links geteilt und an Webinaren teilgenommen.
Schritt 2: Prozesse dokumentieren
Andrea arbeitet sich durch den Paragraphen-Dschungel der DS-GVO.
Der nächste Schritt ist der Aufbau der vollständigen Dokumentation aller Schnittstellen, an denen personenbezogene Daten übergeben werden. Ich habe mich dafür entschieden, eine Excel-Tabelle anzulegen. So wächst eine Übersicht der Tools heran, die wir nutzen. Außerdem enthalten: Welche personenbezogenen Daten werden übergeben und welchen Zweck verfolgen wir damit.
Wichtig dabei: Es geht nicht nur um die Verarbeitung unserer Kundendaten, sondern auch um die Dienste, in denen wir Informationen über unsere Angestellten übergeben. Denn auch personenbezogene Daten mit beruflichem Kontext (zum Beispiel die berufliche E-Mail-Adresse oder die IP-Adresse des Arbeitsrechners) sind personenbezogene Daten, die im Sinne der DS-GVO geschützt werden müssen.
Einige Beispiele für Tools mit denen wir hier bei Boxcryptor arbeiten:
Helpdesk
Mit dieser Anwendung bearbeiten wir die Support-Anfragen der Boxcryptor-Nutzer. Hier werden die Kunden-ID und die E-Mail-Adresse, sowie die Namen und die Lizenzart übermittelt. All diese Daten benötigen wir, um technische Probleme zu lösen. Je nach Anwendungsfall fragen wir im Kontakt mit unseren Nutzern auch ab, welcher Browser und welches Betriebssystem verwendet werden, um Dateien mit Boxcryptor zu verschlüsseln.
E-Mails
Firmenintern werden E-Mails eher stiefmütterlich behandelt. Wir kommunizieren hier eigentlich nur über Chat oder je nach Anwendungsfall in dem dafür vorgesehenen Tool (zum Beispiel in Helpdesk). E-Mails gehen bei uns eher nach außen. Das ist beispielsweise der Fall, wenn wir Presseanfragen bekommen oder eine Messe planen. Doch natürlich sind auch die in den E-Mails übermittelten Daten unserer Gesprächspartner personenbezogene Daten im Sinne der DS-GVO und müssen entsprechend sorgsam behandelt werden.
Dropbox
Wir haben ein gemeinsames Dropbox-Konto, in dem jede Abteilung ihren eigenen Ordner mit Unterordnern hat. So können wir die Zugriffsrechte bequem verwalten und die Teams arbeiten effizient. Auf den einzelnen Arbeitsrechnern liegen lokal keine Dateien, die personenbezogene Daten beinhalten. Natürlich verschlüsseln wir alle Unternehmensdaten, die wir in die Dropbox hochladen, mit Boxcryptor. So sind unsere Firmeninterna und alle personenbezogenen Daten verschlüsselt und für Außenstehende nicht einsehbar. An diesen Arbeitsablauf halten wir uns seit der Firmengründung streng.
Schritt 3: Mitarbeiter für Datenschutz sensibilisieren
Eine enorm wichtige Sache bei der Umsetzung der DS-GVO bei Boxcryptor ist für mich die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen. Denn sie sind am Ende diejenigen, die jeden Tag mit sensiblen Daten arbeiten und die somit in nicht geringem Maß an der Einhaltung der DS-GVO beteiligt sind. Ich habe es da vergleichsweise gut, denn meine Mitarbeiter sind durch unser Produkt ohnehin sehr gut informiert, was das Thema Datenschutz anbelangt. Dennoch achten wir darauf, uns regelmäßig weiterzubilden und wir besprechen im Team neue Technologien und Gerichtsurteile, die in Zusammenhang mit dem Thema Datenschutz stehen.
Zunächst benötige ich aber die Unterstützung meines Teams bei der Dokumentation der Arbeitsprozesse und der Sammlung der Programme. Obwohl wir ein kleines Team sind, ist es trotzdem eine große Aufgabe, alle Tools, Services etc. die von Mitarbeitern genutzt werden, aufzulisten. Denn auch wir haben verschiedene Abteilungen (Marketing, Sales, Entwicklung, Kundenservice) und jede Abteilung nutzt natürlich unterschiedliche Tools für die Erledigung der individuellen Aufgaben.
Bei den ersten Gesprächen im Team hat sich bereits gezeigt, dass die DS-GVO eine willkommene Gelegenheit ist, um Arbeitsprozesse zu überdenken. An manchen Stellen hat sich bereits Optimierungspotential gezeigt. Zum Beispiel sind die Mitarbeiter allein durch das Sammeln der Tools über alte Konten bei Diensten gestolpert, die schon lange nicht mehr in Benutzung sind. Diese Konten zu löschen ist ein erster Schritt, um die unnötige Streuung von personenbezogenen Mitarbeiterdaten (wie die E-Mail-Adresse) zu verringern.
Schritt 4: DS-GVO-Konformität mit Drittanbietern klären
Die Kontaktaufnahme zu Drittanbietern ist eine lästige, aber nötige Fleißarbeit. Wir müssen alle Partner und Softwareanbieter kontaktieren und auf DS-GVO-Konformität prüfen. Das bedeutet, dass wir beispielsweise auf der Webseite von unserem Zahlungsanbieter Share-It nachsehen, ob bereits eine Auskunft zum Thema DS-GVO vorliegt. Wenn das nicht der Fall ist müssen wir das Unternehmen kontaktieren und uns die Informationen zuschicken lassen, bzw. abfragen, ab wann diese verfügbar sind.
Einen ausführlichen Bericht darüber, wie ich die Prüfung der Drittanbieter organisisert habe, finden Sie in Folge 4 unserer Artikelserie.
Genauso erreichen uns als Software-Anbieter die gleichen Anfragen von unseren Kunden, die wissen wollen, ob wir DS-GVO konform arbeiten und wie wir mit unserer Verschlüsselungssoftware bei der Einhaltung der Datenschutz-Grundverordnung helfen können. Diese Frage beantworten wir übrigens hier in unserem Blogpost Wie Boxcryptor mit der DS-GVO helfen kann.
Die DS-GVO und Boxcryptor
Wir werden in den kommenden Monaten immer wieder über unseren Weg zur DG-GVO berichten. Wir gehen davon aus, dass es auch nach dem Stichtag am 25. Mai 2018 noch einige spannende Entwicklung bei der Einhaltung der Datenschutz-Grundverordnung geben wird, wenn die ersten Gerichtsurteile gesprochen werden. Wir halten Sie hier auf unserem Blog darüber auf dem Laufenden.
Lesen Sie hier weiter:
- Umsetzung der DS-GVO bei Boxcryptor Teil 2: Optimierung bestehender Prozesse
- Umsetzung der DS-GVO bei Boxcryptor Teil 3: Interne Umsetzung und externe Datenschutzbeauftragte
- Umsetzung der DS-GVO bei Boxcryptor Teil 4: Der Umgang mit Drittanbietern
- Umsetzung der DS-GVO bei Boxcryptor Teil 5: Verschlüsselung
- Umsetzung der DS-GVO bei Boxcryptor Teil 6: Vor der DS-GVO ist nach der DS-GVO