30 Tage DSGVO: Tun Sie etwas! – Was, sagen wir Ihnen hier. (Event-Bericht)

Event-Bericht: Am Dienstag, den 26. Juni 2018, konnten wir bei Microsoft in der Parkstadt Schwabing rund 120 Teilnehmer zum DSGVO-Fokustag „30 Tage DSGVO – Wo stehen wir? Erfahrungswerte, Praxisbeispiele und Lösungen zur Umsetzung der DSGVO im Mittelstand“ begrüßen. Zusätzlich verfolgten knapp 500 Interessenten den Live-Stream zur Veranstaltung. Dieses Hybrid-Event gab zunächst ein Update, was in den ersten 30 Tagen der EU-DSGVO-Umsetzung bereits geschah, und lieferte im Weiteren wertvolle Tipps und Ergänzungsmöglichkeiten zur Umsetzung der EU DSGVO in der täglichen Unternehmenspraxis.

Moderator Andreas Hennig führte durch den Vormittag und begrüßte die erste Sprecherin des Tages, Rechtsanwältin Janina Thieme von PRW Rechtsanwälte. Diese ging auf die vermeintliche Abmahnwelle ein, die – anders als erwartet – bislang ausblieb. Die Anwältin brach für die Teilnehmer herunter, worauf es ankommt: Unternehmen müssten beginnen, etwas zu tun, sie sollten sich interessiert zeigen und konkrete Maßnahmen der DSGVO-Umsetzung prozessbezogen auf- und umsetzen. Bei behördlichen Vorgaben helfen Ämter helfen, beispielsweise das Bayerische Landesamt für Datenschutzaufsicht, und bei der technischen Umsetzung leisten professionelle Partner wie Microsoft wertvolle Hilfestellungen. Entschuldigungen für Untätigkeit gäbe es keine.

Im Anschluss ging Nina Machek aus der Legal-Abteilung von Microsoft genauer darauf ein, wie Microsoft die DSGVO-Bestimmungen umgesetzt hat und seinen Kunden dabei hilft, dies ebenfalls zu tun. Die entscheidende Rolle spielten dabei die jederzeit aktuellen und online einsehbaren Online Service Terms (OST), die die rechtlichen Grundlagen für alle Produkte und Services von Microsoft enthielten.

Compliance-Workflow im Unternehmen optimieren

Wie Microsoft Unternehmen konkret unterstützt, selbst aktiv Compliance- und DSGVO-konform zu werden, zeigte Denisa Köhler, Security/GDPR Lead bei Microsoft, durch eine überzeugende Demo des neuen Compliance Managers. Einer von Microsoft durchgeführten Umfrage zufolge sind 47 % der befragen Entscheider unsicher, welche Daten-Compliance-Standards für ihre Organisation gelten. Das Tool böte zum einen die Möglichkeit, eingesetzte Microsoft-Produkte wie Office 365 auf die Compliance mit verschiedenen Standards (beispielsweise die DSGVO) zu prüfen, erklärte Denisa Köhler. Zum anderen zeige der Compliance Manager auf, welcher Artikel der Datenschutzgrundverordnung in welcher Situation relevant sei, und gäbe eine Zusammenfassung von diesem. Zudem –besonders praktisch für die Praxis – gebe das Programm auch Vorschläge, was konfiguriert werden müsste, um konform zu sein. Die Aufgaben könnten direkt aus dem Compliance Manager an die zuständige Fachkraft im Unternehmen delegiert werden. Das Ergebnis würde übersichtlich dokumentiert und könne nach Excel exportiert werden.

Enorm nützlich im Arbeitsalltag ist auch die Advanced Threat Protection, die Denisa Köhler in einer zweiten Demo erklärte. Dieses Tool verhindert zum Beispiel, dass Mitarbeiter bei einem unvorsichtigen Klick auf einen E-Mail-Anhang Malware in das Unternehmen schleusen. Eine Teilnehmerin, die als IT-Projektmanagerin tätig ist, berichtete von ihrer Herausforderung, dass es noch immer Mittelständler und Einzelunternehmer gäbe, die Sorge haben, dass ihre Daten in der Cloud verloren gingen. Dabei sei vielen gar nicht bewusst, dass cloudbasierte Tools die Umsetzung der DSGVO erleichtern. Die Demonstration zu den verschiedenen Tools in Microsoft 365 war diesbezüglich sehr aufschlussreich für sie.

Eindrücke des Events/Webcast „30 Tage DSGVO – Wo stehen wir?“

„Recht auf Vergessenwerden“ konform umsetzen

Unter der Headline „Was tun, wenn der Anruf kommt“ widmete sich Fabian Nilgen von Microsoft Partner pmOne der Frage, was Unternehmen konkret tun sollten, wenn eine Aufforderung zur Löschung der Daten einer Person in den Datenbanken eines Unternehmens einlaufe. Manuell wäre das mühsam und extrem zeitaufwendig – man bräuchte schon in mittelgroßen Unternehmen einen Mitarbeiter, der nichts anderes tut, als personenbezogene Daten ausfindig zu machen und zu löschen. Die Software Profisee von pmOne basierend auf Microsoft SQL Server helfe bei dieser Problemstellung. Nilgen sprach in der Folge ein Thema an, das alle Zuhörer fesselte: Angenommen, eine Firma würde eine Aktion fahren, bei der alle Neukunden einen Bonus erhalten. Als Neukunde zähle jeder, der in den letzten zwei Jahren keinen Vertrag abgeschlossen habe. Wer nun vor einem Jahr seine personenbezogenen Daten aus der Firmendatenbank habe löschen lassen, aber – da dies einer anderen Pflicht nachkäme, nämlich der zehnjährigen Aufbewahrungspflicht der Buchhaltung – dort nach wie vor gespeichert ist, dürfte eigentlich keinen Bonus bekommen. Die Anfrage eines solchen Kunden wäre eine nicht zu unterschätzende, heikle Angelegenheit. Ein Systemintegrator aus einem Betrieb mit mehr als 350 Mitarbeitern besuchte das 30-Tage-DSGVO-Review-Event, um zu sehen, ob sich zwischenzeitlich schon Standards etabliert haben, was Auftragsdatenverarbeitung, Einwilligungen und genau solche Datenlöschungen anbelangt, über die Fabian Nilgen referierte.

Sehen Sie sich dazu auch dieses Video an:

IT-Sicherheit als zentrales Thema

Jürgen Goldammer, Principal Consultant Business Consulting der GAB Enterprise Solutions GmbH, Microsoft-Partner der ersten Stunde und Beratungsspezialist für Unternehmen der Größe 300 bis 1.500 Mitarbeiter, sprach über Kernfaktoren der gesetzeskonformen Auftragsverarbeitung und die wichtige Rolle des Privileged Identity Managements. Goldammers konkreter Rat, das Thema Identität und Zugang anzugehen, lautete: Vereinfachung und Vereinheitlichung der angewandten Systeme, wo es nur geht. Er riet Unternehmen, möglichst in geschlossenen Systemen mit Daten zu arbeiten und Informationen immer nur bewusst und bedacht herauszugeben und Externen keinen Zugang zum eigenen System zu gewähren.

DSGVO als Weckruf zur Digitalisierung

DSGVO als Weckruf zur Digitalisierung

Sprecher Frank Bösenkötter des Microsoft-Partners Dicide/Brüll&Parter sieht in der DSGVO und der einhergehenden Notwendigkeit, etwas zu ändern, eine tolle Chance, sich als kleines oder mittelständisches Unternehmen zu digitalisieren. 30 Tage Umsetzung teilt er ein in den Dreischritt: das Sichtbare, was zum Beispiel in der Überprüfung der Website, der Erklärung, Datenschutz-konform zu sein oder in der Einstellung eines Datenschutzbeauftragten läge. Es folgte das Notwendige, also die Umsetzung aller obligatorischen technischen und organisatorischen Maßnahmen. Der letzte Schritt, in dem viele Unternehmen aktuell noch steckten, ist das Sinnvolle. Jetzt, da der Zeitdruck wegfalle, machten sich viele Unternehmer Gedanken, was langfristig für das eigene Unternehmen sinnvoll sei. Da ginge es um praktische Maßnahmen, wie beispielsweise die Vereinheitlichung der Systeme und eine optimale Unterstützung und Motivierung der Mitarbeiter. Jetzt eine komplett neue IT-Infrastruktur aufzusetzen, sah Bösenkötter meist als nicht sinnvoll an. Bösenkötter stellte außerdem die von Dicide/Brüll&Parter zusammen mit Anwälten entwickelte SharePoint-App dsgvo365 vor. Diese knüpft an bestehende Strukturen an und hilft insbesondere mit einem ausgearbeiteten Fragenkatalog, bei der Einhaltung der DSGVO-Richtlinien nichts zu übersehen. Eine Versicherungsmaklerin mit Drei-Personen-Betrieb und keinerlei technischem Know-how im Haus sieht in dieser Lösung eine Chance, die DSGVO-Konformität mit überschaubarem technischem Aufwand zu optimieren.

Der Tag war durchzogen von und wurde abgerundet mit Fragen, die die Teilnehmer (übrigens auch die des Live-Streams) den Experten stellen konnten. Eine anwesende Personalberaterin lobte die kurzen und knackigen Vorträge zu unterschiedlichen Bereichen. Auch der Manager eines Verkehrsübungsparcours für Kinder fand die Vorträge hilfreich für sein eigenes, wachsendes Unternehmen. Wie er so verließen auch die anderen Teilnehmer das Haus Microsoft mit wertvollen Erkenntnissen, wie die DSGVO-Anforderungen im mittelständischen Unternehmen umgesetzt werden können.

Ab heute können Sie sich die Aufzeichnung des ersten Teils der Veranstaltung anschauen: „30 Tage DSGVO – Wo stehen wir?“

Und am 25.09. findet schon der nächste große Mittelstands DSGVO Event statt – vor Ort in München mit Workshops am Nachmittag (> Zur Agenda) oder als Webcast (> Zur Live-Stream Agenda)

Viele Grüße

Niklas Sowa

PS: Und falls Sie das nächste Mal direkt live dabei sein möchten – Ende September veranstalten wir einen „100 Tage DSGVO Event“. Anmeldungen starten in Kürze – bleiben Sie informiert mit unserem KMU Newsletter.

Steigen Sie in die Konversation ein

0 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.