Aktuelles

Gemeinsames Wissen nutzen

EuGH-Urteil vom 01. Oktober 2019 zum Setzen von Cookies

Dominik Schönherr

0

Am Dienstag, den 1. Oktober urteilte der Europäische Gerichtshof (EuGH): „Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers.“ Dies ist ein wegweisendes Urteil.

Cookies, Identifizierung durch Textdatei

Mithilfe der Informationen dieser Textdatei wird es einem Webserver ermöglicht, Anwender zu identifizieren und wiederzuerkennen sowie Einstellungen zu speichern.

Hintergrund im Zusammenhang mit dem Urteil

Jeder, der im Endgerät des Websitebesuchers (Tracking-) Cookies setzen oder bereits gesetzte Cookies auslesen möchte und z. B.

  • Tracking-Tools (z. B. Google Analytics, econda, etracker)
  • Werbe-/Remarketingtools (z. B. Google Adsense, Google Remarketing, youtube-Videos)
  • Plugins (z. B. Facebook Buttons, Google Maps),

verwendet, musste sich bisher und zukünftig noch genauer mit diesem Thema beschäftigen.

Cookie-Banner als Einwilligung? Reicht das aus?

In der Regel nicht.

In den meisten Fällen enthalten Cookie-Banner nur einen pauschalen Hinweis auf die Cookie-Setzung und einen Verweis wie z. B. „Mit der Nutzung der Website/des Shops erklären Sie sich damit einverstanden, dass wir Cookies verwenden.“ Cookies werden in diesen Fällen meist sofort gesetzt und die reine Nutzung als Einwilligung interpretiert.

Nach dem Urteil des EuGH reicht das nicht aus!

Die Einwilligung muss, ähnlich zur Anmeldung für einen Newsletter, für jeden Fall bewusst erteilt werden. Vor der Erteilung der Einwilligung darf kein Cookie gesetzt werden. Darüber hinaus müssen Funktionsdauer und der Zugriff Dritter (z. B. Google, Facebook) angegeben werden.

Wer ist künftig von dem Urteil betroffen?

Betroffen sind alle Shop- und Websitebetreiber, die Websitebesuchern dauerhafte Cookies im Endgerät (Computer, Tablet, Smartphone) setzen bzw. bereits gesetzte Cookies auswerten. „Dauerhaft“ heißt, dass diese Cookies nach dem Schließen des Browsers nicht gelöscht werden und auch die zukünftigen Aktivitäten der Websitebesuchern begleiten. Insbesondere Unternehmen wie Google, Facebook etc. werten diese Surfprotokolle für Marketingzwecke und Profilbildung aus.

Wer ist NICHT von dem Urteil betroffen?

  • Wer nur sog. Session Cookies einsetzt, die z. B. für den Seitenaufbau, den Login oder den Warenkorbprozess benötigt werden. Wird der Browser geschlossen, werden diese technisch notwendigen Cookies gelöscht.
  • Wer auf Marktplätzen (z. B. Amazon oder eBay) verkauft. Hier sind die Plattformbetreiber verantwortlich und müssen sich einen rechtskonformen Cookie-Einsatz sicherstellen.

Was folgt jetzt?

Der Europäische Gerichtshof hat mit diesem Urteil eine Vorabentscheidung getroffen. Die endgültige Entscheidung wird nun der deutsche Bundesgerichtshof (BGH) unter Berücksichtigung der deutschen Rechtslage treffen müssen.

Nach aktueller Rechtslage erlaubt das bestehende Telemediengesetz (TMG) noch die Cookie-Setzung zwecks pseudonymer Profilbildung ohne vorherige Einwilligung, jedoch mit nachträglicher Opt-out Funktion. Das deutsche TMG soll nun hinsichtlich des EuGH-Urteils überarbeitet werden. Auf europäischer Ebene wird immer noch über einen EU-weit einheitlichen Cookie-Umgang diskutiert. Die sogenannte. ePrivacy Verordnung ist aber noch nicht Sicht.

Welche Empfehlung kann man geben?

Weiterhin auf datenschutzrechtlich problematische Tools (wie z. B. Social Plugins, youtube-Videos, Google Maps) zu verzichten. Verlinken Sie stattdessen einfach auf die gewünschten Seiten.

Wenn Sie weiterhin Tracking oder Remarketing einsetzen möchten, werden Sie im Regelfall einen neuen Cookie Hinweis-Banner benötigen. Wir gehen davon aus, dass aufgrund des Urteils demnächst aktualisierte Einwilligungs-Banner seitens der Anbieter bzw. Drittanbieter auf dem Markt angeboten werden.

In den nächsten Wochen werden wir Sie zur Vorbereitung über Cookie-Findung, -Setzung und –Löschung sowie die aktuellen Entwicklungen bzgl. der Rechtslage und der angebotenen Cookie-Einwilligungstools informieren.

Muss ich meine Datenschutzerklärung anpassen?

In der Regel nicht! Die Datenschutzerklärung muss aktuell i. d. R. noch nicht neu erstellt werden.

Sind Sie unseren Empfehlungen bereits gefolgt und haben diese technisch umgesetzt? Wenn nicht, unterstützen wir Sie gerne dabei. Thesmon Well Point bietet Ihnen neben der Beratung auch die technische Umsetzung sowie den notwendigen technischen Support. Nehmen Sie gerne persönlich Kontakt mit uns auf, Thesmon Well Point +49 421 408 929-40.

Hohe Bußgelder bei fehlender A1 Bescheinigung. Was ist zu beachten?

Dominik Schönherr

0

Bereits seit 2010 gilt: Wird ein/eine Mitarbeiter*in für eine vorübergehende Tätigkeit in ein anderes EU-Mitgliedsland entsendet, ist eine A1 Bescheinigung über die Sozialversicherung notwendig. Seit 2019 wird dies verstärkt kontrolliert. Durchschnittlich liegt die Höhe der Bußgelder zwischen 1.000 und 10.000 Euro pro Mitarbeiter*in und in Einzelfällen sogar höher.

Wann ist eine A1 Bescheinigung notwendig?

  • Der Arbeitgeber entsendet eine Angestellte oder einen Angestellten in das europäische Ausland für eine Tätigkeit mit der Höchstdauer von 24 Monaten
  • Der Arbeitgeber schickt seine Mitarbeiterin oder seinen Mitarbeiter auf eine Dienstreise in das europäische Ausland. Selbst für kurze Dienstreisen von einigen Stunden ist eine A1 Bescheinigung erforderlich.
  • Selbstständige eines EU-Mitgliedslands möchten einer ähnlichen Tätigkeit in einem anderem EU-Mitgliedsland nachgehen. Die Höchstdauer beträgt hierbei 24 Monate.
  • Beamte sind in mehr als einem EU-Mitgliedsland tätig.

Die A1-Bescheinigung hat den erklärten Zweck, die Freizügigkeit innerhalb der EU-Staaten zu sichern, die bürokratischen Hürden abzubauen und die Doppelbelastung bei Sozialbeiträgen für Beschäftigte zu vermeiden.

Seit 2019 finden verstärkt Kontrollen statt. Fehlt eine A1 Bescheinigung in dem entsprechenden Fall, so drohen hohe Busgelder. Die Meldungspflicht bei den Behörden des Empfängerlandes, die Vorlagepflicht von Lohnunterlagen bei den Behörden des Empfängerlandes inkl. weitere Pflichten der Unternehmen im Falle der Arbeit-nehmerüberlassung sowie die Höhe der Sanktionen bei Verstößen variieren je nach EU-Mitgliedsland. In Belgien z. B. kann die Summe der Sanktionen bis zu 48000 Euro betragen. Außerdem kann für die Verantwortlichen eine Freiheitsstrafe von bis zu 6 Monaten verhängt werden.

 

Gesundes Arbeiten mit digitalen Technologien

Dominik Schönherr

0

Die Einführung digitaler Produkte sowie die Etablierung digitaler Prozesse ist ein zeitgemäßes Bekenntnis vieler Unternehmen zur Geschäftswelt von Morgen. Technologien und Softwareprodukte bestimmen in großer Breite den Alltag vieler deutscher Unternehmen. So löblich dieser Wettlauf mit der Digitalisierung auch ist, so hat er auch seine Tücken. Da es am Ende Menschen sind, die die entsprechenden Technologien nutzen, bestimmen Mitarbeiter*innen den Grad der Effektivität und Effizienz wesentlich mit. Werden Technologien nicht auf die Anforderungen und Kenntnisse der Beschäftigten abgestimmt, kann Digitalisierung sogar krank machen. Das Phänomen des digitalen Stresses in Deutschland behandelt eine Studie, die im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Projekts Prävention für sicheres und gesundes Arbeiten mit digitalen Technologien (PräDiTec) durchgeführt wurde. 5.000 Erwerbstätige wurden repräsentativ zu diesem Thema befragt.

Aus der Studie folgt u. a., dass zwölf verschiedene Belastungsfaktoren auf die Mitarbeiter*innen einwirken können. Darunter zählen zum Beispiel

  • Omnipräsenz,
  • Überflutung,
  • Leistungsüberwachung und
  • Verletzung der Privatsphäre.

Wenn die Grenzen von Privat- und Arbeitsleben verschwimmen, sich das Gefühl, durchweg erreichbar zu sein, breit macht, ständige Kontrolle zu spüren ist und der Druck, aufgrund der hohen Daten- und Informationsflut, schneller arbeiten zu müssen, wächst, dann handelt es sich um digitalen Stress. Ein Drittel der Befragten gibt an, wenigstens einem dieser Belastungsfaktoren stark ausgesetzt zu sein.

Die Studie zeigt allerdings, dass digitale Arbeitsplätze allein noch keinen Stress verursachen. Vielmehr sind die Kombination verschiedener Technologien sowie die Nutzungsintensität entscheidend. Werden z. B. mehrere Softwareprodukte gleichzeitig und nur marginal genutzt, reichen die Kenntnisse der Nutzer*innen im Einzelnen häufig nicht aus, um Sicherheit und Routine zu entwickeln. Gereiztheit, Erschöpfung sowie psychische Beeinträchtigungen bis hin zu Erkrankungen des Muskel-Skelett-Systems sind Folgen digitalen Stresses. Oft gehen Unzufriedenheit am Arbeitsplatz sowie eine sinkende Leistung mit dieser Überforderungserfahrung einher. Unternehmen können allerdings etwas dagegen tun. Durch organisatorische Maßnahmen und soziale Faktoren, wie ein größerer Entscheidungsspielraum, mehr Verantwortung sowie ein gutes Verhältnis zur/zum Vorgesetzten kann digitaler Stress minimiert werden.

Zehnmal so viele Datenpannen seit Mai 2018

Dominik Schönherr

0

Der Landesbeauftragte für Datenschutz Stefan Brink warnt in der Stuttgarter Zeitung u. a. vor besorgniserregenden Datenpannen in Arztpraxen. Seit Inkrafttreten der DSGVO im Mai 2018 hat sich die Zahl der Datenpannen verzehnfacht. Verschlüsselungstrojaner stellten die größte Gefahr dar. Auch Rezepte, Patientenberichte und Röntgenbilder sind an falsche Empfänger übermittelt worden, bemerkt die Datenschutzbehörde in Baden-Württemberg. Brink macht deutlich, dass gerade im medizinischen Bereich besonders sensible und schützenswerte Daten verarbeitet werden. Diese verlangten einen entsprechend sorgsamen und verantwortungsvollen Umgang. Konkret bedeute dies Datensicherung, Verschlüsselung von Daten und qualitativ hochwertige Schulungen und Sensibilisierung der Mitarbeiter*innen. Im Falle einer Datenpanne bezüglich Gesundheitsdaten seien zusätzlich zur Datenschutzbehörde auch die Betroffenen zu informieren.

Die Zahl der Datenpannen hat sich verzehnfacht. Fehler im Umgang mit personenbezogenen Daten würde immer öfter gemeldet. Grund dafür seien häufig Nachlässigkeit oder mangelnde Organisation.

1000 Datenpannen dieser Art erreichten die Behörde seit Anfang 2019. Darunter befanden sich u. a. Hackerangriffe und Versand von Mails mit offenem Adressverteiler. Im Mai 2019 waren es 177 Meldungen (bisheriger Höchststand). Die Baden-Württembergische Datenschutzbehörde verhängte in zehn Fällen Bußgelder einer Gesamthöhe von 207 140 Euro.

Bei Digitalisierung auf Nummer sicher

Dominik Schönherr

0

In einem Interview zum Thema IT-Sicherheit, Datenschutz und standardisierte Systeme macht Dr. Ralf Cordes (Experte für Informationssicherheit bei der internationalen Zertifizierungsgesellschaft DNV GL – Business Assurance) deutlich: trotz einer guten Entwicklung innerhalb der digitalen Transformation, hat der deutsche Mittelstand noch großen Nachholbedarf. Es mangele an einem Bewusstsein für Sicherheitsrisiken in Verbindung mit Digitalisierung.

Selbst Unternehmen mit kostspieliger IT-Infrastruktur und hohen Sicherheitsstandards sind anfällig für Schadsoftware. Wie ist das möglich? Gerade standardisierte Systeme weisen häufig Schwachstellen auf. Allein im Zeitraum von fünf Jahren (2012 bis 2017) ist die Zahl der Schadsoftware, die allein auf Microsoft Windows abzielt, auf das Fünffache gestiegen. Gleichzeitig steigt die Wirtschaftskriminalität enorm. Nicht bestätigte Überweisungen auf unbekannte Konten in Form von Kryptowährungen sind beispielhaft für diese Art des Betrugs, dem Mitarbeiter*innen und letztlich das gesamte Unternehmen zum Opfer fallen. Unklare Nutzerrichtlinien stellen eine weitere Gefahrenquelle dar. Nicht selten werden Links von nicht verifizierten Absendern angeklickt. Es fehlt also eine Sensibilität für Cybersecurity. Wie jährliche Brandschutz- und Arbeitsschutzschulungen sollten entsprechende Schulungen zu IT-Sicherheit und Datenschutz erfolgen, meint Cordes in der Zeitschrift für Qualitätsmanagement und Qualitätssicherung (Juni 2019).

Der Transfer auf IP-Strukturen hat für Unternehmer viele Vorteile: neben einer einheitlichen Plattform kann das Unternehmen auf ausgereiftere Produkte zurückgreifen etc. Alles basiert dabei auf Standardprozessen und Standardsoftware. Hierin besteht jedoch das Problem, denn jede IP-Adresse stellt eine wesentliche Sicherheitslücke dar.

Beim Thema Datenschutz begegnen Cordes verschiedene Mängel und Lücken in der Umsetzung der DSGVO. Oft würden Prozesse, in denen personenbezogene Daten verarbeitet werden, gar nicht identifiziert. Zusätzlich bleibt eine Differenzierung zwischen öffentlich verfügbaren, besonders schützenswerten sowie hochsensiblen Daten aus. Weiterhin werden Mitarbeiter*innen und Externe häufig nicht oder unzureichend über die Weitergabe sensibler Daten informiert. Cordes schlägt daher vor, eine regelmäßige Prüfung der IT-Infrastrukturen entsprechender Unternehmen durchzuführen (parallel zu technischen Überprüfungen von Autos), eine internationale Zertifizierung gemäß einer ISO 27001 einzuführen sowie spezifische Normen für die funktionale Sicherheit von Komponenten, z. B. orientiert an ISO 25252 zu etablieren.

Gesundheitsförderung ohne Unternehmenskultur geht nicht

Dominik Schönherr

0

Betriebliche Gesundheitsförderung kann wichtiges Element einer erfolgreichen Unternehmensführung sein. Ihre positive Wirkung kann sie allerdings nur Entfalten, wenn sie in Verbindung mit einer entsprechenden Unternehmens- und Wertekultur auftritt. Wenn MitarbeiterInnen bemerken, dass Gesundheitsangebote nur dazu da sind, die Beschäftigten noch leistungsfähiger zu machen, wirkt sich das kontraproduktiv aus. Die in ausführlichen Interviews Befragten empfinden diese Maßnahmen eher als Einmischung und Bevormundung seitens des Arbeitgebers. Beispielsweise sollten MitarbeiterInnen, welche harte körperliche Arbeit verrichten, keine plumpen Fitnessangebote erhalten. Eine Studie der Hochschule Fresenius vom Oktober 2018 gibt Aufschluss über kontinuierlich steigende Krankenstände und warum Gesundheitsförderung bei falscher Anwendung keinen Erfolg hat. Laut Bundesanstalt für Arbeitsschutz und Arbeitsmedizin betrug der Ausfall der Bruttowertschöpfung bei durchschnittlich 17,5 Fehltagen pro ArbeitnehmerIn 2016 133 Milliarden Euro; und dies trotz 6,5 Milliarden Euro Investitionen in Gesundheitsförderung seitens der Unternehmen und Krankenkassen.

Die Befragung zeigt auch, dass MitarbeiterInnen unterschiedlicher Branchen das Gefühl haben, mehr zu leisten als sie zurückerhalten. Dazu kommt mangelnde Wertschätzung und zu hoher Effizienzdruck. Dies hat erhebliche Auswirkungen auf den Gesundheitszustand der MitarbeiterIhnen und bewirkt schließlich einen zu hohen Krankenstand.

Arbeitgeber können diesem Trend jedoch mit gezielten Maßnahmen entgegenwirken:

  • konstruktives und regelmäßiges Feedback / Austausch,
  • positiver Umgang mit Fehlern,
  • angemessener Zeitrahmen für Arbeitsaufgaben,
  • Anerkennung der Arbeit durch die/den Vorgesetzte(n),
  • Unterstützung im und für das Team,
  • Hochwertige Arbeitsmittel.

Sicher, diese Maßnahmen sind nicht neu, dennoch sollten sie umgesetzt und gepflegt werden. Leichter fällt es, diese Beispiele für Wertschätzung in eine wertebasierte Unternehmenskultur zu integrieren. Nur wertebasiert gelingt es, Gesundheitsförderung erfolgreich im Unternehmen zu etablieren und somit Fachkräfte zu gewinnen und zu erhalten.

Was ist und was bedeutet Compliance?

Dominik Schönherr

0

Compliance ist längst kein nebulöses Wort mehr. Der Begriff „Compliance“ oder auch „Corporate Compliance“ hat klar definierte Inhalte: Compliant verhält sich ein Unternehmen genau dann, wenn es sämtliche rechtliche Normen einhält. Das klingt einfach. Compliance beinhaltet tatsächlich mehr. Von Unternehmen wird heutzutage verlangt, proaktiv alle nötigen Maßnahmen zu ergreifen, damit es gar nicht erst zu Rechtsverstößen kommt. Das bedeutet, dass Compliance mittlerweile fester Bestandteil des Risikomanagements geworden ist. So muss ein international tätiges Industrieunternehmen beispielsweise darauf achten, keine Güter in Länder zu exportieren, die auf der Sanktionsliste stehen.

Die umfangreichen Compliance-Aufgaben müssen nicht allein durch die Geschäftsleiterin oder den Geschäftsleiter erledigt werden. Sie oder er kann die Aufgaben auch delegieren. Die Auswahl der jeweiligen Mitarbeiter/innen sollte jedoch sorgfältig getroffen werden. Denn am Ende haftet immer die/der Geschäftsleiter/in. Konkret bedeutet das, dass die/der Geschäftsleiter/in den Rechtsverstoß (z. B. Kartellverstöße) nicht direkt selbst verursacht haben muss, sondern es genügt, wenn sie/er keine geeigneten Maßnahmen ergriffen hat, potenzielle Rechtsverstöße im Voraus zu verhindern. Der hohe Anspruch an die/den Compliance-Verantwortlichen spiegelt sich auch darin wider, dass sich Geschäftsbereiche im Unternehmen wandeln können und sich damit auch die Regeln verändern. Stets auf dem Laufenden zu bleiben, ist daher oberstes Gebot. Bei größeren Unternehmen kommt es aufgrund der vielfältigen Strukturen schnell zu einer Komplexität, die eine einzelne Person nicht überschauen kann. Aus diesem Grund ist eine enge, vertrauensvolle Zusammenarbeit mit den einzelnen Abteilungen des Unternehmens unabdingbar. Deutlich wird, dass die richtigen Strukturen geschaffen werden müssen, damit Compliance-Verstöße vorausschauend vermieden werden. Geschäftsleiter/innen sollten daher durch regelmäßige Berichte der/des Compliance-Verantwortlichen einen ungeschönten Einblick in den Ist-Zustand, d. h. in das aktuelle Risikoprofil des eigenen Unternehmens erhalten. Nur so kann der angestrebte Soll-Zustand verdeutlicht und geeignete Maßnahmen getroffen werden.

Compliance heißt also: Genau hinschauen und dann konkret und planvoll handeln.

 

Thesmon Well Point unterstützt Sie bei allen Compliance-Angelegenheiten.

Erste ein Viertel der Unternehmen haben die DSGVO vollständig umgesetzt

Dominik Schönherr

0

Eine Umfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) macht deutlich:

  • Nur etwa 24 % der 500 befragten Unternehmen in Deutschland geben an, die DSGVO vollständig umgesetzt zu haben,
  • 40 % haben die DSGVO zum großen Teil,
  • weitere 30 % haben die Vorgaben teilweise umgesetzt
  • und 5 % haben gerade mit der Umsetzung begonnen.

Für die meisten Unternehmen bedeuten konkret die Dokumentations- und Informationspflichten sowie die Datenschutz-Schulungen der MitarbeiterInnen den größten Aufwand. 78 % der Unternehmen registrieren diesbezüglich einen erhöhten Aufwand im laufenden Betrieb.

Thesmon Well Point unterstützt Sie bei der Umsetzung der DSGVO in Ihrem Unternehmen. Wir schenken Ihnen Zeit für das Kerngeschäft.

Quelle: Datakontext

 

Ist Effizienz wirklich genug?

Dominik Schönherr

0

Unternehmen müssen Kosten sparen, Prozesse verschlanken und Risiken minimieren. Das Controlling z. B. konzentriert sich mithilfe ausgewählter Kennzahlen um die Überprüfung dieses Effizienzgebots. Das ist Basiswissen der Betriebswirtschaft und wird in vielen Businessschools und Universitäten gelehrt. Deutsche mittelständische Unternehmen setzen auf diese Art von Kosten-Nutzen-Kalkül und fahren oft gut damit. Wenn Effizienzdenken sich allerdings zu einem Fetisch entwickelt und als handlungsleitendes Dogma über allem schwebt, ist die Zukunft vieler deutscher Unternehmen in Gefahr. Bloße Effizienz greift in einer komplexen Geschäftswelt der Digitalisierung zu kurz.

Kaum einer würde bestreiten, dass geplante Investitionen und Innovationen den Unternehmenserfolg wesentlich begründen. Für sie muss jedoch der Raum erst geschaffen werden. Aus Sicht eines funktionierenden Controllings sind größere Investitionen in die Zukunft allerdings nicht berechenbar, risikoanfällig und eher zu vermeiden. Eine gute Geschäftsleitung hat jedoch auch eine mittel- bis langfristige Entwicklung des Unternehmens im Blick, die längerfristige Investitionen mitberücksichtigt. Das Controlling erfüllt eine enorm wichtige Funktion innerhalb des Unternehmens, gibt aber keine Auskunft über neue Möglichkeiten der Weiterentwicklung und somit der Wertschöpfungssteigerung eines Unternehmens. Um in der digitalisierten Geschäftswelt mit kurzfristigen Veränderungen des Marktes produktiv umgehen zu können, sind innovationsbasierte Weiterentwicklungen des Unternehmens als Organisation keine Kür mehr, sondern Pflicht.

Das Streben nach Effizienz wird zukünftig auch in innovativen Unternehmen eine Rolle spielen. Effizienz allein wird jedoch nicht ausreichen, um langfristig am Markt konkurrenzfähig zu bleiben. Man könnte auch sagen: Effizienz ist ohne Steigerung der Effektivität nicht zukunftsfähig.

Ganzheitlich, d. h. in Systemen zu denken heißt, das eigene Unternehmen als ganze Organisation zu verstehen und dem kleinteiligen betriebswirtschaftlichem Blick nicht in allen Bereichen den Vorzug zu geben. Kleinteiliges und ganzheitliches Denken sollten sich die Waage halten. Hier kann eine Beratung auf Basis der Systemtheorie entscheidende Weichenstellungen vornehmen.

Für eine konsequent am Markt orientierte Wertschöpfungsstrategie ist es wichtig:

  • Verantwortung denen zu übertragen, die marktnah reagieren können:

Hierfür sind entsprechende Teams zusammenzustellen,

  • individuelle Zielvereinbarungen und Bonussysteme zurückzufahren und Zusammenarbeit zu fördern,
  • dass Geschäftsführung und leitende MitarbeiterInnen Mission und Vision glaubhaft verkörpern,
  • Kontrollen der MitarbeiterInnen und Schuldzuweisungen zurückzufahren und stattdessen gemeinsam nach Lösungen zu suchen,
  • eine starke, mitreißende Unternehmensidentität (speziell durch Werte) auszubilden.

Mittelständische Unternehmen müssen diese Bedingungen aus eigener Kraft umsetzen können und somit anpassungsfähig bleiben. Denn: In einer globalisierten, digitalisierten und komplexen Geschäftswelt braucht es viel mehr als Effizienz.

Unterschiede zwischen Datenschutz und IT-Sicherheit

Dominik Schönherr

0

Die Bereiche Datenschutz und IT-Sicherheit werden in Unternehmen häufig nicht scharf voneinander getrennt:

Im Mittelpunkt des Datenschutzes stehen die schutzwürdigen Interessen der Betroffenen (nicht die reine Schadens-Betrachtung aus Unternehmenssicht), somit der Schutz des Einzelnen vor einer Verletzung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten (Art. 1, DSGVO)!

Aufgrund der unterschiedlichen Perspektiven können die Ergebnisse aus der Informationssicherheit für den technischen Datenschutz nicht einfach übernommen werden. Die Risikobewertung des Datenschutzes- und der Informationssicherheit können zufällig identisch, müssen es aber nicht gezwungenermaßen sein.

Ein Beispiel: Aus Unternehmenssicht wird das Risiko eines Vertraulichkeitsverlustes (bspw. durch einen gehackten User-Account) ggfs. als gering einstufen. Dem Unternehmen entsteht kein unmittelbarer Schaden. Unter Berücksichtigung der Verpflichtung aus Art. 32 DSGVO wird nun aber auch der potenzielle Schaden für den Betroffenen mit zu berücksichtigen sein.