... 30 Tage danach: DSGVO & Microsoft

VON Dr. Wolf SiegertZUM Dienstag Letzte Bearbeitung: 26. Juni 2018 um 15 Uhr 11 Minutenzum Post-Scriptum

 

Einladung zur Teilnahme an der folgenden MS-Webkonferenz: 30 Tage DSGVO - Wo stehen wir? Erfahrungswerte, Praxisbeispiele, Lösungen heute, Dienstag, 26. Juni 2018, in der Zeit von 9:30 - 12:30 Uhr.

An der EU-Datenschutz-Grundverordnung, kurz DSGVO, führt kein mehr Weg vorbei: Seit dem 25. Mai 2018 müssen Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit Personen in der Union erfassen und analysieren, einen neuen, gemeinschaftlichen Datenschutzstandard einhalten.

Eine repräsentative FORSA-Umfrage im Namen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zeigt, dass noch kurz vor Gültigkeit des neuen europäischen Datenschutzrechts 36 Prozent der kleinen und mittleren Unternehmen (KMU) nicht einmal etwas über die neuen Regeln gehört haben. Ein Fünftel weiß davon, hat sich aber nicht darauf vorbereitet.

Mit der Konferenz "30 Tage DSGVO - Wo stehen wir? Erfahrungswerte, Praxisbeispiele, Lösungen" geben wir Ihnen gemeinsam mit Rechtsexperten und Microsoft Partnern einen Überblick zum Umsetzungsstand der DSGVO im Mittelstand und zeigen praxisnahe Lösungen und Beispiele, damit Sie Ihr Unternehmen auf die DSGVO-Anforderungen vorbereiten können. Diese Veranstaltung richtet sich in erster Linie an Mitglieder der Geschäftsführung, Betriebsräte, Datenschutzbeauftragte und Abteilungsleiter aus kleinen und mittelständischen Unternehmen.

Ist die Teilnahme auch für uns von Interesse, die bestenfalls unter der Abkürzung VSME’s zusammengefasst werden können: Very Small Medium Enterprises? Denn - eigentlich - ist ja die DSGVO kein IT-Thema, so die erste Annahme.

Schon heute zeigt sich aber der Einfluss dieser Anforderungen auf eine Reihe weiterer Felder: Recht, Geschäfts-Prozesse / Organisation, Systeme / Tools, Management / Dokumentation.

Wahrscheinlich ist bisher nur das Sichtbare gemacht, aber dann kommt die Erkenntnis, was noch alles notwendig wäre, und schliesslich zeigt sich, dass "das Sinnvolle" (Frank Bösenkötter) noch etwas anderes ist.

JPEG - 111.2 kB

Auch für die VSME’s bedeutet das: Ja, auf jeden Fall. Denn wir sind selbst in den einfachsten Umgebungen - mit einer Adressendatenbank, einer Website, mit Mailings, einem Newsletter, und vielleicht einem von vielen immer noch schmerzlich vermissten SBS 2011 auf der Serverplattform - immer zugleich Betreiber, aber auch Nutzer.

Aus diesen Präsentationen können wir also sowohl lernen, wo wir selber noch nacharbeiten müssen, als auch, was "die Grossen" zu tun haben (werden), um mit unseren Daten in Zukunft anders umzugehen. [1]

Wir dokumentieren hier nachfolgend die ersten drei Präsentationen - allesamt von Frauen (sic!) - als Soundfiles.

Später wird der Workshop samt Slides als Streaming aus dem Netz abgerufen werden können (nach wie vor nur der Teil bis zur Mittagspause, offline geht die Veranstaltung in München ja dann noch für die vor Ort Anwesenden weiter). Aber selbst die Ansicht all dieser Präsentationen lohnt sich, denn auch darin werden viele interessante Frage behandelt [2].

Am Ende des Vormittagsstreaming erklärt der Moderator, Andreas Hennig, dass es die Absicht gäbe, im Herbst eine zweite Veranstaltung zu fahren, in dem das Thema nochmals, dann nach den ersten 100 Tagen, besprochen werden soll - und bittet dafür um entsprechende Rückmeldungen.

Hier aber zunächst einmal die erstem Aufzeichnungen und einige wenige Stichworte dazu:

9:30-10:00 30 Tage DSGVO in der Umsetzung: Erfahrungen aus rechtlicher Sicht

Rechtsexperten geben eine kurze Zusammenfassung über die Anforderungen der DSGVO an Unternehmen, was aus rechtlicher Sicht relevant ist und ein kurzes Resümee was die aktuellen Entwicklungen der ersten 30 Tage betrifft.

Janina Thieme, PRWRechtsanwälte und PRWConsulting:
(vorab die Anmoderation von Andreas Hennig, Digital Marketing Manager Microsoft Deutschland GmbH) [3]


- die Abmahnwelle hat es (bislang) nicht gegeben
- es gab genug Zeit für die Vorbereitung
- die "Grossen" bekommen das nicht besser hin als die "Kleinen"
- es hat der Bereitschaft bedurft, sich damit beschäftigen zu wollen
- "Umsetzung in 5 Minuten": Die Darstellung des 23 Stufen-Modells wird an dieser Stelle unterbleiben, aber diese drei Cluster werden genannt:
— Ermitteln: Datenverarbeitung ist im Prinzip verboten, kann aber erlaubt werden
— Verwalten: Gibt es einen Datenschutzbeauftragten, was tun bei Datenpannen
— Schützen: Lt. Artikel 32 muss der Schutz gewährleistet werden und eine "gewisse Technikdurchdringung"
- "Sie kriegen es in den Griff", aber es muss projektiert werden
- Grundsätzlich sind alle personenbezogenen Daten schützenswerte Daten"

10:00-10:15 Wie Microsoft Unternehmen hilft, die DSGVO-Bestimmungen umzusetzen und einzuhalten

Wir stellen in unseren vertraglichen Verpflichtungen Zusicherungen in Bezug auf die Einhaltung der Datenschutz-Grundverordnung für unsere Clouddienste bereit. Erfahren Sie in diesem Vortrag, wie Microsoft Produkte und Lösungen Sie bei der Einhaltung der Datenschutz-Grundverordnung unterstützen.

Nina Machek, "Rechtsabteilung bei Microsoft":


- Die DSGVO ist ein quasi weltweiter Standard geworden, sagt Brad Smith
- Artikel 28: MS ist jetzt der Auftragsverarbeiter
- Die Lizenzverträge werden mit der MS Corporation in den USA geschlossen
- Das gilt jetzt auch für die Online Services Terms OST
- Unterscheidung zwischen den personenbezogenen Daten (Kundendaten) und den Supportdaten
- Antworten zu den Fragen: zum Auditrecht, zu Unterauftragnehmern, zum Weisungsrecht
- Altverträge können auf die aktuellen Anforderungen erweitert werden

10:15-10:45 Schritte zur Compliance beschleunigen - mit Microsoft 365

Setzen Sie die DSGVO mit einer umfassenden, sicheren und intelligenten Lösung für digitales Arbeiten um: Microsoft 365. Wir stellen Ihnen Funktionen in Microsoft 365 vor, mit denen Unternehmen die Datensicherheit stärken und die erforderlichen Schritte zur Compliance beschleunigen können.

Denisa Köhler, Product Marketing Manager Microsoft 365 Business (/Enterprise):


- die Bewältigung der Komplexität ist mit menschlichen Mitteln allein nicht mehr zu bewältigen, es bedarf jetzt eines Workflow-Verwaltungstools um die DSGVO-Konfirmität zu bewältigen, eines sogenannten Compliance Managers
- Die IT-Welt und die des Complience-Officers werden hier zusammengebracht
- Ist man nicht ITler und kennt Office 369 noch nicht, ist das Ganze auch eine Schritt-für-Schritt-Anleitung
- Wie man verhindern kann, dass personenbezogene Daten ungewollt mit "Fremden" geteilt werden, auf der Identitäts-, Daten- und Netzwerkebene.
- "Zero-Day-Attacs" bedürfen nochmals eines besonderen Schutzes
- die Reputation von in den Mails eingebundenen Mailadressen wird automatisch geprüft
- es wird demnächst ein DSGVO-kompatibler Datentyp "ausgerollt" werden, neben den beits bekannten 80 sensitiven Datentypen
- so können auch zwischen MS-Outlook und Google-gmail-Konten verschlüsselte Mails verschickt werden
- das Security- und Compliance-Center kann nach einem Auskunftsverlangen der Betroffenen durchsucht werden.

10:45-11:00 Pause

Drei kurze Interviews von Andreas Henning, Microsoft Digital Marketing Manager, mit drei der nachfolgend Vortragenden (s.o.), hier benannt in der Reihenfoge ihres Auftretens:
- Jürgen Goldammer
- Fabian Nilgen
- Frank Bösenkötter

11:00-11:30 Lösungen & Beispiele aus der Praxis – Personenbezogene Daten managen

Wie konform sind Ihre analytischen Systeme? Sind sie auf Knopfdruck aussagefähig? Ist Ihr Data Warehouse bereit, Daten zu vergessen? – Erfahren Sie von Microsoft Partner pmOne, welche Auswirkungen sich für den Bereich Business Intelligence und für Data Warehouses durch die DSGVO ergeben und wie Sie mithilfe eines „Master-Data-Management-Systems“ einige der wichtigsten Anforderungen der EU-DSGVO umsetzen können.

11:30-12:00 Lösungen & Beispiele aus der Praxis – IT-Syteme schützen, Data Breaches verhindern

Der Schutz von personenbezogenen Daten ist ein wesentlicher Aspekt der DSGVO, gleichzeitig stellt Cyberkriminalität viele Unternehmen vor große Herausforderungen. Microsoft Partner zeigen Ihnen, wie Sie einen umfassenden Einblick in Ihre IT-Umgebung gewinnen und damit die Basis für einen Aktionsplan zur Verbesserung Ihrer IT-Sicherheit legen können

.

12:00-12:20 Lösungen & Beispiele aus der Praxis - Dokumentationspflichten nachkommen

DSGVO365 – Die Microsoft Partner Dicide und "Brüll & Partner" stellen Ihnen eine SharePoint-basierte Lösung zur Umsetzung und Dokumentation der EU-Datenschutz-Grundverordnung vor und teilen Erfahrungen aus bisher umgesetzen DSGVO-Projekten in Kleinunternehmen und Mittelstand.

12:20-12:30 Abschluss und Fragerunde

Hier nochmals die Liste der beteiligten SprecherInnen, so, wie sie im Netz vorgestellt werden:

Nina Machek
Attorney
Microsoft Deutschland GmbH

Denisa Köhler
Product Marketing Manager Microsoft 365 – Security
Microsoft Deutschland GmbH

Frank Bösenkötter
Geschäftsführer
Dicide GmbH

Fabian Nilgen
Senior Consultant
pmOne AG

Jürgen Goldammer
Principal Consultant Business Consulting
GAB Enterprise IT Solutions GmbH

Andreas Hennig
Digital Marketing Manager/Moderator
Microsoft Deutschland GmbH

Und da sie hier nicht genannt wird, werden an dieser Stelle auch ihre Kontaktdaten hinzugefügt (und das nicht nur um der Sorgfaltspflicht genüge zu tun, sondern auch, da sie wirklich einen guten Job gemacht hat :-)

Janina Thieme
Rechtsanwältin bei PRWRECHTSANWÄLT und PRWCONSULTING in München

P.S.

Interessant bei der Vorbereitung dieses Eintrages der Blick auf das deutschsprachige Impressum, in dem sogleich zu Beginn unter der Überschrift: "Kontakt und technischer Support" u.a. festgehalten wird: "Bitte beachten Sie, dass die Microsoft Deutschland GmbH nicht Anbieter von Microsoft-Produkten oder -Diensten ist und für die Microsoft Corporation auch nicht vertretungs-/zustellungsbevollmächtigt ist."

Auf der deutschsprachigen Seite wird unter der Überschrift Wer wir sind kein erkennbarer Hinweis auf das in Deutschland beschäftigte Personal gegeben. Gibt man aber den Namen der seit 2016 Vorsitzenden der Geschäftsführung Sabine Bendiek ein, kommt man auf diese Seite des Management-Teams.

So bietet Microsoft eine Info-Broschüre an zum Thema: "So hält der Mittelstand die EU-Datenschutz-Grundverordnung ein".
Um diese sich auf den Rechner laden zu können, ist die Angabe einer Reihe persönlicher Daten notwendig - die in diesem spezifischen Falle bereits vom System in das Formular eingespielt worden sind - und deren (nochmalige) Freigabe:
"Durch Absenden dieser Seite stimme ich zu, dass meine angegebenen Daten durch Microsoft Corporation in den USA erhoben sowie durch andere Microsoftniederlassungen weltweit (www.microsoft.com/worldwide/) verarbeitet und genutzt werden (Microsoft Datenschutzbestimmungen). "

Anmerkungen

[1Interessant als pars pro toto die Frage: was machen wir mit einem Kunden der kündigt, der all seine Daten im System gelöscht haben will, um kurz danach sich neu anzumelden um auf diesem Wege den Neukundenrabatt in Anspruch nehmen zu können?

[2Hier als pars pro toto die Frage nach dem Backup: Wenn in einer aktuellen Datenbank auf Verlangen des Kunden Daten gelöscht werden, dann liegen diese im Backup noch vor. Muss jetzt auch technischen Gründen ein solches Backup wieder eingespielt werden, dann ist dafür Sorge zu tragen, dass aus diesem vom Backup eingespielten Datensatz der zur Löschung freigegebene Datensatz erneut gelöscht wird...

[3Andreas verweist doch tatsächlich auf das neue Buch vom "Deutschen Philosophen Precht": Jäger, Hirten, Kritiker: Eine Utopie für die digitale Gesellschaft, auch wenn er diesen Titel nicht nennt, aber daraus zitiert. Mehr von Richard David Precht gibt es in einem eigenen re:publica-Mitschnitt vom 2. Mai 2018 auf dieser Seite dieser Online-Publikation: #rp18 Programm-Auswahl.


23786 Zeichen