Sie sagen es, wir coden es!

Ein Rückblick auf 2018 – was uns und die Welt bewegte

Wieder ist ein neues Jahr angebrochen und es ist an der Zeit, das Vergangene zu reflektieren und zu verarbeiten. Für die IT und auch für uns war 2018 ein ereignisreiches Jahr, das viel Entwicklung mit sich brachte. Heute thematisieren wir die Dinge, die uns im vergangenen Jahr beschäftigt und bewegt haben.

 

Die dringende Notwendigkeit der Data Security

Ein wichtiges Thema, das in 2018 viel mediale Aufmerksamkeit erhalten hat, ist die Sicherheit unserer Daten. Ein Einschnitt, den jeder der eine Webseite besitzt, gespürt haben muss, war die Einführung der DSGVO im Mai letzten Jahres. Für Webseitenbesitzer stellte dies eine Menge Arbeit dar, doch für viele User war es eine Erleichterung der Angst um ihre Privatsphäre.

Auch Politiker hatten mit der Sicherheit ihrer persönlichen Daten zu kämpfen. Ende des Jahres wurden massenhaft private Informationen über Prominente und Politiker veröffentlicht. Diese Daten publizierte ein 20-jähriger auf Twitter, nachdem er sich Zugang zu den Social Media Accounts der Betroffenen verschafft hatte. Dieser Vorfall ist eine gute Erinnerung daran, dass wir nicht zu leichtfertig mit unseren Passwörtern und persönlichen Daten im Internet umgehen dürfen, denn so etwas könnte jeden betreffen.

Künstliche Intelligenz als Teil unseres Lebens

Künstliche Intelligenz war im vergangenen Jahr eines der meist diskutierten Themen und kann daher hier nicht außer Acht gelassen werden. Sie wurde im vergangenen Jahr so sehr gefördert, dass wir sie mittlerweile und bald immer verstärkter in allen Abteilungen des Lebens vorfinden werden. KI wird mehr und mehr in Anwendungsbereiche der Medizin, Politik, Technik und in unseren Alltag eingeführt.

Noch vertrauen wir den KI’s nicht ganz und lassen uns beispielsweise nicht von ihnen in Autos umhertransportieren. Dafür kaufen wir aber Gemälde von ihnen (das Erste wurde für 432.000$ verkauft), leben mit KI-Anwendungen wie Alexa unter einem Dach und lassen sie sogar unsere Krankheiten wie Krebs oder Alzheimer diagnostizieren.

Die IT im Aufschwung

Nicht nur diese Erfolge konnte die IT in 2018 für sich verstreichen: der Bereich gewann dieses Jahr extrem an Beliebtheit und mit der sich immer weiter verbreitenden Digitalisierung wächst auch das Berufsangebot stetig. Leider gibt es aber nicht genügend ausgebildete und erfahrene IT-Kräfte, die diesem Arbeitsmarkt entsprechen. Derzeit sind laut einer Studie ca. 63% aller Unternehmen verzweifelt auf der Suche nach Anwendungsentwicklern, die Ihnen bei der Digitalisierung Ihrer Firma unter die Arme greifen.

Das Jahr 2018 für uns

Auch wir bei we {code} it haben im vergangenen Jahr einen starken Anstieg in Beliebtheit der IT gespürt. Unsere Community beinhaltet mittlerweile mehr als 230 Studenten. Egal ob Websitegestaltung, Datenbanksysteme, Mobile Apps, oder Office AddIns, wir arbeiten stets daran, unsere Kunden in ihren Projekten und Vorstellungen im Zusammenhang mit Digitalisierung zu unterstützen.

Ein Highlight des Jahres war für uns die CeBIT in Hannover. Neben den spannenden Neuheiten und Innovationen, die auf dieser Messe zur Schau gestellt wurden, war es auch eine bereichernde Erfahrung für uns dort zu networken und viele interessanten Menschen zu treffen.

Ein weiterer Tag der uns gerne in Erinnerung bleibt war der Hackathon den wir mit unseren Freunden vom TechQuartier veranstaltet haben. Gemeinsam haben wir das erste Event seiner Art in der Region dargeboten und dabei verschiedenste Programmierer, Unternehmer, UX-Experten und Data-Fanatiker für 24 Stunden zusammengebracht, um spannende Challenges zu lösen.

Abschließend möchten wir uns bei all denen bedanken, die uns durch 2018 begleitet haben und mit denen wir an aufregenden Projekten arbeiten konnten. Wir hoffen auch im neuen Jahr unsere guten Beziehungen aufrecht erhalten zu können und freuen uns auf weitere Zusammenarbeit mit vielen neuen, spannenden Themen und Aufgaben.

EU-Datenschutzgrundverordnung (DSGVO): Die Uhr tickt – was sich ändern wird

Morgen – den 25. Mai 2018 – tritt die neue EU-Datenschutzgrundverordnung (DSGVO, auf Englisch: General Data Protection Regulation, kurz GDPR) ausnahmelos in Kraft, die gewährleisten soll, dass Unternehmen personenbezogene Daten von Kunden und Mitarbeitern besser schützen. Die neuen Regelungen nach der DSGVO werden noch umfangreicher: dazu gehören Melde- und Dokumentationspflichten. Diese bringen sowohl für Privatpersonen und Unternehmen als auch öffentliche Stellen viele Neuerungen mit sich.

 

Was ist die DSGVO, für wen gilt diese und warum sollte ich einen Blick darauf werfen?
Die DSGVO ist ein neues EU-Gesetz, also ein Reglement, das ab dem 25. Mai 2018 europaweit Allgemeingültigkeit hat. Die Rechtsgrundlage regelt das Datenschutzrecht und den Umgang mit personalisierten Daten einheitlich in der gesamten EU. Haben Sie als Unternehmer ihre Prozesse an all die Regeländerungen angepasst? Denn morgen endet auch schon die zweijährige Übergangsfrist, an denen Mitgliedsstaaten die neuen Vorschriften in ihre nationalen Gesetze implementiert haben sollten. Die DSGVO gilt für alle, die automatisiert personenbezogene Daten verarbeiten, also für Großkonzerne aber auch für Selbstständige und Kleinbetriebe. Ausgenommen hiervon sind Privatpersonen – solange diese Personendaten nur für persönliche oder familiäre Zwecke verwenden.

 

Was genau wird sich durch die neue Verordnung ändern?
Im Folgenden wollen wir einen Überblick über einige wichtige Vorgaben des neuen Datenschutzrechts geben, die umgesetzt werden müssten. Das sind die Neuerungen:

Härtere Sanktionen, höhere Geldbußen und Unschuldsbeweis (Art. 83 Abs. 6 DSGVO): In Zukunft müssen Unternehmen bei Datenschutzverstößen bis zu 20 Millionen Euro oder 4% des Jahresunternehmensumsatzes als Strafe zahlen. Im Rahmen der neuen Beweisumkehr muss man als Verantwortlicher nachweisen, dass man rechtmäßig gehandelt hat.

Dokumentationspflichten: (Art. 30 DSGVO): Unternehmen müssen ein sog. Verarbeitungsverzeichnis führen. In ein solches Verzeichnis (d.h. Dokumentationen und Protokolle) müssen sämtliche Tätigkeiten und datenschutzrechtlich relevante Prozesse aufgenommen werden, die bei der Datenerhebung entstehen.

Zu beachten ist: Es besteht nun die Pflicht, ebenfalls ein Verarbeitungsverzeichnis über alle im Auftrag der Kunden verarbeiteten Daten zu erstellen.

Recht auf Vergessenwerden (Art. 17 DSGVO): Unternehmen müssen personenbezogene Daten und vernetzte Suchergebnisse auf Wunsch der Betroffenen löschen.

Einwilligung (Art. 7 DSGVO): Unternehmen, die personenbezogene Daten verarbeiten, müssen eine unmissverständliche und nachweisbare Zustimmung von Einzelpersonen einholen. Diese muss „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ erfolgen. Die Einwilligung muss jederzeit wiederrufen werden können.

Speicherungsdauer (Art. 5 DSGVO): Grundsätzlich dürfen Personendaten nur für einen bestimmten Verarbeitungszweck gespeichert werde und nur solange, wie es für den jeweiligen Zweck erforderlich ist.

Mindestalter (Art. 8 DSGVO): Das Mindestalter für eine wirksame Einwilligung ohne Zustimmung der Eltern wurde auf 16 Jahre festgelegt.

Zu beachten ist: Überprüfen Sie die Datenschutzerklärung für Ihre Zielgruppe und gleichen Sie diese gegebenenfalls an die neuen Regelungen an. Vergewissern Sie sich, dass Ihre Daten den neuen Mindestnormen für die Einwilligung und den Widerruf passen.

Meldepflichten (Art. 33 Abs. 1 DSGVO): Im Falle einer Verletzung des Schutzes personenbezogener Daten muss die zuständige Aufsichtsbehörde binnen 72 Stunden informiert, die Datenpanne dokumentiert und ein strikter Prozess- und Ablaufplan ausgearbeitet werden.

Grundsatz des Privacy by Design (Art. 25 Abs.1 DSGVO): Probleme bezüglich Datenschutz und Privatsphäre müssen schon bei der Entwicklung neuer Prozesse ermittelt und evaluiert werden.

Grundsatz des Privacy by Default (Art. 25 Abs.2 DSGVO): Webseitenbetreiber müssen künftig die datenschutzfreundlichsten Voreinstellungen besitzen.

Auftragsdatenverarbeitung (Art. 28 ff. DSGVO): In Zukunft werden sowohl Auftraggeber als auch Auftragnehmer für die Datennutzung ihrer Kunden gleichermaßen verantwortlich sein – für eventuelle Bußgelder können beide Seiten herangezogen werden.

Datenschutzbeauftragter (Art. 39 DSGVO): Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.

Zu beachten ist: Vergewissern Sie sich gemäß Art. 37 Abs.1 DSGVO, ob Sie dazu verpflichtet sind, einen Datenschutzbeauftragten zu ernennen.

Alle neuen Artikel mit den passenden Erwägungsgründen sind unter BDSG (neu) nachzulesen.

 

Regelmäßige Schulungen für Mitarbeiter
Welche Daten werden erhoben? Wo werden diese verarbeitet? Wie wird mit diesen umgegangen? Wird dies dokumentiert? Wer übernimmt diese Aufgaben? Um all diesen Fragen nachgehen zu können, sollten Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, entsprechend geschult werden.

 

Leichter gesagt als getan
Der Weg vom Gesetzgebungsverfahren bis hin zur neuen EU-DSGVO war beschwerlich und hat mehrere Jahre in Anspruch genommen. In den letzten zwei Jahren mussten Unternehmer prüfen, welche ihrer Prozesse und Abläufe von der neuen Gesetzgebung betroffen sind. Wer sich datenschutzkonform auf die neuen Regelungen eingestellt hat, sollte künftig weniger Probleme damit haben.
So haben auch wir, ein etabliertes Softwarte Development Startup, uns mit den neuen Anforderungen der europäischen Datenschutzgrundverordnung auseinandergesetzt und unsere Systeme an die neuen Regelungen angepasst. Im Zentrum unseres Denkens und Handelns stehen unsere Kunden, Partner und Mitarbeiter. Darum ist es unser Anliegen mit Transparenz, viel Zuverlässigkeit und Qualität die bestmögliche Sicherheit für jene Daten zu gewährleisten.

Neue Datenschutzverordnung ab Mai 2018 – was Unternehmen zusätzlich beachten müssen

Da in diesem Jahr ab Mai eine allgemeingültige, europäische Datenschutzverordnung in Kraft tritt, wollten wir im neuen Jahr insbesondere die Unternehmen noch einmal daran erinnern. Die Regelungen umfassen ab Mai 2018 konkretere Anforderungen an Datenhandhabung und verschärfte Strafen bei Nichteinhaltung. Von Unternehmen wird dadurch einiges mehr an Aufwand bezüglich Dokumentierung und Vorsicht im Umgang mit den Daten verlangt. Welche Artikel im Vergleich zu den vorherigen deutschen Datenschutzregelungen neue Änderungen bereithalten , haben wir hier für euch hervorgehoben:

Art. 26 DSGVO :
Datenverarbeitung ist von nun an von mehreren verantwortlichen Stellen möglich. Zwingend erforderlich: Konkrete Vereinbarung über Zwecke, Handhabung und Verantwortlichkeiten der Betroffenenrechte

Art. 28 DSGVO:

Rechte und Pflichten sowie Umsetzung und Inhalt der Regelungen sind vertraglich festzulegen. Wichtig ist dies deshalb, weil diejenigen, die zuständig für Auftragsverarbeitung sind, eine ordnungsgemäße Datenverarbeitung garantieren müssen – und hierbei ist nichts für beide Seiten sicherer als ein schriftlich konkret ausgearbeiteter Vertrag.
Interessant ist unserer Meinung nach ein Punkt, bei dem die Datenschutzverordnung etwas lockerer greift als die vorherige deutsche Rechtsgrundlage diesbezüglich: Bisher durften keine sensiblen Daten wie beispielsweise Gesundheitsdaten in Drittländern verarbeitet werden. Dies ist nun erlaubt, solange das Datenschutzniveau zugesichert ist.

Art.30 DSGVO:

Auftragsbearbeitende sind von nun an dazu verpflichtet ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ zu dokumentieren. Dies dürfte bisher nicht allzu gängig gewesen sein.
Außerdem sind Unternehmen dazu verpflichtet bei Anfragen der Aufsichtsbehörde ihr Einblicke in das Verzeichnis zu gewähren. Anderen Personen oder Instanzen darf man den Einblick jedoch verweigern.

Art. 33 DSGVO:

Alle Datenpannen müssen unbedingt binnen 72 Stunden gemeldet werden. Was als Datenpanne zu bezeichnen ist, lässt sich aus der Datenschutzfolgeabschätzung – nun ja – abschätzen. Mehr dazu weiter unten.

Art. 35 DSGVO:

Die Datenschutzfolgeabschätzung ist ein neues Terrain, auf das sich Unternehmen im Umgang mit sensiblen Daten begeben müssen. Wie der Name schon vermuten lässt, muss man hierbei abschätzen, ob die Verarbeitung der Daten Risiken bezüglich Rechte und Freiheiten für die betroffenen Personen bergen. Sind diese Risiken durch keinerlei Vorkehrungen zu minimieren oder zu umgehen, muss die Aufsichtsbehörde eingeschaltet werden. (Siehe oben binnen 72 Stunden)

Datenschutzbeauftragte!

Zudem stellen sich viele nach der Verkündung der neuen Datenschutzregelungen die Frage, was es mit der Empfehlung eines Datenschutzbeauftragten auf sich hat. Ist es ein Rat, ein Muss, gibt es besondere Bedingungen? Hier die Antwort:

Ein Datenschutzbeauftragter ist erforderlich, wenn 1. der Verantwortliche oder Auftragsverarbeiter regelmäßig mindestens 10 Personen beschäftigt, die mit der Datenverarbeitung zu tun haben.
2. Die Datenverarbeitung und das weitere Verfahren ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt (siehe Art. 35 DSGVO) 3.Personenbezogene Daten für Übermittlungen oder für Markt- und Meinungsforschungsziele verarbeitet werden

Es lohnt sich, so schnell wie möglich die eigenen Prozesse genauestens zu kennen und sie mit der neuen Rechtsgrundlage abzugleichen. Alles in einem kommt es darauf an, jede Information, die jemanden gefährden könnte, rechtzeitig zu melden und genau zu umschreiben und allgemein jede Verarbeitungstätigkeit in Dokumenten zu erfassen.
Auch unsere Aufgabe als Softwaredienstleister ist es, sich den Regelungen nach aufzustellen, um unseren Kunden eine umfassende Sicherheit und Transparenz zu bieten. Alles in einem ist es eine gutes Gesetzesupdate, dass eine übereinheitliche, europäische Regelung bietet, nach der sich nun alle innerhalb der EU agierenden Akteure zu halten haben. Denn Daten sind bekanntlich das neue Gold unserer Zeit.