Interview: „Datenschutz und Datensicherheit – künftig ein starkes MUSS“

Interview: „Datenschutz und Datensicherheit – künftig ein starkes MUSS“

Last Updated on 2016-11-02

INARA: Die im Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung („DSGVO“) ist mit ihren 99 Artikeln auf 209 Seiten äußerst umfangreich und komplex und selbst für Juristen schwer verständlich. Um was geht es dabei eigentlich?
Mag. Judith Leschanz: Datenschutz und Datensicherheit sind nichts Neues. Als unser Datenschutzgesetz im Jahr 2000 reformiert wurde, nutzten knapp 300 Mio. Menschen weltweit das Internet, heute sind es über 3 Mrd. Was alles bei der Verarbeitung personenbezogener Daten passieren kann, hat sich in den letzten Jahren verstärkt gezeigt. Das Risiko, dass diese Informationen durch Hacking, Diebstahl oder andere unbefugte Anwendungen missbraucht werden, ist erheblich gestiegen. Darum mussten neue, dem Fortschritt der Technik entsprechende rechtliche „Spielregeln“ her. Die in der DSGVO definierten Rahmenbedingungen gelten für alle Unternehmen weltweit, die Waren oder Dienstleistungen innerhalb der EU anbieten und Kunden- oder Mitarbeiterdaten verarbeiten. Ob mit dem in manchen Teilen sehr weit gefassten und nicht leicht zu lesenden Regelungswerk die gesteckten Ziele erreicht werden können, wird die Zukunft zeigen.

INARA: Was ist ab Mai 2018 anders?
Leschanz: Die DSGVO stellt den Schutz der EU-Bürger in Hinblick auf ihre Privatsphäre in den Vordergrund. Sie erhalten mehr Rechte – müssen sie u.a. der Weiterverarbeitung ihrer persönlichen Daten ausdrücklich zustimmen – weiters umfangreiche Auskunfts- und Widerspruchsrechte und sie können auch die Löschung ihrer Daten verlangen. Während Social Media wie Google, Facebook & Co. damit ein leichtes Spiel haben werden, weil sie lediglich ihre Allgemeinen Geschäftsbedingungen in diesem Bereich klarer formulieren und die Zustimmung der Nutzer einholen müssen, so haben es Unternehmen, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist, deutlich schwerer. Zwar werden viele behördliche Melde- und Genehmigungspflichten in die Selbstverantwortung der Unternehmen übertragen, jedoch steigen ihre Berichts- und Auskunftspflichten gegenüber den betroffenen Personen bei der Datenerhebung sowie bei deren Erhalt und Weiterleitung erheblich. Damit verbunden sind zahlreiche bürokratische Lasten – wie z. B. weitaus umfangreichere Dokumentationspflichten. Der personenbezogene Datenschutz wird damit deutlich aufwändiger und kostenintensiver.

Die drakonische Erhöhung des Bußgeldrahmens von 25.000 auf 20 Mio. Euro bzw. 4 % des Unternehmensumsatzes soll sicherstellen, dass dem Personendatenschutz seitens der Unternehmen die angemessene Aufmerksamkeit gewidmet wird. Darüber hinaus haften sie wie schon bisher für materielle und immaterielle Schäden der Betroffenen, die aus einer schuldhaften Verletzung der Vorschriften entstanden sind.

INARA: „Privacy by design“ ist ein neues Schlagwort. Bitte erklären Sie uns, was damit gemeint ist.
Leschanz: Daten werden zunehmend zum Wirtschaftsgut und immer mehr Unternehmen verdienen ihr Geld mit deren Verwertung, man denke nur an Alibaba oder Airbnb. Auch wenn sich deren Geschäftsmodelle nicht primär um die Verarbeitung personenbezogener Daten drehen, definiert die DSGVO besondere Schutzkriterien für die Betroffenen. Einer der Grundsätze widmet sich der sogenannten Datensparsamkeit. Das heißt, dass nur das notwendige Mindestmaß an personenbezogenen Daten verwendet werden darf und Unternehmensmitarbeiter nur jenen eingeschränkten Datenzugang erhalten sollen, den sie für ihre jeweiligen Jobs brauchen.

INARA: Bringen die verschärften gesetzlichen Regelungen den Unternehmen auch etwas?
Leschanz: Ich denke schon. Die Sensibilisierung und die Awareness steigen. Die Prozesse müssen in Hinblick auf den künftigen Umgang mit personenbezogenen Daten auf den Prüfstand gestellt und bei Bedarf angepasst werden. Was zunächst als unliebsames Übel erscheint und mit Zeitaufwand und Kosten verbunden ist, hat aber auch seine Vorteile. Nämlich die Vereinfachung und Verschlankung von bestehenden Strukturen, was wiederum zu Synergien mit anderen Abläufen und damit gesamt gesehen zu einem reduzierten Ressourceneinsatz führen kann. Die A1 Telekom Austria ist hier auf einem guten Weg.

INARA: Wofür ist der Datenschutzbeauftragte zuständig?
Leschanz: Da sich die Datenschutzbehörde nach den neuen Bestimmungen nur mehr auf stichprobenartige Kontrollen und Rechtsschutzverfahren beschränkt, liegt die Zuständigkeit für die Umsetzung der datenschutzrechtlichen Belange künftig bei den Unternehmen. Die DSGVO gibt vor, für welche Unternehmen ein Datenschutzbeauftragter zwingend zu bestellen ist. Aber auch alle anderen großen und mittleren, privaten und öffentlichen Unternehmen sind gut beraten, jeweils einen Mitarbeiter zu nominieren oder auf einen externen Dienstleister zuzugreifen, um das Wissen und die Aktivitäten rund um die gesetzlichen Regelungen zu Datenschutz und Datensicherheit zu konzentrieren.

Wichtig ist, dass der Datenschutzbeauftragte in Erfüllung seiner Aufgaben weisungsfrei ist und die notwendigen Kompetenzen und Ressourcen erhält, um der Aufgabe und Verantwortung nachkommen zu können.

INARA: Nicht alle Unternehmen sind so weit wie Ihres. Wie machen sie sich für die Anforderungen der DSGVO fit?
Leschanz: Jedes Unternehmen sollte möglichst rasch damit beginnen, die eigenen personenbezogenen Datenverwendungen zu analysieren und eine Risikoerhebung zu machen, welche Daten künftig welche angemessene Schutzbedürftigkeit haben. Daran orientieren sich dann die zu treffenden technischen und organisatorischen Maßnahmen, wie

  • die Pseudonymisierung und Verschlüsselung von Daten;
  • Vorkehrungen zur Wiederherstellung bei Datenpannen;
  • die Entwicklung eines Verfahrens, mit dem die Datensicherheit regelmäßig überprüft und bei Unregelmäßigkeiten unmittelbar gehandelt werden kann;
  • eine den gesetzlichen Vorgaben entsprechende Dokumentation;
  • die Durchführung einer Datenschutz-Folgenabschätzung zur Feststellung der Eintrittswahrscheinlichkeit bei sensiblen Datenverarbeitungen (das sind solche, die ein hohes Risiko für die persönlichen Rechte und Freiheiten aufweisen) und Meldung an bzw. Konsultation mit der Datenschutzbehörde;
  • die Einrichtung eines Prozesses zu den behördlichen Meldepflichten bei „data breach“ und Benachrichtigung des/der Betroffenen.

INARA: Wenn wir zurzeit noch gar nicht wissen, wie die DSGVO in Österreich implementiert wird, warum müssen sich die Unternehmen schon jetzt mit ihr beschäftigen?
Leschanz: Der 25.05.2018 scheint weit weg, aber die 19 Monate bis dahin sind keine lange Zeit. Es ist ein Gebot der kaufmännischen Vorsicht und Vernunft, dass die Firmen spätestens Anfang 2017 mit der Umsetzung beginnen, nämlich mit

  • der Evaluierung, ob bzw. inwieweit die DSGVO auf sie Anwendung findet;
  • der Festlegung der internen Verantwortlichkeiten;
  • der erwähnten Risikoanalyse und der Ableitung des individuellen Handlungsbedarfs auf technischer und organisatorischer Ebene. Technische Vorkehrungen betreffen

z. B. die Möglichkeit der Datenlöschung. Bei den organisatorischen Maßnahmen geht es einerseits um Ressourcen und andererseits um die Beurteilung, ob das Compliance-Management zu erweitern ist;

  • der Erstellung und Freigabe eines Kosten- und Investitionsbudgets;
  • Überlegungen zur Einholung der erforderlichen Zustimmungserklärungen Betroffener;
  • dem Abfassen von internen Richtlinien zu Datenschutz und Datensicherheit;
  • der Vorbereitung und zeitgerechten Durchführung von internen Schulungen.

Die meisten dieser Maßnahmen sind mit langen Vorlaufzeiten verbunden.

Last but not least ist es notwendig, einen Zeitplan bis zum 25.05.2018 zu erstellen und die Einhaltung der einzelnen Schritte zu kontrollieren.

Mehr zu den Datenschutzaktivitäten der A1 Telekom Austria AG finden Sie unter
http://cdn1.telekomaustria.com/final/de/media/pdf/nachhaltigkeitsbericht-2015-16.pdf

Fotocredit: Fotostudio Weinwurm