Freitag, Juni 09, 2023
DSGVO - Hat die Praxis es gerichtet?

Vor einem Jahr hat der Report Verlag unter dem Titel »Die Praxis wird’s richten« das Thema DSGVO angesprochen (Link). Mittlerweile ist die Datenschutzgrundverordnung ein Jahr in Kraft. Wie steht es um Datenschutz, um die DSGVO heute?

Stille im Raum. Das Publikum wartet. Zögerlich zeigt ein Teilnehmer auf. Die Vortragende, Ursula Illibauer, Datenschutz-Expertin der Wirtschaftskammer Österreich, hat eben die Frage gestellt, wer sich hundertprozentig datenschutzfit fühlt. Rund um die DSGVO besteht nach wie vor Informationsdefizit. Trotzdem war das Seminar der Wirtschaftskammer Wien deutlich weniger besucht als die Informationsveranstaltung ein Jahr davor. Ein möglicher Grund: Die Mehrheit der österreichischen Unternehmen hat sich nach anfänglicher Aufregung mit der DSGVO arrangiert.

»Wir haben unseren Weg gefunden«, betont etwa Herbert Schöfbänker, Director of IT bei FMTG. Es bedarf aber einer Wandlung des Mindsets. »In Umfragen werden Datenskandale als problematisch bewertet, trotzdem werden zu wenig Schutzmaßnahmen getroffen«, informiert Ursula Illibauer. Erst Anfang des Jahres wurde wieder ein umfangreiches Passwort-Hacking bekannt.

Datenschutzloch

Ein von Unsicherheit betroffener Bereich findet sich in den technisch-organisatorischen Maßnahmen, die zum Schutz personenbezogener Maßnahmen umgesetzt werden müssen. Dazu zählen unter anderem Zugriffs-, Weitergabe- und Verfügbarkeitskontrolle. Bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen, etwa bei Gesundheitsdaten oder im Zusammenhang mit der Kreditwürdigkeit, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Ein weiteres Problemfeld betrifft den Inhalt der Datenschutzerklärung. »Alle glauben, es richtig zu machen. Was aber ist richtig? Einiges ist zu interpretieren«, betont Herbert Schöfbänker. Nicht genau lassen sich auch die Aufbewahrungspflichten definieren. Ein Seminarteilnehmer spricht den Punkt Bewerber-Unterlagen an. Wer sie länger als sechs Monate plus ein Monat in Evidenz behält, benötigt dafür die aktive Zustimmung. Das kann auch im Gespräch erfolgen, sofern dieses protokolliert wird. Stilles Zustimmen reicht nicht aus. Das gilt auch für Blindbewerbungen. Bei auftretenden Fragen rät die Juristin, die zuständige Wirtschaftskammer zu kontaktieren.

»Die Datenschutzbehörde ist zu keiner Auskunft verpflichtet«, zeigt Illibauer auf und empfiehlt, sich mehr abzusichern sei nie verkehrt. Man sollte auch nicht pauschal alles aufbewahren. Als gelöscht gilt bereits, wenn der Personenbezug nicht mehr produzierbar oder mit verhältnismäßigen Mitteln nicht mehr herstellbar ist.

Cookie und Newsletter

Ein zentrales Thema beim Seminar der Wirtschaftskammer Wien waren die Topics Cookie und Newsletter. Für die Nutzung zu Cookies ist die aktive Zustimmung des Users vor Beginn der Datenanwendung durch Opt-in einzuholen. »Die Praxis bringt allerdings viele datenschutzrechtliche Graubereiche mit betriebswirtschaftlichen Entscheidungen. Betriebsinteresse wird vor das Recht der Kunden gestellt.« Bei Analysecookies, etwa Google Analytics, steht noch nicht hundertprozentig fest, ob eine Einwilligung benötigt wird oder ob sie technisch erforderlich ist. Apropos Einwilligung: Die Veröffentlichung einer Telefonnummer auf einer Unternehmenswebsite ist keine Einwilligung zum Werbeanruf.

Bei Newslettern ist klar, dass sie nur unter den Bedingungen des Telekommunikationsgesetzes versendet werden dürfen. Es muss jederzeit möglich sein, den Empfang kostenfrei und problemlos abzulehnen. Beachtet werden muss zum Beispiel auch die sogenannte ECG-Lis­te, die schriftliche Ablehnungen elektronischer Werbemails erfasst. In der analogen Form ist sie als Robinson-Liste bekannt, die von Adressverlagen und Direktmarketingunternehmen beim Fachverband Werbung und Marktkommunikation bezogen werden muss.

 

Blick in die Wirtschaft

Mehr als die Hälfte der kontaktierten Unternehmen führt an, Anforderungen der DSGVO fristgerecht umgesetzt zu haben.

Sport Bründl Gruppe: Wolfgang Huber, Leiter IT

»Ein gewissenhafter Datenschutz war für die Sport Bründl Gruppe auch vor Inkrafttreten der DSGVO bereits sehr wichtig. Im Zuge der DSGVO-Vorbereitungen haben wir eine umfassende Evaluierung und weitere Verbesserungen sowie Anpassungen gemäß den gesetzlichen Vorgaben vorgenommen. Neben internen Weiterbildungsmaßnahmen haben wir uns rechtliche Beratung von einer auf Datenschutz spezialisierten Juristin eingeholt, um beispielsweise die datenschutzkonformen Formulierungen des Zustimmungstextes für den Newsletter-Versand zu aktualisieren. Abgerundet wurden die Vorbereitungen durch die umfassende Dokumentation aller DSGVO-relevanten Belange in einem Datenschutzmanagement-System.«

Statistik Austria: Maria-Christine Bienzle

»Die Respektierung der Geheimhaltung und der Schutz der uns anvertrauten Daten ist einer der zentralen Grundsätze bei der Wahrnehmung der uns gesetzlich übertragenen Aufgaben«, bekräftigt Datenschutzbeauftragte  Maria-Christine Bienzle. Das Bundesstatistikgesetz 2000 regelt den Schutz personenbezogener und unternehmensbezogener Daten (Statistikgeheimnis).

Hausinterne Richtlinien regeln den Umgang der MitarbeiterInnen mit vertraulichen Daten und der statistischen Geheimhaltung. »Wir schulen umfangreich, informieren über die neuen begleitenden rechtlichen Verpflichtungen und haben neue Dienstrundschreiben erlassen. Zu jeder Erhebung werden detaillierte Datenschutzinformationen erstellt, in denen wir transparent die Datenverarbeitung darstellen.« Bienzle wurde lange vor Inkrafttreten der Verordnung von der Generaldirektion zur Datenschutzbeauftragten ernannt.

FMTG: Herbert Schöfbänker, Director of IT

Für Herbert Schöfbänker ist die DSGVO etwas am Ziel vorbeigeschossen. »Ziel war es, Großunternehmer zu einem bewussteren Umgang mit Kundendaten zu bringen.« Nun müsse der kleine Greißler oder der Friseur ums Eck Obacht halten über seine Handvoll Kundendaten. Die Großen arbeiten weiter wie bisher, v.a. jenseits der Grenzen. Problematisch sind für ihn die zahlreichen Meinungen zum Datenschutz. »Alle glauben, es richtig zu machen.« FMTG hat Datenschutz schon vor dem 25. Mai genau beachtet, da umfangreiche Gästedaten, auch sensible, zum Alltag zählen.

»Angesichts des großen Datenvolumens haben wir eine Softwarelösung von Intervalid zugekauft. Jetzt ist alles dokumentiert.« Ein internes Team kümmert sich um alle Datenschutzagenden. Bislang hat FMTG kaum Anfragen in Bezug auf Auskunft und Löschung erhalten. »Aufgrund der umfangreichen Berichterstattung haben wir eigentlich mehr erwartet. Die Anrufer suchen manchmal angestrengt nach einer Lücke im Datenschutz – bei uns finden sie diese aber nicht. Wir warten jetzt den Sommer als heiße Phase ab.«

Saubermacher: Sandra Fuchsbichler, Recht & Compliance

»IT-Sicherheit hatte bei uns immer schon einen hohen Stellenwert. Mit Umsetzung des Datenschutz-Projekts im Jahr 2018 haben wir vor allem organisatorisch nachgeschärft. Ein Rechtsanwalt hat unser Unternehmen auf Verbesserungsbedarf durchleuchtet. Danach haben wir einen externen IT-Sicherheits-Check durchführen lassen, rechtliche Dokumente ergänzt und angepasst, arbeitsrechtliche Maßnahmen gesetzt, organisatorische und bauliche Änderungen vorgenommen, das Datenverarbeitungsregister erstellt, Prozesse geändert und Verantwortlichkeiten geklärt«, informiert Sandra Fuchsbichler, Expertin Recht & Compliance und interne Datenschutzbeauftragte.

»Wir haben ein eigenes Projekt dazu aufgesetzt, das von externen Beratern begleitet wurde. Mittlerweile ist der Aufwand in einem vertretbaren Rahmen. Gearbeitet haben wir mit unseren bestehenden Systemen und Lösungen.«

ikp: Susanne Hudelist, Managing Partner

 

»Als Strategieberater im Kommunikationsbereich sind zahlreiche Kunden an uns herangetreten mit der Bitte um Empfehlungen, wie sie ihre eigenen Maßnahmen effizient aufsetzen sollen und was die Fußfallen sind«, berichtet Susanne Hudelist von der Agentur ikp. »Um die Vorgaben en détail zu kennen, haben wir das Projekt DSGVO frühzeitig mit einem Zwei-Personen-Team aus Geschäftsführung und Office Managerin finalisiert.«

Alle Mitarbeiter wurden mit Richtlinien, Q&A, Verhaltensweisen etc. versorgt, die im Rahmen interner Workshops vermittelt wurden. Neben dem Aufsetzen geforderter Dokumente wie dem Datenverzeichnis, einer erweiterten Datenschutzerklärung, der Datenschutzfolgeabschätzung, einer Erklärung zur Datenschutzbeauftragten und zahlreichen Auftragsverarbeiterverträgen wurden Maßnahmen zur Verbesserung der technischen Sicherheit gesetzt – etwa ein Prozess zur Verhaltensweise bei einem Data Breach, aber auch einfache Dinge wie Folien für Reiselaptops und doppelt verschlüsselte USB-Sticks. Der zeitliche Aufwand inklusive Aus- und Weiterbildung belief sich 2018 auf etwa 250 Stunden. »Wir haben auf bestehende IT-Programme und Plattformen zurückgegriffen.«


»TOMs« gewährleisten ein dem Risiko angemessenes Schutzniveau

♦ Zugangskontrolle: Zutrittskon-trollsysteme (bauliche Maßnahmen), Verwaltung von Admin-Rechten (technische Maßnahmen – TM), Protokollierung über Besuche (organisatorische Maßnahmen – OM)

♦ Datenträgerkontrolle: datenschutzgerechte Entsorgung von Geräten mit Speichermedien (TM), Dokumentation der Ausgabe und Verwendung von mobilen Speichermedien (OM)

♦ Speicherkontrolle: Trennung von Administration- und Produktionsbereich (TM), Protokollierung der Art und Weise des Zugriffes auf die Daten (OM)

♦ Benutzerkontrolle: Benutzeridentifizierung (TM), Clean-Desk-Policy (OM)

♦ Zugriffskontrolle: Schnittstellensicherung (TM), Kontrolle der Zugriffe (OM)

♦ Übertragungskontrolle: Protokollierung von Datenübermittlungen (TM), Festlegung von Übermittlungswegen (OM)

♦ Eingabekontrolle: Einsatz von elektronischen Signaturen (TM), Festlegung von Berechtigungen (OM)

♦ Transportkontrolle: Zugriff mittels verschlüsseltem VPN (TM), Datenträger-Eingangs- und Ausgangsverzeichnis (OM)

♦ Wiederherstellung

♦ Datenintegrität: Sicherstellung der Stromversorgung bei Ausfall (TM), Datensicherungs- und Wiederherstellungskonzept (OM)


Aktuelle Zahlen der Datenschutzbehörde

- 1.617 Beschwerden (davon 1.009 Inland und 608 grenzüberschreitend)
- 591 Data Breach Notifications (Datenpannen, z.B. Videoüberwachung, Verletzung Löschauftrag)
- 107 amtswegige Prüfverfahren
- acht Anträge auf Genehmigung von Verhaltensregeln
- 136 Verwaltungsstrafverfahren (Die Strafsummen in Österreich sind geringer als vergleichsweise in Spanien, da sich die Datenschutzbehörde nicht durch die Strafen finanzieren muss. Die höchste Strafe lag bislang bei rund 6.000 Euro.)


Buchtipp der Redaktion


Der neue DatKomm.

Der »DatKomm – Praxiskommentar zum Datenschutzrecht (DSGVO und DSG)« stellt sich den wirklich schwierigen Fragen, die im Zusammenhang mit dem neuen Datenschutzregime auftauchen. Dem Aufbau der DSGVO folgend werden die jeweils passenden Bestimmungen des österreichischen DSG gleich »mitgenommen«. Die Kommentierung bezieht sich auf beide Normen und behandelt inhaltlich sinnvoll verschränkt und tiefgehend die wesentlichen Auslegungsschritte, wichtige Literatur und Judikatur – auch zu bisher geltendem Recht – inklusive. Anhänge mit Guidelines und Beschlüssen des Datenschutzausschusses, wichtigen Bestimmungen aus Nebennormen, wie zum Beispiel der Richtlinien über Polizei und Strafjustiz, runden den Praxiskommentar ab. Erarbeitet wurde die fundierte Rechtsinformation von einem 33-köpfigen Autorenteam.

Titel: »DatKomm – Praxiskommentar zum Datenschutzrecht (DSGVO und DSG)«,
Herausgeber: Rainer Knyrim
1024 Seiten, 198 Euro
Reihe: Manz Großkommentare, 2018
Verlag: MANZ Verlag Wien
ISBN: 978-3-214-17236-7

Meistgelesene BLOGS

Mario Buchinger
03. April 2023
Aktuell wird viel darüber diskutiert, warum Europa und hier insbesondere Länder wie Deutschland und Österreich an Wettbewerbsfähigkeit und Attraktivität einbüßen. Reflexartig werden dafür grüne Partei...
Redaktion
15. Februar 2023
Beim 28. qualityaustria Forum, das am 22. März 2023 als Hybrid-Event (online und vor Ort im Salzburg Congress) unter dem Motto „Erfolgsfaktoren der Zukunft: Der Mensch macht den Unterschied" stattfind...
Redaktion
17. Februar 2023
Wir leben in einer Zeit der schnell wachsenden Technologien. Das macht unseren Alltag einfacher, komfortabler, schnelllebiger und leider auch gefühlsärmer. Viele Menschen sehnen sich deshalb nach mehr...
Mario Buchinger
09. März 2023
UX, also die Erfahrungen von Anwender*innen bei der Entwicklung von Produkten einzubinden, ist gut und richtig. Der Trend ist nicht neu und trotzdem tun sich viele noch immer damit schwer. Ein Grund s...
Angela Heissenberger
18. April 2023
Ein wichtiger Teil der Energiewende betrifft den Umstieg von fossiler zu erneuerbarer Energie. Fast noch wichtiger ist aber die thermische Sanierung der Gebäude, denn eine Wärmepumpe arbeitet effizien...
Mario Buchinger
11. April 2023
Künstliche Intelligenz (KI) gilt als ein Megatrend, der fast alle Probleme lösen soll. Nicht wenige sehen darin einen Sprung in unserer Entwicklung. Einige glauben sogar, dass uns diese Technologie na...
Tobias Tretzmüller
16. März 2023
In einer neuen Serie zu Open-Source-Software und Recht legen wir in Teil 1 den Blick auf die praktische Bedeutung von Open Source Software.Software wird heute in wesentlichen Teilen auf Grundlage von ...
Bernd Affenzeller
03. Mai 2023
Während die Chefs der Bauindustrie auf ihren Bilanzpressekonferenzen Optimismus und Zuversicht versprühen, schlagen Vertreter des Baugewerbes in Hintergrundgesprächen Alarm. Aus dem einfachen Grund, w...

Log in or Sign up