Vor einem Jahr hat der Report Verlag unter dem Titel »Die Praxis wird’s richten« das Thema DSGVO angesprochen (Link). Mittlerweile ist die Datenschutzgrundverordnung ein Jahr in Kraft. Wie steht es um Datenschutz, um die DSGVO heute?

Stille im Raum. Das Publikum wartet. Zögerlich zeigt ein Teilnehmer auf. Die Vortragende, Ursula Illibauer, Datenschutz-Expertin der Wirtschaftskammer Österreich, hat eben die Frage gestellt, wer sich hundertprozentig datenschutzfit fühlt. Rund um die DSGVO besteht nach wie vor Informationsdefizit. Trotzdem war das Seminar der Wirtschaftskammer Wien deutlich weniger besucht als die Informationsveranstaltung ein Jahr davor. Ein möglicher Grund: Die Mehrheit der österreichischen Unternehmen hat sich nach anfänglicher Aufregung mit der DSGVO arrangiert.

»Wir haben unseren Weg gefunden«, betont etwa Herbert Schöfbänker, Director of IT bei FMTG. Es bedarf aber einer Wandlung des Mindsets. »In Umfragen werden Datenskandale als problematisch bewertet, trotzdem werden zu wenig Schutzmaßnahmen getroffen«, informiert Ursula Illibauer. Erst Anfang des Jahres wurde wieder ein umfangreiches Passwort-Hacking bekannt.

Datenschutzloch

Ein von Unsicherheit betroffener Bereich findet sich in den technisch-organisatorischen Maßnahmen, die zum Schutz personenbezogener Maßnahmen umgesetzt werden müssen. Dazu zählen unter anderem Zugriffs-, Weitergabe- und Verfügbarkeitskontrolle. Bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen, etwa bei Gesundheitsdaten oder im Zusammenhang mit der Kreditwürdigkeit, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Ein weiteres Problemfeld betrifft den Inhalt der Datenschutzerklärung. »Alle glauben, es richtig zu machen. Was aber ist richtig? Einiges ist zu interpretieren«, betont Herbert Schöfbänker. Nicht genau lassen sich auch die Aufbewahrungspflichten definieren. Ein Seminarteilnehmer spricht den Punkt Bewerber-Unterlagen an. Wer sie länger als sechs Monate plus ein Monat in Evidenz behält, benötigt dafür die aktive Zustimmung. Das kann auch im Gespräch erfolgen, sofern dieses protokolliert wird. Stilles Zustimmen reicht nicht aus. Das gilt auch für Blindbewerbungen. Bei auftretenden Fragen rät die Juristin, die zuständige Wirtschaftskammer zu kontaktieren.

»Die Datenschutzbehörde ist zu keiner Auskunft verpflichtet«, zeigt Illibauer auf und empfiehlt, sich mehr abzusichern sei nie verkehrt. Man sollte auch nicht pauschal alles aufbewahren. Als gelöscht gilt bereits, wenn der Personenbezug nicht mehr produzierbar oder mit verhältnismäßigen Mitteln nicht mehr herstellbar ist.

Cookie und Newsletter

Ein zentrales Thema beim Seminar der Wirtschaftskammer Wien waren die Topics Cookie und Newsletter. Für die Nutzung zu Cookies ist die aktive Zustimmung des Users vor Beginn der Datenanwendung durch Opt-in einzuholen. »Die Praxis bringt allerdings viele datenschutzrechtliche Graubereiche mit betriebswirtschaftlichen Entscheidungen. Betriebsinteresse wird vor das Recht der Kunden gestellt.« Bei Analysecookies, etwa Google Analytics, steht noch nicht hundertprozentig fest, ob eine Einwilligung benötigt wird oder ob sie technisch erforderlich ist. Apropos Einwilligung: Die Veröffentlichung einer Telefonnummer auf einer Unternehmenswebsite ist keine Einwilligung zum Werbeanruf.

Bei Newslettern ist klar, dass sie nur unter den Bedingungen des Telekommunikationsgesetzes versendet werden dürfen. Es muss jederzeit möglich sein, den Empfang kostenfrei und problemlos abzulehnen. Beachtet werden muss zum Beispiel auch die sogenannte ECG-Lis­te, die schriftliche Ablehnungen elektronischer Werbemails erfasst. In der analogen Form ist sie als Robinson-Liste bekannt, die von Adressverlagen und Direktmarketingunternehmen beim Fachverband Werbung und Marktkommunikation bezogen werden muss.

 

Blick in die Wirtschaft

Mehr als die Hälfte der kontaktierten Unternehmen führt an, Anforderungen der DSGVO fristgerecht umgesetzt zu haben.

Sport Bründl Gruppe: Wolfgang Huber, Leiter IT

»Ein gewissenhafter Datenschutz war für die Sport Bründl Gruppe auch vor Inkrafttreten der DSGVO bereits sehr wichtig. Im Zuge der DSGVO-Vorbereitungen haben wir eine umfassende Evaluierung und weitere Verbesserungen sowie Anpassungen gemäß den gesetzlichen Vorgaben vorgenommen. Neben internen Weiterbildungsmaßnahmen haben wir uns rechtliche Beratung von einer auf Datenschutz spezialisierten Juristin eingeholt, um beispielsweise die datenschutzkonformen Formulierungen des Zustimmungstextes für den Newsletter-Versand zu aktualisieren. Abgerundet wurden die Vorbereitungen durch die umfassende Dokumentation aller DSGVO-relevanten Belange in einem Datenschutzmanagement-System.«

Statistik Austria: Maria-Christine Bienzle

»Die Respektierung der Geheimhaltung und der Schutz der uns anvertrauten Daten ist einer der zentralen Grundsätze bei der Wahrnehmung der uns gesetzlich übertragenen Aufgaben«, bekräftigt Datenschutzbeauftragte  Maria-Christine Bienzle. Das Bundesstatistikgesetz 2000 regelt den Schutz personenbezogener und unternehmensbezogener Daten (Statistikgeheimnis).

Hausinterne Richtlinien regeln den Umgang der MitarbeiterInnen mit vertraulichen Daten und der statistischen Geheimhaltung. »Wir schulen umfangreich, informieren über die neuen begleitenden rechtlichen Verpflichtungen und haben neue Dienstrundschreiben erlassen. Zu jeder Erhebung werden detaillierte Datenschutzinformationen erstellt, in denen wir transparent die Datenverarbeitung darstellen.« Bienzle wurde lange vor Inkrafttreten der Verordnung von der Generaldirektion zur Datenschutzbeauftragten ernannt.

FMTG: Herbert Schöfbänker, Director of IT

Für Herbert Schöfbänker ist die DSGVO etwas am Ziel vorbeigeschossen. »Ziel war es, Großunternehmer zu einem bewussteren Umgang mit Kundendaten zu bringen.« Nun müsse der kleine Greißler oder der Friseur ums Eck Obacht halten über seine Handvoll Kundendaten. Die Großen arbeiten weiter wie bisher, v.a. jenseits der Grenzen. Problematisch sind für ihn die zahlreichen Meinungen zum Datenschutz. »Alle glauben, es richtig zu machen.« FMTG hat Datenschutz schon vor dem 25. Mai genau beachtet, da umfangreiche Gästedaten, auch sensible, zum Alltag zählen.

»Angesichts des großen Datenvolumens haben wir eine Softwarelösung von Intervalid zugekauft. Jetzt ist alles dokumentiert.« Ein internes Team kümmert sich um alle Datenschutzagenden. Bislang hat FMTG kaum Anfragen in Bezug auf Auskunft und Löschung erhalten. »Aufgrund der umfangreichen Berichterstattung haben wir eigentlich mehr erwartet. Die Anrufer suchen manchmal angestrengt nach einer Lücke im Datenschutz – bei uns finden sie diese aber nicht. Wir warten jetzt den Sommer als heiße Phase ab.«

Saubermacher: Sandra Fuchsbichler, Recht & Compliance

»IT-Sicherheit hatte bei uns immer schon einen hohen Stellenwert. Mit Umsetzung des Datenschutz-Projekts im Jahr 2018 haben wir vor allem organisatorisch nachgeschärft. Ein Rechtsanwalt hat unser Unternehmen auf Verbesserungsbedarf durchleuchtet. Danach haben wir einen externen IT-Sicherheits-Check durchführen lassen, rechtliche Dokumente ergänzt und angepasst, arbeitsrechtliche Maßnahmen gesetzt, organisatorische und bauliche Änderungen vorgenommen, das Datenverarbeitungsregister erstellt, Prozesse geändert und Verantwortlichkeiten geklärt«, informiert Sandra Fuchsbichler, Expertin Recht & Compliance und interne Datenschutzbeauftragte.

»Wir haben ein eigenes Projekt dazu aufgesetzt, das von externen Beratern begleitet wurde. Mittlerweile ist der Aufwand in einem vertretbaren Rahmen. Gearbeitet haben wir mit unseren bestehenden Systemen und Lösungen.«

ikp: Susanne Hudelist, Managing Partner

 

»Als Strategieberater im Kommunikationsbereich sind zahlreiche Kunden an uns herangetreten mit der Bitte um Empfehlungen, wie sie ihre eigenen Maßnahmen effizient aufsetzen sollen und was die Fußfallen sind«, berichtet Susanne Hudelist von der Agentur ikp. »Um die Vorgaben en détail zu kennen, haben wir das Projekt DSGVO frühzeitig mit einem Zwei-Personen-Team aus Geschäftsführung und Office Managerin finalisiert.«

Alle Mitarbeiter wurden mit Richtlinien, Q&A, Verhaltensweisen etc. versorgt, die im Rahmen interner Workshops vermittelt wurden. Neben dem Aufsetzen geforderter Dokumente wie dem Datenverzeichnis, einer erweiterten Datenschutzerklärung, der Datenschutzfolgeabschätzung, einer Erklärung zur Datenschutzbeauftragten und zahlreichen Auftragsverarbeiterverträgen wurden Maßnahmen zur Verbesserung der technischen Sicherheit gesetzt – etwa ein Prozess zur Verhaltensweise bei einem Data Breach, aber auch einfache Dinge wie Folien für Reiselaptops und doppelt verschlüsselte USB-Sticks. Der zeitliche Aufwand inklusive Aus- und Weiterbildung belief sich 2018 auf etwa 250 Stunden. »Wir haben auf bestehende IT-Programme und Plattformen zurückgegriffen.«

---

»TOMs« gewährleisten ein dem Risiko angemessenes Schutzniveau

♦ Zugangskontrolle: Zutrittskon-trollsysteme (bauliche Maßnahmen), Verwaltung von Admin-Rechten (technische Maßnahmen – TM), Protokollierung über Besuche (organisatorische Maßnahmen – OM)

♦ Datenträgerkontrolle: datenschutzgerechte Entsorgung von Geräten mit Speichermedien (TM), Dokumentation der Ausgabe und Verwendung von mobilen Speichermedien (OM)

♦ Speicherkontrolle: Trennung von Administration- und Produktionsbereich (TM), Protokollierung der Art und Weise des Zugriffes auf die Daten (OM)

♦ Benutzerkontrolle: Benutzeridentifizierung (TM), Clean-Desk-Policy (OM)

♦ Zugriffskontrolle: Schnittstellensicherung (TM), Kontrolle der Zugriffe (OM)

♦ Übertragungskontrolle: Protokollierung von Datenübermittlungen (TM), Festlegung von Übermittlungswegen (OM)

♦ Eingabekontrolle: Einsatz von elektronischen Signaturen (TM), Festlegung von Berechtigungen (OM)

♦ Transportkontrolle: Zugriff mittels verschlüsseltem VPN (TM), Datenträger-Eingangs- und Ausgangsverzeichnis (OM)

♦ Wiederherstellung

♦ Datenintegrität: Sicherstellung der Stromversorgung bei Ausfall (TM), Datensicherungs- und Wiederherstellungskonzept (OM)

---

Aktuelle Zahlen der Datenschutzbehörde

- 1.617 Beschwerden (davon 1.009 Inland und 608 grenzüberschreitend)
- 591 Data Breach Notifications (Datenpannen, z.B. Videoüberwachung, Verletzung Löschauftrag)
- 107 amtswegige Prüfverfahren
- acht Anträge auf Genehmigung von Verhaltensregeln
- 136 Verwaltungsstrafverfahren (Die Strafsummen in Österreich sind geringer als vergleichsweise in Spanien, da sich die Datenschutzbehörde nicht durch die Strafen finanzieren muss. Die höchste Strafe lag bislang bei rund 6.000 Euro.)

---

Buchtipp der Redaktion