Leitfaden für Datenschutz in der Praxis

Setzen sich für praxistaugliche Umsetzung von Datenschutzmaßnahmen in Unternehmen ein: Peter Gelber (Kammer der Ziviltechniker:innen), Matthias Schmidl (Datenschutzbehörde) und Heinz Tuma, (Vorstandsmitglied des Verbands Österreichische Software Innovationen). Foto: Gerald Mayer-Rohrmoser

Bei einem Gespräch der Kammer der Ziviltechniker:innen im Oktober wurde betont: Datenschutz ist kein reines Rechts- oder Technikthema, sondern eine strategische Managementaufgabe. Mit den neuen TOMs-Standards ("Technische und Organisatorische Maßnahmen") und der Kooperation zwischen Ziviltechnik, Wirtschaft und Datenschutzbehörde steht österreichischen Unternehmen nun ein praxisnahes Instrument zur Verfügung, um die DSGVO nicht nur zu erfüllen, sondern aktiv zu leben.

Die Fachgruppe Informationstechnologie der Kammer, vertreten durch Wolfgang Fiala und Peter Gelber als Autoren der TOMs-Standards für KMU, präsentierte die Orientierungshilfe für Betriebe, die ihre Datenschutzprozesse an den Stand der Technik anpassen wollen. Diese Standards sind kostenlos unter einer Creative-Commons-Lizenz verfügbar und sollen auch als Benchmark für Datenschutzprüfungen dienen (Link).

Auch der Leiter der Österreichischen Datenschutzbehörde, Matthias Schmidl, betont, dass Datenschutz weit über technische Sicherheitsmaßnahmen hinausgeht. Österreich kennt bereits seit 45 Jahren ein Datenschutzgesetz (seit 1980 in Kraft) und nimmt seither eine Vorreiterrolle in Europa ein. Mit der DSGVO hat sich der Fokus nun auf einen risikobasierten Ansatz verschoben: Unternehmen müssen selbst einschätzen, welche Risiken mit der Datenverarbeitung verbunden sind und welche Maßnahmen notwendig sind, um diese Risiken zu minimieren.

Besonderes Augenmerk legt Schmidl auf Artikel 32 der DSGVO, der die „Sicherheit der Verarbeitung“ regelt. Dieser Artikel verpflichtet Verantwortliche und Auftragsverarbeiter, unter Berücksichtigung von Technikstand, Kosten und Risikowahrscheinlichkeit geeignete technische und organisatorische Maßnahmen zu treffen. Dabei gebe es „kein Schema F“, betonte Schmidl die Flexibilität der DSGVO. Eine Arztpraxis, ein Medienunternehmen oder eine Bank hätten völlig unterschiedliche Sicherheitsanforderungen. Aber er warnt: "Ein digitaler Angriff geht schneller als man denkt."

Prinzipiell würden sich Rechtsrahmen wie der EU AI Act, die NIS-Verordnung und die DSGVO in Themenbereichen wie eben der Informationssicherheit überschneiden. Trotzdem sei zentrales Thema auf Behördenseite auch eine Vermeidung von widersprüchlichen Entscheidungen, betont Schmidl. In dem „Netzwerk Digitalisierung“ stimmen sich unabhängige Aufsichts- und Regulierungsbehörden wie die Datenschutzbehörde, Bundeswettbewerbsbehörde, Finanzmarktaufsicht, E-Control und die Rundfunk- und Telekom-Regulierungs-GmbH informell ab, um Erfahrungen auszutauschen und widersprüchliche Rechtsmeinungen im Vorfeld abzufangen.

Ziel eines weiteren aktuellen Projekts namens DSGVO4KMU der Datenschutzbehörde gemeinsam mit der Wirtschaftskammer ist, ein Selfcheck-Tool mit Reifegradbewertung und praxisnahen Vorlagen zu entwickeln, um KMU beim Datenschutz zu unterstützen. Das EU-geförderte Projekt läuft bis Februar 2027.