Veranstaltung "100 Tage DSGVO" der Österreichischen Computer Gesellschaft (OCG): Mehrheitlich positive Bilanz zur am 25. Mai in Kraft getretenen Datenschutz-Grundverordnung – aber es bleibt noch viel zu tun.

Mehr als drei Monate nach Inkrafttreten der DSGVO zeigte sich bei dem Podiumsgespräch am 11. September in Wien: Das Thema Datenschutz hat eine neue Dimension erreicht. Jedes Unternehmen und jede Institution waren gezwungen, sich mit dem Thema Datenschutz intensiv auseinanderzusetzen und mussten Maßnahmen setzen. „2018 war dadurch für viele sicher ein turbulentes Jahr, aber ein Invest in Datenschutzmaßnahmen ist in jedem Fall ein Qualitätsgewinn für jedes Unternehmen“, resümierte OCG Generalsekretär Ronald Bieber. Bei der OCG hat das Thema IT-Security und Datenschutz eine lange Tradition, seit vielen Jahren wird etwa auch das ECDL Modul „IT Security“ sowohl in der Schule als auch in der Erwachsenen-Weiterbildung angeboten (ECDL: European Computer Driving Licence), womit auch Datenschutz-Aspekte abgedeckt werden.

Bewusstseinsbildung ist gerade auch bei Jugendlichen extrem wichtig. „Sie gehen oft sehr sorglos mit ihren Daten um, da ist sicher noch viel mehr Aufklärung notwendig. Auch Lehrerinnen und Lehrer müssen noch viel mehr für das Thema Datenschutz sensibilisiert und ausgebildet werden“, forderte Wolfgang Resch, Datenschutz-Experte der OCG.

Auswirkungen bei der Datenschutzbehörde
Gefragtester Mann des Abends war zweifellos Matthias Schmidl, stellvertretender Leiter der Österreichischen Datenschutzbehörde. Dort ist das Arbeitsaufkommen seit 25. Mai massiv angestiegen: Seit dem Stichtag gab es insgesamt 721 Beschwerden und 252 Meldungen zur Verletzung des Schutzes personenbezogener Daten (Data Breach Notifications). Zum Vergleich: Im gesamten Jahr 2017 waren es insgesamt 489 Beschwerden. Dafür hat die DSB sechs zusätzliche Arbeitsplätze bewilligt bekommen. Große Strafen und Sanktionen sind bisher ausgeblieben. Dagegen zeigte sich Schmidl verwundert, warum es bislang mit vier Anträgen nur sehr wenig Engagement für die Genehmigung von Verhaltensregeln für Branchen oder Sparten gab. „Das wäre sicher sinnvoll“, so sein Rat. Bei den Beschwerden „scheitern viele an Formalvorgaben, eine E-mail mit zwei Zeilen reicht einfach nicht“, sagte Schmidl. Erfreulich sei, dass die EU Vorgabe zum Datenschutz jetzt auch auf andere Kontinente ausstrahlt: Auch in Asien, Nord- und Südamerika wird in vielen Ländern über Datenschutz-Bestimmungen jetzt massiv nachgedacht.

„Datenschutz ist kein einmaliges Projekt“, warnte Horst Nadjafi, Geschäftsführer der auf Datenschutz spezialisierten msecure GmbH aus Bayern, „es ist vielmehr ein Prozess, Unternehmen müssen ihren Datenschutz ständig überprüfen und anpassen.“ Für die Bürgerinnen und Bürger sei die DSGVO sehr positiv, „in einer Welt der immer mehr anwachsenden Daten ist es wichtig, dass die personenbezogenen, persönlichen Daten bestmöglich geschützt sind“, so Nadjafi. Allerdings hätten viele Unternehmen trotz des bekannten Termins zum 25. Mai viel zu spät begonnen. Seiner Schätzung nach hätten „in Deutschland erst ein Drittel der Unternehmen die notwendigen Maßnahmen umgesetzt“, sagte Nadjafi. Dies läge auch daran, dass die notwendige Expertise in den Unternehmen fehle. Er forderte eine fachlich anerkannte, fundierte Ausbildung für Datenschutz-Beauftragte. In Bayern bietet msecure derzeit den Grundlagenlehrgang zum EU-Datenschutzkoordinator an.
 
DSGVO Umsetzung noch mangelhaft
Nach einer Umfrage des deutschen Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch in Österreich zeichnet sich ein ähnliches Bild: „Ein großer Teil der Unternehmen hat sich bislang nur unzureichend mit der Umsetzung der gesetzlichen Bestimmungen auseinandergesetzt. Vor allem KMUs sind vielfach auf externe Unterstützung angewiesen“, betonte Walter Khom, Geschäftsführer der bit media e-solutions GmbH. Sowohl Organisation, Dokumentation als auch Informationsweitergabe inklusive Schulung könne heute sehr einfach und effizient digital unterstützt werden. Dazu bietet bit media etwa eLearning Angebote und das Phoenix Datenschutzmanagementsystem. „Letztlich liegen die Gründe der mangelhaften Umsetzung auch in der noch immer vorherrschenden Unsicherheit, es fehlt einfach noch an klaren Vorgaben oder Entscheidungen“, kritisierte Walter Khom.

„Es ist gut, dass es die DSGVO gibt, es gibt auch einfach immer mehr Daten, die verarbeitet und gespeichert werden“, gab Georg Beham, Cybersecurity & Privacy Leader bei PwC Österreich und Buchautor des Ratgebers „DSGVO – Praxiseinführung in sieben Schritten“ zu bedenken. „Allerdings sollte darauf Rücksicht genommen werden, dass Tischler oder Einzelhändler nicht die gleichen Möglichkeiten besitzen wie große Unternehmen“, meinte Beham, der die DSGVO insgesamt jedoch positiv sah: „Wir nehmen in punkto Datenschutz jetzt eine Vorreiterrolle ein – so wie vor 30 Jahren im Umweltschutz – allerdings gehen Veränderungen eben nicht von heute auf morgen“, zeigte sich Beham realistisch. „Es ist positiv, dass nicht gleich gestraft wird und die Unternehmen sich auch noch kleine Fehler erlauben dürfen“, urteilte der erfahrene Datenschutz Experte. Wichtig ist es, dass Datenschutz die nötige Aufmerksamkeit erlangt, nur stetige Verbesserungen und Maßnahmen in den Unternehmen führen zu einem langfristigen Erfolg.
 
DSGVO-Umsetzung bei den ÖBB
Bei großen Konzernen wie den ÖBB ist Datenschutz natürlich bereits seit langem ein Thema: „Wer Datenschutz bereits vor dem 25. Mai ernst genommen hat, für den hat sich nicht so viel verändert“, zog Martin Leiter, seit 2012 Konzerndatenschutzbeauftragter der ÖBB, gelassen Bilanz. Als größte aktuelle Herausforderungen nannte er die Etablierung der konkreten Datenschutzmaßnahmen in den Geschäftsprozessen und andererseits die Risikobewertung. Allerdings äußert der Datenschutz-Praktiker auch Kritik: „Die reichlich verwendeten unbestimmten Gesetzesbegriffe machen es schwierig, die Verpflichtungen im Einzelnen zu fassen und daraus konkrete Maßnahmen abzuleiten.“ Zweifellos wichtig sei auch der Faktor Mensch: „Bei jedem einzelnen Mitarbeiter muss Awareness für das Thema Datenschutz geschaffen werden“, stellte Leiter klar. Auch das Networking kam bei der Veranstaltung nicht zu kurz. Beim Buffet wurden noch lange eifrig über Datenschutz-Fragen diskutiert.