Freitag, April 19, 2024

Datenschutz: Sicher für die Zukunft gebaut



Peter Gelber und Wolfgang Fiala haben langjährige Erfahrung mit Audits und der Beratung zu Datenschutz-Themen. Die Ziviltechniker wollen Unternehmen künftig als akkreditierte Stelle für DSGVO-Zertifikate unterstützen. 

Die DSGVO-zt GmbH hat vor knapp zwei Jahren als erstes Unternehmen Österreichs um Akkreditierung bei der Österreichischen Datenschutzbehörde eingereicht. Die Akkreditierung wird für Ende des ersten Quartals erwartet und soll Unternehmen neue Rechtssicherheit in Datenschutzfragen bringen. Über die Vorteile eines DSGVO-Zertifikats und bisherige Audits berichten die beiden Gründer Peter Gelber und Wolfgang Fiala.

Bild oben: Das Team von DSGVO-zt mit Peter Gelber, Irene Schaller und Wolfgang Fiala.

Seit wann beschäftigen Sie sich mit dem Thema Datenschutz?

Wolfgang Fiala: Wir sind in diesem Bereich seit gut 20 Jahren tätig. Mit der Kundmachung der EU-Datenschutz-Grundverordnung im Jahr 2016 und dem Inkrafttreten 2018 hat das Thema dann massiv Gewicht bekommen. Davor haben wir bereits mit Gutachten für ELGA, die e-card der Sozialversicherung, für das damalige Gesundheitsministerium und viele weitere mit Bezug auf Datenschutz geschrieben. 

Peter Gelber: Wir haben uns gut auf die DSGVO vorbereiten können. Ein Datenschutzgesetz hat es auch davor schon gegeben, nur war es aus heutiger Sicht zahnlos, da die Konsequenzen für Missachtungen überschaubar waren. Große Firmen haben, überspitzt gesagt, die Strafen aus der Portokasse zahlen können. Da in der Wirtschaft stets der Aufwand mit dem Nutzen gegengerechnet wird, ist das Thema erst so richtig mit der DSGVO und insbesondere dem Strafmaß von vier Prozent des weltweiten Jahresumsatzes eines Unternehmens bei Datenschutzverletzungen griffig geworden.

Ist dieses Regelwerk für den sicheren Umgang mit personenbezogenen Daten mittlerweile zumindest bei den größeren Firmen integriert? Wo sehen Sie noch Lücken?

Fiala: Niemand würde zugeben, dass ihm Datenschutz nicht wichtig sei – aber in der Praxis schaut es oft anders aus. Wie überall gibt es auch hier Vorreiter, aber es kommt auch heute noch zu Missverständnissen, etwa bei Verantwortlichkeiten. So entbindet die Auslagerung von Tätigkeiten mit personenbezogenen Daten – beispielsweise die Zusammenarbeit mit einem Callcenter bei Umfragen – den Auftraggeber nicht von seiner Verantwortung. Selbst wenn dieser Daten in anonymisierter Form vom Dienstleister erhält, braucht es einen Auftragsverarbeiter-Vertrag, in dem auch alle TOMs (Anm. „technische und organisatorische Maßnahmen“) für die sichere Datenverarbeitung geregelt sind. Die DSGVO fordert hier „State of the Art“, also den Stand der Technik ein. 

Gelber: Eine der Herausforderungen ist oft auch eine ganze Kette von Auftragsverarbeitern. Den Dienstleister, der mit mir am Tisch sitzt, kenne ich noch persönlich. Aber mit welchen Partnern arbeitet dieser? Die Verantwortung dafür wird gerne unter den Tisch gekehrt. Man versucht sich zwar vertraglich abzusichern, wenn dann aber in der dritten Ebene ein Vorfall passiert, ist der Auftraggeber nicht nur trotzdem in der Pflicht, sondern sein Renommee nimmt Schaden. Man sollte sich also auf jeden Fall bewusst sein, dass die Verantwortung für Maßnahmen und Geschäftsprozesse nicht bei der eigenen Firmengrenze aufhört. Wir raten unseren Kunden: Schauen Sie sich genau an, wie Ihre Partner und Dienstleister arbeiten.

Was sind typische Begutachtungen, mit denen Sie sich bisher beschäftigt haben?
Fiala: Oft haben wir den Fall einer Absicherung eines Projekts im Vorfeld gegenüber dem Rechnungshof. So haben wir auch die Plattform „Österreich testet“ begutachtet, über die mehr als 30 Millionen Testtermine abgewickelt worden sind. Zunächst war die Ausgangslage für das Projekt eigentlich schwierig. Mit der Pandemie bestand Gefahr in Verzug, das Projekt musste rasch umgesetzt werden – das übliche Pflichtenheft gab es aus diesem Grund auch nicht. Trotzdem wurde die Plattform in einem agilen Vorgehen mit dem Fokus auf Prototyping innerhalb von nur zehn Kalendertagen live geschaltet. Wir sind selbst schon viele Jahre in der IT-Branche tätig und haben schon viele Programmierungen und Umsetzungen gesehen. Die A1-Tochter World-Direct hat das unter Berücksichtigung der Rahmenbedingungen mustergültig umgesetzt.

Gelber: Mit unserem Unternehmen DSGVO-zt fokussieren wir auf Datenschutzthemen in der gesamten Breite. Wir kennen nicht nur die Gesetzestexte, sondern können diese auch in einer IT-Organisation eines Unternehmens einordnen. Es braucht schon große Erfahrung im Auditing, über die wir verfügen, um die Umsetzung eines Regelwerkes im Kontext von Unternehmensprozessen zu bewerten. Prinzipiell bildet das die Qualität einer Prüfung oder eines Audits von Datenschutzmaßnahmen: Wie ordnet man diese zu? Mit welchen Mitteln sollten Risiken minimiert werden können?

Welchen Vorteil werden nun DSGVO-Zertifikate bringen, die Sie anbieten wollen? Warum sollten Unternehmen einen Service zertifizieren lassen?

Fiala: Da gibt es mehrere Gründe. Eine externe Prüfung und Bestätigung der Konformität bedeuten Sicherheit – Unternehmen bekommen damit verbrieft, gewissenhaft und korrekt am Markt zu agieren. Und man hat gute Karten gegenüber den Behörden. Die Datenschutzbehörde kann aus drei Gründen von Amtswegen aktiv werden. So kann sie zu jeder Zeit eine Prüfung anordnen, dann wird sie in der Regel im Falle von Beschwerden tätig sowie bei einem Datenschutzvorfall, sofern dieser meldepflichtig ist. Kann dann ein DGSVO-Zertifikat vorlegt werden, ist zumindest grundsätzlich klar, dass der Datenschutz ernst genommen wird. Liegt bei einem Verfahren eine Ziviltechnikerurkunde als Zertifikat vor, muss die Behörde dies im Strafmaß berücksichtigen.

Unternehmen mit entsprechender Zertifizierung haben einfach auch einen Vorsprung gegenüber ihren Mitbewerbern. Eine Bank, die sich als erstes Finanzinstitut dem Thema DSGVO-Zertifizierung widmet, könnte dies öffentlichkeitswirksam kommunizieren. Und wir sind überzeugt, dass in einigen Jahren die Zertifizierung in bestimmten Branchen zum Standard gehören wird.

Gelber: Über diese formale Prüfung hinaus, die eine Zertifizierung erfordert, kennen wir einfach auch die TOMs. Wir wissen, wie sie auch branchenbezogen gestaltet sein sollten, wir weisen auf Lücken und Ergänzungsmöglichkeiten hin. Wir sehen diese Dienstleistung als Teil des Zertifizierungsprozesses – wenngleich Audit und Beratung selbstverständlich getrennt voneinander durchgeführt werden. Sollte Bedarf für beides bestehen, teilen wir diese Bereiche entsprechend unserer Richtlinie „Interessenskonflikte“ personell streng.

Fiala: In unserer Rolle als Ziviltechniker siegeln wir eine Zertifikatsurkunde persönlich, da auch wir persönlich dafür haften. Auch in der Vergangenheit haben wir die Bereiche Audit und Beratung rechtlich und organisatorisch immer getrennt – es ginge auch nicht anders. Aber es hat trotzdem den Vorteil, dass wir auch kurze Wege zueinander haben, wenn zum Beispiel Dinge nachzubessern sind.

Adressieren Sie mit der Zertifizierung zunächst größere Organisationen?

Fiala: Im Wesentlichen ja. Unternehmen mit Massengeschäft, wie es zum Beispiel die großen Banken sind, haben in Riesenmengen mit personenbezogenen Daten zu tun. Bei diesen Daten geht es um die Bonität von Personen, also um das Innerste der Privatsphäre.

Im Gegensatz zur ISO 27001 ist in der DSGVO nicht vorgesehen, ein ganzes Unternehmen zu zertifizieren. Ein Konto und die Transaktionen dahinter wären ein überschaubares Produkt oder ein Service, der zwar komplex, aber in sich abgeschlossen ist. Die Grenzen zwischen Produkt und Services sind heutzutage fließend. 

Was wären für Sie weitere interessante Servicebereiche?

Fiala: Eigentlich sind dies alle Unternehmen mit Endkundengeschäft, zum Beispiel Handelsketten mit Kundenkarten, Zustelldienste oder Energieversorgungsunternehmen und Netzbetreiber. Mit Technik wie dem Smart Meter könnten Profile zu Gewohnheiten und Aufenthaltsorten abgelesen werden – das alles sind sensible Daten. Auch die Versicherungen bieten ein Tätigkeitsfeld. 

Gelber: Die Themenbreite ist groß und durch die Digitalisierung der Wirtschaft und Gesellschaft sollte der Schutz der Daten von Menschen besonders beachtet werden. Wir werden uns immer die Fragen stellen müssen: Wie gehen Unternehmen mit meinen Daten um? Was kann aus diesen Daten gewonnen werden? Mit Industrie 4.0 und Automatisierung, auch mit vernetzten Fahrzeugen haben wir zwar rein technische Lösungen, aber von Menschen generierte Daten. Die Produkte und Prozesse müssen deshalb sorgfältig, auch für die Zukunft sicher, gebaut werden.


Hintergrund
Ein DSGVO-Zertifikat nach Art. 42/43 DSGVO ist eine Bestätigung einer akkreditierten Zertifizierungsstelle, dass personenbezogene Daten DSGVO-konform verarbeitet werden. Das Zertifikat ist im Regelfall drei Jahre gültig. Die Kosten sind abhängig vom Umfang und der Komplexität des Zertifizierungsobjektes.

Zertifiziert werden können
- Produkte (Beispiele sind Apps, Softwaretools, Standardsoftware und Webseiten)
- Prozesse (zum Beispiel Verarbeitungstätigkeiten wie Kreditvergaben und Bonitätsprüfungen)
- Dienstleistungen (zum Beispiel Druck- und Versand-Dienstleistungen, Cloudservices)

 

Details

Meistgelesene BLOGS

Nicole Mayer
26. Jänner 2024
Jetzt einreichen: Staatspreis sucht exzellente Betriebe
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Read More
Firmen | News
01. März 2024
Deutsch-Österreichisches Technologieforum: Transformation der Wirtschafts- und Energiesysteme
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Read More
Alfons A. Flatscher
02. Jänner 2024
Das Neue kommt …
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Katharina Bisset
07. Februar 2024
Digital Services Act: neue Pflichten für Plattformen, Marktplätze und Co.
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Read More
Alfons A. Flatscher
26. Jänner 2024
Neues statt sparen
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Read More
Mario Buchinger
22. Jänner 2024
Braucht die Organisationsentwicklung noch Coaching und Consulting?
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Read More
Nicole Mayer
30. Jänner 2024
Symbiose für sichere und regel­konforme Unternehmens­führung
Durch den rasanten Fortschritt der digitalen Transformation und den zunehmenden Einsatz von Informationstechnologien wird die (Informations-) Sicherheit sensibler Unternehmensdaten immer wichtiger. Or...
Read More

MEDIADATEN

REPORT (+) 2024 
Bau & Immobilien REPORT 2024 
 REPORT Online
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com