Die DSGVO: Kein reines IT-Thema!
Das zeigen unsere Experten bei PwC Legal und bei PwC sehr anschaulich im Gespräch: Axel Thoß, Datenschutzexperte bei PwC Legal, Peter Kleebauer, Spezialist für technische Systemsicherheit und Informationssicherheits-Managementsysteme (ISMS) bei PwC und Florian Mundigler, Experte für Compliance-Managementsysteme bei PwC.
In der Praxis wird Datenschutz häufig als ein reines IT-Thema angesehen. Weil es aber viele Nahtstellen und Abhängigkeiten zu anderen Organisationseinheiten gibt, betrifft das Thema weit mehr Bereiche, als es auf den ersten Blick den Anschein hat: Es benötigt ein integriertes Zusammenspiel zwischen den Fachbereichen Recht, IT und Organisation.
Unsere Experten Axel Thoß, Peter Kleebauer und Florian Mundigler erklären aus diesen drei Perspektiven, wie das Zusammenspiel aller Organisationseinheiten beim Thema Datenschutz und ePrivacy gelingen kann und geben einen Ausblick über die weitere Entwicklung des Themas in Österreich.
Seit Inkrafttreten der DSGVO gab es vor allem international hohe Strafen, Österreich hat mit der jüngst verhängten Verwaltungsstrafe in Millionenhöhe deutlich nachgezogen. Ist die vermeintliche Schonfrist für Unternehmen somit beendet?
Peter Kleebauer: Kein Unternehmen, welches sich mit den Anforderungen der DSGVO, insbesondere der Datenschutzgrundsätze, sorgfältig beschäftigt und angemessene Maßnahmen umgesetzt hat, braucht sich vor Strafen fürchten. Zudem ist die Spürbarkeit einer Strafe subjektiv: Für ein Unternehmen mit einem Jahresgewinn von 20.000 Euro kann bereits eine Strafe von 5.000 Euro schmerzhaft sein.
Florian Mundigler: Nach dem 25.05.2018 hat sich bei einigen sicherlich die Unruhe wieder gelegt, andere Unternehmen waren möglicherweise sogar enttäuscht, da die österreichische Behörde bislang keine wahrnehmbaren Aktionen gesetzt hat. Der „Ermahnung statt Strafe“-Ansatz hat somit sicherlich zu einem speziellen Umgang mit der DSGVO geführt. Ich denke aber auch, dass die Verbraucherinnen und Verbraucher jedenfalls sensibilisiert worden sind und die begleitende Diskussion für mehr Aufmerksamkeit und jedenfalls für mehr Beschwerden bei der Datenschutzbehörde und Strafen gesorgt hat.
Axel Thoss: Unternehmen, die sich nicht bzw. kaum mit der DSGVO auseinandergesetzt haben, sollten sich aufgrund der bisherigen (österreichischen) Spruchpraxis der Datenschutzbehörde keinesfalls in Sicherheit wiegen. Die Verhängung von Strafen ist zwar stets aus dem Blickwinkel der „Verhältnismäßigkeit” zu sehen. Die Strafen in anderen Ländern und zuletzt auch in Österreich zeigen jedoch auch, dass die Behörden sehr wohl Gebrauch von dem möglichen Bußgeldkatalog machen und eine Unterscheidung bei den Verstößen treffen.
Laut Studien haben sich EU-weit rund ein Drittel der Unternehmen noch gar nicht mit dem Thema DSGVO beschäftigt. Wo brauchen österreichische Unternehmen in diesem Bereich „Nachhilfe” und wie kann diese aussehen?
Axel Thoss: Sich fast eineinhalb Jahre lang nicht mit gesetzlichen Vorgaben auseinandergesetzt zu haben, ist zumindest fahrlässig. Für Unternehmen empfehlenswert ist die Durchführung einer „Gap Analyse”, die wesentliche Risiken identifiziert. Bei PwC verfolgen wir einen ganzheitlichen Beratungsansatz, der dabei sowohl rechtliche, technische als auch organisatorische Aspekte berücksichtigt.
Florian Mundigler: Einen „Masterplan”, der für alle Unternehmen gleichermaßen anwendbar wäre, gibt es nicht. Dennoch sollte das übergeordnete Ziel für alle Organisationen lauten, Vertrauen in die eigenen Abläufe zu schaffen und dafür als ersten Schritt die individuellen Risikobereiche zu kennen und entsprechend zu reagieren.
Peter Kleebauer: Das Hauptproblem war sicherlich, dass die DSGVO auf viele sehr abstrakt wirkt und der Gesetzestext schwer in einzelne Aufgaben oder Maßnahmen umzulegen ist. Dazu kommen noch die verschiedenen Öffnungsklauseln und die damit fehlenden konkreten Regelungen in vielen Bereichen. Auch die Ungewissheit zur Auslegungen der Anforderungen durch die Datenschutzbehörde zur Detailtiefe stellte manche Unternehmen vor Herausforderungen. Wichtig ist in diesem Zusammenhang, und das zeigen wiederum die aktuellen Beispiele aus den Medien, dass die Verarbeitung der personenbezogenen Daten sorgfältig betrachtet und somit rechtmäßig durchgeführt wird und weniger die Dokumentation bis in kleinste Detail.
Mit der ePrivacy-Verordnung wird das Thema Datenschutz vermutlich noch weiter Fahrt aufnehmen. Was sollten Unternehmen bereits jetzt tun, um sich darauf vorzubereiten?
Florian Mundigler: Das Sprichwort „Wer laufen will, muss gehen können“ trifft darauf bestens zu. Wer die Grundlagen im Bereich Datenschutz bisher nicht beachtet hat – und hier sprechen wir von einem Anteil von immerhin etwa einem Drittel der Unternehmen – wird wohl auch an der ePrivacy-Verordnung verzweifeln. Wesentlich für eine gute Vorbereitung und Umsetzung ist allerdings, dass beide Themen, DSGVO und ePrivacy-Verordnung, gemeinsam betrachtet und bearbeitet werden.
Peter Kleebauer: Die ePrivacy-Verordnung soll u.a. die Vertraulichkeitsstufe der elektronischen Kommunikationsdaten vom Endnutzer festlegen. Gerade die technischen Aspekte der Verordnung, also zu treffende Maßnahmen um die Vertraulichkeit und Sicherheit von Kommunikationswegen sicherzustellen, sind für mich sehr spannend. Das zeigt auch, dass diese Verordnung sehr viel weiter geht, als nur den Umgang mit Cookies zu regeln. Unternehmen sind daher gut beraten, rechtzeitig mit der Evaluierung der Tracking-Methoden ihrer Websites, eventuell geplanter Marketingaktivitäten oder der Mechanismen zur Prüfung einer gültigen Einwilligung für Cookies und Direktwerbung, zu beginnen.
Wie ist die EU in Bezug auf Datenschutz bzw. ePrivacy international aufgestellt? Könnte sie mehr Initiative gegen die vermeintliche Übermacht der US-amerikanischen GAFA-Konzerne (Google, Amazon, Facebook, Apple) tun?
Axel Thoss: Angesichts der rasanten technologischen Entwicklungen war es nur noch eine Frage der Zeit, bis der EU-Gesetzgeber auf legislativer Ebene nachziehen würde. Für Einzelpersonen ist die DSGVO ein wertvolles Instrument, um deren Rechte bei der Verarbeitung personenbezogener Daten durchzusetzen. Es bleibt allerdings abzuwarten, wie schlagkräftig die DSGVO tatsächlich sein wird. Fakt ist, dass die DSGVO an den „Big-Data”-Konzernen nicht spurlos vorbeizieht und zumindest ein gewisser „Disziplinierungseffekt” zu bemerken ist.
Florian Mundigler: Es ist unwahrscheinlich, dass sich einzelne Länder gegen die großen datengetriebenen Konzerne in den USA durchsetzen könnten. Die EU hat sich deshalb erfolgreich als ein Wirtschaftsraum positioniert, der eine einheitliche Sprache spricht und mit den anderen Teilnehmern auf Augenhöhe agiert. Dass dieser Ansatz erfolgreich war, sieht man daran, dass sich in der letzten Zeit viele Dinge bewegt haben, die vor wenigen Jahren noch undenkbar waren.
Auf Konsumentenseite sehen wir eine merkbar gestiegene Sensibilität. Die Aufsichtsbehörden in ganz Europa verzeichnen einen Anstieg an Konsultationen und auch Beschwerden. Viele Unternehmen haben beispielsweise den Prozess der Beauskunftung, also die Beantwortung der Frage „Was hat ein Dienstleister über mich gespeichert?“ definiert und in vielen Fällen auch automatisiert. Alphabet hat den Datenexport für Google-Konten sehr schön gelöst. Auch Amazon hat den Ablauf, meiner Meinung nach, sehr übersichtlich dargestellt. Unternehmen hingegen haben den Mehrwert von Datensicherheitsmaßnahmen erkannt. Peter, kannst du das bestätigen?
Peter Kleebauer: Absolut. Das Thema Datensicherheit und Cybersecurity ist in der Geschäftsführung angekommen und wird – gerade unter dem Blickpunkt der fortschreitenden Digitalisierung – zukünftig eine immer wichtigere Rolle spielen. Allerdings hatten und haben diese großen internationalen Konzerne sehr viele Ressourcen in die Umsetzung der DSGVO investiert. Im Vergleich dazu mussten viele heimische Unternehmen mit größeren Herausforderungen kämpfen und kämpfen teilweise nach wie vor damit. Die DSGVO, die weltweit gesehen das schärfste Regelwerk für Datenschutz darstellt, darf nicht zu einem Nachteil für unsere Wirtschaft werden.