22.03.2017 von

Wie Sie Ihre Pflichten aus der Datenschutz-Grundverordnung erfüllen

Die Datenschutz-Grundverordnung bürdet Unternehmen eine Fülle von Pflichten auf. In unserem vierten Videoblog stellen wir Ihnen einen ersten Teil davon vor und verraten, wie Sie sich darauf am besten vorbereiten.

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler (Leiter des Wiener Teams für IT-Recht und Autor des ersten österreichischen Kommentars zur Datenschutz-Grundverordnung)

 

Ungekürzte Langfassung des Interviews

Mit der Datenschutz-Grundverordnung kommt eine Lawine an neuen Bestimmungen auf die Unternehmen zu. Ist es berechtigt zu sagen: Eigentlich braucht jetzt jeder ein Datenschutz-Compliance-Programm?

Lukas Feiler: In Wirklichkeit ja. Natürlich abhängig davon, wie groß das Unternehmen ist, wird es ein mehr oder weniger formalisiertes Programm sein müssen. In größeren Unternehmen wird es nicht anders machbar sein, als wirklich formelle Strukturen zu schaffen und einen Verantwortlichen für das Thema Datenschutz zu bestellen. Ob er jetzt offiziell Datenschutzbeauftragter heißt oder nicht, ist weniger wichtig als die Ausstattung mit den entsprechenden Befugnissen und dem entsprechenden Budget. In Konzernstrukturen wird man auch bei den Tochtergesellschaften entsprechende Ansprechpersonen für das Thema Datenschutz schaffen müssen.

Bislang haben sich viele Unternehmen damit zufrieden gegeben, eine allgemeine Datenschutzrichtlinie zu haben, wo sich möglichst rechtskonforme Sätze wiederfinden. Das wird als absolutes Minimum nicht mehr genügen, sondern es wird darauf ankommen, Datenschutzrecht auch tatsächlich zu leben. Das macht es dann selbst in kleineren Organisationen erforderlich, durch Schulungs- und Informationsmaßnahmen innerhalb des Unternehmens Awareness zu schaffen, selbst wenn man nicht formelle Strukturen erzeugt. Man kann Datenschutz nicht einfach nur in Form einer Unternehmens-Policy abtun und hoffen, dass er sich von selbst erledigt.

Neue Programmierpflichten: „Privacy by Design“ und „Privacy by Default“

Ganz, ganz viele organisatorische Maßnahmen, die man hier setzen muss – gibt es auch auf der technischen Seite Dinge, die jetzt konkret anstehen mit der Datenschutz-Grundverordnung, zum Beispiel, wie man an die Entwicklung seiner Applikationen herangeht?

Lukas Feiler: Ja, die Verordnung verlangt auch dem Unternehmen, das eine Software entwickelt, bzw. dem Entwickler, bei dem sie zugekauft wird, einiges ab. Dabei ist es unerheblich, ob die Software im Kundenkontakt oder intern zur Mitarbeiterverwaltung eingesetzt wird.

Es gilt grundsätzlich das Prinzip „Privacy by Design“, das heißt: Bereits bei der Konzeption von Software-Anwendungen oder auch von smarten Produkten muss man den Datenschutz mitberücksichtigen. Von Anfang an muss man sich überlegen: Wie konzipiere ich meine Lösung so, dass sie möglichst datenschutzfreundlich ist?

Parallel dazu gilt auch der Grundsatz „Privacy by Default“, das heißt: Die Standard-Einstellung jedes Produkts muss datenschutzfreundlich sein. Ein Beispiel: Soll eine Veröffentlichung per Default erfolgen, wenn man eine Nachricht an jemanden anderen schickt? Nein – per Default muss es eine private Nachricht sein. Das ist es an der Stelle, was die Verordnung erfordert.

Vertraulichkeit, Verfügbarkeit und Integrität als Pflichten bei der Datensicherheit

Was sind denn konkret die Anforderungen, die rund um den Bereich Datensicherheit auf die Unternehmen zukommen werden mit der Datenschutz-Grundverordnung?

Lukas Feiler: Datensicherheit bedeutet, immer drei Aspekte mit berücksichtigen zu müssen: die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten. Das ist in der Praxis natürlich sehr stark ein Thema der IT-Sicherheit, weil man glücklicherweise in den meisten Unternehmen schon auf bestehende Strukturen und auch auf bestehendes Know-how zurückgreifen wird können. Die allermeisten Unternehmen haben auch schon eine entsprechende IT-Security-Policy oder Information-Security-Policy, die man aber jetzt auch für den Bereich personenbezogener Daten gezielt einsetzen muss.

Die Verordnung sagt insbesondere auch, dass es einige Sicherheitsmaßnahmen gibt, die man sich jedenfalls gut überlegen sollte, ob man sie nicht implementiert. Sie sind nicht zwingend, aber doch werden sie einem vom Gesetzgeber sehr nahegelegt. Das ist insbesondere die Verwendung von Pseudonymisierungs-Techniken, also die Entfernung des Personenbezugs von Daten, damit man nicht sofort sieht, um wen es sich handelt. Darüber hinaus sollten Unternehmen auch die organisatorische Möglichkeit haben, auf Zwischenfälle reagieren zu können. Wichtig ist der Aufbau einer „Incident-Response-Capability“, damit man zum Beispiel auf eine Sicherheitsverletzung sofort reagieren kann und nicht erst warten muss, bis jemand aus dem Urlaub zurückkommt.

Datenlecks: Pflicht zur doppelten Information

Ein ganz heißes Thema, alle paar Wochen ein großer Fall an den Medien: Was passiert eigentlich, wenn beim Thema Datensicherheit etwas schief geht und irgendwo ein Datenleck auftritt: Welche Pflichten hat ein Unternehmen dann?

Lukas Feiler: Grundsätzlich muss man sagen: Perfekte Datensicherheit gibt es nicht. Das Risiko ist niemals Null, selbst wenn man sich an gängigen technischen Standards orientiert, was durchaus empfehlenswert ist. Von der ISO gibt es beispielsweise eine ISO 27001 für Informationssicherheits-Management-Systeme. Aus den Vereinigten Staaten gibt es entsprechende Standards wie die „Critical Security Controls for Cyber Defense“ des „Centers of Internet Security“, die 20 wirklich sehr praktikable Sicherheitsmaßnahmen vorsehen.

Aber selbst wenn man all das macht, gibt es noch immer ein Restrisiko. Daher kann es auch den besten Unternehmen passieren, dass die Sicherheit von personenbezogenen Daten kompromittiert wird. Dann – da haben Sie vollkommen recht – ist die Frage: Wie gehe ich damit um? Und hier sieht die Verordnung beinharte Pflichten vor. Einerseits die Datenschutzbehörde zu informieren und andererseits die Betroffenen.

Die Idee dahinter ist, für die Datenschutzbehörde Transparenz darüber zu schaffen, wie die Datensicherheit tatsächlich in der Wirtschaft aussieht. Für die Behörde ist es sehr wertvoll, damit überhaupt einen Überblick über die Realität zu gewinnen. Insofern besteht die erste Pflicht darin, innerhalb von 72 Stunden die Datenschutzbehörde über eine Sicherheitsverletzung zu informieren und zwar relativ detailreich. Insbesondere: Wie viele Betroffene gibt es hier? Wie viele Datensätze sind betroffen? Welche Maßnahmen hat man gesetzt, um allfällige Risiken im Nachgang zu mindern?

Informationspflicht: Manchmal keine 72 Stunden

Die 72 Sunden gelten ab dem Zeitpunkt, wo ich als Unternehmen selber Kenntnis davon habe? Wir hatten ja immer wieder Fälle, dass Unternehmen manchmal erst eineinhalb Jahre später draufgekommen sind, dass sie Daten verloren haben.

Lukas Feiler: Ja, sobald ich davon Kenntnis habe – und dafür wird es auch reichen, wenn nur der Systemadministrator davon Kenntnis hat. Man wird nicht erst darauf warten müssen, bis der Vorstandsdirektor informiert wurde, sondern in dem Moment, wo irgendjemand im Unternehmen davon Kenntnis erlangt, läuft die Uhr.

In jenen Fällen, in denen für die Betroffenen ein hohes Risiko aufgrund der Sicherheitsverletzung besteht, muss man auch diese informieren. Oft besteht die Gefahr von „Identity Theft“, also Identitätsdiebstahl, wo sich die Hacker als die jeweils Betroffenen ausgeben und dadurch Schaden anrichten. In de facto allen Fällen, wo Usernamen und Passwörter kompromittiert wurden, wird man auch die Betroffenen zu informieren haben.

Die Verordnung verlangt, dass diese Information unverzüglich, das heißt ohne schuldhafte Verzögerung zu erfolgen hat – das kann in manchen Fällen sogar bedeuten, dass man schneller sein muss als 72 Stunden. Wenn man hier nicht rechtzeitig informiert, wird man grundsätzlich haftbar gegenüber den Betroffenen für alle Schäden, die dadurch entstehen, dass man zu spät informiert hat. Insofern muss man sehr, sehr schnell kommunizieren. Das wird in der Praxis eine große Herausforderung sein, weil in vielen Fällen wird man schon dann kommunizieren müssen, wenn man noch gar nicht weiß, was eigentlich genau passiert ist und wer die eigenen Systeme gehackt hat. Aber da ist die Verordnung sehr streng: Unverzüglichkeit ist gefragt.

Offenheit zahlt sich aus

Also ein durchaus bitterer Canossagang für die Unternehmen, den sie da anzutreten haben, weil sie damit rechnen müssen: In dem Moment, wo ich die Betroffenen informiere, wird das auch medienöffentlich werden.

Lukas Feiler: Das wird sich nicht vermeiden lassen. Unsere Erfahrung zeigt allerdings, dass ein professioneller und offener Umgang mit Sicherheitsverletzungen die PR-Folgen deutlich reduziert. Datenlecks in irgendeiner Form zu verschleppen oder unter den Teppich zu kehren, geht fast immer nach hinten los. Also: Offenheit zahlt sich auch an dieser Stelle tatsächlich aus.

Gibt es auch Fälle, wo man sagt: Das sind so viele Betroffene, ich löse das jetzt nicht mehr über E-Mails, sondern ich schalte einen Werbeblock unmittelbar vor der „Zeit im Bild 1“?

Lukas Feiler: Auch das ist denkbar, in der Tat. In jenem Maße, in dem mein Nutzerkreis tatsächlich noch die ZiB 1 schaut, ist das eine Möglichkeit.

 

Einführung in die Datenschutz-Grundverordnung

Weitere Videoblogs zur Datenschutz-Grundverordnung

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.