3-11-2016 Gedruckt am 25-06-2017 aus www.monitor.co.at/index.cfm/storyid/17016

Gastkommentar - Jürgen Kolb, iQSol

Vom DSG 2000 zur EU-DSGVO: Dieser Weg wird kein leichter sein

In der Ausbildung zum Datenschutzbeauftragten, den es im nationalen Datenschutzgesetz bisher so nicht gab, beginnt man, sich mit dem DSG 2000 auseinanderzusetzen. In seiner Struktur und Klarheit ist es ein Musterbeispiel für eine effiziente Gesetzgebung, die natürlich auch in den Genuss kam, eine übersichtliche Materie von Grund auf neu zu regeln.

Jürgen Kolb, Managing Director von iQSol (c) iQSol GmbH

 Bei der Analyse des hiesigen DSG wird einem aber auch bewusst, was bisher in der Praxis vorgeschrieben war und weidlich ignoriert wurde. Der ruhige Schlaf der haftenden Geschäftsführungen und des stets beschäftigten Firmenanwalts ist aber mittlerweile gewichen. Nach dem Safe-Harbour-Urteil, der neuen, ab Mai 2018 verbindlichen EU-Datenschutz-Grundverordnung sowie einem neuen Selbstbewusstsein der Datenschützer gegenüber den Milliardenkonzernen ist eine eiskalte Brise aufgekommen. Schnelle Urteile, keine Scheu vor großen Namen und zu erwartende neue Gesetze zu den Themen Meldepflichten, Kritische Infrastrukturen und Regeln zum Schutz von Geschäftsgeheimnissen werden die Dynamik beschleunigen – auch für den Mittelstand.
 
Vor Gericht zählen Fakten. Da die Schadenssummen ab 2018 in die zig Millionen gehen können, sollten zunächst einige Aspekte aufgegriffen werden, die bereits seit dem Jahr 2000 relevant sind. Sieht man sich die Angaben der Unternehmen im öffentlich-zugänglichen Datenschutz-Register an, zeigt sich oft, dass keine oder nur sehr veraltete Einträge vorhanden sind. Nach derzeitigem Recht wäre bereits zu prüfen, ob eine US-Cloud hier eintragungspflichtig wäre, von den gängigen Netzwerkkamera- und Zutrittssystemen ganz abgesehen. 
 
Außerdem sieht das Datenschutzgesetz bereits vor, dass Arbeitsaufträge für Mitarbeiter, die personenbezogene und sensible Daten verarbeiten, genauso vorliegen sollten wie Dienstleistervereinbarungen mit Outsourcing-Partnern sowie mit Cloud-Anbietern. Die Frage, die hier entscheidend sein könnte, ist, ob Datenverkehr und -lagerung verschlüsselt erfolgen oder nicht.
 
Schon hier wird deutlich, wie bedenklich Dienste sind, die eine derartige Anfrage wohl nicht mal bearbeiten würden. WhatsApp-Anwendungen auf Firmenhandys sind zwar Usus, aber mehr als bedenklich. Umfangreiche Regelungen zu Zutritts- und Zugriffsgepflogenheiten müssen genauso technisch festgelegt und überwacht werden wie sie dokumentiert sein sollten. Auch das Thema Protokollierung ist im §14 (7) DSG 2000 geregelt und kann nur durch eine Log-Management-Software-Anwendung abgedeckt werden, um forensische Analysen zu ermöglichen. 
 
Der hierzulande "neue" Datenschutzbeauftragte wird in den meisten Fällen eine Umgebung vorfinden, in der jeder relevante Prozess dokumentiert, Dienstleister-Vereinbarungen getroffen, Daten inventarisiert und technisch-organisatorische Maßnahmen analysiert werden. Denn mit sicheren, personenbezogenen Daten steigt auch die gesamte Informationssicherheit. Der Mensch als beliebtester Angriffspunkt wird durch die Umsetzung der Datenschutzrichtlinien massiv verstärkt. Sollten Cyber-Versicherungen in Betracht gezogen oder strenge branchenspezifische Regularien angewendet werden, ist eine Dokumentation samt Sicherheits- und Notfallhandbüchern sowieso verpflichtend.
 
Jürgen Kolb ist Managing Director der iQSol GmbH.