14-2-2017 Gedruckt am 27-05-2017 aus www.monitor.co.at/index.cfm/storyid/17126

Interview - Alexander Graf und Jürgen Kolb, iQSol

Compliance heißt, sich nicht erwischen zu lassen?

Im Mai 2018 tritt die Datenschutz-Grundverordnung der EU in Kraft. Sie bringt massive Änderungen mit sich, allen voran ein deutlich gestiegenes Strafmaß. Trotzdem scheinen sich viele Unternehmen damit noch nicht ausreichend auseinandergesetzt zu haben. Dabei ist es eigentlich schon fünf nach zwölf, wie die IT-Security-Experten Alexander Graf und Jürgen Kolb von iQSol im Interview mit monitor.at bestätigen.

Rudolf Felser

Alexander Graf (li.) und Jürgen Kolb (re.), Gründer und Managing Partner des IT-Security-Anbieters iQSol. (Bild: iQSol)

Laut einer Ende 2016 veröffentlichten Umfrage hat sich zu diesem Zeitpunkt weniger als die Hälfte der Organisationen mit der Datenschutz-Grundverordnung (DSGVO) der EU auseinandergesetzt. Dabei ist es ein dringendes Thema. Wir haben uns darüber mit Alexander Graf und Jürgen Kolb, Gründer und Managing Partner des IT-Security-Anbieters iQSol, unterhalten, die sich zu dieser Sache für monitor.at bereits das eine oder andere Mal schriftlich Gedanken gemacht haben – und in diesem Jahr regelmäßig auf die "Problemzonen" vieler Unternehmen hinsichtlich des Datenschutzes hinweisen werden. 
 
Datenschutz ist kein ganz neues Thema, schon bisher gab es entsprechende Richtlinien – auch in Österreich (DSG2000). Was ändert sich durch die 2018 in Kraft tretende EU-Datenschutzgrundverordnung (EU-DSGVO)?  
Alexander Graf: Zwei große Änderungen: Der Strafrahmen ist ganz anders dimensioniert. Man kann sich nicht mehr zufrieden geben nach dem Motto: die 2.000 Euro leiste ich mir schon. Das geht jetzt richtig ins Geld – vier Prozent des globalen Umsatzes oder bis zu 20 Millionen Euro, je nach Sensibilität der Daten. Das zweite was ich sehe ist, dass die Datenschutz-Behörde einen ganz anderen Status bekommt, nämlich auch in der Proaktivität. Sie kann proaktiv kommen und fragen, ob man sich etwas überlegt hat und auch Strafen aussprechen. Wir haben mitbekommen, dass sie bei Kunden im Krankenhausbereich in der letzten Zeit schon proaktiv aufgetreten ist. Es gibt also jetzt quasi ein zweites Finanzamt, nämlich für den Datenschutz. Kläger und Richter in einem.  
 
Eigentlich müsste man in Österreich doch vorbereitet sein? Wenn man sich das DSG2000 anschaut und die EU-DSGVO, da ist nicht viel Unterschied – bis auf den Strafrahmen natürlich.  
Graf: Das ist vollkommen richtig. Aber die Behörde war bisher zahnlos und es gibt keine Präzedenzfälle. Der Österreicher sagt sehr gerne: Compliance heißt, sich nicht erwischen zu lassen. So wird das auch derzeit gehandhabt.
 
Wen betrifft eigentlich die EU-DSGVO? Man hat das Gefühl, viele Unternehmen denken, es ginge sie nichts an.  
Graf: Das denken einige, aber es werden immer weniger. Das merken wir auch. Generell trifft es jede Firma, die personenbezogene Daten verarbeitet oder speichert – somit eigentlich jede Firma. 
Jürgen Kolb: Oder die Daten ins Ausland schickt, in der Cloud zum Beispiel. Wenn Sie WhatsApp auf Firmenhandys erlauben, dann haben Sie schon ein Problem. 
Graf: Nicht umsonst bietet Microsoft die deutsche Cloud an unter der Ägide der Deutschen Telekom als Treuhänder. Sogar Microsoft hat erkannt, dass es so nicht weitergehen kann wie es bisher läuft.
 
Wird im EU-DSGVO ein Unterschied zwischen großen Unternehmen und KMU gemacht?  
Graf: Es gibt das Thema des Datenschutz-Beauftragten, den man ab einer gewissen Firmengröße haben muss. Das kann intern oder extern sein. Ansonsten definiert die Grundverordnung nur, dass es reicht innerhalb einer Firmengruppe einen gemeinsamen Datenschutzbeauftragten zu haben. 
Kolb: Was wir auch merken ist, dass Firmen Dienstleistervereinbarungen im Unternehmen einführen. Auch auf uns als Dienstleister kommen zunehmend Firmen zu und fordern diese Vereinbarung von uns ein. 
Graf: Begonnen hat das mit dem Ende von Safe Harbour. Gefordert wurde die Garantie, dass wir Kundendaten nur im EU-Raum haben. Jetzt geht es weiter mit der Dienstleistervereinbarung. 
 
Aber diese Dienstleistervereinbarung ist eigentlich auch nichts Neues, oder? 
Graf: Die Datenschutzvereinbarung für Dienstleister ist ein Novum, das bisher nicht gefordert wurde. Es gab zwar Non-Disclosure-Agreement-Vereinbarungen, aber direkt mit Bezug auf den Datenschutz ist das ein Novum. 
Kolb: In Deutschland gibt es die aber schon sehr lange. Wir ziehen jetzt langsam mit Deutschland gleich. Dort gibt es auch schon sehr lange den Datenschutzbeauftragten, der ist bei uns auch neu. 
Graf: Ein Datenschutzbeauftragter hat laut Vorgaben den Status eines Betriebsrates, soll nicht in der IT angesiedelt sein und untersteht direkt dem Vorstand oder der Geschäftsführung. Die meisten Unternehmen möchten das gerne auslagern – was sie natürlich auch können. Sie wollen das lieber vertraglich mit extern Beauftragten regeln. 
 
Ist das der einzige Unterschied, der zwischen KMU und großen Unternehmen gemacht wird? 
Graf: Sonst wären mit keine großen Unterschiede bekannt. Von der Größe des Unternehmens her wird nicht massiv unterschieden, eher von der Art der Daten. Unterschieden werden personenbezogene Daten und sensible Daten. Es ist ein Unterschied, ob ich Mailadressen abspeichere oder – beispielsweise als Hersteller von Prothesen – eine Kundenkartei, also sensible Daten. Das wird unabhängig von der Firmengröße bewertet.  
  
Womit sollte man als Unternehmen anfangen, wenn man sich auf die EU-DSGVO vorbereiten will?  
Graf: Generell empfehlen wir, sich im Detail zu informieren was überhaupt die genauen Anforderungen sind und welche Schritte zu setzen sind. Das Thema ignorieren viele Firmen und Geschäftsführungen und glauben, es ist ein IT-Thema. Vielen ist nicht bewusst, worum es im Detail geht. Wenn der Status erreicht ist, dass die Geschäftsführung und die wichtigsten Abteilungen verstanden haben, worum es geht, empfehlen wir eine Gap-Analyse: Was fehlt noch alles, um die Vorgaben zu erfüllen? Es ist ja nicht so, dass sich nicht viele Firmen schon Gedanken gemacht hätten. Beispielsweise ist eine ISO-Zertifizierung bereits stark anrechenbar auf die Datenschutz-Thematik. Man muss also überprüfen, womit man sich noch beschäftigen muss und was schon erledigt ist – sowohl auf der Prozess- als auch auf der technischen Ebene. Wenn das definiert wurde, sollte man möglichst zeitnah einen Fahrplan erstellen wie man dem Datenschutz genüge tun kann. Denn viel Zeit ist nicht mehr.  
 
Man hat das Gefühl, die Unternehmen beschäftigen sich immer noch sehr wenig mit dieser Thematik. 
Graf: Der Nervositätspegel steigt langsam. Nicht überall, aber bei vielen, und das auch unabhängig von der Firmengröße. Wir sprechen über dieses Thema seit über einem Jahr. Aber momentan wird es von vielen Stellen wie die Sau durchs Dorf getrieben, sei es von Juristen, IT-Spezialisten oder den Medien. Die Awareness steigt.
 
Bis wann sollte man sich als Unternehmen spätestens damit befassen, um noch rechtzeitig die erforderlichen Schritte einleiten zu können?  
Graf: Das kommt auf die Firmengröße an. Als Fünf-Mann-Unternehmen werde ich schon noch ein halbes Jahr Zeit haben. Aber Firmen mit mehr als hundert Mitarbeitern sollten jetzt anfangen, sonst geht es sich bis Mai 2018 nicht aus. Alleine die Erfassung, wo überall personenbezogene Daten verarbeitet und gespeichert werden, wird eine gewisse Zeit brauchen. Dann Maßnahmen zu setzen, und auch die Schulung der Mitarbeiter, braucht seine Zeit. Das größte Problem wird das Budget sein, wenn man es bisher nicht eingeplant hat. Innerhalb eines Jahres und ohne Budget ist das sehr schwierig. Dann braucht man Sonderbudgets – und die bekommt man auch nicht so einfach.
 
In Wahrheit ist es also bei diesem Thema schon fünf nach zwölf?  
Graf: Genaugenommen schon, ja.