Round Table EU-DSGVO
Bild: www.timeline.at/Rudi Handl
Die Teilnehmer des Round Tables von links nach rechts: Roman Hohl, Palo Alto Networks, Vincenz Leichtfried, UBIT-Wien, Benigna Prochaska, Intervalid, Gottfried Tonweber, EY, Stefan Schachinger, Barracuda Networks, Franz Lippe, Preslmayr Rechtsanwälte
Bild: www.timeline.at/Rudi Handl

Monitor Round Table "EU-DSGVO"

EU-DSGVO: Chancenreiches Damoklesschwert

Die Europäische Datenschutzgrundverordnung hängt wie ein Damoklesschwert über vielen Köpfen. Die bei unserem Round Table versammelten Experten waren sich aber einig: Man kann sie auch als Chance sehen.

Wenn die EU-DSGVO am 25. Mai 2018 in Kraft tritt, ist die Schonfrist vorbei. Spätestens dann muss sie im Unternehmen umgesetzt sein. Wir haben Experten eingeladen, mit uns über dieses Thema zu diskutieren und es aus verschiedenen Blickwinkeln zu beleuchten. Unserem Ruf gefolgt sind Roman Hohl, Country Manager für Österreich und die Schweiz bei dem Cybersecurity-Anbieter Palo Alto Networks, Vincenz Leichtfried, selbständiger Unternehmer im Bereich Daten- und IT-Security und anwesend als Vertreter der WKÖ-Fachgruppe UBIT-Wien, der Rechtsanwalt Franz Lippe, bei Preslmayr Rechtsanwälte vorwiegend im Medien- und Datenschutzrecht tätig, Benigna Prochaska, Geschäftsführerin des 2017 gegründeten Unternehmens Intervalid, das sich auf die Entwicklung einer DSGVO-Software spezialisiert hat, Stefan Schachinger, technischer Leiter im Pre-Sales Bereich für die Data-Protection-Produktsparte von Barracuda Networks in EMEA sowie Gottfried Tonweber, Senior Manager bei EY und Leiter des Bereichs Cybersecurity & Data Privacy in Österreich. Sie alle hatten viele Tipps und Hinweise im Gepäck. 

Wen betrifft die EU-DSGVO wirklich? Woher weiß man, ob man sich darum kümmern muss, oder nicht?

Leichtfried: Es muss ein extremer Ausnahmefall sein, wenn man nicht betroffen ist. Viele Unternehmen denken, sie sind zu klein und zu uninteressant. Aber jeder hat mit den Betroffenen im Sinne des Datenschutzes zu tun. Es muss kein Hacker-Angriff sein, es reicht schon wenn man das Smartphone liegen lässt, das Notebook gestohlen wird, oder man versehentlich sorglos mit Daten umgeht, etwa eine E-Mail falsch versendet. Oft sind es die einfachen Dinge, die ein Auslöser für einen Verstoß sein können. Dann ist jeder betroffen und die Datenschutzbehörde kann an die Tür klopfen.

Herr Lippe, aus der Sicht eines Juristen: Was muss zutreffen damit ein Unternehmen sagen kann, dass die EU-DSGVO es nichts angeht?

Lippe: Grundsätzlich zieht jede Form der Verarbeitung von personenbezogenen Daten die Anwendbarkeit der Datenschutzgrundverordnung nach sich. Deswegen kann jedes Unternehmen grundsätzlich davon ausgehen, dass die DSGVO anwendbar ist. Manche Unternehmen meinen, sie müssen keinen Datenschutzbeauftragten bestellen oder kein Verzeichnis von Verarbeitungstätigkeiten führen. Das mag sein, bedeutet aber noch lange nicht, dass die anderen Rechte und Pflichten nach der Datenschutzgrundverordnung sie nicht betreffen.

Herr Tonweber, Sie haben auch mit solchen Projekten zu tun. Können Sie das unterschreiben?

Tonweber: Es steht außer Frage, dass sich jegliches Unternehmen, egal ob KMU oder internationaler Konzern, mit der Datenschutzgrundverordnung beschäftigen muss. Ich bringe in meinen Vorträgen das Beispiel der Einführung der Gurtpflicht in den 1970er-Jahren. Heutzutage wird hoffentlich niemand daran zweifeln, ob es eine Gurtpflicht braucht und warum es sinnvoll ist, sich anzuschnallen. In einer digitalen Welt, die veränderte Geschäftsmodelle mit sich bringt, geht es darum, wie man analog zur Straßenverkehrsordnung ein Regelwerk für den Datenverkehr und Strukturen zum Schutz von Daten herstellt. Deswegen hat der Gesetzgeber die Datenschutzgrundverordnung auf EU-Ebene verordnet und deswegen geht sie alle an. An einen Bio-Bauern werden natürlich nicht die gleichen Anforderungen gestellt wie an einen internationalen Konzern. Aber auch der Bio-Bauer muss sich überlegen, inwiefern er betroffen ist und welche grundlegenden Tätigkeiten – beispielsweise ein Verfahrensverzeichnis – notwendig sind. Dieses Gedankenspiel muss man für den unwahrscheinlichen Fall der Fälle, dass etwas passiert und die Behörde nachfragt, machen und auch dokumentieren.

Bild: timeline.at - Rudi Handl
Gottfried Tonweber, Senior Manager bei EY, und Stefan Schachinger, technischer Leiter im Pre-Sales Bereich für die Data-Protection-Produktsparte von Barracuda Networks in EMEA
Bild: timeline.at - Rudi Handl

Herr Schachinger, wo ist der Platz von Barracuda Networks als IT-Security-Anbieter im DSGVO-Kanon?

Schachinger: Im Gesetz werden keine konkreten Maßnahmen gefordert. Es heißt immer "der Stand der Technik". Jedes Unternehmen sollte mit einer Erhebung beginnen, wo welche Daten verarbeitet werden. Man muss sich überlegen, wie diese Daten technisch gesichert sind und welche Risiken bestehen. Wir haben es in diesem Frühjahr mit der Ransomware-Welle erlebt und es geht noch weiter. Der Trend geht dahin, dass Daten nicht mehr nur verschlüsselt, sondern von den Angreifern auch abgezogen und als Druckmittel für Erpressungen eingesetzt werden. Das wäre eine klare Verletzung der Datenschutzgrundverordnung. Deswegen muss man technische Maßnahmen umsetzen, sei es Antivirus, Firewall oder die Wiederherstellung von Backups, um die Sicherheit zu gewährleisten.

Herr Hohl, dieselbe Frage richte ich auch an Sie.

Hohl: Die Anbieter haben alle das gleiche Ziel: Es den Leuten, die an unsere Daten oder in unsere Infrastruktur möchten, schwieriger zu machen. Wichtige Themen sind in diesem Zusammenhang Automatisierung, um mit deren Geschwindigkeit mithalten zu können, und Prevention. Es sollte gar nicht soweit kommen, dass Sie jemanden in Ihrer Infrastruktur haben, denn dann wird die Abwehr schwierig. Das ist aber nicht nur ein Technologiethema, sondern auch ein Organisations- und Personenthema. Wir haben in der Schweiz eine Studie mit einer sehr großen Bank gemacht und haben eine Phishing-Attacke simuliert. Wir sind erschrocken, wie viele Leute diese Phishing-Mails geöffnet haben. Das waren über 50 Prozent.

Frau Prochaska, das führt mich zu Ihnen. Wir haben gerade gehört, man muss es den "Bösen" so schwer wie möglich machen. Sie wollen es den Leuten so einfach wie möglich machen, in diesem Fall die Umsetzung der DSGVO. Wie lässt sich das vereinfachen?

Prochaska: Es gibt Unterschiede zwischen kleinen und mittelständischen Unternehmen. Kleine Unternehmen kann man unterstützen, indem man das Thema greifbarer macht. Es gibt sehr viele Seminare, man hört viel Theorie, aber die praktische Umsetzung ist schwierig. Wie sieht so ein Verzeichnis aus? Welche Felder muss es haben? Hier kann man die Unternehmen mit Mustervorlagen und möglichst einfachen Strukturen unterstützen. Wenn etwas passiert, dann gibt es immer zwei Komponenten, technische Ursache oder menschliches Versagen. Man muss in den Unternehmen eine Awareness schaffen und möglichst viele Mitarbeiter an Bord holen. Die Umsetzung kommt von den Mitarbeitern, denn sie haben mit den personenbezogenen Daten zu tun. Da kann ein Tool helfen, indem man möglichst viele Teilnehmer in einen Prozess einbindet und ihnen einen Überblick gibt, was das für sie bedeutet.

Herr Leichtfried, wer kommt zu Ihren Vorträgen? Wer ist zuständig für die Umsetzung der DSGVO in den Unternehmen?

Leichtfried: Ich gebe diese Vorträge schon länger. Zu Beginn waren die Teilnehmer Informationsdienstleister und Unternehmensberater. Aber schön langsam merkt man, dass auch andere Branchen aufwachen. In erster Linie kommen Leute aus dem IT-Management und aus der Rechtsabteilung. Die müssen das Thema dann aber auch an die Geschäftsleitung kommunizieren und auch eskalieren.

Bild: www.timeline.at/Rudi Handl
Roman Hohl, Country Manager für Österreich und die Schweiz bei Palo Alto Networks, und Vincenz Leichtfried, selbständiger Unternehmer im Bereich Daten- und IT-Security und anwesend als Vertreter der WKÖ-Fachgruppe UBIT-Wien
Bild: www.timeline.at/Rudi Handl

Herr Tonweber, haben Sie ähnliche Erfahrungen gemacht?

Tonweber: Das Problem mit der Datenschutzgrundverordnung ist, dass sie eine neue Multidisziplinarität verlangt. Wir müssen dabei drei Aspekte zusammenbringen, die sonst nicht so viel miteinander zu tun haben: Es gibt eine Rechtsperspektive, einen organisatorischen bzw. prozessualen Aspekt und einen Technik-Aspekt. Diese drei Themen erfordern eigentlich einen "Triathleten". Verortet ist dieses Thema ganz unterschiedlich. Beim einen ist es im Legal-Bereich oder im Compliance/IKS-Bereich angesiedelt, beim anderen bekommt jemand aus der IT den Hut aufgesetzt. Die Datenschutzbeauftragten oder -verantwortlichen – je nachdem, was das Unternehmen benötigt – sind Manager, die bereichsübergreifend agieren und Recht, Prozess und Technik zusammenbringen müssen. Erfreulich ist, dass das Thema auf Führungsebene angekommen ist. Der Gesetzgeber hat ganz bewusst diese hohen Strafen mit 4 Prozent des Umsatzes bzw. bis zu 20 Mio. Euro gewählt. Ob dann auch so streng bestraft wird oder nicht, das ist eine andere Sache. Aber es ist der Hebel, der angesetzt wurde, um das Committment auf Top-Level-Ebene zu erreichen.

Herr Lippe, wer holt sich bei Ihnen Rat?

Lippe: Das ist ganz unterschiedlich, sowohl bezüglich der Branchen, der Größe der Unternehmen, aber auch der konkreten Personen, die auf uns zukommen. Das sind teilweise die Geschäftsführer selbst, teilweise aber auch Mitarbeiter aus der Rechtsabteilung oder der IT-Abteilung. Das ist nicht immer der Datenschutzbeauftragte – sofern denn einer bestellt werden muss. 

Braucht man unbedingt einen Datenschutz-Beauftragten?

Lippe: Wenn man schon keinen Datenschutzbeauftragten benennt, weil man zu der Ansicht kommt, man muss keinen benennen – auch für den Fall, dass man eigentlich einen benennen müsste, es aber nicht tut, muss man Strafe zahlen –, dann sollte man zumindest einen Datenschutz-Verantwortlichen bestimmen. Seine Fähigkeiten im Bereich der Organisation sind sogar noch wichtiger als die Fähigkeiten im Bereich von Recht und IT. Die Datenschutzgrundverordnung sagt klipp und klar, der Datenschutzbeauftragte muss Kenntnisse im Bereich des Datenschutz-Rechts und der Datenschutz-Praxis besitzen, aber ich meine, dieses Know-how kann er sich zumindest zum Teil auch von extern holen, von Beratern oder IT-Dienstleistern. Aber die Kenntnis des Unternehmens, seiner Prozesse und der tatsächlichen Datenverarbeitungstätigkeiten muss er selbst mitbringen können.

Sie sind also kein Fan der Idee eines externen Datenschutzbeauftragten?

Lippe: Eigentlich nicht. Bei sehr kleinen Organisationseinheiten mit Datenverarbeitungstätigkeiten, die über ein normales Maß hinausgehen, macht ein externer Datenschutzbeauftragter vielleicht Sinn. Allerdings stellt sich dann die Frage, ob es überhaupt ausreichend Anbieter gibt – wahrscheinlich nicht in einer Zahl, um alle potenziellen Interessenten bedienen zu können. Gerade im mittleren und größeren Bereich ist eher anzuraten, intern jemanden zu benennen.

Ich würde gerne noch an einem anderen Punkt ansetzen. Herr Schachinger und Herr Hohl, bei Ihnen klopft in dieser Sache die IT-Abteilung an, oder?

Schachinger: In meinen Gesprächen geht es um die technische Sicht, mit dem IT-Leiter oder oft auch mit dem Administrator, der weiß, dass es die DSGVO gibt und Anforderungen vom Management vorgegeben bekommt, aber nicht das vollständige Bild hat. Aus Sicht eines Herstellers würde ich klarerweise zu technischen Maßnahmen raten, aber ich finde, dass man die Anforderungen visualisieren muss und dass es einen Datenschutzbeauftragten oder -Verantwortlichen geben sollte, der das Thema übergreifend über alle drei Aspekte betrachtet und daraus resultierend technische Maßnahmen definiert, die umzusetzen sind. 

Hohl: Bei uns sind es mehr und mehr C-Levels. Wir sehen, dass die CISOs, die bisher irgendwo unter dem IT-Manager oder Finanzchef versteckt waren, jetzt direkt an die CEOs berichten. Das ist ein gutes Zeichen. Das zeigt, dass verstanden wird worum es geht.

Bild: www.timeline.at/Rudi Handl
Benigna Prochaska, Geschäftsführerin des 2017 gegründeten Unternehmens Intervalid
Bild: www.timeline.at/Rudi Handl

Frau Prochaska, Sie bieten Ihre Software zur Unterstützung bei der Umsetzung der EU-DSGVO seit diesem Jahr an. Wie hat sich die Nachfrage entwickelt?

Prochaska: Die Nachfrage hat sich von der Zielgruppe ein wenig geändert. Zu Anfang hatten wir viele Anfragen von Beratern, die letztlich wieder kleine Unternehmen unterstützen. Die haben wir immer noch, aber jetzt merken wir auch eine verstärkte Nachfrage von mittelständischen Unternehmen. Aber noch nicht lange. Das war interessant, denn ich habe gedacht, sie wären schon vorher aktiv gewesen. Erfreulicherweise sind diese Unternehmen aber schon mitten im Prozess. Sie fangen an, ein Verzeichnis zu erstellen und sich einen Überblick zu verschaffen.

Herr Tonweber, wie hat sich aus Ihrer Warte das Bewusstsein für die EU-DSGVO und dafür, dass bis Mai nicht mehr viel Zeit ist, bei den Unternehmen entwickelt?

Tonweber: Bevor man das Thema angeht, muss man sich einige zentrale Fragen stellen: Was sind unsere eigenen Anforderungen? Was ist im Unternehmen bereits vorhanden? Kann man das verwenden oder muss man es anpassen bzw. ergänzen? Die Ressourcenplanung muss dann darauf basieren, wo man sich weiterentwickeln muss. Zum Jahreswechsel 2016/2017 ist die Nachfragen sehr stark angestiegen, weil diese Schätzung wesentlich für die Budgetplanung war. Dann scheint das Interesse kurz etwas abgeflacht zu sein bevor die Nachfrage – wie so oft bei Compliance-Themen – vor den Sommerferien im Juni und Juli wieder erheblich gestiegen ist. Ich vermute, dass die Vorletzten das Thema noch vor Weihnachten und die Letzten dann nächstes Jahr im Mai/Juni angehen werden.

Wenn sich jemand noch nicht mit der EU-DSGVO auseinandergesetzt hat, geht sich die Umsetzung bis Mai 2018 noch aus?

Tonweber: Die Frist ist zwar knapp bemessen. Aber wenn die KMUs, mit Fokus auf dem "K", sofort beginnen, können sie es schaffen. Was braucht man wirklich? Das Verfahrensverzeichnis muss sinnvoll erhoben werden und man muss sich überlegen, wo man die Funktion verortet. Braucht man einen Datenschutzbeauftragten oder eher nur einen Verantwortlichen? Bis Mai sind diese Grundlagen machbar. Die darüber hinausgehenden Themengebiete werden sich kontinuierlich bis Ende 2018 und darüber hinaus weiterentwickeln. Meine Wahrnehmung ist: Wenn die Behörde das Gefühl hat, ein Unternehmen hat sich eingehend mit der Umsetzung beschäftigt, dann wird es auf breites Wohlwollen stoßen – gerade im KMU-Bereich.

Leichtfried: Auch kleinere Unternehmen die natürlich weniger Ressourcen haben und nicht einfach Top-Berater einstellen können, müssen sehen, wie sie mit ihren Ressourcen zurechtkommen. Jetzt kommt Weihnachten, der Jahresabschluss, und dann geht's erst richtig los. Dann werden wahrscheinlich auch die Berater schwer verfügbar sein, weil die dann entsprechend ausgelastet sein werden.

Prochaska: Die Frage ist, wie lange das Unternehmen braucht, um einen Überblick zu bekommen und die einzelnen Datenarten zu sammeln, Kategorien und Personengruppen zusammenzufassen. Aber ein kleines Unternehmen hat noch Zeit. Ich sehe das noch nicht so kritisch. Wenn es aber ein mittelständisches Unternehmen mit einer großen Infrastruktur, vielen Systemen, eventuell Datenübermittlung im Konzern ist, dann sollte es jetzt auf jeden Fall anfangen.

Bild: www.timeline.at/Rudi Handl
Rechtsanwalt Franz Lippe, bei Preslmayr Rechtsanwälte vorwiegend im Medien- und Datenschutzrecht tätig
Bild: www.timeline.at/Rudi Handl

Herr Lippe, wie sollten Unternehmen an die Umsetzung herangehen?

Lippe: Chronologisch gesehen ist der Anfang die Erhebung der Datenverarbeitungstätigkeiten mit dem Ziel der Erstellung eines Verzeichnisses. Dieses Verzeichnis soll auch dazu dienen zu sehen, welche Pflichten nach der DSGVO überhaupt auf das Unternehmen zukommen können – weil es beispielsweise sensible Daten verarbeitet oder die Zustimmung des Betriebsrates für eine gewisse Form der Verarbeitung von Mitarbeiterdaten braucht. Andererseits kann das Verzeichnis dem Erkennen von Effizienzpotenzialen, die das Unternehmen in seiner Datenverarbeitungstätigkeit herstellen kann, dienen.

Dann gibt es da noch die Bennenung des Datenschutzbeauftragten...

Lippe: Mit der Benennung des Datenschutz-Beauftragten treffen mich gewisse Pflichten, auch aus dem Arbeitsrecht. Wenn ich einen Datenschutz-Verantwortlichen oder einfach jemanden im Unternehmen bestimme, der sich um das Thema Datenschutz kümmert, der aber kein Datenschutz-Beauftragter im Sinne der Datenschutzgrundverordnung ist, habe ich auch keinen Datenschutz-Beauftragten. Es muss jedenfalls jemanden geben, der sich mit dem Thema beschäftigt. Ob er aber als Datenschutz-Beauftragter im Sinne der DSGVO benannt wird oder nicht, damit sollte man sich beschäftigen.

Es gibt also einen Unterschied zwischen dem Datenschutzbeauftragten und dem Datenschutz-Verantwortlichen?

Lippe: Der Begriff des Datenschutzbeauftragten ist eine Legal-Definition aus der DSGVO. Das ist jemand, der vom Unternehmen offiziell benannt wird und diesen Umstand muss man der Datenschutzbehörde melden. Ich muss aber der Behörde nicht melden, dass ich den A oder den B dazu bestimmt habe, dass er sich bei mir bloß um den Datenschutz kümmert. Wenn ich aber jemanden zum Datenschutzbeauftragten nach der DSGVO benenne, dann ist der im Zusammenhang mit seiner Tätigkeit privilegiert, was das Arbeitsrecht betrifft. Diesen Umstand muss ich gerade als kleineres Unternehmen auch ins Kalkül ziehen.

Tonweber: Der Datenschutzbeauftragte ist im Prinzip der Repräsentant der Datenschutzbehörde in Ihrem Unternehmen. Ähnlich wie ein Betriebsrat, der die Interessen der Arbeitnehmer vertritt, vertritt der Datenschutzbeauftragte die Interessen der Behörde. Er muss sich natürlich auch um das Datenschutzmanagementsystem kümmern, aber grundsätzlich hat er diesen Fokus. Der Datenschutz-Verantwortliche kümmert sich auch um den Datenschutz, aber ohne diesen rechtlichen Habitus. Leider gibt es hier keine genauen Vorgaben oder eine konkrete Mitarbeiterzahl als Grenze für die Notwendigkeit eines Datenschutz-Beauftragten. Wenn der Hauptzweck der Kerntätigkeiten eines Unternehmens die umfangreiche Verarbeitung von sensiblen, personenbezogenen Daten ist, dann braucht man einen Datenschutzbeauftragten nach DSGVO. Wenn der Zweck nicht primär darin liegt, dann reicht ein -verantwortlicher.

Lippe: Da liegt der Hund begraben. Denn wenn ich mir den Text der DSGVO über die Fälle der Benennungspflicht ansehe, dann komme ich relativ schnell zu der Auffassung, dass auf mich keiner zutrifft, weil die Kerntätigkeit meines Unternehmens nicht in umfangreicher Datenverarbeitungstätigkeit liegt, sondern zum Beispiel im Fall eines Krankenhauses in der Krankenbehandlung. Aber die Artikel-29-Datenschutzgruppe vertritt in einem Working Paper die Meinung, dass Krankenhäuser ihre Kerntätigkeit – die Krankenbehandlung – nicht anders durchführen können, als durch umfangreiche Datenverarbeitung. Deswegen besteht die Kerntätigkeit eines Krankenhauses auch in der umfangreichen Verarbeitung von sensiblen Daten.

Tonweber: Bei manchen Unternehmen ist es klar: Versicherungen, Banken, medizinische Einrichtungen. Bei vielen anderen ist es nicht klar. Das sind oft Bauchentscheidungen. Welche Entscheidung man auch trifft, es gibt kein richtig oder falsch. Man muss nur die Argumentation schriftlich festhalten. Wenn die Behörde den Sachverhalt anders beurteilt, kann man sich immer noch umorientieren. Wenn man dokumentiert, aus welchen Gründen die Entscheidung getroffen wurde, ist man jedenfalls auf der "sichereren Seite".

Zum Abschluss würde ich gerne in die Runde nach Tipps oder Stolpersteinen für die Umsetzung der EU-DSGVO fragen.

Hohl: Man muss dem Thema Priorität geben. Man muss wissen, welche Daten man in der Infrastruktur hat, was man nutzt und wie man es nutzt. Ebenfalls ein Thema sind die Zugriffsrechte. Wenn heute jemand im Unternehmen seine Position wechselt, dann behaupte ich, dass 80 Prozent der Regeln nicht angepasst werden. Noch schlimmer ist es beim Remote Access. Wenn jemand die Firma verlässt bin ich überzeugt, dass er sich auch nachträglich in Infrastruktur hängen kann. Das darf man nicht aus den Augen verlieren.

Leichtfried: Oft haben Praktikanten oder Auszubildende die meisten Rechte in einem Unternehmen, denn sie wandern durch alle Abteilungen. Aber zu den Tipps: Ich bin der Ansicht, man sollte die EU-DSGVO als Chance sehen, das Datenmanagement und die Prozesse nach dem aktuellen Stand der Technik aufzustellen. Wenn ich mir einen Datenmanager ins Unternehmen hole, der den Überblick hat, ist das eine Chance mein Datenmanagement und meine Unternehmensprozesse besser zu gestalten.

Prochaska: Mein Tipp ist, rechtzeitig mit den Softwareherstellern der eingesetzten CRM-, Buchhaltungs- oder HR-Software Kontakt aufzunehmen, denn es gibt viele Dinge, die ich von der Software benötige, aber die vielleicht noch nicht bereitstehen – Protokollierung, ob die Daten gelöscht werden können, wie es erforderlich ist, ob man schnell Auskunft geben kann. Da ist man in einer Abhängigkeit von den Softwareherstellern. Ebenfalls nützlich ist es, diese Prozesse, wenn man sie einmal beschrieben hat, durchzuspielen.

Bild: www.timeline.at/Rudi Handl
Alle Teilnehmer des Round Tables waren sich einig, dass die EU-DSGVO nicht nur als Herausforderung, sondern auch als Chance gesehen werden sollte.
Bild: www.timeline.at/Rudi Handl

Tonweber: Wenn es nicht schon passiert ist, ist mein erster Tipp, sich damit zu beschäftigen. Der zweite Schritt ist zu schauen, was es im Unternehmen gibt, welcher Formalisierungs-, Dokumentations- und prozessualer Reifegrad vorhanden ist und was noch fehlt. Noch ein Tipp: Wenn man sich das DVR-Register eines Unternehmens ansieht und es leer ist, kann man annehmen, dass dieses Unternehmen bisher nichts gemacht hat. Man sollte das DVR-Register, wenn es sich zeitlich ausgeht, noch befüllen. Auch dann, wenn es in Zukunft abgeschafft wird, denn das Datenverarbeitungsregister ist nichts anderes als das Verfahrensverzeichnis, das Unternehmen intern führen müssen. Das sollte man noch machen, denn sonst macht man sich, vor allem als größeres Unternehmen, strategisch angreifbar. Wenn das DVR-Register leer ist, ist ein Unternehmen im Kontext der Datenschutzgrundverordnung relativ angreifbar. Jeder kann in das DVR-Register schauen, auch die Konkurrenz.

Lippe: Die Bedeutung des DVR darf nicht unterschätzt werden. Es wird der Datenschutzbehörde auch nach dem 25. Mai 2018 zu Dokumentationszwecken dienen und dafür bleibt es auch bis Ende 2019 online. Für die Datenschutzbehörde kann das DVR ein Punkt sein, anhand dessen sie entscheidet, welche Unternehmen kontrolliert werden. Deswegen sollte man auch jetzt noch Datenanwendungen beim DVR melden. Man ist nach derzeitiger Rechtslage dazu ja auch meist verpflichtet. Dazu kommt, dass Datenanwendungen, die ich beim DVR melde und die auch die Verarbeitung von sensiblen Daten umfassen, von der Datenschutzbehörde genau betrachtet werden. Wenn die Datenschutzbehörde auf eine solche Datenanwendung sozusagen ihr "Siegel" gibt, dann ist das für die DSGVO ein sehr positives Signal. Wenn nicht, dann weiß ich zumindest, was ich noch zu tun habe. Dass die Datenschutzbehörde das DVR auch künftig für wichtig hält, auch im Zusammenhang mit dem Verzeichnis, sieht man daran, dass die Behörde ein Tool zur Verfügung gestellt hat, mit dem man seine eigenen, beim DVR gemeldeten Anwendungen in ein PDF zu Weiterverarbeitung für das Verzeichnis der Verarbeitungstätigkeiten konvertieren kann.

Schachinger: Ich sehe die Datenschutzgrundverordnung als große Chance. Es geht um den Schutz unser aller personenbezogenen Daten. Wieder die Analogie zur Gurt- oder Helmpflicht: Die mögen damals als lästig angesehen worden sein, aber mittlerweile ist es eine Selbstverständlichkeit und jeder weiß, dass es wichtig ist. Für Unternehmen ist das Erstellen des Verzeichnisses und der Überblick darüber, wo es Daten gibt die gespeichert oder verarbeitet werden, auch die Auseinandersetzung mit dem Gesetzestext – der ist verständlich – auch eine Gelegenheit, intern zu entrümpeln und das was übrig bleibt, angemessen technisch und organisatorisch zu schützen.

 

Unter monitor.at/list/tag/eu-dsgvo/ haben wir für Sie zahlreiche weitere Artikel & Tipps zum Thema EU-DSGVO gesammelt.

Mehr Artikel zum Thema: Round Table EU-DSGVO

EU-DSGVO: Mögliche rechtliche Konsequenzen für KMU

Die EU meint es mit der DSGVO und dem Datenschutz wirklich...

Weiterlesen

DSGVO-Software aus dem Burgenland

Im Rahmen des sechsmonatigen Projektes DAFAPO (Datenschutz |...

Weiterlesen

In 12 Stufen zur EU-DSGVO

Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung...

Weiterlesen

EU-Datenschutz-Grundverordnung als Chance sehen

Der Countdown für die Umsetzung der EU-DSGVO läuft. Knapp 60...

Weiterlesen

Werden Sie dem künftigen Datenschutz gerecht?

In weniger als einem Jahr wird das neue, europaweit geltende...

Weiterlesen

DSGVO wird zur Zerreißprobe

Weniger als die Hälfte der Unternehmen hat einen konkreten...

Weiterlesen

Post gibt Tipps zur DSGVO-Umsetzung

Die EU-Datenschutz-Grundverordnung kommt in Riesenschritten...

Weiterlesen

Die letzten Datenschutz-Einhörner gibt es noch

In einigen Branchen gibt es letzte Einhörner, die sich noch...

Weiterlesen

S&T und LGP laden zu DSGVO-Infoveranstaltung

S&T und LANSKY, GANZGER + partner laden am 24. Oktober 2017...

Weiterlesen

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht...

Weiterlesen

Software-Lösung für DSGVO-Umsetzung

Die Software Intervalid 1.0 nimmt nicht nur bei der...

Weiterlesen

Die Essenz der Daten

Daten allein machen nicht glücklich. Man muss auch drauf...

Weiterlesen

Post hilft bei DSGVO-Umsetzung

Die Österreichische Post AG berät Geschäftskunden zu allen...

Weiterlesen

Die EU-DSGVO und ihre Mythen

Kein Richter und auch nicht die Datenschutzbehörde werden...

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im...

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen

Microsoft-Tools für DSGVO

Microsoft hat ein Set an kostenlosen Assessment-Tools zur...

Weiterlesen