Wien. Die neue Datenschutz-Grundverordnung (DSGVO) zwingt die Unternehmen dazu, rasch zu handeln, hieß es jetzt bei einer Kapsch BusinessCom-Veranstaltung.
Die Datenschutz-Grundverordnung (DSGVO) weitet mit Stichtag 25.5.2018 den Schutz personenbezogener Daten auf identifizierte oder identifizierbare Personen massiv aus, berichtete Rechtsanwalt Markus Dörfler von Höhne, In der Maur & Partner Rechtsanwälte beim Kapsch Security Day am 21. Juni 2017 in Schönbrunn. Bis zu 20 Mio. Euro Geldbußen oder vier Prozent des weltweiten Umsatzes drohen Unternehmen bei Verstößen.
Die Verordnung umfasst ausdrücklich auch genetische und biometrische Daten sowie das sogenannte Profiling. Die Einhaltung wird von einer neuen Aufsichtsbehörde überwacht, der Verstöße binnen 72 Stunden zu melden sind.
Noch unangenehmer: Auch die Betroffenen müssen persönlich informiert werden. Ist der Aufwand dazu zu hoch, muss die Information über eine öffentliche Bekanntmachung weitergegeben werden. „Das kostet dann sehr schnell wertvolles Vertrauen beim Kunden“, warnt Dörfler.
Um den neuen Pflichten ab 25. Mai 2018 nachzukommen, sollte man schnellstmöglich mit der Umsetzung der Verordnung beginnen. „Die Behörde wird mit dem Stichtag zu kontrollieren beginnen. Wer dann seine Hausaufgaben nicht gemacht hat, wird schnell Probleme kommen“, so Dörfler.
Pflichtenkatalog für Unternehmen
Was können Unternehmen jetzt tun? Sie kommen nicht umhin, einen umfangreichen und komplexen Pflichtenkatalog abzuarbeiten. Und das so schnell und sorgsam wie nur möglich. Wer Daten von Kunden speichert, muss sich deren ausdrückliche Einwilligung einholen und diesen Nachweis auch dokumentieren.
Zum Schutz der Datensicherheit sind zudem geeignete technische und organisatorische Maßnahmen zu ergreifen. Dabei sind der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zweck der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen.
Es gibt weiters eine Datenminimierungspflicht: Daten dürfen nur aus gutem Grund gespeichert und weiterverarbeitet werden. All das muss detailliert dokumentiert werden.
Was Kapsch BusinessCom tut
Kapsch setzt diese Vorgaben laut eigenen Angaben bereits seit Jänner vorigen Jahres um und hat dazu eine eigene Datenschutzorganisation gegründet. „Die Schwierigkeit dabei war, dass die DSGVO ein hochkomplexes und sehr umfassendes Thema behandelt und die Formulierungen in der Verordnung unscharf und schwammig sind“, berichtet Chief Privacy Officer Günter Wildmann.
Im ersten Schritt geht es darum, Daten zu erfassen und ihr Risikopotenzial abzuschätzen. „Für diese Erfassung war Share Point ideal, aber das Risikomanagement ist die eigentliche Herausforderung. Die Verordnung ist nämlich nur dann einzuhalten, wenn man das Risiko managt.“ Die Lösungen dazu mussten auch bei Kapsch erst konzipiert werden. „Das war kurz gesagt Learning by Doing“, erinnert sich Wildmann.
Von den Erfahrungen, die Kapsch bei der Umsetzung der Richtlinie gemacht hat, sollen nun auch die Kunden profitieren, heißt es: „Wir unterstützen Unternehmen bei der Umsetzung einer Datenschutz-Risikoabschätzung oder führen ein internes Audit durch, das die technischen Risiken erfasst, die auf die Sicherheit der internen Infrastruktur wirken“, so Robert Jankovics, Teamlead Information Security Audit & Assessment bei Kapsch BusinessCom.
Link: Kapsch BusinessCom
