©ejn
Wien. Am Freitag ist der Tag der DSGVO: Die österreichische Post bringt als Last-Minute-Hilfe für Unternehmen ein „Notfall-Kit.“ Rundum sorglos macht das aber natürlich nicht.
Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft – nicht überraschend, hatten Europas Unternehmen doch rund zwei Jahre Zeit, sich darauf vorzubereiten.
Was sie aber nicht getan haben: Laut einer Studie des Marktforschungs- und Strategieberatungs-Unternehmens Pierre Audoin Consultants (PAC) sind gerade einmal 19 Prozent der europäischen Unternehmen gebührend auf die Anforderungen der DSGVO vorbereitet.
Grundidee der DSGVO ist „privacy by default“, und diese Daten-Privatsphäre darf in der Regel nur mit „informed consent“ geschmälert werden – jedenfalls aber muss die Datenverarbeitung rechtmäßig sein: Persönliche Daten dürfen in der Regel nicht ohne die ausdrückliche Zustimmung der betreffenden Person verarbeitet werden, und die Zustimmung muss auf eine Weise eingeholt werden, dass Otto NormalverbraucherIn auch versteht was da geschieht (sonst gilt es nicht).
Die DSGVO sieht zwar auch noch andere Gründe vor, warum persönliche Daten verarbeitet werden können: Etwa weil dies zur Erfüllung eines Vertrages unumgänglich ist, weil lebensnotwendige Interessen berührt sind, weil das Gesetz es vorschreibt (z.B. Buchhaltungspflichten), in Wahrnehmung einer öffentlichen Aufgabe oder auch bei berechtigtem Interesse des Datenverarbeiters. Doch sie ist bemüht, dabei die Grenzen eng zu ziehen – und was darüber hinaus geht, erfordert eine ausdrückliche Zustimmung.
Grundsätzlich sollten also nur jene persönlichen Daten gesammelt werden, die für die Erfüllung der Aufgabe (z.B. eines Vertrags) unumgänglich nötig sind. Weiters muss man jederzeit dokumentieren können, wie und mit welcher Erlaubnis bzw. auf welcher Rechtsgrundlage man was gesammelt hat.
Und verlieren oder an Unbefugte weitergeben sollte man diese Daten tunlichst nicht – wobei Unbefugte nicht bloß Hacker, sondern z.B. auch allzu neugierige Cloud-Anbieter sein können.
Strafbewehrte neue Norm
Je persönlicher die Daten, desto gefährlicher und strafwürdiger, sagt die DSGVO. Sie stattet Europas Bürgerinnen und Bürger mit einer Reihe von neuen Rechten aus (z.B. Auskunfts-, Berichtigungs- und Löschungsrecht), und die Strafen sind hoch.
Brisant ist daran auch, dass Europas Unternehmen ja auf riesigen Datenbergen sitzen, von jahrzehntealten Kundendaten bis zu gewaltigen E-Mail-Verteilern: Viel davon ist seinerzeit vielleicht weder „informed“ noch mit „consent“ zusammengetragen worden – man weiß es nicht, denn als mit der Datensammlung begonnen wurde, war vielleicht noch gar keine Rede von einer DSGVO. Entsprechend groß ist jetzt der Aufwand bei der Anpassung der Geschäftsprozesse.
Das Problem der Umsetzung
Während sich der Großteil der Unternehmen noch in der Implementierungsphase von DSGVO-konformen Geschäftsprozessen befindet und Datenverarbeitungsverzeichnisse auffüllt, sieht sich ein Drittel mit dem Problem konfrontiert, die Vorkehrungen zum Stichtag noch nicht abgeschlossen zu haben, heißt es jetzt bei der österreichischen Post AG.
Für sie und jene Unternehmen, die auf Nummer sicher gehen wollen, biete der Fachbereich Daten- und Adressmanagement der Post in der Data Academy Last-Minute-Hilfe sowie ein Data Breach Notfallkit.
Die Post selbst sieht sich als größter Adressverlag Österreichs – und ist daher schon seit Jahren intensiv mit der Vorbereitung auf die DSGVO beschäftigt. Das Geschäftsfeld Mail Solutions unterstütze Unternehmen in der Data Academy mit Lösungen zur Umstellung auf die DSGVO und biete Schulungen und Workshops für letzte technische und organisatorische Maßnahmen, die mit der DSGVO-konformen Datenpflege und dem Datenschutz verbunden sind.
Was tun beim Data Breach?
Mit Inkrafttreten der DSGVO kommen hinsichtlich personenbezogener Daten weitaus größere Restriktionen zum Einsatz, welche Art von Daten gesammelt beziehungsweise verarbeitet werden dürfen und ob eine DSGVO-konforme Einwilligung dafür vorliegt, heißt es bei der Post.
Das Notfallkit – um nun zum Kern der Sache zu kommen – widmet sich vor allem dem neuen Daten-Supergau, nämlich dem Data Breach: Es informiere über die größten Stolperfallen, spezielle rechtliche Rahmenbedingungen und zweitens über den drohenden Strafrahmen einer Verletzung des Schutzes personenbezogener Daten, einem sogenannten Data Breach, und gibt konkrete Handlungsanweisungen, welche Maßnahmen zu ergreifen sind.
Gerade im Falle eines Data Breaches sei rasches Handeln gefragt. Nach der EU-DSGVO muss künftig jede Datenschutzverletzung an die zuständige Aufsichtsbehörde sowie den Betroffenen unverzüglich und innerhalb von 72 Stunden gemeldet werden.
Angesichts der kurzen Fristen, der gesteigerten Anforderungen an die Dokumentation sowie der Höhe der drohenden Bußgelder sollte die verbliebene Übergangszeit auch genutzt werden, um effiziente Prozesse zu implementieren, durch die Datenpannen schnell erkannt und die entsprechenden Meldepflichten umgesetzt werden können, heißt es weiter.
Rasches Handeln hilft
Matthias Schlemmer, Leitung Daten- und Adressmanagement der Österreichischen Post AG: „Die Folgen eines Data Breaches müssen für Unternehmen noch nicht gravierend sein, solange rasch gehandelt wird.“
