Max Schrems: „Datenschutzgrundverordnung wird noch immer fehlinterpretiert“

27. September 2018

Die Datenschutzbehörde ist seit Geltung der EU-DSGVO am 25. Mai intensiv im Einsatz. Auch wenn die erste Beschwerdeflut wieder abebben dürfte, müssen Österreichs Unternehmen laut Fabasoft-Experten betreffend ihrer datenschutzkonformen Arbeitsabläufe am Ball bleiben. Eine 10 Punkte-Checkliste kann dabei helfen.

Wien / Linz, 27. September 2018. Gut vier Monate nach Inkrafttreten der EU-DSGVO ist es Zeit für einen Rückblick: Wie geht es Österreichs Unternehmen mit der strengen europäischen Datenschutzverordnung, was müssen sie auch in Zukunft beachten? „Die offensichtlichste Veränderung ist ein weiterer Anstieg an Bannern und Nachrichten zum Datenschutz,“ beobachtet Datenschützer Max Schrems. „Viele der Pop-Ups und E-Mails waren jedoch leider eine Ausgeburt an Fehlinterpretationen der DSGVO. Oft lassen lästige Nachrichten dem Nutzer keine echte Wahl und drängen zu Zwangszustimmungen.“

Wegen solcher Zwangszustimmungen und anderer Datenschutz-Verletzungen ist die Datenschutzbehörde bereits intensiv am Arbeiten. Die ersten Verfahren haben vergleichsweise schnell die Instanzen durchlaufen: Wegen Zwangszustimmung liegen Beschwerden gegen Facebook via Irland beim Europäischen Datenschutzausschuss vor, eine Beschwerde zum Auskunftsrecht bei Bankdaten wird nach einer Entscheidung gegen eine Bank beim Bundesverwaltungsgericht bearbeitet, und eine erste Strafe von EUR 4.800 erging wegen einer illegalen Videoüberwachung gegen ein steirisches Wettlokal. Insgesamt langten bei der österreichischen Behörde etwas mehr als 720 Beschwerden ein. Dazu Max Schrems: „Fraglich ist, ob dieser Hype dauerhaft anhält oder doch eher als eine Welle zu sehen ist. Vieles deutet darauf hin, dass sich die Lage bald wieder normalisiert.“

Erleichterung durch DSGVO-Konformitäts-Managementsysteme

„Von Durchatmen darf noch keine Rede sein“, warnt Andreas Dangl, Business Unit Executive Cloud Services bei Fabasoft. „So manche Organisation führt das verpflichtende Verzeichnis von Verfahrenstätigkeiten in Excel im aufrichtigen Glauben, dass damit ihre DSGVO-Pflicht getan sei. Doch wer prüft die Einhaltung der Pflichten? Wer garantiert deren korrekte Wartung? Wer ist für die zukünftige DSGVO-Konformität verantwortlich?“ Sind diese Fragen nicht ausreichend zu beantworten, könnte der Datenschutz dem Unternehmen – trotz größter Bemühungen – zum Stolperstein werden.

Beim Durchgehen der untenstehenden 10 Punkte-Checkliste wird schnell klar, dass professionelle DSGVO-Konformitäts-Managementsysteme, wie etwa die Fabasoft EU-DSGVO Toolbox, bei der Einhaltung der geforderten Auflagen einen echten Mehrwert bieten. „Unternehmen kann der tägliche Umgang mit der DSGVO sehr erleichtert werden, wenn sie die Punkte der Checkliste wirklich berücksichtigen,“ betont Andreas Dangl. Als besonders wichtige Elemente hebt der Software- und Cloud-Experte das Verzeichnis von Verfahrenstätigkeiten und die Automatisierung von Meldungen an die Behörden hervor.

Die Checkliste im Detail:

1) Arbeiten Sie mit einer strukturierten Datenbank.
Zu viele Daten befinden sich nach wie vor in unstrukturierten elektronischen Informationen wie E-Mails, SMS, WhatsApp oder auch Fotos. Optimal ist der Einsatz einer strukturierten Datenbank, in der Unternehmen die exponentiell steigende Datenmenge auch zukünftig im Griff behalten.

2) Nutzen Sie DSGVO-konforme Einwilligungen für die Verwendung personenbezogener Daten.
Eine Datenverarbeitung ist nur dann zulässig, wenn eine DSGVO-konforme Einwilligung vorliegt. Die Anforderungen an diese Einwilligungen wurden verschärft: unter anderem beträgt das Mindestalter 16 Jahre.

3) Beachten Sie Ausmaß und Notwendigkeit der Daten.
Jedes „zu viel“ an personenbezogenen Daten stellt ein Risiko für Unternehmen dar. Es dürfen voreingestellt nur die Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck auch wirklich erforderlich sind.

4) Berücksichtigen Sie den Datenschutz schon bei der Konzipierung und Entwicklung von Software und Hardware.
Alle Projekte, bei denen Unternehmen personenbezogene Daten verarbeiten, müssen nach dem Prinzip „Privacy by Design“ entwickelt werden. Unternehmen können bestehende Systeme entweder nachrüsten oder durch neue DSGVO-taugliche ersetzen.

5) Beziehen Sie alle Mitarbeiter in den Datenschutz mit ein.
Generell gilt, dass Datenschutz nie nur Aufgabe einer einzelnen Person sein kann, sondern im Berufsalltag von jedem Mitarbeiter gelebt werden muss. Schulen Sie daher regelmäßig Ihre Mitarbeiterinnen und Mitarbeiter.

6) Verlassen Sie sich nicht auf die ISO/IEC 27001 Zertifizierung.
Die ISO/IEC 27001 Zertifizierung reicht als Nachweis eines angemessenen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten alleine nicht aus. Unternehmen müssen stattdessen prüfen, ob diese Zertifizierung erweitert wurde, zum Beispiel durch Anpassung der Risikobeurteilungsmethode an die Rechte und Freiheiten nach DSGVO.

7) Bewerten Sie Risiken und Folgen für Betroffene immer im Voraus.
Unternehmen müssen eine Datenschutz-Folgenabschätzung dann durchführen, wenn neue Technologien eingesetzt werden und die Verarbeitung dazu führt, dass für die Rechte und Freiheiten von Einzelpersonen ein hohes Risiko besteht.

8) Bei einer Datenschutzverletzung: Seien Sie schnell!
Die EU-DSGVO beinhaltet eine klare Vorgabe bei Datenschutzverletzungen: wird dem Unternehmen ein Vorfall bekannt, muss unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung gemacht werden.

9) Treffen Sie die Wahl des Verzeichnisses von Verarbeitungstätigkeiten gewissenhaft.
Unternehmen benötigen ein flexibles und sicheres Verzeichnis, das sämtliche Verarbeitungsvorgänge im Umgang mit personenbezogenen Daten dokumentiert. Excel kann hier als kurzfristige Notlösung dienen, für den langfristigen Gebrauch empfehlen sich allerdings professionelle DSGVO-Managementsysteme, in denen datenschutzkonform gearbeitet werden kann.

10) Schaffen Sie ideale technische Voraussetzungen für das Management der Betroffenenrechte.
Sollten Personen ihr „Recht auf Vergessenwerden“ in Anspruch nehmen, so reichen in der Regel die gängigen Löschfunktionen von Betriebssystemen und Datenbanken nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.