Nun ist auch Benko persönlich im Visier der WKStA Bild: Nun ist auch Benko persönlich im Visier der WKStA
EXPORT today online - 15/2024
Handwerkerbonus kann nur online beantragt werden Bild: Handwerkerbonus kann nur online beantragt werden
Samsung löst Apple als wichtigster Smartphone-Hersteller ab Bild: Samsung löst Apple als wichtigster Smartphone-Hersteller ab
Tesla streicht weltweit mehr als jeden zehnten Arbeitsplatz Bild: Tesla streicht weltweit mehr als jeden zehnten Arbeitsplatz
NEW BUSINESS Guides - FACILITY MANAGEMENT-GUIDE 2024
Deutlich weniger neue Wohnungen in Planung Bild: Deutlich weniger neue Wohnungen in Planung
Bank Austria: Konjunkturstimmung hellt sich nur langsam auf Bild: Bank Austria: Konjunkturstimmung hellt sich nur langsam auf
B&C-Gruppe will Mehrheit an Lenzing, AMAG, Semperit abgeben Bild: B&C-Gruppe will Mehrheit an Lenzing, AMAG, Semperit abgeben
NEW BUSINESS Export - NB EXPORT 2/2023
Versandhändler Otto bekommt Inflation zu spüren Bild: Versandhändler Otto bekommt Inflation zu spüren
Rückerstattung für Reisende mit "Opodo-Prime"-Mitgliedschaft Bild: Rückerstattung für Reisende mit
Sie befinden sich hier:  Home  |  NEW BUSINESS Guides  |  IT- & TELEKOMMUNIKATIONS-GUIDE 2018  |  Stichtag 25.05.2018

Stichtag 25.05.2018

NEW BUSINESS Guides - IT- & TELEKOMMUNIKATIONS-GUIDE 2018
Die Zeit drängt: Um die Grundsätze der Datenverordnung zu gewährleisten, müssen rechtzeitig Maß­nahmen gesetzt werden. © Pixabay

EU-DSGVO setzt Unternehmen unter Zeitdruck

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Doch noch schwebt diesbezüglich ein großes Fragezeichen über den Köpfen der Betroffenen. 

Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Eine aktuelle Umfrage des Beratungsunternehmens Deloitte zeigt: Österreichs Unternehmen sind über die kommende EU-Datenschutzgrundverordnung informiert, bei der Hälfte mangelt es aber an entsprechender Vorbereitung. Eine deutliche Mehrheit fühlt sich zudem mit Herausforderungen wie Aufklärung der Fachbereiche oder erhöhtem Bürokratie- und Ressourcenaufwand konfrontiert. Die Rolle des Datenschutzbeauftragten gewinnt zunehmend an Bedeutung.
Im Rahmen einer Umfrage von Deloitte Österreich wurden kürzlich 251 österreichische Unternehmen zur kommenden EU-DSGVO befragt. Demnach hat nahezu jedes befragte Unternehmen bereits von der Verordnung gehört und weiß, dass diese im Mai 2018 zur Anwendung kommt. Über die Anforderungen sind sich knapp zwei Drittel im Klaren, 31 Prozent fühlen sich zumindest oberflächlich informiert. In puncto drohende Sanktionen und Strafen sind 70 Prozent der Befragten auf dem neuesten Stand. „Die Praxis zeigt, dass die heimischen Projektverantwortlichen selbst weitgehend gut informiert sind. Nachholbedarf gibt es aber bei der restlichen Belegschaft: Viele Mitarbeiter sind noch nicht geschult. Datenschutzrechtliche Einschätzungen fallen ihnen dementsprechend schwer“, erklärt Andreas Niederbacher, Datenschutzexperte bei Deloitte Österreich. „Gerade bei potenziellen Strafmaßnahmen herrscht Verunsicherung darüber, ob und wie diese überhaupt zutreffen. Hier müssen noch viele Details geklärt werden.“

Bürokratie- und Ressourcenaufwand als große Hürden
Laut Umfrage stellt die Implementierung der EU-DSGVO für mehr als acht von zehn Unternehmen (85 %) eine Herausforderung dar. Neben der Einbindung und Aufklärung der Fachbereiche werden auch der Bürokratie- und Ressourcenaufwand als größte Hürden empfunden.
„Die Verordnung ist sehr komplex und betrifft alle Unternehmensbereiche. Unter Zeitdruck müssen Dokumentationen erstellt, Mitarbeiter geschult und Prozesse eingeführt oder adaptiert werden. Vielen Unternehmen fehlt es aber schlichtweg an Kapazitäten für eine organisationsweite Umsetzung“, betont Niederbacher. So geben auch nur 40 Prozent an, ausreichend personelle und finanzielle Mittel für Datenschutz zur Verfügung zu haben. Mehr als die Hälfte erkennt hier teilweise Mängel.

Hälfte der Befragten unzureichend vorbereitet
Trotz des relativ hohen Informationsgrads ist nur knapp über die Hälfte der befragten Unternehmen gut auf die EU-DSGVO vorbereitet. 39 Prozent sprechen lediglich von einer mittelmäßigen Vorbereitung im eigenen Unternehmen. Zehn Prozent der Umfrageteilnehmer geben an, sich kaum bis gar nicht vorbereitet zu fühlen.
„Dieses Ergebnis ist wenig überraschend. Die Unternehmen haben sich in der Vergangenheit kaum mit Datenschutz befasst und müssen nun kurzfristig entsprechende Maßnahmen setzen“, analysiert Andreas Niederbacher. „Grundlegende Änderungen bei Technologie und Strukturen brauchen aber Zeit und können oftmals nur langfristig in Angriff genommen werden.“

Schlüsselposition Datenschutzbeauftragter
In 62 Prozent der befragten Unternehmen gibt es einen Datenschutzbeauftragten, bei 86 Prozent ist das Thema im Top-Management angesiedelt. „Datenschutzprojekte werden vor allem aufgrund der vielen drohenden Sanktionen oft als Aufgabe der Geschäftsführung gesehen. Die Spezialistenrolle ist dennoch, insbesondere bei der Adressierung der Anforderungen, nicht zu unterschätzen. Auch für kleinere Unternehmen wird diese Schnittstellenposition immer wichtiger“, so An­dreas Niederbacher.

Chancen und Vorteile
Zusammen mit den Auflagen und Bußgeldern schüren die kursierenden Informationen oftmals Angst vor den bevorstehenden Änderungen. „Dabei birgt die DSGVO große Chancen“, ist Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity, überzeugt. „Die Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen. Im Zeitalter rasanter Digitalisierung und datengetriebener Wirtschaft ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar – Geschäfte und Prozesse im Einklang mit der EU-DSGVO belegen eine solche Handhabung.“
Einen weiteren Vorteil ortet der Experte des führenden IT-Sicherheitsunternehmens in der vorgeschriebenen Einführung eines Datenschutzmanagementsystems, denn diese notwendige Bedingung der Verordnung stelle auch einen hohen Nutzen für das Unternehmen dar. „Der Datenschutzbeauftragte erhält über ein risikobasiertes Managementsystem schnell eine Übersicht über die laufende Verarbeitung von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen. Zudem ist im Falle einer Prüfung durch die zuständige Aufsichtsbehörde für Datenschutz die Vorlage des Verfahrensverzeichnisses jederzeit möglich. Darüber hinaus gewährleistet ein solches Verzeichnis Transparenz und Qualität – auch gegenüber Dritten. Hinzu kommt: Die EU-DSGVO schließt Backdoor-Lösungen rigoros aus. Damit verschafft sie europäischen Unternehmen einen Vorteil gegenüber dem globalen Wettbewerb“, so Kögel.

Zentrales Thema: Sicherheit der ­Datenverarbeitung
Ein wesentlicher Aspekt der EU-DSGVO ist die Sicherheit der Datenverarbeitung. „Um Integrität und Vertraulichkeit zu gewährleisten, müssen Unternehmen bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen ergreifen, die einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Daten, vor deren Verlust sowie deren unbeabsichtigten Zerstörung oder Schädigung sicherstellen“, erklärt Kögel. Die Wahl der konkreten Technologien und Maßnahmen solle dabei gemäß der Wahrscheinlichkeit und Schwere des Risikos für die Rechte der Betroffenen abgewogen werden.
Die neuen Prinzipien stellen Unternehmen vor konkrete Herausforderungen. Sie müssen Maßnahmen ergreifen, die die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen und die Verfügbarkeit der personenbezogenen Daten gewährleisten sowie eine Wiederher­stellung der Daten ermöglichen. Vor allem die Abschätzung des Risikos nach einer festgelegten Methodik – das Fachwort lautet: Datenschutzfolgenabschätzungen – stelle laut Kögel eine erhöhte Anforderung an Unternehmen dar, genauso wie die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.

Ein konzeptioneller Ansatz schafft Abhilfe
Um sich diesen Herausforderungen zu stellen, empfiehlt Kögel die Einführung eines sogenannten Informationssicherheitsmanagementsystems (ISMS). Darin werden Verfahren und Regeln aufgestellt, die dafür sorgen, dass die benötigte Informationssicherheit im Unternehmen zunächst definiert, dann umgesetzt und kontinuierlich verbessert wird.
Um dem erhöhten Anspruch der EU-DSGVO gerecht zu werden, bedarf es zudem eines breit aufgestellten Portfolios an IT-Sicherheitslösungen, die auf allen Ebenen zusammenarbeiten und ­ineinandergreifen. Dazu gehört das Einrichten sicherer Netzwerke, des Monitorings, der Endpoints, Applikationen und Clouds. Verantwortlich für die Initiierung und Umsetzung der oben genannten Maßnahmen ist immer der Datenschutz­beauftragte und teilweise der IT-Sicherheitsbeauftragte. (BO)

INFO-BOX
Grundsätze zur Gewährleistung der Datenverordnung
• Rechtmäßigkeit und Transparenz: Ohne eine Ermächtigungs- bzw. Rechtsgrundlage dürfen keine personen­bezogenen Daten erhoben und benutzt werden.
• Zweckbindung: Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.
• Datenminimierung: Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden.
• Richtigkeit von Daten: Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung bzw. Löschung.
• Speicherbegrenzung: Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss.
• Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen angemessen gesichert werden vor Manipulation oder Fälschung. Vor dem Hintergrund, dass die Zahl der Cyberangriffe auf Datenbanken und Zugangsberechtigungen stetig steigt, hat dieses Prinzip in der EU-Verordnung einen neuen Stellenwert.
• Rechenschaftspflicht: Die Einhaltung dieser Grundsätze muss nachgewiesen werden.
(Quelle: Rohde & Schwarz Cybersecurity)