DSGVO hat in heimischen Unternehmen noch keine großen Auswirkungen gezeigt. © Pixabay
Am 25. Mai 2019 jährte sich das Inkrafttreten der europäischen Datenschutz-Grundverordnung, kurz DSGVO, zum ersten Mal. Ein gegebener Anlass, Bilanz zu ziehen.
Vor einem Jahr hielt die umstrittene DSGVO Unternehmen europaweit in Atem – die Fragen waren zahlreich, die Diskussionen hitzig, die Sorgen groß. Doch ein Jahr nach dem gefürchteten Inkrafttreten hat sich laut aktueller Austrian-Business-Check-Umfrage des KSV1870 am Sicherheitsempfinden in österreichischen Unternehmen wenig geändert. 53 Prozent der befragten Unternehmen geben zu, dass die DSGVO nichts am bestehenden Sicherheitsniveau verändert hat. Im Gegensatz dazu nehmen gerade einmal 14 Prozent Verbesserungen „auf ganzer Linie“ wahr. Für sie hat die neue EU-Verordnung sehr wohl zu einer gravierenden Sensibilisierung im Umgang mit Daten geführt. Ein Drittel der Betriebe (33 %) erkennt immerhin Veränderungen in einzelnen Bereichen. Während im Burgenland (77 %) und in Salzburg (72 %) deutliche Anstiege zu verzeichnen sind, erkennen vier von fünf Kärntner Unternehmen (80 %) keine spürbare Veränderung. In der Dienstleistungsbranche (54 %) hat sich das Sicherheitsniveau noch am ehesten erhöht. „Der allgemeine Aufruhr im vergangenen Jahr hat in den Firmen zu keiner erhöhten Sorgfalt im Umgang mit Daten geführt. Auch, weil in der Praxis eher verwarnt wird und sich das bisherige Strafausmaß in einem Rahmen bewegt hat, das den Unternehmen kaum Schmerzen bereiten würde“, analysiert Gerhard Wagner, Geschäftsführer der KSV1870 Information GmbH.
Finanzen: DSGVO ist kein Bremsklotz
Entgegen der allgemeinen Befürchtung, die neue EU-Verordnung könnte die wirtschaftliche Entwicklung der Unternehmen maßgeblich negativ beeinflussen, zeichnen die Umfrageergebnisse ein anderes Bild. Denn 62 Prozent der Befragten geben an, dass sich die DSGVO nicht negativ auf die Unternehmensfinanzen ausgewirkt hat. Gerade einmal fünf Prozent der Betriebe sehen das anders: Für sie hat die neue Regelung sehr wohl negativen Einfluss genommen – sogar in hohem Ausmaß. Weitere 30 Prozent sehen es nicht ganz so dramatisch, geben aber zu, dass die DSGVO zumindest ein kleiner Bremsklotz für die Finanzen ist. Laut Austrian Business Check ist das am häufigsten im Handel (48 %) der Fall.
„Verzeichnis der Verarbeitungen“ fehlt in jeder zweiten Firma
Jene Maßnahme, die bislang am häufigsten umgesetzt wurde, bezieht sich auf Daten- und IT-Sicherheitsmaßnahmen (52 %), die eingeführt oder angepasst wurden. Knapp dahinter folgen „Zustimmungserklärungen zur Datenverarbeitung sind eingeholt“ mit 51 Prozent und es wurde, wenn nötig, ein Datenschutzbeauftragter installiert (50 %). „Im Vergleich zum Vorjahr haben die Unternehmen zwar einiges weitergebracht, trotzdem passiert das insgesamt zu langsam. Hier gehört das Tempo deutlich erhöht, um tatsächlich datenschutzkonform zu agieren“, so Wagner. Beim geforderten „Verzeichnis der Verarbeitungen“ hat aktuell noch immer jedes zweite Unternehmen gehörigen Aufholbedarf. In diesem Bereich sind Dienstleistungsbetriebe (55 %) noch am besten aufgestellt. Alarmierend: 10 Prozent der Betriebe haben bis jetzt noch keine einzige Maßnahme gesetzt – in Tirol sind es sogar 31 Prozent.
Befürchtungen weitgehend unbestätigt
Während sich im Vorfeld die Kritik an dem Gesetz häufte und in den Medien beispielsweise von Abmahnwellen die Rede war, blieben die Befürchtungen der Unternehmen diesbezüglich weitestgehend unbestätigt. „Doch auch ein Jahr nach Inkrafttreten gehört ein DSGVO-konformer Umgang mit sensiblen Daten noch immer nicht zum Alltag vieler Unternehmen“, bestätigt auch Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG. „Unternehmen sehen nicht immer den Sinn der DSGVO, sondern lediglich einen größeren Arbeitsaufwand. Aber immerhin schließen wir auch die Tür ab, wenn wir das Haus verlassen, obwohl dies einen zusätzlichen Aufwand bedeutet.“
Sensibilisierung schaffen
Ziel der DSGVO ist der Schutz personenbezogener Daten. Als personenbezogen beziehungsweise personenbeziehbar gelten dabei nicht nur Namen, sondern ebenfalls Daten wie Telefonnummern, Kfz-Kennzeichen oder IP-Adressen. Unternehmen, die über mehr als zehn Mitarbeiter verfügen, verpflichtet die DSGVO dazu, einen internen oder externen Datenschützer zu benennen. Dieser übernimmt sowohl unterrichtende als auch beratende Tätigkeiten und fungiert als Ansprechpartner für Mitarbeiter, die Geschäftsführung sowie betroffene Personen. Mittlerweile haben viele Unternehmen diese Vorgabe bereits umgesetzt. Aber auch wenn die Überwachung der Einhaltung der Datenschutzgesetze sowie der EU-DSGVO zu den Aufgaben eines Datenschützers gehört, müssen Mitarbeiter im Alltag selbst auf die Berücksichtigung achten. Hierfür genügt es nicht, ihnen lediglich DSGVO-konformes Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es, über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint. Hösel erklärt: „Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden.“ Ebenso sollten Mitarbeiter keine öffentlichen WLAN-Netzwerke nutzen, da diese in den meisten Fällen nicht als sicher gelten, sondern stattdessen virtuelle private Netzwerke, sogenannte VPNs.
Vorsicht bei Diensthandy und -laptop
Jede Homepage verfügt über eine individuelle Struktur mit unterschiedlichen Plug-ins, Cookies oder Tracking-Tools und erfasst beziehungsweise verarbeitet unterschiedlichste Daten. Es genügt daher nicht, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der Website zu veröffentlichen. Außerdem stoßen Datenschützer in Unternehmen häufig noch immer auf unsichere Passwörter für Dienstcomputer oder Laptops. Ein sicheres Kennwort besteht aus acht bis zwölf Zeichen in Groß- und Kleinschreibung und enthält sowohl Buchstaben als auch Ziffern und Sonderzeichen. Zudem sollten Mitarbeiter ihre Passwörter regelmäßig ändern. Gleiches gilt auch für den Schutz von Diensthandys, die sich ebenfalls mithilfe eines Passworts statt einer kurzen Zahlenkombination oder eines einfachen Wischmusters schützen lassen. Ein weiteres Problem, das bei der Nutzung von Diensthandys häufig auftritt, sind Messengerdienste. Die deutschen Aufsichtsbehörden für Datenschutz erachten viele von ihnen, darunter WhatsApp, als nicht datenschutzkonform. Manche Dienste haben nicht nur Zugriff auf alle in einem Smartphone gespeicherten Telefonnummern und Kontaktdetails, sondern übermitteln sie zusätzlich in weitere Staaten wie die USA, die als Drittländer gelten. Laut der DSGVO bedarf die Übermittlung personenbezogener Daten aber einer Rechtsgrundlage. Wer nicht auf Kurznachrichten verzichten möchte, kann auf dem Markt andere datenschutzkonforme Apps finden oder SMS versenden. Bei der physischen Weitergabe von Daten, beispielsweise mit einem USB-Stick, stehen Unternehmen ebenfalls vor einer Herausforderung. Diese Speichermedien verfügen selten über die nötigen Sicherheitsvoraussetzungen, wie beispielsweise einen Sicherheitscode beziehungsweise Verschlüsselung, der bei Verlust oder Diebstahl davor schützt, dass Außenstehende auf sensible Daten zugreifen können.
Mehr als bürokratischer Aufwand
Häufig fehlt in Unternehmen noch immer das Bewusstsein darüber, dass die DSGVO nicht nur den Umgang mit Kundendaten betrifft, sondern auch Mitarbeiter- sowie Lieferantendaten. So haben Beschäftigte in der Personalabteilung eine besondere Verantwortung. Sie müssen Personalunterlagen unter Verschluss halten und darauf achten, Mitarbeiterdaten per E-Mail ausschließlich verschlüsselt zu übermitteln. Auch dem Auskunftsrecht kommt eine besondere Bedeutung in der DSGVO zu. Wenn Mitarbeiter Auskunft über ihre Daten fordern – beispielsweise im Falle einer Kündigung – müssen Personalverantwortliche innerhalb eines Monats eine Kopie jeglicher personenbezogenen Daten, deren Verarbeitung erfolgt, aushändigen. Es empfiehlt sich daher, bereits im Vorfeld hierzu bestimmte Prozesse festzulegen. „Generell sollten Führungskräfte auch weiterhin beharrlich über die Wichtigkeit des Datenschutzes aufklären. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein“, so Haye Hösel abschließend. (BO)
INFO-BOX
DSGVO-Assistent unterstützt bei Umsetzung
Um die Unternehmen – insbesondere KMU – bei der Implementierung des geforderten „Verzeichnisses der Verarbeitungen“ zu unterstützen, hat der KSV1870 den DSGVO-
Assistenten entwickelt. Der Service leitet schrittweise durch alle Unternehmensbereiche und am Ende steht ein Verarbeitungsverzeichnis. Sind alle Eingaben korrekt und vollständig, dann erhält der User am Ende ein Verzeichnis, das einer DSGVO-Prüfung durch die Datenschutzbehörde standhält und jederzeit im erforderlichen Format exportiert werden kann. Außerdem unterstützt das Tool bei der Dokumentation der Auftragsdatenverarbeitung, der Risikobeurteilung der Datenverarbeitung, der korrekten Beantwortung von Kundenanfragen und bei der Informationspflicht auf Websites und in Newslettern.
www.ksv.at/dsgvo-assistent