Max Schrems: "Datenschutzgrundverordnung wird noch immer fehlinterpretiert"
Wien/Linz (pts017/27.09.2018/11:10) Die Datenschutzbehörde ist seit Geltung der EU-DSGVO am 25. Mai intensiv im Einsatz. Auch wenn die erste Beschwerdeflut wieder abebben dürfte, müssen Österreichs Unternehmen laut Fabasoft-Experten betreffend ihrer datenschutzkonformen Arbeitsabläufe am Ball bleiben. Eine 10-Punkte-Checkliste kann dabei helfen.
Gut vier Monate nach Inkrafttreten der EU-DSGVO ist es Zeit für einen Rückblick: Wie geht es Österreichs Unternehmen mit der strengen europäischen Datenschutzverordnung, was müssen sie auch in Zukunft beachten? "Die offensichtlichste Veränderung ist ein weiterer Anstieg an Bannern und Nachrichten zum Datenschutz," beobachtet Datenschützer Max Schrems. "Viele der Pop-Ups und E-Mails waren jedoch leider eine Ausgeburt an Fehlinterpretationen der DSGVO. Oft lassen lästige Nachrichten dem Nutzer keine echte Wahl und drängen zu Zwangszustimmungen."
Wegen solcher Zwangszustimmungen und anderer Datenschutz-Verletzungen ist die Datenschutzbehörde bereits intensiv am Arbeiten. Die ersten Verfahren haben vergleichsweise schnell die Instanzen durchlaufen: Wegen Zwangszustimmung liegen Beschwerden gegen Facebook via Irland beim Europäischen Datenschutzausschuss vor, eine Beschwerde zum Auskunftsrecht bei Bankdaten wird nach einer Entscheidung gegen eine Bank beim Bundesverwaltungsgericht bearbeitet, und eine erste Strafe von EUR 4.800 erging wegen einer illegalen Videoüberwachung gegen ein steirisches Wettlokal. Insgesamt langten bei der österreichischen Behörde etwas mehr als 720 Beschwerden ein. Dazu Max Schrems: "Fraglich ist, ob dieser Hype dauerhaft anhält oder doch eher als eine Welle zu sehen ist. Vieles deutet darauf hin, dass sich die Lage bald wieder normalisiert."
Erleichterung durch DSGVO-Konformitäts-Managementsysteme
"Von Durchatmen darf noch keine Rede sein", warnt Andreas Dangl, Business Unit Executive Cloud Services bei Fabasoft. "So manche Organisation führt das verpflichtende Verzeichnis von Verfahrenstätigkeiten in Excel im aufrichtigen Glauben, dass damit ihre DSGVO-Pflicht getan sei. Doch wer prüft die Einhaltung der Pflichten? Wer garantiert deren korrekte Wartung? Wer ist für die zukünftige DSGVO-Konformität verantwortlich?" Sind diese Fragen nicht ausreichend zu beantworten, könnte der Datenschutz dem Unternehmen - trotz größter Bemühungen - zum Stolperstein werden.
Beim Durchgehen der untenstehenden 10 Punkte-Checkliste wird schnell klar, dass professionelle DSGVO-Konformitäts-Managementsysteme, wie etwa die Fabasoft EU-DSGVO Toolbox, bei der Einhaltung der geforderten Auflagen einen echten Mehrwert bieten. "Unternehmen kann der tägliche Umgang mit der DSGVO sehr erleichtert werden, wenn sie die Punkte der Checkliste wirklich berücksichtigen," betont Andreas Dangl. Als besonders wichtige Elemente hebt der Software- und Cloud-Experte das Verzeichnis von Verfahrenstätigkeiten und die Automatisierung von Meldungen an die Behörden hervor.
Die Checkliste im Detail:
1. Arbeiten Sie mit einer strukturierten Datenbank.
Zu viele Daten befinden sich nach wie vor in unstrukturierten elektronischen Informationen wie E-Mails, SMS, WhatsApp oder auch Fotos. Optimal ist der Einsatz einer strukturierten Datenbank, in der Unternehmen die exponentiell steigende Datenmenge auch zukünftig im Griff behalten.
2. Nutzen Sie DSGVO-konforme Einwilligungen für die Verwendung personenbezogener Daten.
Eine Datenverarbeitung ist zulässig, wenn eine DSGVO-konforme Einwilligung vorliegt. Die Verwendung von personenbezogenen Daten ist allerdings auch dann gestattet, wenn ein berechtigtes Interesse des Unternehmens an der Datenverwendung besteht. Die Anforderungen an diese Einwilligungen wurden verschärft: unter anderem beträgt das Mindestalter 16 Jahre.
3. Beachten Sie Ausmaß und Notwendigkeit der Daten.
Jedes "zu viel" an personenbezogenen Daten stellt ein Risiko für Unternehmen dar. Es dürfen voreingestellt nur die Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck auch wirklich erforderlich sind.
4. Berücksichtigen Sie den Datenschutz schon bei der Konzipierung und Entwicklung von Software und Hardware.
Alle Projekte, bei denen Unternehmen personenbezogene Daten verarbeiten, müssen nach dem Prinzip "Privacy by Design" entwickelt werden. Unternehmen können bestehende Systeme entweder nachrüsten oder durch neue DSGVO-taugliche ersetzen.
5. Beziehen Sie alle Mitarbeiter in den Datenschutz mit ein.
Generell gilt, dass Datenschutz nie nur Aufgabe einer einzelnen Person sein kann, sondern im Berufsalltag von jedem Mitarbeiter gelebt werden muss. Schulen Sie daher regelmäßig Ihre Mitarbeiterinnen und Mitarbeiter.
6. Verlassen Sie sich nicht auf die ISO/IEC 27001-Zertifizierung.
Die ISO/IEC 27001-Zertifizierung reicht als Nachweis eines angemessenen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten alleine nicht aus. Unternehmen müssen stattdessen prüfen, ob diese Zertifizierung erweitert wurde, zum Beispiel durch Anpassung der Risikobeurteilungsmethode an die Rechte und Freiheiten nach DSGVO.
7. Bewerten Sie Risiken und Folgen für Betroffene immer im Voraus.
Unternehmen müssen eine Datenschutz-Folgenabschätzung dann durchführen, wenn neue Technologien eingesetzt werden und die Verarbeitung dazu führt, dass für die Rechte und Freiheiten von Einzelpersonen ein hohes Risiko besteht.
8. Bei einer Datenschutzverletzung: Seien Sie schnell!
Die EU-DSGVO beinhaltet eine klare Vorgabe bei Datenschutzverletzungen: wird dem Unternehmen ein Vorfall bekannt, muss unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung gemacht werden.
9. Treffen Sie die Wahl des Verzeichnisses von Verarbeitungstätigkeiten gewissenhaft.
Unternehmen benötigen ein flexibles und sicheres Verzeichnis, das sämtliche Verarbeitungsvorgänge im Umgang mit personenbezogenen Daten dokumentiert. Excel kann hier als kurzfristige Notlösung dienen, für den langfristigen Gebrauch empfehlen sich allerdings professionelle DSGVO-Managementsysteme, in denen datenschutzkonform gearbeitet werden kann.
10. Schaffen Sie ideale technische Voraussetzungen für das Management der Betroffenenrechte.
Sollten Personen ihr "Recht auf Vergessenwerden" in Anspruch nehmen, so reichen in der Regel die gängigen Löschfunktionen von Betriebssystemen und Datenbanken nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.
Über Fabasoft
Fabasoft zählt zu den führenden Softwareproduktunternehmen und Cloud-Dienstleistern für digitale Dokumentenlenkung sowie elektronisches Dokumenten-, Prozess- und Aktenmanagement in Europa mit Sitz in Linz, Österreich. Die Produkte von Fabasoft dienen der Digitalisierung, Vereinfachung, Beschleunigung und Qualitätssteigerung von Geschäftsprozessen - unternehmensintern und über Organisations- und Ländergrenzen hinweg. Die Softwareprodukte und Cloud-Services umfassen den Eingang, die Strukturierung, die team- und prozessorientierte Bereitstellung, Bearbeitung und Erledigung, die sichere Aufbewahrung und das kontextsensitive Finden aller Geschäftsunterlagen für Unternehmen. Kunden profitieren von drei Jahrzehnten Innovation und Erfahrung in grenzenloser digitaler Dokumentenlenkung.
Fabasoft ist Mitglied im Konsortium von EU-SEC: Das European Security Certification Framework (EU-SEC) ist ein Horizon 2020 Innovationsprojekt mit dem Ziel, den Geschäftswert, die Effektivität und die Effizienz von bestehenden Zertifizierungssystemen für Cloud-Security zu verbessern. EU-SEC fokussiert besonders auf Automatisierung, Kontrolle, das Zusammenspiel unterschiedlicher Zertifizierungen, wiederverwendbare Komponenten, kontinuierliche Auditierung und Überwachung, und Senkung von Kosten und der Gesamtdauer des Cloud-Zertifizierungsprozesses.
Weitere Informationen: http://www.fabasoft.com
(Ende)Aussender: | Fabasoft |
Ansprechpartner: | Agentur trummer + team GmbH |
Tel.: | +43 1 234 75 75 |
E-Mail: | dietmar.trummer@trummerundteam.at |
Website: | www.fabasoft.com |