Unabhängiges Magazin für Wirtschaft und Bildung

20. October 2017

Search form

Search form

Neue Datenverordnung für Betriebe rückt unaufhaltsam näher

Neue Datenverordnung für Betriebe rückt unaufhaltsam näher© bilderbox.com

Bis zu 20 Mio. Euro Geldstrafen bringt Handlungsbedarf für Unternehmen ob der neuen gesetzlichen Datenschutzverordnung ab Frühjahr 2018. Kapsch BusinessCom unterstützt Betriebe bei der Umsetzung mit eigens gegründeter Datenschutz-Unit.

Die Europäische Union setzt auf maximale Abschreckung: Vier Prozent des weltweiten Umsatzes oder bis zu 20 Mio. Euro Geldbußen drohen Unternehmen bei Verstößen gegen die neue Datenschutz-Grundverordnung (DSGVO). Mit Stichtag 25. Mai 2018 weitet die neue gesetzliche Regelung den Schutz personenbezogener Daten auf identifizierte oder identifizierbare Personen massiv aus, so Rechtsanwalt Markus Dörfler von Höhne, In der Maur & Partner Rechtsanwälte beim vergangenen Kapsch Security Day. Die Verordnung umfasst ausdrücklich auch genetische und biometrische Daten sowie das sogenannte Profiling. Die Einhaltung wird von einer neuen Aufsichtsbehörde überwacht, der Verstöße binnen 72 Stunden zu melden sind.
Informiert werden müssen auch die Betroffenen. Ist der Aufwand dafür zu hoch, muss die Information über eine öffentliche Bekanntmachung weitergegeben werden. „Das kostet dann sehr schnell wertvolles Vertrauen beim Kunden“, warnt Dörfler. Um den neuen Pflichten ab 25. Mai kommenden Jahres nachzukommen, sollte man schnellstmöglich mit der Umsetzung der Verordnung beginnen. „Die Behörde wird mit dem Stichtag zu kontrollieren beginnen. Wer dann seine Hausaufgaben nicht gemacht hat, wird schnell Probleme kommen“, so Dörfler.

Pflichtenkatalog für Unternehmen
Um die neuen Richtlinien anzuwenden bzw. einzuhalten, empfehlen Experten, dass Unternehmen umgehend den gesetzeskonformen Pflichtenkatalog abarbeiten. Wer etwa Daten von Kunden speichert, muss sich deren ausdrückliche Einwilligung einholen und diesen Nachweis auch dokumentieren. Für die Datensicherheit sind zudem geeignete technische und organisatorische Maßnahmen zu ergreifen. Dabei sind der Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zweck der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen. Weiters gibt es eine Datenminimierungspflicht, wo Daten nur aus gutem Grund gespeichert und weiterverarbeitet werden dürfen und all das muss detailliert dokumentiert werden.

Kapsch stellt Kunden eigene Datenschutz-Unit zur Verfügung
Kapsch setzt diese Vorgaben bereits seit Jänner des vorigen Jahres um und hat dazu eine eigene Datenschutzorganisation gegründet. „Die Schwierigkeit dabei war, dass die DSGVO ein hochkomplexes und sehr umfassendes Thema behandelt und die Formulierungen in der Verordnung unscharf und schwammig sind“, berichtet Chief Privacy Officer Günter Wildmann von Kapsch. Im ersten Schritt geht es darum, Daten zu erfassen und ihr Risikopotenzial abzuschätzen. „Für diese Erfassung war Share Point ideal, aber das Risikomanagement ist die eigentliche Herausforderung. Die Verordnung ist nämlich nur dann einzuhalten, wenn man das Risiko managt.“ Die Lösungen dazu mussten auch bei Kapsch erst konzipiert werden. „Das war kurz gesagt Learning by Doing“, erinnert sich Wildmann.

Internes Audit für Risikoabschätzung
Von den Erfahrungen, die Kapsch bei der Umsetzung der Richtlinie gemacht hat, profitieren nun auch die Kunden. „Wir unterstützen Unternehmen bei der Umsetzung einer Datenschutz-Risikoabschätzung oder führen ein internes Audit durch, das die technischen Risiken erfasst, die auf die Sicherheit der internen Infrastruktur wirken“, so Robert Jankovics, Teamlead Information Security Audit & Assessment bei Kapsch BusinessCom. Für ein Datenschutz Management System, mit dem sich die gesetzlichen und betrieblichen Anforderungen des Datenschutzes planen, organisieren, steuern und kontrollieren lassen, empfiehlt der Kapsch-Experte die Lösung CRISAM von Calpana.

Links

red/cc, Economy Ausgabe Webartikel, 24.07.2017