Freitag, November 22, 2024



Peter Gelber und Wolfgang Fiala haben langjährige Erfahrung mit Audits und der Beratung zu Datenschutz-Themen. Die Ziviltechniker wollen Unternehmen künftig als akkreditierte Stelle für DSGVO-Zertifikate unterstützen. 


Die DSGVO-zt GmbH hat vor knapp zwei Jahren als erstes Unternehmen Österreichs um Akkreditierung bei der Österreichischen Datenschutzbehörde eingereicht. Die Akkreditierung wird für Ende des ersten Quartals erwartet und soll Unternehmen neue Rechtssicherheit in Datenschutzfragen bringen. Über die Vorteile eines DSGVO-Zertifikats und bisherige Audits berichten die beiden Gründer Peter Gelber und Wolfgang Fiala.

Bild oben: Das Team von DSGVO-zt mit Peter Gelber, Irene Schaller und Wolfgang Fiala.

Seit wann beschäftigen Sie sich mit dem Thema Datenschutz?

Wolfgang Fiala: Wir sind in diesem Bereich seit gut 20 Jahren tätig. Mit der Kundmachung der EU-Datenschutz-Grundverordnung im Jahr 2016 und dem Inkrafttreten 2018 hat das Thema dann massiv Gewicht bekommen. Davor haben wir bereits mit Gutachten für ELGA, die e-card der Sozialversicherung, für das damalige Gesundheitsministerium und viele weitere mit Bezug auf Datenschutz geschrieben. 

Peter Gelber: Wir haben uns gut auf die DSGVO vorbereiten können. Ein Datenschutzgesetz hat es auch davor schon gegeben, nur war es aus heutiger Sicht zahnlos, da die Konsequenzen für Missachtungen überschaubar waren. Große Firmen haben, überspitzt gesagt, die Strafen aus der Portokasse zahlen können. Da in der Wirtschaft stets der Aufwand mit dem Nutzen gegengerechnet wird, ist das Thema erst so richtig mit der DSGVO und insbesondere dem Strafmaß von vier Prozent des weltweiten Jahresumsatzes eines Unternehmens bei Datenschutzverletzungen griffig geworden.

Ist dieses Regelwerk für den sicheren Umgang mit personenbezogenen Daten mittlerweile zumindest bei den größeren Firmen integriert? Wo sehen Sie noch Lücken?

Fiala: Niemand würde zugeben, dass ihm Datenschutz nicht wichtig sei – aber in der Praxis schaut es oft anders aus. Wie überall gibt es auch hier Vorreiter, aber es kommt auch heute noch zu Missverständnissen, etwa bei Verantwortlichkeiten. So entbindet die Auslagerung von Tätigkeiten mit personenbezogenen Daten – beispielsweise die Zusammenarbeit mit einem Callcenter bei Umfragen – den Auftraggeber nicht von seiner Verantwortung. Selbst wenn dieser Daten in anonymisierter Form vom Dienstleister erhält, braucht es einen Auftragsverarbeiter-Vertrag, in dem auch alle TOMs (Anm. „technische und organisatorische Maßnahmen“) für die sichere Datenverarbeitung geregelt sind. Die DSGVO fordert hier „State of the Art“, also den Stand der Technik ein. 

Gelber: Eine der Herausforderungen ist oft auch eine ganze Kette von Auftragsverarbeitern. Den Dienstleister, der mit mir am Tisch sitzt, kenne ich noch persönlich. Aber mit welchen Partnern arbeitet dieser? Die Verantwortung dafür wird gerne unter den Tisch gekehrt. Man versucht sich zwar vertraglich abzusichern, wenn dann aber in der dritten Ebene ein Vorfall passiert, ist der Auftraggeber nicht nur trotzdem in der Pflicht, sondern sein Renommee nimmt Schaden. Man sollte sich also auf jeden Fall bewusst sein, dass die Verantwortung für Maßnahmen und Geschäftsprozesse nicht bei der eigenen Firmengrenze aufhört. Wir raten unseren Kunden: Schauen Sie sich genau an, wie Ihre Partner und Dienstleister arbeiten.

Was sind typische Begutachtungen, mit denen Sie sich bisher beschäftigt haben?

Fiala: Oft haben wir den Fall einer Absicherung eines Projekts im Vorfeld gegenüber dem Rechnungshof. So haben wir auch die Plattform „Österreich testet“ begutachtet, über die mehr als 30 Millionen Testtermine abgewickelt worden sind. Zunächst war die Ausgangslage für das Projekt eigentlich schwierig. Mit der Pandemie bestand Gefahr in Verzug, das Projekt musste rasch umgesetzt werden – das übliche Pflichtenheft gab es aus diesem Grund auch nicht. Trotzdem wurde die Plattform in einem agilen Vorgehen mit dem Fokus auf Prototyping innerhalb von nur zehn Kalendertagen live geschaltet. Wir sind selbst schon viele Jahre in der IT-Branche tätig und haben schon viele Programmierungen und Umsetzungen gesehen. Die A1-Tochter World-Direct hat das unter Berücksichtigung der Rahmenbedingungen mustergültig umgesetzt.

Gelber: Mit unserem Unternehmen DSGVO-zt fokussieren wir auf Datenschutzthemen in der gesamten Breite. Wir kennen nicht nur die Gesetzestexte, sondern können diese auch in einer IT-Organisation eines Unternehmens einordnen. Es braucht schon große Erfahrung im Auditing, über die wir verfügen, um die Umsetzung eines Regelwerkes im Kontext von Unternehmensprozessen zu bewerten. Prinzipiell bildet das die Qualität einer Prüfung oder eines Audits von Datenschutzmaßnahmen: Wie ordnet man diese zu? Mit welchen Mitteln sollten Risiken minimiert werden können?

Welchen Vorteil werden nun DSGVO-Zertifikate bringen, die Sie anbieten wollen? Warum sollten Unternehmen einen Service zertifizieren lassen?

Fiala: Da gibt es mehrere Gründe. Eine externe Prüfung und Bestätigung der Konformität bedeuten Sicherheit – Unternehmen bekommen damit verbrieft, gewissenhaft und korrekt am Markt zu agieren. Und man hat gute Karten gegenüber den Behörden. Die Datenschutzbehörde kann aus drei Gründen von Amtswegen aktiv werden. So kann sie zu jeder Zeit eine Prüfung anordnen, dann wird sie in der Regel im Falle von Beschwerden tätig sowie bei einem Datenschutzvorfall, sofern dieser meldepflichtig ist. Kann dann ein DGSVO-Zertifikat vorlegt werden, ist zumindest grundsätzlich klar, dass der Datenschutz ernst genommen wird. Liegt bei einem Verfahren eine Ziviltechnikerurkunde als Zertifikat vor, muss die Behörde dies im Strafmaß berücksichtigen.

Unternehmen mit entsprechender Zertifizierung haben einfach auch einen Vorsprung gegenüber ihren Mitbewerbern. Eine Bank, die sich als erstes Finanzinstitut dem Thema DSGVO-Zertifizierung widmet, könnte dies öffentlichkeitswirksam kommunizieren. Und wir sind überzeugt, dass in einigen Jahren die Zertifizierung in bestimmten Branchen zum Standard gehören wird.

Gelber: Über diese formale Prüfung hinaus, die eine Zertifizierung erfordert, kennen wir einfach auch die TOMs. Wir wissen, wie sie auch branchenbezogen gestaltet sein sollten, wir weisen auf Lücken und Ergänzungsmöglichkeiten hin. Wir sehen diese Dienstleistung als Teil des Zertifizierungsprozesses – wenngleich Audit und Beratung selbstverständlich getrennt voneinander durchgeführt werden. Sollte Bedarf für beides bestehen, teilen wir diese Bereiche entsprechend unserer Richtlinie „Interessenskonflikte“ personell streng.

Fiala: In unserer Rolle als Ziviltechniker siegeln wir eine Zertifikatsurkunde persönlich, da auch wir persönlich dafür haften. Auch in der Vergangenheit haben wir die Bereiche Audit und Beratung rechtlich und organisatorisch immer getrennt – es ginge auch nicht anders. Aber es hat trotzdem den Vorteil, dass wir auch kurze Wege zueinander haben, wenn zum Beispiel Dinge nachzubessern sind.

Adressieren Sie mit der Zertifizierung zunächst größere Organisationen?

Fiala: Im Wesentlichen ja. Unternehmen mit Massengeschäft, wie es zum Beispiel die großen Banken sind, haben in Riesenmengen mit personenbezogenen Daten zu tun. Bei diesen Daten geht es um die Bonität von Personen, also um das Innerste der Privatsphäre.

Im Gegensatz zur ISO 27001 ist in der DSGVO nicht vorgesehen, ein ganzes Unternehmen zu zertifizieren. Ein Konto und die Transaktionen dahinter wären ein überschaubares Produkt oder ein Service, der zwar komplex, aber in sich abgeschlossen ist. Die Grenzen zwischen Produkt und Services sind heutzutage fließend. 

Was wären für Sie weitere interessante Servicebereiche?

Fiala: Eigentlich sind dies alle Unternehmen mit Endkundengeschäft, zum Beispiel Handelsketten mit Kundenkarten, Zustelldienste oder Energieversorgungsunternehmen und Netzbetreiber. Mit Technik wie dem Smart Meter könnten Profile zu Gewohnheiten und Aufenthaltsorten abgelesen werden – das alles sind sensible Daten. Auch die Versicherungen bieten ein Tätigkeitsfeld. 

Gelber: Die Themenbreite ist groß und durch die Digitalisierung der Wirtschaft und Gesellschaft sollte der Schutz der Daten von Menschen besonders beachtet werden. Wir werden uns immer die Fragen stellen müssen: Wie gehen Unternehmen mit meinen Daten um? Was kann aus diesen Daten gewonnen werden? Mit Industrie 4.0 und Automatisierung, auch mit vernetzten Fahrzeugen haben wir zwar rein technische Lösungen, aber von Menschen generierte Daten. Die Produkte und Prozesse müssen deshalb sorgfältig, auch für die Zukunft sicher, gebaut werden.



Hintergrund
Ein DSGVO-Zertifikat nach Art. 42/43 DSGVO ist eine Bestätigung einer akkreditierten Zertifizierungsstelle, dass personenbezogene Daten DSGVO-konform verarbeitet werden. Das Zertifikat ist im Regelfall drei Jahre gültig. Die Kosten sind abhängig vom Umfang und der Komplexität des Zertifizierungsobjektes.

Zertifiziert werden können
- Produkte (Beispiele sind Apps, Softwaretools, Standardsoftware und Webseiten)
- Prozesse (zum Beispiel Verarbeitungstätigkeiten wie Kreditvergaben und Bonitätsprüfungen)
- Dienstleistungen (zum Beispiel Druck- und Versand-Dienstleistungen, Cloudservices)

 

Meistgelesene BLOGS

Mario Buchinger
07. August 2024
Der Ruf nach Resilienz in den Lieferketten wird lauter. Nach den Erfahrungen einer weltweiten Pandemie und den immer deutlicheren Auswirkungen der Klimakrise scheint das sinnvoll. Doch was macht eine ...
Nicole Mayer
19. August 2024
Am qualityaustria Excellence Day im Juni wurde nicht nur das AMS Kärnten mit dem Staatspreis Unternehmensqualität 2024 ausgezeichnet, sondern auch drei weitere exzellente Unternehmen zum Staatspreis n...
Marlene Buchinger
09. August 2024
CSRD, ESRS, CBAM – Nachhaltigkeitsbegriffe schnell erklärt. Nachhaltigkeit wird immer mehr Teil der Führungsarbeit. Daher lohnt ein Blick auf die wichtigsten Begriffe. Wie in jeder Fachdisziplin gibt ...
Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
07. August 2024
Schulungsangebote und ESG-Tools schießen wie Pilze aus dem Boden. Doch anstelle das Rad neu zu erfinden, sollten bestehende Strukturen neu gedacht werden. Die Anforderungen an Unternehmen punkto Verbe...
Marlene Buchinger
07. August 2024
Was bedeutet Nachhaltigkeit und warum ist das Thema so wichtig? Der Begriff Nachhaltigkeit und die damit verbundenen Veränderungen werfen bei vielen Führungskräften noch Fragen auf. Aus diesem Grund e...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...

Log in or Sign up