Montag, Juli 01, 2024

Datenschutz: Sicher für die Zukunft gebaut



Peter Gelber und Wolfgang Fiala haben langjährige Erfahrung mit Audits und der Beratung zu Datenschutz-Themen. Die Ziviltechniker wollen Unternehmen künftig als akkreditierte Stelle für DSGVO-Zertifikate unterstützen. 

Die DSGVO-zt GmbH hat vor knapp zwei Jahren als erstes Unternehmen Österreichs um Akkreditierung bei der Österreichischen Datenschutzbehörde eingereicht. Die Akkreditierung wird für Ende des ersten Quartals erwartet und soll Unternehmen neue Rechtssicherheit in Datenschutzfragen bringen. Über die Vorteile eines DSGVO-Zertifikats und bisherige Audits berichten die beiden Gründer Peter Gelber und Wolfgang Fiala.

Bild oben: Das Team von DSGVO-zt mit Peter Gelber, Irene Schaller und Wolfgang Fiala.

Seit wann beschäftigen Sie sich mit dem Thema Datenschutz?

Wolfgang Fiala: Wir sind in diesem Bereich seit gut 20 Jahren tätig. Mit der Kundmachung der EU-Datenschutz-Grundverordnung im Jahr 2016 und dem Inkrafttreten 2018 hat das Thema dann massiv Gewicht bekommen. Davor haben wir bereits mit Gutachten für ELGA, die e-card der Sozialversicherung, für das damalige Gesundheitsministerium und viele weitere mit Bezug auf Datenschutz geschrieben. 

Peter Gelber: Wir haben uns gut auf die DSGVO vorbereiten können. Ein Datenschutzgesetz hat es auch davor schon gegeben, nur war es aus heutiger Sicht zahnlos, da die Konsequenzen für Missachtungen überschaubar waren. Große Firmen haben, überspitzt gesagt, die Strafen aus der Portokasse zahlen können. Da in der Wirtschaft stets der Aufwand mit dem Nutzen gegengerechnet wird, ist das Thema erst so richtig mit der DSGVO und insbesondere dem Strafmaß von vier Prozent des weltweiten Jahresumsatzes eines Unternehmens bei Datenschutzverletzungen griffig geworden.

Ist dieses Regelwerk für den sicheren Umgang mit personenbezogenen Daten mittlerweile zumindest bei den größeren Firmen integriert? Wo sehen Sie noch Lücken?

Fiala: Niemand würde zugeben, dass ihm Datenschutz nicht wichtig sei – aber in der Praxis schaut es oft anders aus. Wie überall gibt es auch hier Vorreiter, aber es kommt auch heute noch zu Missverständnissen, etwa bei Verantwortlichkeiten. So entbindet die Auslagerung von Tätigkeiten mit personenbezogenen Daten – beispielsweise die Zusammenarbeit mit einem Callcenter bei Umfragen – den Auftraggeber nicht von seiner Verantwortung. Selbst wenn dieser Daten in anonymisierter Form vom Dienstleister erhält, braucht es einen Auftragsverarbeiter-Vertrag, in dem auch alle TOMs (Anm. „technische und organisatorische Maßnahmen“) für die sichere Datenverarbeitung geregelt sind. Die DSGVO fordert hier „State of the Art“, also den Stand der Technik ein. 

Gelber: Eine der Herausforderungen ist oft auch eine ganze Kette von Auftragsverarbeitern. Den Dienstleister, der mit mir am Tisch sitzt, kenne ich noch persönlich. Aber mit welchen Partnern arbeitet dieser? Die Verantwortung dafür wird gerne unter den Tisch gekehrt. Man versucht sich zwar vertraglich abzusichern, wenn dann aber in der dritten Ebene ein Vorfall passiert, ist der Auftraggeber nicht nur trotzdem in der Pflicht, sondern sein Renommee nimmt Schaden. Man sollte sich also auf jeden Fall bewusst sein, dass die Verantwortung für Maßnahmen und Geschäftsprozesse nicht bei der eigenen Firmengrenze aufhört. Wir raten unseren Kunden: Schauen Sie sich genau an, wie Ihre Partner und Dienstleister arbeiten.

Was sind typische Begutachtungen, mit denen Sie sich bisher beschäftigt haben?
Fiala: Oft haben wir den Fall einer Absicherung eines Projekts im Vorfeld gegenüber dem Rechnungshof. So haben wir auch die Plattform „Österreich testet“ begutachtet, über die mehr als 30 Millionen Testtermine abgewickelt worden sind. Zunächst war die Ausgangslage für das Projekt eigentlich schwierig. Mit der Pandemie bestand Gefahr in Verzug, das Projekt musste rasch umgesetzt werden – das übliche Pflichtenheft gab es aus diesem Grund auch nicht. Trotzdem wurde die Plattform in einem agilen Vorgehen mit dem Fokus auf Prototyping innerhalb von nur zehn Kalendertagen live geschaltet. Wir sind selbst schon viele Jahre in der IT-Branche tätig und haben schon viele Programmierungen und Umsetzungen gesehen. Die A1-Tochter World-Direct hat das unter Berücksichtigung der Rahmenbedingungen mustergültig umgesetzt.

Gelber: Mit unserem Unternehmen DSGVO-zt fokussieren wir auf Datenschutzthemen in der gesamten Breite. Wir kennen nicht nur die Gesetzestexte, sondern können diese auch in einer IT-Organisation eines Unternehmens einordnen. Es braucht schon große Erfahrung im Auditing, über die wir verfügen, um die Umsetzung eines Regelwerkes im Kontext von Unternehmensprozessen zu bewerten. Prinzipiell bildet das die Qualität einer Prüfung oder eines Audits von Datenschutzmaßnahmen: Wie ordnet man diese zu? Mit welchen Mitteln sollten Risiken minimiert werden können?

Welchen Vorteil werden nun DSGVO-Zertifikate bringen, die Sie anbieten wollen? Warum sollten Unternehmen einen Service zertifizieren lassen?

Fiala: Da gibt es mehrere Gründe. Eine externe Prüfung und Bestätigung der Konformität bedeuten Sicherheit – Unternehmen bekommen damit verbrieft, gewissenhaft und korrekt am Markt zu agieren. Und man hat gute Karten gegenüber den Behörden. Die Datenschutzbehörde kann aus drei Gründen von Amtswegen aktiv werden. So kann sie zu jeder Zeit eine Prüfung anordnen, dann wird sie in der Regel im Falle von Beschwerden tätig sowie bei einem Datenschutzvorfall, sofern dieser meldepflichtig ist. Kann dann ein DGSVO-Zertifikat vorlegt werden, ist zumindest grundsätzlich klar, dass der Datenschutz ernst genommen wird. Liegt bei einem Verfahren eine Ziviltechnikerurkunde als Zertifikat vor, muss die Behörde dies im Strafmaß berücksichtigen.

Unternehmen mit entsprechender Zertifizierung haben einfach auch einen Vorsprung gegenüber ihren Mitbewerbern. Eine Bank, die sich als erstes Finanzinstitut dem Thema DSGVO-Zertifizierung widmet, könnte dies öffentlichkeitswirksam kommunizieren. Und wir sind überzeugt, dass in einigen Jahren die Zertifizierung in bestimmten Branchen zum Standard gehören wird.

Gelber: Über diese formale Prüfung hinaus, die eine Zertifizierung erfordert, kennen wir einfach auch die TOMs. Wir wissen, wie sie auch branchenbezogen gestaltet sein sollten, wir weisen auf Lücken und Ergänzungsmöglichkeiten hin. Wir sehen diese Dienstleistung als Teil des Zertifizierungsprozesses – wenngleich Audit und Beratung selbstverständlich getrennt voneinander durchgeführt werden. Sollte Bedarf für beides bestehen, teilen wir diese Bereiche entsprechend unserer Richtlinie „Interessenskonflikte“ personell streng.

Fiala: In unserer Rolle als Ziviltechniker siegeln wir eine Zertifikatsurkunde persönlich, da auch wir persönlich dafür haften. Auch in der Vergangenheit haben wir die Bereiche Audit und Beratung rechtlich und organisatorisch immer getrennt – es ginge auch nicht anders. Aber es hat trotzdem den Vorteil, dass wir auch kurze Wege zueinander haben, wenn zum Beispiel Dinge nachzubessern sind.

Adressieren Sie mit der Zertifizierung zunächst größere Organisationen?

Fiala: Im Wesentlichen ja. Unternehmen mit Massengeschäft, wie es zum Beispiel die großen Banken sind, haben in Riesenmengen mit personenbezogenen Daten zu tun. Bei diesen Daten geht es um die Bonität von Personen, also um das Innerste der Privatsphäre.

Im Gegensatz zur ISO 27001 ist in der DSGVO nicht vorgesehen, ein ganzes Unternehmen zu zertifizieren. Ein Konto und die Transaktionen dahinter wären ein überschaubares Produkt oder ein Service, der zwar komplex, aber in sich abgeschlossen ist. Die Grenzen zwischen Produkt und Services sind heutzutage fließend. 

Was wären für Sie weitere interessante Servicebereiche?

Fiala: Eigentlich sind dies alle Unternehmen mit Endkundengeschäft, zum Beispiel Handelsketten mit Kundenkarten, Zustelldienste oder Energieversorgungsunternehmen und Netzbetreiber. Mit Technik wie dem Smart Meter könnten Profile zu Gewohnheiten und Aufenthaltsorten abgelesen werden – das alles sind sensible Daten. Auch die Versicherungen bieten ein Tätigkeitsfeld. 

Gelber: Die Themenbreite ist groß und durch die Digitalisierung der Wirtschaft und Gesellschaft sollte der Schutz der Daten von Menschen besonders beachtet werden. Wir werden uns immer die Fragen stellen müssen: Wie gehen Unternehmen mit meinen Daten um? Was kann aus diesen Daten gewonnen werden? Mit Industrie 4.0 und Automatisierung, auch mit vernetzten Fahrzeugen haben wir zwar rein technische Lösungen, aber von Menschen generierte Daten. Die Produkte und Prozesse müssen deshalb sorgfältig, auch für die Zukunft sicher, gebaut werden.


Hintergrund
Ein DSGVO-Zertifikat nach Art. 42/43 DSGVO ist eine Bestätigung einer akkreditierten Zertifizierungsstelle, dass personenbezogene Daten DSGVO-konform verarbeitet werden. Das Zertifikat ist im Regelfall drei Jahre gültig. Die Kosten sind abhängig vom Umfang und der Komplexität des Zertifizierungsobjektes.

Zertifiziert werden können
- Produkte (Beispiele sind Apps, Softwaretools, Standardsoftware und Webseiten)
- Prozesse (zum Beispiel Verarbeitungstätigkeiten wie Kreditvergaben und Bonitätsprüfungen)
- Dienstleistungen (zum Beispiel Druck- und Versand-Dienstleistungen, Cloudservices)

 

Details

Meistgelesene BLOGS

Firmen | News
14. März 2024
Letzte Chance: Sind Sie Österreichs „CISO of the Year"? Anmeldungen noch bis 29. März 2024 möglich
Bereits zum dritten Mal verleiht die auf Informationssicherheit spezialisierte Zertifizierungsinstanz CIS - Certification & Information Security Services GmbH die begehrte Personenauszeichnung „CI...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Alfons A. Flatscher
21. März 2024
Kritisch & kreativ
 Mit KI-Technologien bleibt kein Stein auf dem anderen. Ganze Berufsstände, die sich bisher unangreifbar fühlten, geraten plötzlich in eine Krise. Legionen von Programmierern arbeiten gerade an d...
Read More
Firmen | News
15. März 2024
Dachziegel reinigen – das sollte man darüber wissen
Moos auf dem Dach sieht zwar eine Weile ganz hübsch aus, aber zu viel kann dann doch auch die Funktion des Daches beeinträchtigen. Flechten, Algen, Vogelkot und andere Schmutzablagerungen hingegen seh...
Read More
Andreas Pfeiler
27. März 2024
Die Wohnbaukrise hat den Stammtisch erreicht!
Die Bundesregierung hat ein lang überfälliges Wohnbauprogramm gestartet. Ausschlaggebend dafür war ein Vorschlag der Sozialpartner, der medial aber zu Unrecht auf einen Punkt reduziert und ebenso inte...
Read More
Redaktion
09. April 2024
Nachhaltigkeit ist (auch) Sache der Bauweise
Die Baubranche befindet sich gerade in einem riesigen Transformationsprozess. Dabei gilt es nicht nur, das Bauen CO2-ärmer und insgesamt nachhaltiger zu gestalten, sondern auch Wege zu finden, wie man...
Read More
Mario Buchinger
04. März 2024
Human Resources - warum Mitarbeitende keine Ressourcen sind
Der Faktor Mensch wird noch von vielen Manager*innen unterschätzt und oft nur auf Kostenaspekte reduziert. Diese Einschätzung ist fatal und fällt betreffenden Unternehmen zunehmend auf die Füße. Warum...
Read More
Firmen | News
27. Mai 2024
Wie Online-Vergleichsportale den Bankensektor in Österreich verändern
Die Zeiten, in denen man eine Bankfiliale besuchen musste, um sich über finanzielle Produkte zu informieren, sind längst vorbei. Heute, in einer Ära, in der praktisch jede Information nur einen Klick ...
Read More

MEDIADATEN

REPORT (+) 2024 
Bau & Immobilien REPORT 2024 
 REPORT Online
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com