Österreich
Secure Your Business
 

EU-DSGVO: Kriterien und effiziente Schritte zum Datenschutzmanagement


Wie bereiten sich Unternehmen auf die Umsetzung des neuen EU-Datenschutzes vor? Die Key Note dazu auf dem „13. Information-Security-Symposium“ hielt RA Dr. Markus Frank.

 

 

(CIS-Newsletter Juni 2017) - Das juristische Highlight auf dem „13. Information-Security-Symposium, WIEN 2017“ von CIS und Quality Austria anlässlich der bevorstehenden EU-Datenschutzgrundverordnung präsentierte Wirtschaftsjurist und Datenschutzexperte Dr. Markus Frank: „Bei vielen Unternehmen sind erhebliche Unsicher-heiten festzustellen, wie man bei den umfangreichen neuen Anforderungen Prioritäten setzen kann, um möglichst effizient vorzugehen und dennoch die erheblichen Haftungsrisiken zu mindern“, betonte er eu-flags_istockphoto-ricardoazouryin seinem Vortrag vor mehr als 220 Besuchern im Kursalon Wien. Bußgelder bis zu vier Prozent des Jahresumsatzes oder bis 20 Mio € machen die im Mai 2018 national in Kraft tretende DSGVO zu einem dringlichen Thema. Franks Empfehlung: „Bei ihren oft zahlreichen Verarbeitungen von personenbezogenen Daten müssen Organisationen vor allem dort die dringendsten technischen und organisatorischen Datenschutzaßnahmen (TOMs) setzen, wo die größten „Risiken für die Rechte und Freiheiten der Betroffenen“ liegen.

 

TOM und das Verfahren zur Datensicherheit
Zur Erreichung der Sicherheit der Datenverarbeitung (Vertraulichkeit, Integrität und Verfügbarkeit) verlangt die DSGVO vom Datenverarbeiter geeignete TOMs und ein „Verfahren“ zur Umsetzung (Sicherheitsmanagement-System). Um diese TOMs festlegen zu können, müssen zuerst alle Verarbeitungstätigkeiten in der Organisation bekannt sein (IST-Zustand) und die daraus resultierenden Risiken für die Betroffenen. Zur Sicherstellung der Einhaltung der übrigen Datenschutz-Grundsätze der DSGVO wie Datenminimierung, Transparenz, Zweckbindung oder Speicherbegrenzung und der konkreten Pflichten wie Auskunft, Löschung etc. müssen ebenfalls geeignete TOMs umgesetzt und „erforderlichenfalls überprüft“ werden. Je nach Art und Umfang der gegenständlichen Datenverarbeitungen und daraus folgenden Risiken kann dies bloß einige geeignete Datenschutz-Maßnahmen erfordern oder aber ein komplexes Datenschutz-Management-System. Die DSGVO zählt Kriterien wie „Implementierungskosten“ oder „angemessenes Verhältnis“ auf, die bei der Festlegung von Art und Ausmaß der TOMs und des einzurichtenden Management-Systems zu berücksichtigen sind. Dabei stellt die DSGVO teils unterschiedliche Anforderungen an Verantwortliche und Auftragsverarbeiter.

 

Abstrakte Vorgaben im Lichte der EuGh-Rechtssprechung
MarkusFrank_Fotohinweis Bianca JakobicEs ist Aufgabe von internen oder externen Datenschutz-Juristen, ihrem interdisziplinären DSGVO-Umsetzungsteam zu „verdeutschen“, was all diese Vorgaben der DSGVO konkret für ihre Organisation bedeuten können. Weiters führte Dr. Markus Frank aus: „Die leider recht abstrakt formulierten Vorgaben der DSGVO sind im Lichte der jahrzehntelangen Rechtsprechung des EuGH und des EGMR zu verstehen.“ Häufige Fragen vor diesem Hintergrund seien etwa: Was bedeuten konkret Risiken für Rechte und Freiheiten der Betroffenen? Welche Gewichtung misst die Rechtsprechung den zu berücksichtigenden Implementierungskosten von Sicherheitsmaßnahmen zu? Wie soll das Umsetzungsteam die „Risiken für Betroffene“ ermitteln, wenn es keine klare Vorstellung davon hat, was hier konkret gemeint ist. Wie soll ein IT-Techniker im Umsetzungsteam geeignete technische Schutz-Maßnahmen vorschlagen, wenn er keine klare Vorstellung von der Zielsetzung „Schutz der Rechte Betroffener“ hat? „Nur mit ausreichendem Verständnis dieser Vorgaben der DSGVO wird ein Umsetzungsteam in der Lage sein, ausreichend und effizient relevante Datenschutz-Risiken festzustellen und richtig zu bewerten und die geeigneten TOMs zu definieren und umzusetzen“, brachte Rechtsanwalt Dr. Markus Frank die vorherrschenden Schwachpunkte in den Organisationen auf den Punkt.

 

Österreichische DSGVO-Anpassungen
Auf dem politischen Parkett bleibt es derzeit noch spannend, denn das nationale Datenschutzanpassungsgesetz liegt erst als Entwurf vor und muss angesichts mehrerer Stellungnahmen noch finalisiert werden. Dennoch empfiehlt Dr. Markus Frank den Unternehmen und Organisationen, jetzt schon die Zeit zu nutzen, um eine umfassende Datenschutz-Ist-Zustandsanalyse durchzuführen: „Die Durchführung der gemäß EU-DSGV geforderten Ist-Analyse ist keinesfalls abhängig von den nationalen Ausformungen und sollte in Anbetracht des enormen Aufwands bereits jetzt in Angriff genommen werden. Zu erfassen sind alle Datenschutz-relevanten Komponenten in einer Organisation wie IT-Infrastruktur und IT-Anwendungen, die Art der erfassten Daten, Datenflüsse sowie Betroffene, Daten-Owner + -User.“ Diese Ist-Zustandserhebung sei dann die Basis für die nächsten laut EU-DSGVO geforderten Schritte, nämlich die Analyse der Datenschutz-Risiken. Ganz wichtig sei hier zu beachten, dass nicht vorrangig Risiken für das Unternehmen betrachtet werden, sondern die Risiken für die Betroffenen - natürliche Personen, auf die sich personenbezogene Daten beziehen. Ein Risiko kann beispielsweise die Diskriminierung einer betroffenen Person in Folge einer ungewollten Veröffentlichung ihrer Gesundheitsdaten sein. Die Risiken sollten, so Markus Frank, gemäß den Vorgaben der DSGVO priorisiert werden. Dann sollten Schritt für Schritt die geeigneten technischen und organisatorischen Schutzmaßnahmen für die Datensicherheit und den Datenschutz festgelegt und umgesetzt werden.

 

Riskante Bereiche bis Mai 2018 sichern
Bis zum Inkrafttreten der DSGVO im Mai 2018 sollten zumindest alle riskanten Bereiche ausreichend gesichert und geschützt sein. Je nach Risiken sind dann kontinuierlich Prüfungen und Verbesserungen (plan-do-check-act) durchzuführen. Zusätzlich sind diverse Prozesse zur Erfüllung von Rechten der Betroffenen (z.B. Informations- und Auskunftsrechte) einzuführen. Neu ist unter anderem, und darin steckt viel Arbeit, dass der Verantwortliche und auch der Auftragsverarbeiter die obigen Schritte – inklusive Ist-Zustandserfassung – umfassend dokumentieren muss. Stichworte dazu: Beweislast-Umkehr, Rechenschaftspflicht, Verzeichnis der Verarbeitungstätigkeiten. Dazu sind auch Dokumente zu erstellen, wie sie heute schon beim Datensicherheits-Management üblich sind, aber erweitert für ein Datenschutz-Management, wozu Elemente wie Datenschutz-Policies oder Benutzer-Richtlinien gehören. Wer ein funktionierendes Datensicherheits-Managementsystem betreibt, hat immerhin schon „die halbe Miete“. Aber, warnt Markus Frank, die Kriterien für Sicherheit der Verarbeitung gemäß Art. 32 DSGVO stimmen nicht gänzlich überein mit den bisher bekannten Datensicherheitsmaßnahmen des § 14 österr. DSG oder auch Maßnahmen gemäß Anlage zu § 9 dt. BDSG.

 

Anerkennung von Zertifizierungsverfahren
Im Rahmen des Datenschutzes müssen auch Zustimmungserklärungen, Auftragsverarbeiter-Verträge, Betriebsvereinbarungen etc. überarbeitet oder neu formuliert werden. Schulung und Sensibilisierung der Mitarbeiter für Datenschutz wird ein wichtiges Thema. Für Unternehmen und Organisationen, die Zertifikate zu solchen Zertifizierungsverfahren erlangen, welche nach der DSGVO anerkannt werden, wird es gemäß DSGVO ausdrücklich diverse Erleichterungen bei Erbringung erforderlicher Nachweise geben – so etwa für Garantien von Auftragsverarbeitern oder bei Übermittlungen an Drittländer. Erforderliche Kriterien für solche zur DSGVO anerkannte Zertifizierungsverfahren müssen erst von der nationalen Datenschutzbehörde oder – für eine europäische Zertifizierung – vom europäischen Datenschutz-Ausschuss genehmigt werden. Ein konkreter Inhalt von Genehmigungskriterien und der Zeitpunkt, wann diese bekannt gemacht werden, ist derzeit leider noch nicht absehbar.


ISO 27001 und Datenschutz
In diesem Zusammenhang zog Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, einen Vergleich mit dem anerkannten und Datenschutz-affinen Standard für Informationssicherheit ISO 27001: „Ein Managementsystem für Informationssicherheit nach ISO 27001 deckt alle in einem Unternehmen vorhandenen Informationen ab, gemäß Geltungsbereich. Im Vergleich dazu betrifft das Datenschutzgesetz nur personenbezogene Daten. ISO 27001 geht also inhaltlich einerseits über die Datenschutz-Anforderungen hinaus. Andererseits deckt der Standard die tiefergehenden Datenschutz-Spezifika wie etwa Einhaltung der Datenminimierung oder Wahrung der Betroffenenrechte nicht explizit ab.“ Erich Scheibers Resümee dazu lautet: „Insgesamt unterstützt eine Zertifizierung nach ISO 27001 jene EU-konformen Datenschutzzertifizierungen erheblich, die in naher Zukunft noch genehmigt werden, und zwar zumindest in Hinblick auf die Sicherheit – Verfügbarkeit, Vertraulichkeit und Integrität – von Daten. Ein zertifiziertes Informationssicherheits-Managementsystem unterstützt die Erfüllung der DSGVO-Anforderungen somit wesentlich.“

 

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB