Während manche Unternehmer den Bürokratieaufwand der DSGVO als zu hoch einschätzen, hebt die Fachgruppe UBIT der WKW die Vorteile hervor und kommt zu einem erfreulichen Schluss: Die DSGVO ist für Betriebe und für ihre Kunden von großem Vorteil – sofern mit entsprechendem Fokus umgesetzt. [...]
Seit Ende Mai 2018 sind Unternehmen und Behörden in Österreich verpflichtet, die EU-Datenschutzgrundverordnung (DSGVO) umzusetzen. Die DSGVO sieht vor, dass Unternehmen die Daten ihrer Kunden und Kundinnen vor jeglichem Missbrauch schützen müssen. „Bevor die Umsetzung der Datenschutzgrundverordnung bindend wurde, waren viele Unternehmen verunsichert, wie sie diese Vorgabe in ihrer täglichen operativen Arbeit erfüllen könnten. Die Aufregung hat sich mittlerweile gelegt, dennoch klagen einige Unternehmerinnen und Unternehmer immer noch über den bürokratischen Aufwand“, erklärt Martin Puaschitz, Obmann der Fachgruppe UBIT der WKW. „Doch nach unserer Erfahrung nach etwas mehr als einem Jahr können wir guten Gewissens sagen: Die DSGVO war mehr als notwendig, damit umfassend für IT-Sicherheit und Datenschutz gesorgt wird. Unternehmen profitieren davon, wenn sie Synergieeffekte nutzen und sich gleichzeitig auch auf die eigene Datensicherheit fokussieren. Denn dann lohnt sich der Aufwand in allen Fällen.“
Die unterschätzten Gefahren
Gefahren für Kundendaten lauern an vielen Ecken, intern oft durch nicht ausreichend geschulte MitarbeiterInnen, oder durch Angriffe von außen. „Cyberkriminalität ist eine negative Begleiterscheinung der Digitalisierung. Wer die DSGVO nicht nur juristisch, sondern vor allem auch technisch umsetzt, kann sich in hohem Maße vor Angriffen von außen schützen“, weiß Vincenz Leichtfried, Datenschutzexperte. „Datenschutz ist gleich IT-Sicherheit ist gleich Unternehmensstabilität“, fasst Leichtfried den Nutzen der DSGVO zusammen. Wer die Verordnung tatsächlich praktisch umsetzt, erhöht die Datensicherheit im Unternehmen und schützt es gleichzeitig vor Betriebsausfällen. „In einem ersten Schritt müssen Unternehmen ermitteln, welche Datenanwendungen bei ihnen tatsächlich vorhanden sind“, erklärt Leichtfried. Wichtig sei es, eine ganzheitliche Risikoevaluierung des Betriebes zu ermöglichen. Unternehmerinnen und Unternehmer sollten sich einige Fragen stellen, deren Beantwortung für die Umsetzung des Datenschutzes von Bedeutung sind. Leichtfried nennt konkret folgende Fragestellungen:
- Wie lang darf ein Betriebsausfall dauern? Bei dieser Frage wird klar, dass es zu Umsatzentgang und zu Reputationsverlust führt, wenn der Betrieb zu lange steht.
- Wie aktuell müssen Backups sein? Sollte es zu einem Datenverlust kommen, müssen Sicherheitskopien vorhanden sein, die einerseits die entsprechenden aktuellen Informationen beinhalten und auch jene Daten, die vor dem Datenschutzvorfall gespeichert wurden.
- Wie hoch ist die Abhängigkeit von Dienstleistern und Schlüsselpersonen? Was passiert, wenn Dienstleister ausfallen oder Mitarbeiter nicht erreichbar sind? Es muss klar sein, wofür welche Kenntnisse und Fähigkeiten benötigt werden, um im Anlassfall rasch reagieren zu können.
„Bei der Beantwortung dieser Fragen ergeben sich einige Parallelitäten, die der DSGVO entsprechen und gleichzeitig dem Eigeninteresse des Unternehmens dienen“, erklärt Leichtfried.
Mehr Bewusstsein durch Datenschutzgrundverordnung
Wenn es um Cybercrime geht, hätten Unternehmen oft keinen Überblick, wo ihre größten Schwachstellen liegen. Die DSGVO hat hier durch das Schaffen von Bewusstsein viel bewirkt. Studien zeigen, dass Unternehmen wie auch Privatpersonen diesbezüglich viel sensibilisierter sind als noch vor zwei Jahren. Ein wichtiges Instrument zur Schaffung von mehr Sicherheit ist laut Leichtfried ein durchdachtes Berechtigungsmanagement – nicht jeder Mitarbeiter muss auf alles Zugriff haben. Darüber hinaus ist das Passwortmanagement entscheidend. Wenn für mehrere Anwendungen das gleiche Passwort verwendet wird, kann ein einzelner Leak enorme Folgen haben. „Eine weitere Gefahr ist fehlendes Bewusstsein darüber, wo Daten tatsächlich liegen und wie diese Speicherorte abgesichert sind“, warnt Leichtfried. Auch wenn man davon überzeugt ist, alles für die IT-Security und für den Datenschutz zu tun, empfiehlt Leichtfried einen Notfallplan. „Legen Sie fest, wie der Schaden schnell behoben werden kann. Dazu gehört, dass bekannt ist, wie die Schlüsselpersonen erreichbar sind und wie das IT-Security-Problem möglichst eingegrenzt werden kann.“
Experten-Rat einholen
Unternehmen, die keine eigene IT-Abteilung haben, rät UBIT-Obmann Puaschitz zu externen Experten. „Es gibt allein in Wien 11.000 IT-Dienstleister. Wer sichergehen möchte, dass die EU-DSGVO richtig umgesetzt wird und darüber hinaus für IT-Sicherheit und damit für Unternehmensstabilität sorgen möchte, ist bei diesen Experten bestens aufgehoben.“
Be the first to comment