Das BRZ ist als IT-Dienstleister marktführender Technologiepartner des öffentlichen Bereichs. Als Hüter des Datenschatzes der Republik nimmt das BRZ die EU-DSGVO sehr ernst, wie Produktmanager Markus Charwat im Interview verrät. [...]
Das BRZ ist auf den öffentlichen Bereich spezialisiert. Was haben Sie in Sachen Datenschutzgrundverordnung (DSGVO) zu bieten?
Ja, das BRZ ist der größte Anbieter im E-Government-Bereich für IT-Dienstleistungen. Allein aufgrund unserer Kundenstruktur, das Finanzministerium und das Justizministerium zählen dazu, und der Daten, die wir verarbeiten, haben wir immer schon auf den Datenschutz geachtet, und auf die Datensicherheit ebenso – beides Bereiche, die wir sehr ernst nehmen. Aber die DSGVO ist nicht in luftleerem Raum entstanden, es gibt in Österreich seit 1978 ein Datenschutzgesetz. Viele von den Regelungen des DSG 2000 werden in der DSGVO weitergeführt.
In Sachen Datenschutz bietet das BRZ diverse Workshops und Consultings, überdies bieten wir auch ein eigenes Verzeichnis von Verarbeitungstätigkeiten an. Das ist ein eigenes Web-Tool, eine Cloud-Lösung, die wir Kunden, Unternehmen, aber auch Vereinen, wenn sie zur Führung von einem Verzeichnis verpflichtet sind, anbieten. Diese Webanwendung führt schön strukturiert durch Artikel 30, der das Verzeichnis regelt und bietet u.a. Ausfüllhilfen, die auch Menschen, die sich noch nicht so intensiv mit dem Datenschutz auseinander gesetzt haben, die Materie zugänglicher machen. So haben wir Vorschlagslistenwerte z.B. für betroffene Personen bereits vorgegeben, wo zwischen Mitarbeiter, Kunde, Lieferant etc. gewählt werden kann. Auch bei den personenbezogenen Daten werden mehrere hundert Werte vorgeschlagen, wie Name, Anschrift etc.
Die hohen Strafen von 4 Prozent des Jahresumsatzes bzw. 20 Millionen Euro schrecken Sie nicht ab?
Behörden und öffentliche Stellen sind von den Strafen ausgenommen. Das BRZ zählt in Nachfolge des ehemaligen Bundesrechenamts zählt als öffentliche Stelle. Wenn aber etwas passiert, ist der Imageschaden in jedem Fall sehr groß. Wir müssen Schadenersatz leisten und – das ist jetzt neu durch die DSGVO – es gibt auch einen Anspruch auf einen immateriellen Schadenersatz. Und das kann schon teuer werden. Das relativiert den Satz, dass wir als öffentliche Stelle von der Strafe ausgenommen sind, weil wir zivilrechtlich sehr wohl haften. Grundsätzlich sind diese hohen Strafen natürlich eine Motivation für die Geschäftsführung und den Vorstand in Sachen Datenschutzrichtung tätig zu werden.
Das BRZ bietet noch im März 2018 auch Schulungen an. Ist das nicht reichlich spät, wenn die DSGVO am 25. Mai in Kraft tritt? Kann man so schnell eine Datenschutzstrategie entwickeln?
Die Standard-Juristen-Antwort ist: Es kommt drauf an. Und es ist durchaus möglich, mit einem gewissen Einsatz an Personal und Mittel auch für ein kleines Unternehmen datenschutzkonform zu werden. Ich hab immer die Hoffnung, dass auf der einen Seite auch bei kleineren Unternehmen der Datenschutz bereits ein Thema war und somit die DSGVO nicht komplett neu umgesetzt werden muss, sondern auf bestehende Mechanismen aufsetzen kann.
Es gibt in Österreich das Datenverarbeitungsregister (DVR), d.h. ein zentrales Verzeichnis, das von der Datenschutzbehörde direkt geführt wird. In Zukunft muss so ein Verzeichnis jeder Verantwortliche selbst führen. Wenn ich also als Verantwortlicher in dieses DVR bereits etwas eingemeldet habe, kann ich diese Daten weiter verwenden. Auch die Informationspflicht bei Datenmissbrauch an die Behörde oder an die betroffene Person gibt es in Österreich bereits seit der DSG-Novelle 2010. Dennoch: Schön langsam sollte man in die Gänge kommen, denn der 25. Mai ist doch schon relativ bald.
Mein Eindruck ist, dass momentan zumindest 50 Prozent der Unternehmen noch nicht viel gemacht haben.
Ja, das sehe ich auch so. Die Awareness steigt oder fällt mit der Größe des Unternehmens. Auch klassische Handwerksbetriebe bis zum kleinen IT-Unternehmen sind von der DSGVO betroffen, doch die Awareness ist da oft nicht sehr hoch.
Für die Awareness-Bildung speziell von den Mitarbeitern haben wir eine E-Learning-Webanwendung, die die wichtigsten Punkte für die Mitarbeiter durchgeht. Gerade in großen Unternehmen ist es oft nicht praktikabel jeden Mitarbeiter einzeln zu unterrichten oder einen Frontalvortrag für alle Mitarbeiter anzubieten. Hier ist E-Learning das Mittel der Wahl. Es gibt auch die Möglichkeit, einen Abschlusstest zu machen. Zwar geht es hier hauptsächlich um die Awareness-Bildung der Mitarbeiter, aber der Test eignet sich möglicherweise auch, um gegenüber der Aufsichtsbehörde nachzuweisen, dass eine grundlegende Mitarbeiterschulung stattgefunden hat.
Gibt es für diese Angebote eine Deadline oder bieten sie diese auch nach dem 25. Mai an?
Ich denke, dass es mit 25. oder 26. Mai erst richtig losgehen wird. Ich glaube, dass es durchaus eine Menge an Verantwortlichen gibt, die sich ihrer Verantwortung nicht bewusst sind. Es wird dann möglicherweise die ersten Strafen geben, die vielleicht nicht so hoch ausfallen werden, aber doch auch in den Medien sind. Das wird dann nochmal ein Weckruf sein, doch noch die DSGVO zu implementieren.
Was kann man in Sachen Datenschutz automatisieren?
Es gibt viele Möglichkeit, wie man den Prozess automatisieren kann. Aber der erste Schritt ist, eine Bestandsaufnahme zu machen. Welche Daten verarbeite ich? Welche Auftragsverarbeiter, also welche Dienstleister habe ich und welche Daten verarbeiten diese und haben diese wiederum Subdienstleister usw. Diese Bestandsaufnahme wird relativ schwer automatisierbar sein. Was ich aber auf jeden Fall automatisieren kann, ist zum Beispiel das Auskunftsbegehren oder ein Löschbegehren.
Für einen Friseur oder einem klassischen Handwerksbetrieb, der einen Computer mit ein paar Kundendaten oder eine ausgelagerte Personalverwaltung hat, geht es eher darum, die Mitarbeiter zu schulen und deren Bewusstesein für den Datenschutz zu heben. Das Bewusstsein für den Datenschutz zu heben, ist auch in größeren Unternehmen sehr schwer, da die DSGVO oft als Thema der Rechtsabteilung oder als Thema der IT gesehen wird, das einen selbst nicht betrifft. Aber es ist ein Thema, das das gesamte Unternehmen betrifft.
Ist es nicht ratsam als ersten Schritt die Daten zu verschlüsseln?
Das ist kein schlechter Tipp und die Pseudonymisierung oder Verschlüsselung ist sogar explizit in der DSGVO angeführt. Dem unrechtmäßigen Veröffentlichen der Daten kann mit verschlüsselten Daten ein Riegel vorgeschoben werden. Was man aber nicht vergessen darf und was ebenfalls eine Verarbeitung personenbezogener Daten im Sinn der DSGVO darstellt, ist das Löschen von Daten. Ein Beispiel aus dem öffentlichen Bereich: Wenn das Bundesheer meine Daten löscht, dass ich den Grundwehrdienst geleistet habe und ich diesen noch einmal machen muss, oder wenn die Universität vergisst, dass ich einen Magister in Rechtswissenschaften erworben habe, dann hilft auch das Verschlüsseln nichts. Sprich: Das Veröffentlichen von Daten ist nur ein Teil des Thema, das Verlieren und Löschen der Daten darf man auch nicht außer Acht lassen.
Es ist in jedem EU-Land die jeweilige Datenschutzbehörde zuständig, in Deutschland sogar in jedem Bundesland. Was ist hier für länderübergreifende Konzerne zu bedenken?
Die DSGVO ist eine Verordnung und insofern direkt anwendbar in jedem EU-Land, hat aber relativ viele Öffnungsklauseln, d.h. sie lässt den nationalen Gesetzgeber viele Bereiche, in denen er selber tätig werden kann. Im Detail ist es in jedem Land mitunter ein wenig anders, was den länderübergreifenden Teil komplizierter macht. Auf der anderen Seite geht die DSGVO sehr stark von der Sicht der betroffenen Person aus, deren Daten verarbeitet werden. Hier gibt es beispielsweise das Prinzip des One-stop-shop, sprich ich kann als Österreicher zur österreichischen Datenschutzbehörde gehen und die regelt den Fall dann mit der jeweils zuständigen Datenschutzbehörde. Das bedeutet, dass ich als Unternehmen in Österreich wahrscheinlich zu 99 Prozent mit der österreichischen Datenschutzbehörde zu tun habe, die aber quasi im Wege der Amtshilfe mitunter für eine andere Aufsichtsbehörde tätig wird. Das ist eine Dynamik, die ich jetzt noch nicht absehen kann, denn dann gibt es unterschiedliche Gesetze und unterschiedliche Aufsichtsbehörden, die aber versuchen, dieselbe EU-Verordnung umzusetzen. Hier ist Vieles noch nicht ganz klar.
Be the first to comment