Datenschutz ist Voraussetzung für Grundvertrauen in Unternehmen
Ein Interview mit der Unternehmensberaterin im Bereich Datenschutz, MR MMag Dr. Waltraut Kotschy, über fünf Jahre Datenschutzgrundverordnung (DSGVO), worauf Unternehmen beim Datenschutz achten müssen und wie sie sich vor Cyberattacken schützen können.
Frau Dr. Kotschy, am 25. Mai feiert die EU-Datenschutz-Grundverordnung ihren 5. Geburtstag. Wie lautet Ihr Fazit nach diesen fünf Jahren mit der DSGVO?
Die DSGVO ist mit fast 100 Artikeln ein großes Werk. Mit ihr ist es gelungen, die Aufmerksamkeit für Datenschutz in der Öffentlichkeit wesentlich zu erhöhen. Wahrscheinlich nicht zuletzt deshalb, weil die DSGVO so hohe Strafen vorsieht und weil die Datenschutzbehörden viel mehr Kompetenzen zur Rechtsdurchsetzung bekommen haben. Aber wie es bei so einem Riesenwerk üblich ist, gibt es auch viele Interpretationsprobleme. Man sieht das auch am EuGH (Europäischer Gerichtshof), wo derzeit ungefähr 30 Verfahren zum Datenschutz anhängig sind.
Strafen in Millionenhöhe sind jetzt mit der DSGVO eine ernsthafte Gefahr
Welche Schwächen hat die Verordnung aus Ihrer Sicht und was sind ihre Stärken?
Wenn man als Unternehmen compliant mit der DSGVO sein will, bedeutet das einen erheblichen Mehraufwand. Wenn der Aufwand so groß ist, gibt es natürlich viele Unternehmen, die sich sagen: „Das mache ich einfach nicht“ oder „Das kann ich mir nicht leisten.“ Die Stärke der Verordnung ist zweifellos, dass die Durchsetzbarkeit stark erhöht wurde. Denn wenn einmal in einem Beschwerdeverfahren eine Sache zur Sprache gebracht wird, dann sind am Ende sehr hohe Strafen möglich. Eine der wichtigsten Neuerungen sind ja die hohen Strafen. Die Höhe der Strafen lag vorher in der Verantwortung der Nationalstaaten. Dazu kann man in Österreich nur sagen: früher konnte man diese Strafen aus der Portokasse zahlen. Jetzt aber, wo das in die Millionen Euro gehen kann, ist das eine sehr viel ernsthaftere Gefahr.
Was kommt beim Datenschutz in Zukunft noch an gesetzlichen Bestimmungen auf die Unternehmen zu?
Die DSGVO ist als eine gesamte und abschließende Regelung gedacht. Es ist aber so, dass uns noch die Ausführungsregelung zum Datenschutz in der elektronischen Kommunikation fehlt – das, was bisher als e-privacy Richtlinie bezeichnet wurde. Hier ist eine neue Verordnung in Vorbereitung. Sie ist schon lange in Diskussion und noch immer nicht beschlossen. Da sollte etwas Neues im Zusammenhang mit whatsapp, emails und messenger-Diensten kommen, damit auch diese Dienste unter die gleichen datenschutzrechtlichen Regeln wie die traditionellen Formen elektronischer Kommunikation fallen.
Daten sind das größte Kapital, speziell von IT-Unternehmen. Wie hält man hier die Balance zwischen freiem Datenfluss und ihrem Schutz?
Das ist Gegenstand der neuen Datenstrategie der EU. Die Datenstrategie ist nicht beschränkt auf personenbezogene Daten, sondern sie betrifft Daten überhaupt. Die Frage lautet: wie diese neuen Regelungen, die es erleichtern sollen, vorhandene Daten nutzbar für andere zu machen, vereinbar sind mit dem Datenschutz, der im Prinzip einer Nutzung durch andere genau gegenläufig ist. Die Grundidee der neuen Datenstrategie ist, dass die DSGVO zur Gänze aufrecht bleibt. Allerdings ist es im konkreten Fall nicht ganz so einfach zu entscheiden, was das wirklich heißt, wenn ich einerseits diese Daten nutzbar machen soll für Dritte, andererseits aber die DSGVO gilt. Da liegt der Teufel im Detail.
Bei der neuen EU-Datenschutzstrategie, die in den nächsten zwei bis drei Jahren sehr wichtig wird, steckt der Teufel im Detail.
Die Datenschutzstrategie war bisher medial kein großes Thema, oder?
Ja, das stimmt. Für die Medien ist das vielleicht ein bisschen zu abstrakt. Aber ich glaube, es wird sehr wichtig werden. Auch wenn es für die Öffentlichkeit ein Thema ist, das nicht ganz so leicht durchschaubar ist. Jedenfalls beginnen wir jetzt bei der ARS Akademie auch dieses Thema in Seminaren zu behandeln. Weil es in den nächsten zwei, drei Jahren ganz wichtig werden wird.
Frau Kotschy, wo kommen Unternehmen überall in Berührung mit der DSGVO?
Überall dort, wo ein Unternehmen personenbezogene Daten verarbeitet. Im Außenverhältnis wären das natürlich klassisch die Kundendaten. In dem Augenblick, wo ich irgendeine Kundenkommunikation habe, habe ich personenbezogene Daten. Dann ist es natürlich auch wichtig im Innenbereich gegenüber den eigenen Mitarbeitern. In den meisten Tätigkeiten, die ein Unternehmen ausführt, sind personenbezogene Daten betroffen. Dort gilt überall die DSGVO.
Unternehmensleitung ist alleine für den Datenschutz verantwortlich
Welche Rolle sollte einem Datenschutzbeauftragten im Unternehmen zukommen?
Diese Rolle wird oft missverstanden. Aber in der DSGVO ist nicht angedacht, dass das jemand ist, der verantwortlich ist dafür, wie der Datenschutz in dieser Firma gelebt wird. Sondern der Datenschutzbeauftragte sollte der Ratgeber für die Unternehmensleitung sein, die alleine dafür verantwortlich ist, wie der Datenschutz in der Firma gehandhabt wird. Das darf man nicht verwechseln. Es ist immer der Geschäftsführer derjenige, der datenschutzrechtlich verantwortlich ist. Der Datenschutzbeauftragte muss dem Geschäftsführer aber zuarbeiten, ihm Rat geben, wie man es besser machen kann.
Und von Haftungsfragen ist er ebenso nicht betroffen?
Nein, keine Rede. Vor allem nicht nach außen. Es ist auf alle Fälle das Unternehmen haftbar. Das heißt, die nach außen vertretungsbefugten Organe. Das ist die Geschäftsführung.
Haben Sie für unsere Leser eine „Checkliste“ für Datenschutz im Unternehmen?
Eine Checkliste setzt voraus, dass man überhaupt weiß, was man checken soll. Das heißt, ich brauche zuerst eine Dokumentation. Das ist die erste und wichtigste Pflicht, die sehr oft vernachlässigt und sehr schlecht gemacht wird. Wenn man die Dokumentation hat, muss man schauen, ob jede dieser Datenverarbeitungen eine Rechtsgrundlage hat. Und zwar im Sinne der DSGVO. Das ist dort genau und abschließend festgelegt. Wenn man eine Rechtsgrundlage hat, muss man schauen, ob man alle sonstigen Pflichten eines Verantwortlichen erfüllt. Das sind Dinge wie Datensicherheit, aber auch zum Beispiel eine Risikofolgeabschätzung. Schließlich muss man vorsorgen, dass man die Rechte der Betroffenen erfüllen kann. Dass man also organisatorisch Vorsorge getroffen hat, wenn jemand kommt und Auskunft haben will. Man könnte sich natürlich auch zertifizieren lassen. Das heißt, es kommt ein Dritter und checkt das ganze Unternehmen auf compliance mit der DSGVO durch und am Ende bekommt man eine Zertifizierung.
Schwachstelle bei Cyberattacken sind immer Menschen
Wie kann man sich als Unternehmen am besten gegen Cyberangriffe rüsten?
Dazu gibt es in der DSGVO Regelungen, die sich mit den Pflichten desjenigen auseinandersetzen, der für die Datenverarbeitung verantwortlich ist. Schön zusammengefasst ist das im (alten) bundesdeutschen Datenschutzgesetz in Paragraf 9. Dort wird zum Beispiel die Zutrittskontrolle zu Gebäuden erwähnt oder die Zugangskontrolle, was bedeutet, dass die Räume, in welchen Daten verarbeitet werden, versperrt sind. Oder die Zugriffskontrolle: dass man auf Inhalte am Computer nicht zugreifen kann, nur weil ihn jemand „offen“ gelassen hat. Die Weitergabekontrolle bedeutet, dass die Daten nicht an andere übermittelt werden dürfen, ohne gewisse, strenge Regeln einzuhalten. Dann gibt es noch die Eingabekontrolle. Sie regelt, wer überhaupt Daten in das System eingeben darf. Dann natürlich auch die Verfügbarkeitskontrolle, das heißt, dass die Daten auch zugänglich sind. In dem Fall muss man sich als Unternehmen eben entscheiden, ob Zugang 24/7 oder nur 8h bis 14h benötigt wird. Diese catchwörter werden auch „TOMs“ genannt: Das sind die „technischen und organisatorischen Maßnahmen“, die man treffen muss, damit Datensicherheit gewährleistet ist.
Man muss vor allem bedenken, dass der große Schwachpunkt bei der Datensicherheit immer Menschen sind. Menschen, die zu bequem sind, etwas zu machen. Menschen, die vergesslich sind, weshalb sie sich die Passwörter aufschreiben und irgendwo herum liegen lassen. Menschen, die die Datenträger, auf denen die Daten gespeichert sind, irgendwo liegen lassen. Das ist immer die größte Schwachstelle. Daher muss man bei all diesen Dingen sehr große Mühe verwenden auf die Schulung der Mitarbeiter. Denn prozentuell ist es wohl so, dass die meisten Cyber-Einbrüche dadurch stattfinden, dass die Mitarbeiter irgendwelche mails aufmachen, die von dubiosen Adressen stammen.
Das ist der häufigste Grund für Datendiebstahl?
Ja, das hört man immer wieder. Man muss vielleicht noch eines sagen: eigentlich müsste man regelmäßig Audits machen, in denen man checkt, wie der Stand der Sicherheit tatsächlich ist. Das ist zum Beispiel etwas, was eine typische Arbeit für einen Datenschutzbeauftragten wäre. Dass er etwa einmal im Jahr schaut, ob all die Datensicherheitsvorschriften, die hoffentlich existieren, wirklich im Unternehmen exekutiert werden.