Am Mittwoch, dem 10. Oktober, starteten wir ein neues Veranstaltungsformat: das Business Breakfast. Bei diesem Business Breakfast wollen wir gemeinsam mit der Tageszeitung KURIER regelmäßig zu Kaffee & Kipferl einladen und in lockerer Atmosphäre wichtige und aktuelle Themen der Wiener Wirtschaft diskutieren. Zum Auftakt wählten wir die Europäische Datenschutzgrundverordnung – kurz DSGVO – und fragten nach, wie es der Wiener Wirtschaft vier Monate nach Inkrafttreten geht.
Nach einem Impuls von Jürgen Tarbauer, dem Vorsitzenden der Jungen Wirtschaft Wien, diskutierten Mag. Ursula Illibauer, Datenschutzexpertin der WKÖ, Mag. Michael Suda, Österreichische Datenschutzbehörde, Benjamin Haller, Betriebsleiter von hallermobil und Dr. Vincenz Leichtfried, Zertifizierter Daten- & IT-Security Experte, unter der Moderation von Robert Kleedorfervom Kurier. Rund 45 interessierte UnternehmerInnen folgten der Einladung ins Forum Mozartplatz.
Datenschutz ist ein laufender Prozess
Mitte Mai dieses Jahres ist die DSGVO in Kraft getreten. Ziel ist es, personenbezogene Daten besser zu schützen. Von den Veränderungen betroffen sind nahezu alle Unternehmen und Behörden, aber auch andere Organisationen wie Vereine. „Die Umsetzung und Wahrung des Datenschutzes erfolgt auf mehrere Ebenen, auf juristischer, technischer sowie organisatorischer. Der Großteil der neuen Verordnung sei vielen klar, es gibt aber Unsicherheit im Detail“, so Leichtfried. Diese Unsicherheiten werden sich aber nicht rasch lösen lassen. „Die DSGVO ist in vielerlei Hinsicht einzigartig, wie die Einführung von länderübergreifenden Regelungen. Daher wird es auch noch Jahre dauern, bis alles klappt. Bei einem Projekt dieser Größe braucht man einfach auch Geduld“, so Suda von der Datenschutzbehörde. Illibauer von der WKÖ folgte mit einem Appell, dass sich Unternehmen laufend informieren müssen. Datenschutz ist nicht etwas Einmaliges, sondern ein laufender Prozess, der immer wichtiger wird. „Hier gab es zum Teil eine falsche Erwartungshaltung“, so auch Leichtfried.
Guter Anlass, Prozesse zu überarbeiten
Für die Unternehmersicht sorgte Benjamin Haller von hallermobil. Da sie dort mit gesundheitsbezogenen und somit sensiblen Daten arbeiten, ist die Sache noch spannender. Sie nahmen dazu die Unterstützung eines eigenen Consultants an, aber dennoch gab bzw. gebe es noch Schwierigkeiten, da auch viele Auftraggeber nicht immer genau wissen, was zu tun sei. „Es ist weniger der finanzielle Aufwand, der hält sich in Grenzen. Aber der zeitliche Aufwand war und ist enorm“, so Haller. Der junge Betriebsleiter und Datenschutzbeauftragte im Unternehmen sieht aber auch klare Vorteile: „Die DSGVO war auch ein Anlass dazu, alle Prozesse im Unternehmen zu überarbeiten und zu optimieren, nicht nur in Bezug auf den Datenschutz. Es kommt auch viel Datenmüll weg, von dem man sich gar nicht bewusst war.“
326 Meldungen in 4 Monaten
Nach dem Experten der Datenschutzbehörde gab es bis 1. Oktober 326 Meldungen eines Data Breachs, also eines Datenlecks. Diese Fälle reichen jedoch von Hacker-Angriffen bis hin zu falsch versendeten Briefen. Viele dieser Meldungen hatten kein juristisches Nachspiel. Diese Meldungen liegen in einem solchen Fall beim Verantwortlichen, sprich bei Unternehmen. Kommt eine solche Meldung zur Datenschutzbehörde, gibt es im Grunde zwei Möglichkeiten. Entweder es wird der Fall umfassend geprüft, um anschließend Verbesserungsvorschläge abgeben zu können. Oder es folgt eine kurze Rückmeldung, dass die Meldung vernommen wurde, aber nicht weiterverfolgt wird, da es anscheinend eine einmalige Angelegenheit war.
Wie sollen Unternehmen vorgehen?
Zu 100 Prozent könne man sich leider nie sicher sein, auch in der Behörde selbst nicht, so Suda. Wichtig sei aber, zu wissen, welche Daten man speichert. Wer das weiß, hat schon einen großen Schritt erledigt. Nur dann können Pflichten und Rechte überhaupt erst eingehalten werden. Laut Illibauer ist es wichtig, dass vor allem der Auftritt nach außen, in erster Linie die Webseite, passe. Und auch die IT-Security muss entsprechend funktionieren.
Bei hallermobil hat man es zum Beispiel so gelöst, dass nichts mehr lokal gespeichert, sondern alles in eine gesicherte Cloud gesichert wird. Zugänge können so genau überwacht und das Risiko von Datenlecks wesentlich gesenkt werden. Cloud-Dienste erweisen sich hier somit als sehr nützlich, „jedoch müssen auch diese mit Sorgfalt ausgesucht werden“, so Leichtfried. Serverstandort in Österreich oder in der EU, diverse Siegel oder Zertifizierungen und ein entsprechender, schriftlicher Vertrag zur Einhaltung der DSGVO sind dabei laut Illibauer drei wesentliche Entscheidungskriterien bei der Wahl eines Anbieters. Abschließend appelliert Suda noch auf die Selbstverantwortung, sowohl bei den UnternehmerInnen als auch den einzelnen Personen.
Dem spannenden Austausch der DiskussionsteilnehmerInnen folgten noch zahlreiche Fragen aus dem Publikum, was zeigte, dass das Thema die UnternehmerInnen nach wie vor beschäftigt. Anschließend starteten wir informiert in den Arbeitstag. Wir bedanken uns bei den DiskussionsteilnehmerInnen sowie allen UnternehmerInnen, die mit dabei waren. Das nächste JWW Business Breakfast findet im Jänner statt.
Fotos gibt es hier. (© Elmas Libohova)