News und Termine

18.12.2018

DSGVO: Ein halbes Jahr später

Bei der Campus Lecture IT-Security „DSGVO – Lessons Learned” am 11. Dezember berichtete Erik Rusek, Head of Information Security Consulting bei VACE Systemtechnik GmbH, von seinen Erfahrungen im Umgang mit der Datenschutzgrundverordnung (DSGVO).

Erik Rusek von VACE bei der Campus Lecture IT-Security


Vor dem Inkrafttreten der DSGVO neu am 25. Mai 2018 herrschte in Betrieben, Behörden und Vereinen eine große Unsicherheit in Hinblick auf die Auslegung der Verordnung durch die Datenschutzbehörde und die damit verbundenen Sanktionen.

Seit Inkrafttreten wurden in mehreren Ländern der EU erste Strafen verhängt, beispielsweise zehn Millionen Euro für Facebook in Italien, weil Nutzer*innendaten ohne ausdrückliche Zustimmung an andere Plattformen weitergegeben wurden. In Österreich sind (bis 2. Oktober) 750 Beschwerden eingegangen und wurden 250 Datenschutzvergehen (Data-Breach-Notifications) gemeldet. In den meisten Fällen wurde aus praktischer Sicht keine Strafe ausgesprochen, sondern die Möglichkeit zur Nachbesserung eingeräumt.

Die Lessons Learned aus einem halben Jahr zusammengefasst:

  • Gut vorbereitet auf eine Prüfung ist man durch eine Dokumentation, die der Sensibilität der Daten entsprechend detailliert ausfallen sollte. Diese besteht aus einem Verzeichnis der verarbeiteten Daten in den jeweiligen Prozessen, indem die rechtmäßige Verwendung, wie der Zweck, die Weitergabe an Auftragsverarbeiter und Aufbewahrungsfristen festgehalten sind.
  • Zudem braucht es Prozesse und Verantwortliche zur Wahrung der Betroffenenrechte, um beispielsweise innerhalb eines Zeitraums von einem Monat eine Datenauskunft zu erteilen oder die Daten zu löschen. Auch unvollständige Anfragen sollten dabei dokumentiert werden.  
  • Weiters  soll eine chronologische Dokumentation der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten geführt werden. Dazu muss ein unternehmensinterner Prozess mit Verantwortlichkeiten zur Meldung von Datenschutzvergehen an die Behörde festgelegt sein, da diese innerhalb einer Frist von 48 Stunden zu erfolgen haben.

Zum Videoausschnitt dieser Campus Lecture: "Fünf Mythen der DSGVO"