Artikel

Fit für die Datenschutzgrundverordnung

Seit 25. Mai 2018 müssen heimische Unternehmen die Anforderungen der EU-DSGVO erfüllen. Andreas Niederbacher, Senior Manager bei Deloitte Österreich, spricht im Praxistipps-Interview über die damit verbundenen Herausforderungen und gibt gleichzeitig wertvolle Tipps für die Umsetzung.

Wie dürfen wir uns den Arbeitsalltag eines Senior Managers im Bereich Risk Advisory vorstellen?

Nun ja, einen klassischen Arbeitsalltag gibt es bei mir nicht. An manchen Tagen bin ich den ganzen Tag bei einem Klienten. Es kommt aber auch vor, dass ich vier oder fünf unterschiedliche Klienten an einem Tag berate. Natürlich gibt es aber auch Arbeitstage, an denen ich in der Kanzlei mit meinem Team neue Ideen ausarbeite. Derzeit hat der Bereich Risk Advisory in Österreich rund 80 Mitarbeiter und ich leite das Team in Oberösterreich. Außerdem halte ich Schulungen und Vorträge auf Konferenzen und für Fachhochschulen.

Das klingt nach einem sehr vielfältigen Aufgabengebiet. Wie bist du zum Fachmann in diesem Bereich geworden?

Entscheidend sind viel Freude an Themen wie Informationssicherheit, Datenschutz und internen Kontrollsystemen. Ich habe Wirtschaftsinformatik studiert und zwei Jahre als Softwareentwickler bei einem internationalen Konzern gearbeitet. 2007 bin ich dann zu Deloitte gekommen.

Welche Themen werden von deinem Team und dir bearbeitet?

Mein Spezialgebiet sind die Bereiche Datenschutz und Informationssicherheit. Außerdem leite ich Projekte in Zusammenhang mit Prüfungen und Beratungsaufträgen in vielfältigen Branchen. Derzeit besteht das Team in Oberösterreich aus fünf Kollegen. Projektweise gibt es aber auch Zusammenarbeit mit Kollegen aus anderen Standorten. Wir haben immer das Ziel themen- und fachübergreifend Lösungen zu finden. Personen mit einem betriebswirtschaftlichen Hintergrund arbeiten daher eng mit Kollegen, die über einen technischen Background verfügen, zusammen.

Die Datenschutzgrundverordnung hat viele Unternehmer vor neue Herausforderungen gestellt. Wie aufwändig hast du die Umsetzung in der Praxis miterlebt?

Prinzipiell kann man sagen: Es kommt weniger auf die Unternehmensgröße an, als vielmehr auf die Art und den Umfang der Verarbeitung von personenbezogenen Daten. Das ist von Unternehmen zu Unternehmen unterschiedlich. Ich kenne eine Vielzahl von Klein- und Mittelbetrieben, die das Thema EU-DSGVO sehr effizient umgesetzt haben und dabei auch in ihren Prozessen nicht handlungsunfähig wurden oder Wettbewerbsfähigkeit eingebüßt haben. Genauso kenne ich Großunternehmen, die Schwierigkeiten hatten. Ausschlaggebend ist schlussendlich immer auch, welchen Stellenwert das Thema in der Vergangenheit hatte. Unsere aktuelle Deloitte Umfrage zum Thema zeigt: Die meisten österreichischen Unternehmen befinden sich bei der Umsetzung der EU-DSGVO immerhin auf der Zielgeraden.

Was sind die wichtigsten Maßnahmen, die Unternehmer setzen müssen, um mit der DSGVO konform zu sein?

Zunächst ist es wichtig, das Thema strukturiert zu betrachten und ein Verzeichnis über alle Verarbeitungstätigkeiten von persönlichen Daten zu führen. Des Weiteren müssen alle Betroffenen, von denen Daten gespeichert werden, ausreichend und transparent informiert werden. Auf jeden Fall muss der Unternehmer den Zweck und die Grundlage für die Verarbeitung der personenbezogenen Daten kennen.

Es ist außerdem sehr wichtig, Vorkehrungen zum Schutz der personenbezogenen Daten im Unternehmen einzuführen. Der Verantwortliche muss dafür geeignete technische und organisatorische Maßnahmen setzen und die Vorkehrungen regelmäßig überprüfen. Ansonsten steckt man einmalig viel Energie in die Umsetzung eines Datenschutzprojektes und in ein paar Jahren findet man heraus, dass die eingeführten Maßnahmen nicht nachhaltig funktionieren.

Muss jedes Unternehmen dazu einen Datenschutzbeauftragen haben?

Grundsätzlich muss ein Unternehmen nicht selbst über einen Datenschutzbeauftragten verfügen – es sei denn, das Gesetz schreibt aufgrund der Art der Tätigkeit oder der gespeicherten Daten einen Datenschutzbeauftragen vor. Es sollte aber jedenfalls eine definierte Person im Unternehmen geben, die sich mit dem Thema befasst – egal wie klein das Unternehmen ist. Selbst der Frisör ums Eck kann möglicherweise Daten von mir speichern, von denen ich nicht will, dass diese öffentlich werden.

Was ist der häufigste Fehler, den Unternehmer bei der Umsetzung der DSGVO machen?

Oft versteifen sich die Betriebe zu sehr auf die Dokumentation von bestehenden Abläufen und Maßnahmen. Grundlegende Änderungen von bestehenden Prozessen machen aber die Wenigsten. Die EU-DSVGO gibt Vorgaben zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Häufig werden dabei aber die Risiken der natürlichen Person zu wenig berücksichtigt. Maßnahmen, die diesen Schutz erhöhen, gehören mehr in den Vordergrund des Projektes gestellt.

Was rätst du Unternehmen, die sich noch nicht mit der DSGVO auseinandergesetzt haben oder noch unsicher sind, ob ihr Unternehmen die DSGVO einhält?

Ganz einfach: Einen Austausch mit mir und meinem Team. Wir können gerne unsere Projekterfahrung teilen, erzählen, welche Ansätze gut funktioniert haben, und finden eine maßgeschneiderte Lösung für die Umsetzung. Datenschutz ist kein Thema, das man im Rahmen eines Projektes einmal implementiert und dann für immer abgeschlossen hat. Datenschutz lebt von andauernden Verbesserungen.

Konkret für die DSGVO bieten wir den sogenannten DSGVO Health Check an. Dieser eignet sich vor allem für Unternehmer, die Handlungsfelder erkennen wollen und einen systematischen Plan für die Umsetzung benötigen. Auch Betriebe, die bereits alle Anforderungen umgesetzt haben und gerne von einem externen Partner Feedback dazu bekommen wollen, sind bei uns gut aufgehoben.

Das Strafausmaß für Unternehmen, die sich nicht an die DSGVO halten, ist ja horrend. Mit welchen Konsequenzen muss ein Unternehmen rechnen, das sich nicht an die DSGVO hält?

Das Strafausmaß kann bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Meine persönliche Einschätzung, die auch durch die Entscheidungen der Datenschutzbehörden in Österreich und Deutschland in den vergangenen Monaten bestärkt worden ist: Bei Unternehmen, die sich mit dem Thema ernsthaft befassen und Energien in eine Verbesserung stecken, wirkt sich dies bei der Verhängung von etwaigen Geldbußen immer positiv aus.

„Selbst der Friseur ums Eck kommt nicht um die DSGVO herum.“

War der Artikel hilfreich?