Verletzung des Datenschutz wird teuer

TIROL. "Es ist wie im Straßenverkher, auch der Umgang mit Daten braucht strenge Regeln", erklärt DSGVO-Spezialist Florian Brutter von der Wirtschaftskammer Tirol. Denn am  25. Mai tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Die Verordnung vereinheitlicht die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit. Die DSGVO ändert sich hinsichtlich der bestehenden Datenschutzrichtlinien in erster Linie darin, dass sich der Dokumentationsaufwand und die Strafen im Falle eines Verstoßes erheblich erhöhen.

„Das Datenschutzrecht dient vor allem der Privatsphäre von natürlichen Personen und regelt den Schutz personenbezogener Daten", erklärt Brutter.

Unsicherheit in allen Branchen

Unbehagen herrscht durchwegs in vielen Branchen und die Unternehmen aller Branchen bereiten sich derzeit auf die DSGVO vor und stehen vor der Herausforderung, die Verordnung in der Praxis auch entsprechend umzusetzen.  Die Informationspflichten bei der Erhebung personenbezogener Daten werden ab 25. Mai etwa deutlich erweitert.
„Kundendaten und Aktivitäten müssen künftig noch exakter aufgezeichnet und dargelegt werden, da es sich großteils um personenbezogene Daten handelt. Hier ist es sicherlich empfehlenswert, dass man einen Datenschutzbeauftragten im Unternehmen installiert, der die Mitarbeiter entsprechend coacht“, erklärt der Fachgruppenobmann der Tiroler Versicherungsmakler, Thomas Tiefenbrunner. Auch bei Apps oder Websites, bei denen kundenbezogene Daten verarbeitet werden, ist eine entsprechend regelmäßige Kontrolle und Pflege erforderlich. Für die Daten haftet nämlich nicht der Hersteller der App oder Website, sondern der jeweilige Betreiber. Eine kontinuierliche Durchführung von Programmupdates, eine gewissenhafte Datensicherung sowie eine Auftragsdatenvereinbarung bei Weitergabe der Informationen an Dritte sind nur einige Beispiele, die im Tagesgeschäft berücksichtigt werden müssen. Die Auftragsdatenvereinbarung beinhaltet, wann die Daten zur Verfügung gestellt und wann diese wieder gelöscht werden müssen. Dem Kunden gegenüber muss man diesbezüglich jederzeit eine Auskunft erteilen können.

Daten löschen aber wie? 

Wie schnell man als Unternehmen in Teufels Küche kommen kann, beschreibt Kurt Wallasch, der seit Jahren als Computerforensiker beim Landeskriminalamt Tirol tätig ist: „Bei nicht fachgerecht entsorgten Computern oder Handys gelangen oft sensible Daten nach außen, was diverse Festplattenkäufe am Flohmarkt bewiesen haben. Das grenzenlose Vertrauen in Dritte, denen man Computergeräte oder Smartphones etwa zur Reparatur anvertraut, sollte überdacht werden.“
Geraten sensible Daten in falsche Hände, kann diese Datenpanne für die betreffende Firma teuer werden. Nach bestehendem Recht wäre eine Verwaltungsstrafe mit bis zu 10.000 Euro Strafe fällig. Ab 25. Mai erhöht sich der Strafrahmen auf bis zu 10 Millionen Euro. Die Strafe trifft die jeweils organisatorisch verantwortlichen Personen – Geschäftsführer oder bestellte verantwortliche Beauftragte – sowie die jeweils handelnden Personen.

Cybercrime-Versicherung

Was das Thema Cybercrime betrifft, so räumt der Experte mit einem Klischee auf. „Die Angriffe kommen meist nicht von außen. Die polizeiliche Praxis zeigt, dass mindestens 80 Prozent der Angriffe auf Daten bewusst oder unbewusst von innen kommen.“ In jedem Fall von Datenverlust ist neben einer Strafe im Zuge der DSGVO der Schaden oft beträchtlich. „Zumindest die Schäden aufgrund von Datenverlust sowie die Wiederherstellung der Daten lassen sich durch sogenannte Cyberrisk-Produkte versichern. Die Verwaltungsstrafe muss jedoch in jedem Fall vom Unternehmen bzw. den handelnden Personen bezahlt werden“, so Joe Kaltschmid Experte für Cybercrime-Versicherungen abschließend.