Zum Hauptinhalt springen

Wegweiser durch den Datenschutz-Dschungel

Von Andrea Möchel

Wirtschaft
© Maksim Kabakou - stock.adobe.com

Der ISPA Code of Conduct hilft Unternehmen bei der Umsetzung der Datenschutzgrundverordnung DSGVO.


Wien. Wann und in welcher Form ist die Datenschutzbehörde bei einem Hackerangriff zu verständigen? Nach welchen datenschutzrechtlichen Vorgaben geht die Löschung von Daten aus Backup-und Archivablagen vor sich? Und kann man den Messenger-Dienst WhatsApp auf dem Diensthandy nutzen, wenn dort auch Kundendaten gespeichert sind?

Diese und viele weitere Fragen stellen sich für heimische Firmen, seit im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Sie hat nicht nur strengere Regeln und neue Pflichten für Unternehmen sowie mehr Rechte für Kunden gebracht, sondern auch eine Reihe von mehrdeutigen Bestimmungen. Der Dachverband der Internetwirtschaft ISPA machte sich deshalb daran, die konkreten datenschutzrechtlichen Erfordernisse für Telekom-Betreiber in einem Leitfaden festzuhalten. "Wir haben sehr bald erkannt, dass die DSGVO einen breiten Rahmen vorgibt, die konkrete Ausgestaltung vieler Vorgaben in der Praxis jedoch sehr schwierig ist", schildert Maximilian Schubert, Generalsekretär der ISPA die Ausgangslage. "Daher haben wir bereits im Herbst 2017 begonnen einen Code of Conduct für Internet Service Provider auszuarbeiten, um damit mehr Rechtssicherheit zu schaffen." Schnell wurde klar, dass einige Konkretisierungspunkte für die gesamte Branche relevant sind, und so entstand der Plan auch andere Unternehmen und Betroffene mit dem Regelwerk zu unterstützen.

Bereits am Stichtag des Inkrafttretens der DSGVO wurde der Code of Conduct bei der österreichischen Datenschutzbehörde eingereicht, und von dieser nun auch genehmigt. Ziel der Verhaltensregeln ist es, sowohl für Experten als auch für Endnutzer praktikable Antworten zu bieten und den Betroffenen von der Auskunftspflicht bis zum Verhalten bei Hackerangriffen größtmögliche Orientierung zu geben.

Zögerliche Umsetzung

Eine der größten Herausforderungen bei der Umsetzung der DSGVO war anfangs die Erfassung sämtlicher in einem Unternehmen verwendeten Daten. "Diese Aufgabe erfordert ein fundiertes Verständnis der Prozesse und Systeme, welche in einem Unternehmen im Einsatz sind", erläutert Schubert. "Zudem ist für die Einhaltung der DSGVO unabdingbar, dass die Mitarbeiter eines Unternehmens für ihre datenschutzrechtlichen Verpflichtungen sensibilisiert werden und sie sich ihrer Verantwortung beim Umgang mit personenbezogener Daten bewusst sind." Die Mitarbeiter so anzuleiten, dass sie die vorgeschriebenen Prozesse auch befolgen, hat sich - neben der Bewältigung des finanziellen Aufwands - als äußerst schwierig erwiesen.

Da verwundert es wenig, dass sechs von zehn heimischen Unternehmen die Vorgaben der DSGVO bisher nicht zur Gänze umgesetzt haben. Acht Prozent haben noch nicht einmal mit der Umsetzung begonnen, so der Gläubigerschutzverband KSV1870. "Hier haben die Unternehmen der Informations- und Kommunikationsbranche sicher eine Sonderstellung inne, da von uns auch schon vor der Verabschiedung der DSGVO sehr strenge datenschutzrechtliche Vorgaben zu befolgen waren", betont Schubert. "Die IKT-Branche hat daher mit der Umsetzung sehr früh begonnen und diese dann auch sehr sorgfältig durchgeführt." Beste Voraussetzungen also, um anderen zu zeigen, wie man es richtig macht.

Und so konzentriert sich ISPA in ihrem Code of Conduct auf zwei große Bereiche: Zum einen wird das datenschutzrechtliche Verhältnis der Betreiber untereinander bei Erbringung von Kommunikationsdiensten erklärt, zum anderen werden Aspekte der Betroffenenrechte näher konkretisiert. "Das Interesse an unserem Code of Conduct ist auch deshalb so groß, da wir uns bemühen, wesentliche Aspekte der Verordnung mit praxisnahen Erörterungen zu präzisieren", freut sich Schubert. "Wir erwarten daher, dass Betreiber bei Auskunftsanfragen von Endkunden künftig direkt auf den Code of Conduct verweisen können." Dass die ISPA damit auch im europäischen Kontext federführend ist, zeigt das Interesse zahlreicher Verbände aus dem In- und Ausland, darunter vom weltweit größten Providerverband EurISPA. "Wir freuen uns sehr, dass wir mit dem erfolgreichen Abschluss des Projekts etwas Einzigartiges in Europa geschaffen haben", ist Schubert hörbar stolz.

Verwarnung statt Strafe

Und Bedarf an Orientierung im Datenschutzdschungel besteht nach wie vor: Bis Mitte Oktober langten bei der österreichischen Datenschutzbehörde rund 900 Beschwerden wegen Verstößen gegen die DSGVO ein. Gleichzeitig wurde und wird Österreich dafür kritisiert, die strengen Bestimmungen der EU aufgeweicht zu haben, weil hierzulande mehr auf Verwarnungen statt auf Strafen gesetzt werde.

"Die hohen Strafen der DSGVO sollen abschreckend wirken. Bei der Erstellung des Code of Conduct hat sich aber sehr oft gezeigt, dass sich im Rahmen der Umsetzung der DSGVO Fragestellungen ergeben, bei denen es unklar ist, wie sich ein Unternehmen zu verhalten hat", betont Schubert. "Ein Unternehmen abzustrafen, weil es eine "falsche" Möglichkeit gewählt hat, während es noch völlig unklar ist, welche die richtige wäre, halten wir für wenig zielführend. Speziell in Bereichen, bei denen es noch keine gefestigte Rechtsmeinung der Behörde gibt, ist daher einer Verwarnung gegenüber einer drakonischen Strafe der Vorzug zu geben."