- © Maksim Kabakou - stock.adobe.com
© Maksim Kabakou - stock.adobe.com

Wien. Wann und in welcher Form ist die Datenschutzbehörde bei einem Hackerangriff zu verständigen? Nach welchen datenschutzrechtlichen Vorgaben geht die Löschung von Daten aus Backup-und Archivablagen vor sich? Und kann man den Messenger-Dienst WhatsApp auf dem Diensthandy nutzen, wenn dort auch Kundendaten gespeichert sind?

Diese und viele weitere Fragen stellen sich für heimische Firmen, seit im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Sie hat nicht nur strengere Regeln und neue Pflichten für Unternehmen sowie mehr Rechte für Kunden gebracht, sondern auch eine Reihe von mehrdeutigen Bestimmungen. Der Dachverband der Internetwirtschaft ISPA machte sich deshalb daran, die konkreten datenschutzrechtlichen Erfordernisse für Telekom-Betreiber in einem Leitfaden festzuhalten. "Wir haben sehr bald erkannt, dass die DSGVO einen breiten Rahmen vorgibt, die konkrete Ausgestaltung vieler Vorgaben in der Praxis jedoch sehr schwierig ist", schildert Maximilian Schubert, Generalsekretär der ISPA die Ausgangslage. "Daher haben wir bereits im Herbst 2017 begonnen einen Code of Conduct für Internet Service Provider auszuarbeiten, um damit mehr Rechtssicherheit zu schaffen." Schnell wurde klar, dass einige Konkretisierungspunkte für die gesamte Branche relevant sind, und so entstand der Plan auch andere Unternehmen und Betroffene mit dem Regelwerk zu unterstützen.

Bereits am Stichtag des Inkrafttretens der DSGVO wurde der Code of Conduct bei der österreichischen Datenschutzbehörde eingereicht, und von dieser nun auch genehmigt. Ziel der Verhaltensregeln ist es, sowohl für Experten als auch für Endnutzer praktikable Antworten zu bieten und den Betroffenen von der Auskunftspflicht bis zum Verhalten bei Hackerangriffen größtmögliche Orientierung zu geben.

Zögerliche Umsetzung

Eine der größten Herausforderungen bei der Umsetzung der DSGVO war anfangs die Erfassung sämtlicher in einem Unternehmen verwendeten Daten. "Diese Aufgabe erfordert ein fundiertes Verständnis der Prozesse und Systeme, welche in einem Unternehmen im Einsatz sind", erläutert Schubert. "Zudem ist für die Einhaltung der DSGVO unabdingbar, dass die Mitarbeiter eines Unternehmens für ihre datenschutzrechtlichen Verpflichtungen sensibilisiert werden und sie sich ihrer Verantwortung beim Umgang mit personenbezogener Daten bewusst sind." Die Mitarbeiter so anzuleiten, dass sie die vorgeschriebenen Prozesse auch befolgen, hat sich - neben der Bewältigung des finanziellen Aufwands - als äußerst schwierig erwiesen.