Datenschutz für Unternehmen. Ricarda Kreindl,

      Seit 25. Mai 2018 ist EU-weit die Datenschutz-Grundverordnung (DSGVO) gültig. Das Thema Datenschutz ist spätestens seit diesem Zeitpunkt in aller Munde und stellt für viele Unternehmen eine große Herausforderung dar. Dabei ist Datenschutz nichts Neues, es hat sich mit der DSGVO nur einiges verändert. Während nach dem DSG 2000 die Strafen für Datenschutzverstöße meist sehr gering waren, sind die Sanktionen für Verstöße gegen die DSGVO erheblich. Die Höchststrafen würden für einige Unternehmen nicht nur einen herben Verlust bedeuten, sondern könnten sogar existenzbedrohend sein. Für Unternehmen soll aber nicht nur das Risiko einer hohen Strafe bei Nichteinhaltung der gesetzlichen Vorgaben im Fokus stehen. Ziel dieses Buch ist es, den für Datenschutz verantwortlichen Mitarbeitern dabei zu helfen, die DSGVO umzusetzen und aufzuzeigen, wie durch erfolgreich umgesetzte Datenschutzprojekte ein Wettbewerbsvorteil erzielt werden kann.

      Datenschutz betrifft jedes Unternehmen. Ohne die Verarbeitung personenbezogener Daten, eingeschlossen Mitarbeiterdaten, ist die Erfüllung des Geschäftszwecks nicht möglich. Viele sehen in der DSGVO ein Datenverarbeitungsverbots-Gesetz und damit eine Einschränkung in ihrer Geschäftstätigkeit. Dabei verbietet die EU-Verordnung die Verarbeitung von personenbezogenen Daten nicht; sie fordert lediglich die Einhaltung bestimmter Grundsätze. Diese Grundsätze werden dem Leser in den ersten Kapiteln vorgestellt. Außerdem wird geklärt, was personenbezogene Daten eigentlich sind und welche Neuerungen sich in der DSGVO gegenüber dem DSG 2000 ergeben. Darüber hinaus werden Grundlagen des Projektmana­gements, die essenziell für die Durchführung eines Datenschutzprojektes sind, beleuchtet. Diese Grundlagen werden dann praxisnah in der Einführung einer Datenschutzorganisation angewendet.

      Die gesetzlichen Vorgaben der DSGVO sind zum Teil auslegungsbedürftig und ließen bisher zahlreiche Fragen, deren Beantwortung für die Praxis essenziell ist, offen. Das vorliegende Buch versucht, Klarheit zu schaffen, indem es diese Fragen beantwortet und die praktische Umsetzung der wichtigsten Vorgaben wie das Führen von Verarbeitungsverzeichnissen, das Erstellen von Datenschutz-Folgeabschätzungen, die Beachtung von Betroffenenrechten und die Vorgehensweise bei einem Datenschutzvorfall praxisnah beschreibt. Zudem werden die Vorgaben aufgezeigt, die speziell international tätige Unternehmen betreffen. Beispielsweise wird der richtige Umgang mit personenbezogenen Daten, die in Niederlassungen in verschiedenen Ländern verarbeitet werden oder die gesetzeskonforme Datenübermittlung an Unternehmen aus nicht EU-Ländern behandelt.

      Datenschutz ist jedoch kein ausschließlich rechtliches Thema, sondern betrifft alle Unternehmensabläufe, in denen personenbezogene Daten verarbeitet werden, so auch die IT. Im Zuge der voranschreitenden Digitalisierung sind IT-Systeme dazu imstande, immer mehr Daten zu verhältnismäßig immer geringeren Kosten zu sammeln und zu verarbeiten. Somit bringt die DSGVO auch für IT-Systeme Vorgaben, welche durch technische und organisatorische Maßnahmen umgesetzt werden müssen, mit sich. Auch weniger verbreitete Konzepte wie Privacy-by-Design und Privacy-by-Default werden in diesem Buch beschrieben. Dabei handelt es sich um Grundsätze zur Etablierung einer datenschutzfreundlichen Softwareentwicklung und zur Umsetzung datenschutzkonformer Systemeinstellungen. Diese Konzepte sind insbesondere wichtig, da auch IT-Systeme auf dem aktuellen Stand der Technik in der Regel auf Datengewinnung und nicht auf das Entfernen von alten und nicht mehr benötigten Daten ausgerichtet sind. Das ist auch der Grund, warum Unternehmen kaum Daten löschen, solange sie nicht gesetzlich dazu verpflichtet sind. Vielmehr werden die gesammelten Daten als „Datenschatz“ wahrgenommen, da sie in vielen Fällen entsprechend verarbeitet für Marketingzwecke genutzt werden können. Dies steht im Widerspruch zur DSGVO und wird noch einige Unternehmen vor große Herausforderungen stellen, gerade bei der Umsetzung von Löschkonzepten. Datenschutz bedingt daher einen Paradigmenwechsel: weg von „wir sammeln alles für die Ewigkeit“ hin zu „wir nutzen aktuelle Daten nur, solange wir diese benötigen“.

      Datenschutz ist kein Kurzzeitprojekt, sondern ein Prozess, der über längere Zeit in mehreren Schritten in einem Unternehmen eingeführt und nachhaltig gelebt werden muss. Das vorliegende Buch soll österreichischen Unternehmen helfen, diesen Prozess zu meistern und anhand von Beispielen Einblicke in die Praxis des gelebten Datenschutzes geben.

      Besonders bedanken möchten wir uns bei Mag. Julia Schuster, LL.M. (NYU), Mag. Anna-Maria Minihold, LL.M., Mag. Lorenz Rattey und Lara Weissenberger, ohne deren Einsatz an ein Gelingen des Buches nicht zu denken gewesen wäre.

      Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freuen wir uns unter [email protected].

      Wien, Oktober 2020, Die Herausgeber