Datenschutz (-beauftragte*r) DSGVO
„Datenschutz ist unerlässliche Voraussetzung
für eine demokratisch verantwortbare Informationsgesellschaft."
(Harmut Jubormiersky, Presseerklärung zum 1. Europäischen Datenschutztag am 28. Jänner 2007)
Daten sind der zentrale Faktor in modernen Wertschöpfungsketten. Nicht nur Prozess-Know-how, auch die Datenquantität und insbesondere -qualität entscheiden über den Geschäftserfolg und sind daher als elementarer Erfolgsfaktor und Unternehmenswert zu behandeln.
Im Rahmen der Digitalisierung rückt die Verarbeitung von Daten – insbesondere von personenbezogenen Daten – immer mehr ins Zentrum der Wertsteigerung. Daher steigen die Anforderungen an die Rechtmäßigkeit der Daten und die Sicherheit der Verarbeitungsprozesse stark an.
Begriffe wie Datenhandel und Datenbroker, Cybercrime, KI usw. erfordern immer umfangreichere und professionellere Qualitäten, um hier der Vielfalt der Entwicklungen Stand zu halten.
Vor allem, wenn es sich um sensible persönliche Daten handelt und es gilt die Personen, wie auch die Organisation vor nachteiligen Konsequenzen unterschiedlicher Auswirkungen zu schützen. Dazu benötigt es an Kompetenzen und wirksamen Instrumenten der IT, aber auch organisatorische und verhaltensbewusste Ausrichtungen (TOV).
Daten mit welchen sich ‚gut handeln‘ lässt sind unter anderem
Name, Adresse (sowohl aktuelle als auch frühere Postanschriften), Telefonnummer, E-Mail-Adressen, Geburtsdatum, Sozialversicherungsnummer, Geschlecht, Familienstand und familiäre Situation, Bildungsgrad, Beruf, Vermögenswerte, Einkommensverhältnisse, Kaufverhalten z.B. was Sie wann kaufen und wie viel Sie dabei ausgeben, persönliche Interessen und Hobbys, Details zum Gesundheitszustand, politische Ansichten und eventuelle Vorstrafen usw.
All diese Informationen werden von Datenhändlern zu Nutzersegmenten zusammengefügt und anschließend zu kommerziellen Zwecken an andere Unternehmen weiterverkauft. Datenhändler verifizieren die Quellen oftmals nicht ausreichend und so kann es vorkommen, dass Interpretationen daraus resultieren, welche nicht der Realität entsprechen z.B. werden Medikamente für einen Angehörigen besorgt und der Datenhändler interpretiert das als Aussage über den eigenen Gesundheitszustand.
Persönlichen Daten sind in der Zwischenzeit eine Ware geworden, die an Meistbietende nach Möglichkeit verkauft werden.
Oder die Cyberkriminalität, inzwischen ein lukratives Geschäft, legen mit ihren Möglichkeiten ganze Systeme lahm, blockieren Arbeitsprozesse und noch schlimmer ist der Datendiebstahl persönlicher ggf. sensibler Daten Ihrer Kunden. Die Konsequenzen lassen sich daraus ableiten, von der Erpressung bis zur Offenlegung der Datensätze und/oder der Weiterverkauf ins Darknet, dabei sind der Fantasie keine Grenzen gesetzt.
Dem entgegenwirken soll unter anderem die Datenschutz-Grundverordnung/Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG), welche seit dem 25. Mai 2018 die Grundlage des allgemeinen Datenschutzrechts in der EU und Österreich stellt.
Die DSGVO zeigt Grundsätze auf, welche bei jeder Verarbeitung personen-bezogener Daten erfüllt sein müssen und der Verantwortliche deren Einhaltung nachweisen muss (Art. 5 Abs. 1 und 2 DSGVO) – das gilt für:
- „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“;
- „Zweckbindung“;
- „Datenminimierung“;
- „Richtigkeit“;
- „Speicherbegrenzung“;
- „Integrität und Vertraulichkeit“;
Noch heikler wird es bei „sensiblen Daten“, welche nur verarbeitet werden dürfen, wenn eine Ausnahme des Verbots von Art. 9 Abs. 2 DSGVO vorliegt und enger gefasst ist, als die Erlaubnistatbestände von Art. 6 Abs. 1 DSGVO.
„Sensible“ Daten sind:
- personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
- Gewerkschaftszugehörigkeit;
- genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
- Gesundheitsdaten;
- Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.
Vor allem in Gesundheits- und Sozialeinrichtungen, jedoch auch in der Kinderbildung und -betreuung haben wir es durchwegs mit sensiblen Daten zu tun, welche besonders schutzbedürftig sind, aber auch in der Hotellerie gibt es Daten der Gäste, welche schutzwürdig sind.
Unternehmensleitungen, wie auch Kund*innen und Mitarbeiter*innen müssen sich im hochkomplexen und schnell verändernden Umfeld der Digitalisierung darauf verlassen können, dass sie durch qualifizierte Experten, ob intern oder extern, mit umfassendem Know-how begleitet und im Kontext der Sicherheit und Compliance unterstützt werden.
Neben der DSGVO und DSG sind weitere diesbezügliche gesetzliche Grundlagen zu sichern, unter anderem die beruflichen Verschwiegenheitspflichten in den unterschiedlichen Aufgabenfeldern zu den vertraglichen Festlegungen mit den Datenschutz-ansprüchen der Betroffenen z.B. Behandlungsverträge, Heimverträge, usw .
Beratung
ADir. Ing. Michael Genseberger und Hannelore Genseberger, MSc, beide zertifizierte Datenschutzbeauftragte, unterstützen Sie in diesem Setting und mit ihren fachlichen wie persönlichen Kompetenzen und langjährigen Erfahrungen.
Weiters ist ADir. Ing. Michael Genseberger ausgebildeter EDV-Administrator und Netzwerk-koordinator. In dieser Funktion betreut er seit über 20 Jahren, neben dem Unternehmen, hauptberuflich die Landespolizeidirektion Steiermark und verfügt durch diese jahrzehntelange Tätigkeit über ein sehr hohes technisches Verständnis, um Sachverhalte der Informationstechnologien zu analysieren, zu verstehen und als externer Datenschutzbeauftragter gemeinsam mit Ihren Verantwortlichen die DSGVO in Ihrem Unternehmen umzusetzen.
Zudem kann aus seinen Kompetenzen als Referent der kritischen Infrastruktur in der Landespolizeidirektion Steiermark ein zusätzlicher Mehrwert geschöpft werden.
Seine Möglichkeiten umfassen unter anderem
- die Organisation der Informations- und Kommunikationssysteme (I.u.K.).
- die Beratung zu Strukturen von IT-Systemen, IT-Applikationen und IT-Prozessen.
- Begleitung bei der Implementierung eines Informationssicherheitsmanagements, basierend auf den Schutzzielen der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit.
- Erkennen von Risiken für betroffene Personen, die aus IT-Systemen, IT-Applikationen und IT-Prozessen resultieren können.
Darüber hinaus werden grundlegende Risiken für Rechte und Freiheit der betroffenen Personen durch die Verarbeitung personenbezogener Daten erkannt und beurteilt. Es werden grundlegende Verbesserungen unter Anwendung datenschutzfreundlicher Technologien vorgeschlagen und Normen zur Informationssicherheit berücksichtigt.
Die erforderlichen betriebswirtschaftlichen und organisatorischen Grundkenntnisse, um Sachverhalte im Unternehmens- bzw. Behördenkontext zu diesem Thema beurteilen zu können, sind durch das Geschäftsfeld von HGe-Competence geprägt.
Durch das Zusammenwirken der Geschäftsführungen Hannelore Genseberger, MSc, welche seit vier Jahrzehnten spezialisiert ist auf interne Abläufe, Prozesse, Risiko- und Qualitätsmanagement in Krankenanstalten und stationären Pflegeeinrichtungen, wie auch mit Michaela Genseberger, B.A. B.A., in Kinderbildungs- und -betreuungseinrichtungen, können noch zusätzliche, branchenspezifische Anforderungen erkannt und berücksichtigt werden:
- Unternehmens- bzw. Behördenprozesse
- Managementsysteme
- Methoden zur Risikoanalyse
- Audit- und Prüfverfahren
Bildung
Anforderungen zur DSGVO an Einrichtungen der stationären Betreuungs- und Pflegeheime sowie Kinderbildungs- und -betreuungseinrichtungen werden beleuchtet, um eine adäquate Umsetzung der gesetzlichen Vorgaben zu sichern.
Dazu gibt es seit 2018 die Möglichkeit über das Institut das Zertifikat „Zertifizierte/r Unternehmensinterne*r Datenschutzkoordinator*in (UDSK) / Unternehmensinterne*r Datenschutzbeauftragte*r (UDSB) - HGe“ zu erlangen.