Datenschutz und Privatsphäre sind Schlagwörter, die seit vielen Jahren nicht mehr aus unserem Leben und den Medien wegzudenken sind. Durch die steigende Zahl an Möglichkeiten für Informationsaustausch und die rasanten Technologieentwicklungen wurden diese Themen zu einer wichtigen internationalen Angelegenheit.

Bereits früh wurde die Wichtigkeit von persönlichen Daten als sensibler Bereich erkannt und am 28. Jänner 1981 die Datenschutzkonvention des Europarates unterzeichnet. Seit 2007 wird an diesem Tag der „Europäische Datenschutztag“ gefeiert, an welchem alljährlich Veranstaltungen von nationalen und internationalen DatenschutzexpertInnen, Regierungen und Parlamenten stattfinden, mit dem Ziel, die BürgerInnen für Datenschutz zu sensibilisieren und aufzuklären. Heute gilt der 28. Jänner nicht nur in Europa, sondern in vielen weiteren Ländern der Welt als „Data Privacy Day“.

Wir haben diesen Aktionstag zum Anlass genommen und KollegInnen interviewt, die das Thema Datenschutz bei nic.at besonders intensiv beschäftigt:

Wolfgang Rosenkranz – Teamleiter CERT.at

Die Praxis zeigt, dass die Begriffe Datenschutz und Datensicherheit fälschlicherweise oft als Synonyme verwendet werden. Wie hängen diese zwei Bereiche zusammen?
Datenschutz und Datensicherheit werden oft verwechselt bzw. in einen Topf geworfen. Wie Geschwister sind sie sich in einigen Dingen ähnlich und doch sollten sie getrennt behandelt werden. Wo der Datenschutz die Daten natürlicher Personen und damit deren Grundrechte und Grundfreiheiten schützt, befasst sich die Datensicherheit mit Daten jeder Art und wie deren Verlust, Veränderung oder unerlaubte Verbreitung verhindert werden können. Für ExpertInnen im Bereich der IT/OT/Cyber-Sicherheit ist zuerst die Datensicherheit im Fokus und der Datenschutz wird oft als operatives bzw. rechtliches Zusatzthema gesehen. Ein Thema, das auch zusätzlichen Aufwand erzeugt bzw. manche technischen Maßnahmen verhindern kann.

Wie Geschwister halten Datenschutz und Datensicherheit aber auch als Familie zusammen. Wir können es uns nicht mehr leisten, eines der beiden Themen zu ignorieren, wenn wir die Digitalisierung jetzt und in Zukunft nutzen wollen, ohne dabei Schaden zu erleiden. Diese Themenfamilie ist sicherlich manchmal lästig, sie kostet Zeit und Geld und manchmal gibt es auch innerhalb der Familie Streit. Aber ohne sie würde die Digitalisierung in Chaos und Cybercrime untergehen und deshalb sollten wir sie alle tatkräftig unterstützen.

Welchen Einfluss hat die DSGVO auf Datensicherheit?
Es wird leicht übersehen, wie wichtig der Datenschutz und konkret die DSGVO für die Verbesserung der Datensicherheit war und immer noch ist. Das beginnt bei dem Bewusstsein, wie wertvoll Daten sind und dass ihr Verlust oder ihr Diebstahl einen wesentlichen Schaden verursachen kann. Viel mehr aber noch, weil durch die DSGVO das Thema der technischen Sicherheitsmaßnahmen zum Schutz der Daten auf die Geschäftsführungsebene transportiert wurde. Und dort hat die DSGVO mit ihren Strafandrohungen einen eindeutigen Anreiz für Verbesserungen der Datensicherheit geschaffen. Denn technische Maßnahmen, die Daten schützen, sichern sie auch.

Michael Zach – Leiter Information Security Management

Welche Herausforderungen siehst du bei Unternehmen in Bezug auf Datenschutz?
Datenschutz ist immer nur so gut, wie seine praktische Umsetzung – welche bei Unternehmen stets einhergeht mit anderen Maßnahmen wie zum Beispiel der Gewährleistung von Informationssicherheit. Viele dieser weiteren Maßnahmen sind ursprünglich zur Minderung von Unternehmensrisiken implementiert worden und lassen sich nun zur effektiven Umsetzung von datenschutzrechtlichen Anforderungen sowohl weiter- als auch wiederverwenden. Ein Beispiel sind etwa vorhandene Dokumentationen, Prozesse und Systeme, welche durch Hinzufügen weiterer Attribute und einer anderen Sicht zu einem Datenverarbeitungsverzeichnis erweitert werden können. Auch im betrieblichen Risikomanagement finden sich bereits etablierte Vorgehensweisen wieder, welche allein durch Änderung der Betrachtungsweise vom Unternehmen hin zum Betroffenen unmittelbar für eine Datenschutz-Folgenabschätzung herangezogen werden können.

Gefördert durch hohe Strafandrohungen der Datenschutzgrundverordnung ist es im europäischen Rechtsraum nicht mehr möglich, Risiken aus dem Datenschutz einfach zu ignorieren oder nach Kosten-Nutzen-Abwägung zu akzeptieren. Vielmehr sind diese Risiken im Bewusstsein der obersten Führungsebene angekommen und müssen genau von dieser auch adressiert werden. Und das ist gut so, denn jeder von uns wird sich früher oder später in der Rolle eines Betroffenen wiederfinden.

In vielen Bereichen und Prozessen gibt es international anerkannte Zertifizierungen – wie ist das bei Datenschutz?
Sechs Jahre nach Verabschiedung der DSGVO im Europäischen Parlament gibt es im deutschen Sprachraum noch keine einzige akkreditierte Zertifizierungsstelle, die ein DSGVO-Zertifikat ausstellen kann. Zahlreiche Unternehmen behaupten zwar - teils mit nett anzusehenden Siegeln und hübsch gestalteten Zertifikaten - "DSGVO-konform" zu sein, aber ein wirklich rechtssicherer Nachweis kann nur durch einen Zertifizierungsprozess erfolgen, bei welchem eine unabhängige und wirklich dazu befugte Stelle die Prüfung nach den Kriterien der Datenschutzgrundverordnung vornimmt. Ich hoffe, dass diese Lücke heuer geschlossen wird und all jene Unternehmen sich besser erkennbar machen können, welche das Thema Datenschutz auch ernsthaft behandeln und in ihre betrieblichen Abläufe integriert haben.

Barbara Schloßbauer – Leiterin Rechtsabteilung

Barbara, du warst Projektleiterin bei der Umsetzung der DSGVO bei nic.at. Welche Erfahrungen sind dir in Erinnerung geblieben oder beschäftigen dich sogar heute noch?
In einem Unternehmen wie nic.at, das tagtäglich auf Grund seines Kerngeschäfts mit großen Datenmengen zu tun hat, war die Implementierung der DSGVO eine große Herausforderung. Es gab viele offene Fragen zu klären, Prozesse zu durchleuchten und neu zu gestalten. Beispielsweise war das Whois, die Abfrage, wem eine .at-Domain gehört, ein viel genutzter Service auf unserer Webseite. Plötzlich musste bei der Veröffentlichung der Daten nach privater und juristischer Person unterschieden werden. Das hat uns große Sorgen bereitet, denn wir konnten in keinster Weise abschätzen, wie viele von den getätigten Abfragen bis zur Einführung der DSGVO tatsächlich ein „berechtigtes Interesse“ hatten und wie viele Personen diese Datenbank für andere Informationen oder Zwecke genutzt haben. Wir hatten Angst vor einer Flut an Abfragen, die wir in der Rechtsabteilung nicht abwickeln hätten können. Glücklicherweise ist dieses Szenario nicht eingetroffen und die Abfragen hielten und halten sich nach wie vor in einem überschaubaren Rahmen.

Insgesamt konnten wir die notwendigen Maßnahmen durchaus erfolgreich umsetzen. Vor allem die Tatsache, dass nic.at und ihre Schwesterfirmen seit vielen Jahren ISO 27001 zertifiziert sind, hat uns enorm geholfen. Wir hatten eine solide Grundstruktur an Sicherheitsstrukturen und Prüfebenen – eine gute Basis, von der wir das Projekt aus starten konnten. Dennoch erkennen wir bis heute immer wieder Hürden, wo die Datenschutzgrundverordnung an ihre Grenzen stößt und wo die rechtliche Grundlage mit der Praxis kollidiert. Gerade bei der E-Mail Verwaltung oder bei Datenarchiven, diskutieren wir intern immer wieder. Eine Historie zu einer .at-Domain beispielsweise kann nicht einfach gelöscht werden, da sie bei Anfragen oder rechtlichen Anliegen gebraucht wird. Und ehrlich gesagt, wer weiß, ob gewisse Informationen in Zukunft nicht auch einmal eine historische Relevanz bekommen?

Mit welchen Datenschutzthemen beschäftigt ihr euch aktuell in der Rechtsabteilung?
Eine spannende Frage ist mit Sicherheit, was sind die Nachwirkungen von Schrems II, sprich der Entscheidung des EuGH, den EU-US Privacy-Shield-Beschluss für ungültig zu erklären. Das mag in der Theorie recht einfach klingen, aber in der Praxis verstecken sich zahlreiche Herausforderungen und Stolpersteine. Als Registry haben wir viele internationale Vertragsbeziehungen mit Registraren oder Standort-Dienstleistern für unseren Anycast Service RcodeZero DNS, welche alle durchleuchtet und entsprechende Maßnahmen umgesetzt werden müssen. Dies sind nur zwei von unzähligen Beispielen, die wunderbar aufzeigen, dass das juristische Wunschdenken und die reale Umsetzung oft extrem weit auseinanderliegen und uns somit die Aufgaben in der Rechtsabteilung noch lange nicht ausgehen werden.