Die Datenschutz-Grundverordnung feiert ihr einjähriges Jubiläum: Am 25. Mai 2018 wurde damit durch die Europäische Union die weitreichendste und wohl auch aufsehenerregendste Maßnahme auf dem Gebiet des europäischen Datenschutzrechtes eingeführt. Welche Auswirkungen hatte die DSGVO auf uns als österreichische Registry, was wurde umgesetzt und wie sieht es im internationalen Vergleich aus? Wir haben gemeinsam mit unseren Juristen aus der Rechtsabteilung, Barbara Schloßbauer und Bernhard Erler eine erste Bilanz gezogen.

Gleich vorweg: Wie lautet euer allgemeines Fazit zur DSGVO?
Barbara: Für uns war natürlich besonders die Phase vor der Einführung sehr intensiv und spannend, weil es letztendlich viele unbekannte Faktoren gab: Man wusste ja überhaupt nicht, wie die Reaktionen ausfallen würden – also, ob nach der Einführung beispielsweise von Endverbrauchern viele Datenabfragen kommen würden. Natürlich haben wir zahlreiche Maßnahmen getroffen, um entsprechend gewappnet zu sein, aber wir konnten letztendlich nicht vorhersehen, was dann tatsächlich passieren würde.

Was wurde konkret an Maßnahmen umgesetzt?
Barbara: Neben den allgemeinen Maßnahmen wie den entsprechenden Datenschutzerklärungen auf der Website war in erster Linie unser „Whois“ betroffen, da dort nun keine natürlichen, sondern nur noch juristische Personen als Domaininhaber aufscheinen. Ergänzend dazu haben wir ein formelles „Auskunftsverfahren“ geschaffen, sodass man mit einer entsprechenden Begründung über ein Formular bei uns die Auskunft über natürliche Personen als Domaininhaber anfordern kann. Die große Unbekannte war in diesem Fall die Reaktion der User, da wir nicht wussten, wie viele Anfragen über das „Whois“ gestellt werden, die natürliche Personen betreffen. Letztendlich war es dann deutlich entspannter, als angenommen – die Anzahl der Anfragen ist sehr überschaubar und in einem Ausmaß, das gut bearbeitet werden kann.

Bernhard: Ein wichtiger Punkt, der ebenfalls umgesetzt wurde, ist natürlich auch die Dokumentation der gesamten Datenverarbeitungen – diese ist zwar ohnehin gesetzlich vorgeschrieben, konnte aber auch intern genutzt werden, um Prozesse umfassend zu dokumentieren und zu analysieren. Wir haben auch hinsichtlich sämtlicher Datenverarbeitungen verifiziert, ob diese rechtlich überhaupt zulässig sind.

Der Aufwand war damals ja enorm – was hat den Prozess erleichtert?
Barbara: Sehr geholfen hat uns, dass wir bereits ISO 27.001/2013 zertifiziert sind. Diese Zertifizierung basiert im Prinzip auf denselben Systemen. Wir haben uns also bereits in der Vergangenheit intensiv mit der Informationssicherheit beschäftigt und die internen Prozesse in Bezug auf die Datenverarbeitung durchleuchtet. Somit war bereits eine gute Ausgangslage gegeben. 

Bernhard: Eine große Unterstützung war auch, dass innerhalb der Firma das Thema sehr hoch priorisiert wurde, von der Geschäftsführung wurde der volle Fokus auf die DSGVO für das gesamte Unternehmen vorgegeben. Es gab letztendlich keine Abteilung, die nicht in den Prozess involviert war. Zwar musste natürlich das Tagesgeschäft ganz normal weiterlaufen, es haben aber dennoch wirklich alle Mitarbeiter an einem Strang gezogen.

Das klingt alles sehr komplex und aufwändig. Was sind denn die positiven Effekte der DSGVO? 
Bernhard: Auffällig war, dass durch die DSGVO das Thema „Datenschutz“ bei uns im Unternehmen sehr in den Fokus gerückt ist. Die Datenschutz-Grundverordnung hat enorm viel Bewusstsein geschaffen, wie wichtig es ist, auf Daten aufzupassen – das war uns natürlich schon immer bewusst, aber die Sensibilisierung ist in sämtlichen Abteilungen nochmals deutlich gestiegen. Das ist sicherlich auch im Allgemeinen das Positive an der DSGVO, dass einfach sehr viel Bewusstsein für den Umgang mit Daten geschaffen wurde – das Thema „Datenschutz“ ist dadurch in der Öffentlichkeit angekommen.

Wie sieht es international gesehen aus, gab es hier einen intensiven Austausch?
Barbara: Sehr spannend zu verfolgen war und ist, dass die Umsetzung unserer Europäischen Partner-Registries teilweise komplett unterschiedlich erfolgt ist – obwohl ja grundsätzlich alle dieselben rechtlichen Rahmenbedingungen haben.

Bernhard: Das liegt daran, dass die Registries in den Ländern teilweise staatlich reglementiert sind und das Gesetz ihnen beispielsweise vorschreibt, dass sie eine vollständige Whois anbieten müssen und daher auch natürliche Personen weiterhin im „Whois“ aufscheinen. Es gibt also Länder, in denen hier gar keine Änderungen notwendig waren, während manche nun gar keine Whois-Abfragen mehr ermöglichen. Da gab es natürlich sehr intensive Diskussionen und es war sehr schnell klar, dass es keine einheitliche Lösung für alle Länder geben kann. 

Barbara: Rückblickend auf das DSGVO-Jahr würde ich sagen, dass wir mit unseren Maßnahmen eine absolut praxistaugliche und pragmatische Lösung umgesetzt haben, mit der wir bisher sehr gute Erfahrungen gemacht haben.