1. Österreichischer Fachkongress mit Max Schrems
Max Schrems, der „aus dem Nähkästchen eines Datenschutzaktivisten“ plauderte, weiß, dass Verfahren gegen datensammelnde US-Konzerne langwierig sind. Am 9. April 2015 startete sein Prozess Max Schrems vs. Facebook am Landesgericht für Zivilrechtssachen. Der Prozess wurde zuerst durch Zuständigkeitsfragen verschleppt: Ob eine Sammelklage möglich ist, ob der Datenschutzjurist als Privatperson überhaupt in Österreich klagen kann… Bis diese Fragen geklärt waren, verstrichen Jahre. Schrems weiß, dass es dabei gegen „Gegner mit ganz tiefen Taschen“ geht. Für diese Unternehmen sei es kein Problem, in so ein Verfahren zehn Millionen Euro zu investieren und durch alle Instanzen zu verschleppen.
Wer bestimmt über die Verwendung von Daten
Schrems wirft Facebook Datenschutzverstöße vor. Bei dem Prozess geht es um die heikle Frage, wer auf Facebook über die Verwendung der Daten bestimmen darf – also wer dafür verantwortlich ist, was gepostet wird. Facebook nimmt dazu bisher die Haltung ein, dass bei Problemen mit Daten, zum Beispiel falls ein Foto gegen das Urheberrecht verstößt, der Nutzer verantwortlich sei. Bei der Auswertung und Verwendung der Daten habe jedoch allein Facebook das Sagen. Diese „Zwickmühle“ versucht das Gericht nun zu klären.
Generell sei die Haftungsfrage, vor allem für die KMUs, für die Facebook eine wichtige Vermarktungsplattform darstellt, lediglich halbtransparent. Dabei sollte man „Facebook-Dienste als Unternehmen nutzen können, ohne gleich drei Rechtsanwälte zu konsultieren“, stellte Schrems fest.
Die Bedeutung des Rechts auf Auskunft
„Die Daten, die ich rief“ war nicht nur der Titel des Vortrags von Katharina Nocun, sondern auch der Titel des Buchs der Bürgerrechtlerin. Die Netzaktivistin und studierte Ökonomin leitete bundesweite Kampagnen zum Thema Datenschutz, Whistleblowing und Bürgerrechte, unter anderem für die Bürgerbewegung Campact e.V., Mehr Demokratie e.V., und den Verbraucherzentrale Bundes-verband (vzbv).
„Jeder sollte die Meinung haben, dass er etwas zu verbergen hat“, lautet denn auch das Fazit von Nocun. Warum? Das erfährt man, wenn man nach Artikel 15 der Datenschutzgrundverordnung (DSGVO), von seinem Recht auf Auskunft Gebrauch macht und bei Unternehmen oder Behörden die von diesen gespeicherten Daten anfordert.
Psychologisches Profil beim Punktesammeln
Auch beim nicht digitalen Einkauf werden fleißig Daten gesammelt. „Wer in einem Bonusprogramm Punkte sammelt, dessen Daten werden natürlich auch aufgezeichnet“, so Nocun weiter. Lässt sich aus einem einzelnen Vorgang noch nichts aussagen, ergibt sich über einen längeren Zeitraum ein psychologisches Profil des Einzelnen. So lässt der geringe Obst- und Gemüseanteil der Einkäufe ebenso auf einen ungesunden Lebenswandel schließen, wie der Kauf einer Mausefalle auf eine ungepflegte Wohnung und der von Jägermeister auf Einsamkeit.
Auch Rainer Neumann pochte in seinem Vortrag „Daten müssen auch wieder gehen“ auf die Nutzung des Artikel 15 DSGVO. Das langjährige Vorstandsmitglied der Postbank und SCHUFA hatte dies selbst bei der Deutschen Bahn getan und nur nach mehrmaliger Nachfrage eine unvollständige Auskunft bekommen. „Für ein Unternehmen, dass vor zehn Jahren selbst einen Datenskandal hatte und bei dem ein Vorstand nur für das Thema Datenschutz zuständig ist, hatte ich mehr erwartet“, so der heute als Datenschützer tätige Neumann.
Das Recht auf Vergessenwerden
Darüber hinaus wies er darauf hin, dass Unternehmen das „Recht auf Vergessenwerden“ häufig bei der Umsetzung der DSGVO vernachlässigen. Das wurde auch der Deutschen Wohnen zum Verhängnis, die Ende des vergangenen Jahres zu einer Rekordstrafe von 14,5 Millionen verurteilt wurde.
Den Zusammenhang der DSGVO mit vergleichbaren internationalen Gesetzen und die Herausforderungen von Big Data klärte Michael Mrak unter dem Titel „Datenschutz – über den Tellerrand geblickt“. Mrak leitet die Abteilung Compliance bei Casinos Austria und den Österreichischen Lotterien. Er ist als Datenschutzbeauftragter und auch als Geldwäschebeauftragter für die Unternehmensgruppe tätig sowie für den Aufbau und Betrieb des unternehmens-gruppenweiten Compliance-Managementsystems verant-wortlich. Im Vergleich mit anderen Ländern seit laut Mrak die DSGVO ein Erfolg, weil sie es geschafft habe, in der EU ein einheitliches Verständnis von personenbezogenen Daten herzustellen.
Schwachstellen sind häufig unbekannt
Als Cyber-Expertin berät und begleitet Christine Deger Unternehmen rund um das Thema Cyber Security. So referierte sie denn auch über „die aktuelle Cyber Security-Bedrohungslage und wie Unternehmen sich schützen können“. Eines der Probleme sei laut Deger, dass CIOs häufig nicht wissen, wo bei ihnen im Unternehmen die Schwachstellen liegen. Die aktuellen Statistiken belegen dies: Drei Viertel der Wirtschaft war in den vergangenen zwei Jahren von Cyberkriminalität betroffen, der Schaden betrug dabei mehr als 100 Milliarden Euro.
Mittlerweile ist vor allem die Schnelligkeit, mit der sich Schadsoftware verbreitet, beeindruckend. „Schadsoftware wird so intelligent, dass ich Angst bekomme“, so Deger. „Bis man das eine betroffene System abschaltet, springt sie schon auf das nächste über.“
Angriffe einfach im Netz shoppen
Auch Malware as a service wird mittlerweile zum Problem. So sei es aktuell ganz einfach, seinen Cyberangriff im Internet zu konfigurieren und damit Geld zu verdienen oder „innerhalb von drei Tagen die Konkurrenz flachzulegen“.
Durch die bestehende Meldepflicht der DSGVO werden Vorfälle aber wenigstens mittlerweile öffentlich und es sei möglich sich besser damit auseinanderzusetzen.
DSGVO – eines der einfachsten Gesetze
Die DSGVO war auch bei den beiden abschließenden Vorträgen Thema. Während Andreas Zavadil von der österreichischen Aufsichtsbehörde für Datenschutz über „Herausforderungen mit der DSGVO und bisherige Spruchpraxis“ sprach, erklärte Leo Deser von der TÜV SÜD Sec-IT GmbH die Anforderungen zum Datenschutz auf Webseiten. „Die DSGVO ist eines der einfachsten Gesetze, die ich kenne“, resümierte Leo Deser. „Sie fordert von Ihnen keine Perfektion, sondern ein risikoorientiertes Vorgehen.“
Den 1. Österreichischen Fachkongress Datenschutz in der Praxis veranstaltete die FTAPI Software GmbH in Kooperation mit der audatis Services GmbH, der impetus Unternehmensberatung GmbH und der xalevi Solutions GmbH. Am zweiten Tag präsentierten die Partner den anwesenden Teilnehmern Strategien, Lösungen und Praxisbeispiele, mit denen sich der Weg in die digitale Zukunft sicher und realisieren lässt.
Über FTAPI
FTAPI ist ein deutscher Softwareanbieter mit Sitz in München. Das Kernprodukt FTAPI SecuTransfer basiert auf der eigens entwickelten SecuPass-Sicherheitstechnologie und steht für einfachen und sicheren Datenaustausch, ergänzt durch Datenräume, sicheren Formularen und Prozessen.
Als Secure Content Plattform ermöglicht FTAPI die gemeinsame Zusammenarbeit mit Kunden, Partnern und Mitarbeitern an hochsensiblen Daten und den weltweiten Zugriff darauf.
An den richtigen Stellen eingesetzt, hilft FTAPI die Digitalisierung in Unternehmen mit einfachen Mitteln voranzutreiben und die Effizienz von Arbeitsprozessen erheblich zu steigern. Enorme Potentiale lassen sich vor allem im Inputmanagement, dem Rechnungseingang und dem Versand von Gehaltsabrechnungen ohne großen Aufwand heben.
Unter der Vision „Securing Digital Freedom“ setzt sich FTAPI so für die Identitätswahrung von Personen und Unternehmen ein. FTAPI ist Marktführer im deutschsprachigen Raum, wird aber mittlerweile von tausenden Unternehmen in über 120 Ländern genutzt.
Mehr unter www.ftapi.com