Bereit für die EU-Daten- schutzgrund- verordnung? · verändern. Abhilfe wird die neue europäische Datenschutzgrundverordnung (EU-DSGVO) schaffen, indem die unterschiedlichen nationalen

Bereit für die EU-Daten- schutzgrund-verordnung? Studie zum Reifegrad des Datenschutz-Managements in österreichischen Unternehmen

Inhalt

Vorwort 4

Die Evolution des Datenschutzes 6

Handlungsfelder 12

Der Weg nach vorne 20

Studiendesign 24

Kontakte 26

3Bereit für die EU-Datenschutzgrundverordnung? |

6

12

20

4 | Bereit für die EU-Datenschutzgrundverordnung?

Vorwort

Die Digitalisierung aller Lebens- und Geschäftsbereiche und die damit verbundene Verarbeitung von Daten führt dazu, dass die Anforderungen an den Datenschutz stetig steigen, da der Schutz personenbezogener Daten ein wichtiges Persönlichkeitsrecht je-des Einzelnen darstellt. Dieses Recht zu gewährleisten stellt Unternehmen rund um den Globus vor enorme Herausforderungen. Internationale Konzerne kämpfen mit Gesetz- gebungen zum Datenschutz, die weltweit uneinheitlich sind und sich permanent stark verändern. Abhilfe wird die neue europäische Datenschutzgrundverordnung (EU-DSGVO) schaffen, indem die unterschiedlichen nationalen Gesetze zum Datenschutz in Europa vereinheitlicht werden.

Die EU-DSGVO stärkt die Eigenverantwortung der Unternehmen, erhöht allerdings den technischen und organisatorischen Aufwand. Sie birgt auch enorme Risiken − eine Strafe von bis zu vier Prozent des weltweiten Jahresumsatzes bei Verstößen kann existenzbedrohlich sein − und geplante sowie anlassbezogene Vor-Ort-Prüfungen der Behörde machen solche Strafen viel wahrscheinlicher.

Große Unternehmen können den Datenschutz nur sicherstellen, wenn die Datenschutz- organisation systematische Prozesse unternehmensweit implementiert. Der Druck, ein entsprechendes Datenschutz-Management-System (DSMS) zu etablieren und dies nach-zuweisen, steigt mit der neuen EU-DSGVO enorm.

EY erhebt in der vorliegenden Studie den Reifegrad von national und international agie-renden Unternehmen hinsichtlich der neuen Datenschutzgrundverordnung. Die Ergeb-nisse sind auf den ersten Blick zufriedenstellend, da fast alle Studienteilnehmer mit der neuen EU-DSGVO vertraut sind. Allerdings zeigen die Ergebnisse der Studie auch, dass nur ein Bruchteil der Studienteilnehmer bereits Projekte gestartet hat, um die Anforde-rungen der EU-DSGVO im eigenen Unternehmen umzusetzen. Bei näherer Betrachtung zeigt sich bei der großen Mehrheit ein punktueller oder auch genereller Nachholbedarf, was hinsichtlich des schon baldigen Inkrafttretens der neuen Grundverordnung mit Mai 2018 eine große Herausforderung darstellt.


Drazen Lukac Gottfried Tonweber Thomas Steiner

Im Allgemeinen bietet es sich an, bereits heute zu prüfen, ob ein Unternehmen gut auf die EU-DSGVO, welche ab Mai 2018 in Kraft tritt, vorbereitet ist. Diese Prüfung muss die spezifischen Risiken des Unternehmens berücksichtigen. Auf der Basis einer Zielvorgabe und der identifizierten risikobewerteten Lücken lässt sich ein Aktionsplan entwickeln. Bei der Umsetzung dieses Plans sollte gewährleistet sein, dass die Datenschutzorganisa-tion über notwendige Ressourcen und das erforderliche Know-how verfügt. Außerdem sollte durch einen deutlichen „Tone from the Top“ Rückhalt im Unternehmen geschaffen werden. Die weitere Umsetzung sollte auf nachhaltige und systematische Management-prozesse angelegt sein, in die insbesondere der Risikogedanke integriert ist.

Ziel muss es sein, die Datenschutzorganisation im Unternehmen vom historisch häufig rein operativ und reaktiv agierenden „Compliance Keeper“ zum „Business Partner“ oder gar zum „Business Enabler“ zu transformieren. Auf jeden Fall lassen sich die Datenschutzrisiken effizienter durch ein systematisches DSMS managen.


Die Evolution des Datenschutzes


Lange wurde der Datenschutz in österreichischen Unternehmen stiefmütterlich behandelt. Bis heute kommt es noch vor, dass sich ein Datenschutzbeauftragter (DSB) als Einzelkämpfer mühselig durch unzählige Unternehmensprozesse kämp-fen muss, um den Datenschutz darin zu verankern. So geben nur 23 Prozent der Studienteilnehmer an, dass mehr als eine Person in der jeweiligen Datenschutz- organisation arbeitet, was angesichts der hohen Anforderungen verwundern mag. Untersuchungen haben gezeigt, dass diese Werte auch in starkem Kontrast zu deutschen Unternehmen stehen, wo 73 Prozent mehr als zwei Personen in ihrer Datenschutzorganisation beschäftigen.

Auf geringe Gegenliebe stößt der DSB häufig nicht nur, weil er als Verhinderer ge-sehen wird. Oft kämpft er auch gegen fehlendes Wissen − seine Gesprächspartner vermengen zum Beispiel häufig Datenschutz und Informationssicherheit.

Weltweite heterogene Datenschutzgesetzgebung bedeutet immense Komplexität für internationale Konzerne

In der öffentlichen Wahrnehmung ist der Datenschutz in den letzten Jahren zu einem eminent wichtigen Thema geworden. Nicht zuletzt aus diesem Grund erweitert sich die globale Landkarte der Datenschutzgesetzgebung seit geraumer Zeit zunehmend. Die weißen Flecken auf dieser Karte werden immer weniger. Doch das Problem bleibt: Die lokalen Gesetzgebungen unterscheiden sich enorm − trotz der Bemühungen um Vereinheitlichung beispielsweise durch die kommende euro-päische Datenschutzgrundverordnung (EU-DSGVO). Gerade in international auf- gestellten Konzernen bedeutet dies einen erheblichen Aufwand. So verfügt aus-kunftsgemäß nur ein Viertel der international tätigen Studienteilnehmer über eine effektive, internationale steuernde Funktion für den Datenschutz in ihren Unternehmen.

Selbst innerhalb der EU hat die bisherige EU-Richtlinie zum Datenschutz nur den Rahmen vorgegeben. Ihn haben die einzelnen Mitgliedsländer in unterschiedlichen lokalen Gesetzgebungen umgesetzt. In diesem Punkt wird die am 14. April 2016 vom EU-Parlament beschlossene neue EU-DSGVO für eine Vereinheitlichung sorgen. Da sie als direkt geltendes Recht in jedem Mitgliedsland nach einer Über-gangsfrist von zwei Jahren unmittelbar und gleichartig wirkt, wird der rechtliche Rahmen für alle EU-Mitgliedsländer der gleiche sein. Innerhalb dieses Rahmens werden allerdings auch künftig einzelne Themen landesspezifisch geregelt.

Nur bei 23 % der Studienteilnehmer arbeitet mehr als eine Person in der Datenschutzorganisation.

Nur 25 % der international tätigen Studienteilnehmer haben eine effektive, internationale Steuer-funktion für den Datenschutz.


Bei Verstößen gegen die EU-DSGVO drohen drastische Bußgelder

So uneinheitlich die Gesetzgebung international ist, so abweichend ist auch die Durchsetzung des Datenschutzes von Land zu Land. Die lokalen Aufsichts-behörden sind unterschiedlich aktiv und die Bußgelder bei Verstößen bisher eher niedrig. Derzeit liegt in Österreich die Strafe pro Vergehen noch bei maximal 25.000 Euro und befindet sich EU-weit im Mittelfeld, verglichen mit beispielsweise Deutschland (bis zu 300.000 Euro) bzw. Kroatien (bis zu 5.200 Euro). Allerdings droht mit dem Bekanntwerden eines Datenschutzverstoßes ein Imageschaden, der schwer zu messen ist und je nach Geschäftsmodell das Geschäft jedoch erheblich beeinträchtigen kann.

Mit der EU-DSGVO werden die Bußgelder bei Datenschutzverstößen signifi-kant: Sie betragen bis zu vier Prozent des jährlichen weltweiten Konzernumsat-zes. Für einen großen Konzern kann die Buße in die Hunderte Millionen oder gar in die Milliarden Euro gehen. Allerdings wird bei der Bemessung der Strafe auch Rücksicht auf die bereits umgesetzten Maßnahmen zur Minderung der Datenschutzrisiken genommen.

Die entsprechenden Risiken müssen daher spätestens jetzt − wenn nicht bereits geschehen − Eingang in das zentrale Risikomanagement des Unter- nehmens finden. Allerdings zeigen die Ergebnisse der Studie, dass bei der Mehrheit der Studienteilnehmer die Datenschutzrisiken bisher nicht in das zentrale Risikomanagement einbezogen werden.


Nur 25 % der Studienteilnehmer geben an, Datenschutzrisiken bisher angemessen im zentralen Risikomanagement berücksichtigt zu haben.


Arbeitsteilige und ausgelagerte Geschäftsprozesse erschweren einen durchgängigen Datenschutz

Viele Großunternehmen lagern Geschäftsprozesse ganz oder teilweise aus − beschäftigen also eine Vielzahl externer und interner Dienstleister. Das gilt nicht nur für klassische Produktionsprozesse, sondern auch für Dienstleistun-gen rund um die Verarbeitung personenbezogener Daten.

In allen befragten Unternehmen spielt die Datenverarbeitung eine wichtige Rolle und rund die Hälfte der Studienteilnehmer gibt an, dass sie ihre personenbezogenen Daten bzw. die ihrer Kunden von externen Servicedienstleistern verarbeiten lassen.

Die gesetzlichen Anforderungen an die vertragliche Gestaltung der Auftrags-datenverarbeitung und die Überprüfung der Dienstleister sind Herausforderun-gen für die Unternehmen. Fast jeder vierte Studienteilnehmer transferiert personenbezogene Daten zu anderen Unternehmen bzw. Unternehmensteilen auch außerhalb des Europäischen Wirtschaftsraums (EWR). Dabei müssen sie durch die neuen Anforderungen der EU-DSGVO zusätzliche Maßnahmen treffen.

Die Anforderungen an den Datenschutz lassen sich nur ein systematisches Datenschutz-Management erfüllen

Die Anforderungen an die Unternehmen, an ihre Datenschutzorganisation und ihre Datenschutzprozesse sind stark gestiegen und werden weiter steigen. In größeren Unternehmen mit komplexen Strukturen, internationalen Tochterge-sellschaften und Datenströmen ist ein systematischer Managementansatz für alle Aspekte des Datenschutzes unumgänglich. Das gilt umso mehr, als sich ihre Geschäftsmodelle zunehmend digitalisieren. Des Weiteren wird in der neuen EU-DSGVO die „Accountability“ − also die letzte, nicht delegierbare Verantwortung und Rechenschaftspflicht − des Unternehmens noch deutlicher als bisher hervorgehoben. Jedes Unternehmen muss mit angemessenen Maß-nahmen dafür sorgen, dass die Datenschutz-Compliance sichergestellt wird und man jederzeit in der Lage ist, diese Vorsorge auch nachweisen zu können.


Über 50 % der befragten Studienteilnehmer lassen personenbezogene Daten von externen Servicedienstleistern verarbeiten.

23 % der befragten Studienteilnehmer tätigen Datentransfers zu Unternehmen /Unternehmensteilen außerhalb des EWR.



Datenschutz-Management-System (DSMS)

Ein DSMS ist die Gesamtheit aller dokumentierten und implementierten Rege-lungen, Prozesse und Maßnahmen, die dazu dienen, einen datenschutzkonfor-men Umgang mit personenbezogenen Daten im Unternehmen systematisch zu steuern. Unter anderem soll ein DSMS bei knappen Ressourcen die Grundlagen für gezielte risikobasierte Entscheidungen für Investitionen in den Datenschutz schaffen.

Unsere Studie zeigt, dass bisher nur ein Studienteilnehmer über ein systemati-sches Datenschutz-Management-System (DSMS) verfügt.

Ein DSMS muss so modular aufgebaut sein, dass es konzernweit anzuwenden ist − also in Unternehmensbereichen unterschiedlicher Größe in verschiedenen Ländern mit unterschiedlicher Rechtslage, Risikosituation und gegebenenfalls unterschiedlichen Geschäftsmodellen. Um Doppelungen und Mehraufwand in einem DSMS zu vermeiden, sollte der Datenschutz in bestehende Prozesse und Strukturen integriert werden. Ebenso empfiehlt sich die Zusammenarbeit mit benachbarten Bereichen/Abteilungen (z. B. Information Security, Compliance, Risikomanagement).

Die Ausgestaltung eines DSMS unterliegt unternehmerischen Entscheidungen. Erforderlich ist eine unternehmensindividuelle Konkretisierung. Die folgende Abbildung zeigt eine mögliche Interpretation von EY zur Gestaltung eines DSMS angelehnt an den deutschen Standard für Compliance Management Systeme IDW PS 980:

Nur ein Einziger der Studienteilnehmer verfügt bis dato über ein Datenschutz-Management-System.



1. Datenschutzkultur 2. Datenschutzziele 3. Datenschutzrisiken

4. Datenschutzprogramm 5. Datenschutzorganisation 6. Datenschutzkommunikation

7. Datenschutzkontrolle

Strategie/Mission Statement

Tone from the top

Binding Corporate Rules

Code of Conduct

Risiko- management

Gesetzgebung/Lobbying

Policies/Richtlinien ADV Datenschutz-

beratungDS-

Organisation

Dezentrale DS-Organisa-

tion

Geschäfts-steuerung

Schulung Externe Kommunikation

TransparenzPrivacy Breach

Notification

Interne Kom-munikation/Awareness

Verfahrens-verzeichnis

Internationaler Datentransfer

Technische organisat.

Maßnahmen

Betroffenen-rechte

Incident Management

Vorab-kontrolle Audit

Externe Prüfungen/Zertifikate

Anfragen/Beschwerden Reporting


Handlungsfelder


Aus den Ergebnissen der Studie lassen sich einige generelle Handlungsfelder ableiten. Diese gelten selbstverständlich nicht für alle Teilnehmer der Studie und sind auch nicht automatisch auf alle Unternehmen übertragbar. Die Studie zeigt aber durchaus Tendenzen, die repräsentativ für eine Vielzahl von öster- reichischen Unternehmen sind.

Grundlagen schaffen

Unternehmen können den Datenschutz in unterschiedlicher Weise nachhaltig erfolgreich umsetzen. In kleineren Unternehmen kann ein einzelner, sehr gut vernetzter und respektierter Datenschützer, der Multiplikatoren geschickt ein-setzt, ein sehr solides Datenschutzniveau erreichen. In anderen Unternehmen kann eine größere zentrale Datenschutzorganisation mit starken etablierten Prozessen erfolgreich sein. Wiederum in anderen Unternehmen garantiert eine starke Datenschutzkultur, dass die Anforderungen erfüllt werden. Dazu gehören Führungskräfte, die hinter dem Thema stehen und mit dem richtigen „Tone from the Top“ den Datenschutz ins Unternehmen treiben.

Ziele festlegen

Jenseits der Grundanforderungen an die Datenschutz-Compliance wird nicht jedes Unternehmen das Ziel haben „best in class“ zu sein. Um den Datenschutz aber systematisch umzusetzen, muss sich die Unternehmensleitung klar positio-nieren und gemeinsam mit dem Datenschutzbeauftragen die Ziele der Daten-schutzmaßnahmen festlegen:

• Was soll erreicht werden und welche Ambitionen hat das Unternehmen, national wie auch international?

• Wie sehen die Vision und das Mission Statement zum Datenschutz aus?

• Was trägt der Datenschutz zu den Unternehmenszielen bei?

Datenschutz ist für Kunden und Mitarbeiter eines Unternehmens ein zunehmend wichtiges Thema. Er kann Unternehmenswerte schaffen und den Unternehmens- erfolg unterstützen.

Bei 44 % der Studienteilnehmer ist aktuell keine Datenschutz-Policy vorhanden.


Handlungsfelder

„Tone from the Top“ sicherstellen

Um die Datenschutzziele zu erreichen, müssen das Topmanagement und die gesamte Führungsmannschaft ihre Verpflichtung auf dieses Thema deutlich for-mulieren und auch leben. Das Topmanagement muss seine Verantwortung für den Datenschutz verinnerlichen und seine Vorbildfunktion wahrnehmen. Damit stärkt es dem DSB und der Datenschutzorganisation den Rücken.

Ausstattung mit angemessenen Ressourcen

Einen DSB zu benennen ist in Österreich, sowie in den meisten anderen EU- Ländern nicht per Gesetz verpflichtend festgelegt. Dies wird sich jedoch mit der EU-DSGVO ändern, da ein DSB unter bestimmten Voraussetzungen verpflichtend benannt werden muss. Dieser Sachverhalt spiegelt sich auch in der Studie wie-der, da nur 42 Prozent der Studienteilnehmer einen Datenschutzbeauftragten besitzen und diesbezüglich ein erheblicher Nachholbedarf besteht.

Soll der Datenschutz im Unternehmen systematisch eingeführt und gemanagt werden, braucht es dafür entsprechendes Know-how, Prozesse, Methoden und vor allem ausreichend Personal. Die EU-DSGVO fordert beispielsweise, dass dem DSB angemessene Ressourcen einschließlich des Hilfspersonals zur Verfügung gestellt werden. Die meisten Studienteilnehmer bewerten die Ausstattung des DSB mit Ressourcen (Personal und Budget) als nicht ausreichend. Das Ergebnis ist insofern bemerkenswert, da obwohl der Datenschutz im Topmanagement bei über zwei Drittel der Studienteilnehmer als wichtig oder sehr wichtig eingestuft wurde, die Budget- und Ressourcengestaltung dies allerdings nicht widerspie-geln. Verglichen mit den Werten aus Deutschland, wo zumindest 57 Prozent die ihnen zur Verfügung stehenden Ressourcen als ausreichend empfinden, besteht in Österreich dringender Nachholbedarf was die Ressourcenausstattung der Datenschutzorganisationen betrifft. So geben nur 20 Prozent der Studienteil- nehmer an, dass dem DSB genügend Ressourcen zur Verfügung stehen.

Neben den personellen Ressourcen, die die Grundlage der täglichen Arbeit sind, muss der Datenschutzorganisation auch ein angemessenes freies Budget zur Verfügung stehen. Dieses freie Budget ist für besondere Projekte oder Aktivitä-ten vorgesehen oder dafür, Belastungsspitzen abzufedern. Die dafür verfüg- baren Budgets stehen aktuell mit durchschnittlich rund 20.000 Euro in keiner Relation zu den drohenden Strafen (vier Prozent des globalen Konzernumsatzes bzw. bis zu EUR 20 Mio., je nachdem was höher ist).

Grundsätze des Datenschutz-Managements etablieren

Die Datenschutz-Compliance in einem großen Unternehmen sicherzustellen ist eine Aufgabe, die nur mit systematischen Managementansätzen zu lösen ist. Spätestens mit der neuen EU-DSGVO gewinnt die Accountability des Unterneh-mens als verantwortliche Stelle noch einmal deutlich mehr an Gewicht. Die EU-DSGVO enthält die explizite Forderung, mit Hilfe geeigneter Prozesse diese Compliance zu gewährleisten und dies nachweisen zu können.

Daher ist es notwendig, den Datenschutz systematisch zu managen und ihn nach dem „Privacy by Design“-Konzept fest in Anwendungen und Prozessen zu veran-kern. Das kann zu gravierenden Veränderungen führen, wenn noch nach „Best Effort“-Regeln gearbeitet wird und der Datenschützer eher als Feuerwehrmann agiert.

80 % der Studienteilnehmer geben an, dass dem DSB nicht genügend personelle/ finanzi-elle Ressourcen zur Verfügung stehen.

27 % der Studienteilnehmer geben an, dass gar kein Budget für die Datenschutzorganisa-tion zur Verfügung steht.

Bei 27 % der Studienteilnehmer ist der Daten-schutz (noch) kein wichtiges Thema für das Topmanagement.

Nur 20 % der Studienteilnehmer haben eine ausformulierte Datenschutzstrategie.

58 % der Studienteilnehmer haben keinen Datenschutzbeauftragten

23 % der Studienteilnehmer informieren ihre Mitarbeiter kaum bis gar nicht über Datenschutz


Handlungsfelder

Systematische Managementprozesse sichern die Compliance

In vielen Unternehmen basiert der Datenschutz auf traditionellen Verfahren, persönlichen Kontakten und einem großen Engage-ment der Datenschützer. Die reiferen Unternehmen verlassen sich allerdings nicht allein darauf. Aus diesem Grund haben sie systematisch relevante Datenschutzthemen in bestehende Pro-zesse integriert oder entsprechende Prozesse der Datenschutz- Organisation in Gang gesetzt. Das ist der Weg, mit dem der Da-tenschutz verlässlich und nachweisbar auch in größeren und komplexeren Unternehmensstrukturen sicherzustellen ist.

In der Praxis heißt das beispielsweise, die Beratung, Prüfung und Freigabe von neuen Projekten und Anwendungen in etab-lierte IT-Prozesse (etwa die Systementwicklung) zu integrieren, die auch dem Datenschützer zugänglich sind. Damit erfährt der Datenschutz frühzeitig, welche Projekte existieren. So kann er sich in datenschutzrechtlich kritische Projekte beratend ein- binden, eine Datenschutzfolgenabschätzung (Privacy Impact Assessment) und eine Vorabkontrolle durchführen.

Ebenso lassen sich bestehende Einkaufsprozesse nutzen, um einen systematischen Umgang mit Auftragsdatenverarbeitern zu implementieren. In vielen Unternehmen ist der Einkaufsprozess bereits stark zentralisiert, verpflichtend und toolunterstützt. Dort fällt es relativ leicht, über diesen Prozess und die Einkäufer als Multiplikatoren standardisierte Verträge einzuführen und den Da-tenschutz − falls notwendig − gleich mit zu integrieren. Ein pro-zessualer und systematischer Ansatz kann auch dazu beitragen, die Steuerung der Aktivitäten der Datenschutzorganisation spür-bar zu professionalisieren. Ein Prozess mit klar festgelegten Ver-antwortlichkeiten kann beispielsweise helfen, Schulungen syste-matisch und dauerhaft zu managen. Zu diesem Zweck empfiehlt sich ein klar strukturierter Fragenkatalog, wie beispielsweise:

• Was sind die relevanten Zielgruppen für Datenschutz Schulun-gen und welche Sprache muss man mit ihnen jeweils sprechen?

• Welcher Schulungsbedarf besteht und in welcher Form kann am besten geschult werden (z. B. Web Based Training/Präsenz-schulung, Coaching, Infoflyer …)?

• Welches Portfolio an Schulungen besteht? Welches wäre notwendig?

• Welche Schulungen müssen neu erstellt oder überarbeitet werden?

• Wer erstellt die Schulungen und bis wann hat das zu erfolgen?

• Wer hält die Schulungen?

• Wie wird der Erfolg/die Effizienz der Schulungen gemessen? (z. B. Feedbackfragebogen)


Handlungsfelder

10 Studienteilnehmer leiten aktuell keine Maßnahmen aus den identifizierten Datenschutzrisiken ab

Unternehmen mit einem systematischen Management der Datenschutzrisiken haben dieses in der Regel auch in ein zentrales Risikomanagement eingebunden.

Datenschutz-Management als Risikomanagement begreifen

Bislang dürften Datenschutzrisiken vornehmlich Image und Reputation betref-fen. Bußgelder und direkte finanzielle Einbußen haben in der Regel selten gra-vierende Ausmaße erreicht. Doch mit der EU-DSGVO werden die maximalen Bußgelder drastisch erhöht. So können auch diese in Dimensionen vorstoßen, die für ein Unternehmen ein signifikantes Risiko bedeuten.

Solche Risiken systematisch zu identifizieren und mit geeigneten Maßnahmen einzudämmen − sie also systematisch zu managen − ist Ziel eines effizienten Datenschutz-Managements. Dabei gilt es zu vermeiden, das Rad neu zu erfin-den. Bewährte Methoden und Mechanismen des Risikomanagements existieren in der Regel bereits in den Unternehmen − sie sollten genutzt werden.

Zur Risikoanalyse bieten sich unterschiedliche Ebenen an, zum Beispiel:

• In welchem Land existieren die größten Datenschutzrisiken (etwa aufgrund der besonderen lokalen Gesetzgebung oder mächtiger und aktiver Aufsichtsbehörden)?

• Welches der Geschäftsmodelle birgt die höchsten Datenschutzrisiken?

• Welche Personengruppen haben durch richtiges oder falsches Verhalten den größten Einfluss auf Datenschutzrisiken?

• In welchen Applikationen stecken die höchsten Datenschutzrisiken?

Derartige Analysen sind die Basis dafür effektive Maßnahmen zu identifizieren. Damit helfen sie dem Datenschutz seine zumeist begrenzten Ressourcen opti-mal zu nutzen. Er kann sich auf die kritischsten Projekte fokussieren und bei deren Gestaltung intensiv beraten. Gezielte Schulungen kritischer Zielgruppen oder besonderer Multiplikatoren tragen zusätzlich dazu bei, Datenschutzrisiken im Griff zu behalten.


Handlungsfelder

Nur bei 30 % der Studienteilnehmer werden Audits zum Datenschutz durchgeführt.

Eine umfassende unab- hängige (z. B. externe) Überprüfung des Daten - schutzes erfolgt nur bei 17 %.

Bei 80 % der Studienteilnehmer ist überwiegend oder vollständig sichergestellt, dass Auftrag-nehmer vor Vertragsabschluss angemessen überprüft werden.

Vertrauen ist gut, Kontrolle ist besser …

Die vorliegende Studie zeigt, dass auch im Bereich (externe) Audits und bei der Vorabkontrolle von Auftragnehmern Nachholbedarf herrscht. Nur wenige Studi-enteilnehmer lassen umfassende Audits zum Datenschutz durchführen, weder von der Datenschutzorganisation selbst noch durch externe oder unabhängige Dritte. Des Weiteren hat auch die Überprüfung vor Beginn der Auftragsdatenver-arbeitung einen geringen Reifegrad, wobei es den meisten Unternehmen noch schwer fällt, ihre Dienstleister „sodann regelmäßig“ weiter zu überprüfen.

Um den Datenschutz nachhaltig sicherzustellen, muss der gesetzliche Kontrol-lauftrag des DSB auch in Form angemessener Datenschutzaudits umgesetzt werden. Erst so entsteht Klarheit über den tatsächlichen Grad der Datenschutz-Compliance. Verbesserungen werden angestoßen und die „Umsetzungsmoral“ gesteigert. Dabei ist offen, ob die Datenschutzorganisation selbst diese Audits durchführt oder sie an eine andere interne oder externe Stelle delegiert. Die höch-ste Nachhaltigkeit erzielt ein Unternehmen durch die Kombination verschiedener „Lines of Defense“.

Die vorliegende Studie, dass in nur 17 Prozent der Studienteilnehmer eine umfas-sende unabhängige Überprüfung des Datenschutzes erfolgt. Dies ist insofern erklärbar, als dass unabhängige Überprüfungen bzw. Audits, aufgrund des mo-mentan noch geringen Reifegrades der Datenschutzmaßnahmen in Unternehmen, unzweckmäßig wären. Dennoch planen viele Unternehmen dies zukünftig als fixen Bestandteil in ihr Compliance- und Qualitätsmanagement aufzunehmen.

Internationalen Datenschutz stärken

In global agierenden Unternehmen sollte auch der Datenschutz grenzenlos sein. Ein Datenschutzvorfall in nur einer Landesgesellschaft kann das Image des gesam- ten Konzerns empfindlich beschädigen. Außerdem werden Systeme und Prozesse in großen Konzernen zunehmend einheitlich und global implementiert. Ihre glo-balen Datenströme, die auch den Transfer personenbezogener Daten über Rechts-und Landesgrenzen hinweg umfassen, erfordern ein konzernweit einheitliches Datenschutzniveau. Daher muss Datenschutz zwingend international gedacht und gesteuert werden. Hier haben viele Unternehmen heute noch erhebliche Defizite aufzuarbeiten.


Handlungsfelder

Häufig fehlt es an einer wirksamen zentralen Funktion zur Steuerung und Koordinierung des Datenschutzes. Das führt dazu, dass der Reifegrad des Datenschutz-Managements in den internationalen Unternehmensteilen in der Regel niedriger ausfällt. Da die lokalen Anforderungen an den Datenschutz und damit die Relevanz oftmals nicht so hoch sind wie in Österreich, haben die Landesgesellschaften häufig eine geringere Motivation, ein wirksames DSMS einzuführen. Eine schwache zentrale Steuerungs- und Koordinierungsfunktion kann auch dazu führen, dass Prozesse, Policies, Verfahren und Tools in den Landesgesellschaften mehrfach neu entwickelt werden. Denn in solchen Strukturen wird es keinen ausreichenden Transfer von Anleitungen oder Best Practices aus den reiferen an die weniger entwickelten Landesgesellschaften geben. Ein lokaler Datenschutzbeauftragter, der mit nur 0,2 Vollzeitkräften das Thema Datenschutz vorantreiben soll, ist auf Unterstützung durch die zumeist reifere zentrale Organisation angewiesen.

Vorausschauend handeln

Mit einem DSMS werden die Datenschutzrisiken im Unternehmen gemanagt. Doch es gibt auch Risiken, die sich nur begrenzt oder mit viel Aufwand im Griff behalten lassen. So lässt sich die öffentliche Meinung zum Datenschutz kaum steuern. Durch einen Datenschutzvorfall kann ein Unternehmen einen erhebli-chen Imageschaden erleiden, wenn die Öffentlichkeit ein rechtskonformes Verhalten aufgrund der Darstellung in den Medien als Datenschutzvergehen/-verstoß wertet. Dies kann auch passieren, wenn sich ein Tochterunternehmen an die lokal gültigen Datenschutzgesetze hält, das Vorgehen aber der öster-reichischen Konzernmutter aufgrund der strengeren österreichischen Daten-schutzgesetzgebung als „unethisch“ vorgehalten wird.

Über 50 % der Studienteilnehmer haben keine wirksame Datenschutzorganisation in ihren internationalen Töchtern etabliert.

87 % der Studienteilnehmer sind aktuell noch nicht in der Lage, den Datenschutz zentral für alle Auslandstöchter zu steuern.


Nur wenige

Studienteilnehmer gaben an, proaktiv ihre Stakeholder bzw. die Öffentlichkeit über ihre Datenschutzmaßnahmen zu informieren.

Externe Kommunikation als Chance begreifen

Datenschutz als Thema für die externe Kommunikation wird häufig unter-schätzt. Tatsächlich ist es schwierig, dieses Thema in der öffentlichen Wahr- nehmung positiv zu besetzen. Denn die Berichterstattung präferiert negative Schlagzeilen. Eine aktive externe Kommunikation zum Datenschutz mit dem Ziel, dem Unternehmen eine positive öffentliche Wahrnehmung zu verschaffen, ist daher ein mühsames Unterfangen. Gelingt es aber, den Datenschutz im Zusammenhang mit dem eigenen Unternehmen positiv zu besetzen, kann dies bei Kunden, Partnern und Mitarbeitern Vertrauen und, je nach Geschäfts- modell, auch einen Wettbewerbsvorteil generieren.

In der Studie zeigt sich, dass die externe Kommunikation eines der Themen mit dem geringsten Reifegrad ist. Nur wenige Studienteilnehmer steuern system-atisch und proaktiv die externe Kommunikation zum Datenschutz im Rahmen von Kommunikationskampagnen mit dem Ziel, dem Unternehmen eine positive öffentliche Wahrnehmung zu verschaffen. Stattdessen werden zumeist nur die rechtlich geforderten Legal Disclaimers auf Webseiten positioniert, jedoch wird darüber hinaus keine externe Kommunikation betrieben. Prinzipiell ist dies auch nicht zu beanstanden. Dennoch kann es sinnvoll sein zu überdenken, ob und inwieweit externe Kommunikation zum Datenschutz dem Unternehmen nützen kann. Wenn am Ende die bewusste Entscheidung steht, dass man ex-tern nicht intensiv zum Datenschutz kommunizieren möchte, dann ist das legi-tim. Kommt es aber zu einem Datenschutzvorfall oder zu negativer Bericht- erstattung zum Thema Datenschutz, ist eine eingespielte externe Kommunika- tion unabdingbar. Denn es gilt, den Schaden wenigstens zu minimieren. Ein bestehendes vertrauensvolles Verhältnis zwischen Pressestelle und Medien auch zum Thema Datenschutz kann in solchen Fällen Gold wert sein, jedoch zeigt die vorliegende Studie, dass im Falle eines Privacy Breachs nur 37 Prozent der Studienteilnehmer eine entsprechende Benachrichtigung an Stake-holder aussenden.

Nur 37 % der Studienteilnehmer gaben an, dass im Falle eines Privacy Breachs eine entsprechende Benachrichtigung an Stake-holder ausgesandt wird.

Handlungsfelder


Der Weg nach vorne


In der vorliegenden Studie hat EY den Reifegrad von österreichischen und international agierenden Unternehmen und Konzernen hinsichtlich der neuen EU-DSGVO untersucht. Dabei hat sich gezeigt, dass die kommenden Anforderun- gen hinsichtlich der EU-DSGVO zwar weitestgehend bekannt sind, beim Auf- und Ausbau sowie der konzernweiten Implementierung von systematischen Datenschutz-Management-Systemen allerdings erheblicher Nachholbedarf besteht.

Nur rund die Hälfte der Studienteilnehmer hatte zum Zeitpunkt der Befragung bereits erste notwendige Schritte in Richtung EU-DSGVO-Compliance gesetzt. In Anbetracht des bald bevorstehenden Inkrafttretens der neuen EU-Verord-nung mit Mai 2018 wird die rechtzeitige Implementierung von entsprechenden Maßnahmen für viele Unternehmen noch eine große Herausforderung darstellen.

Die Studienergebnisse zeigen Verbesserungspotenzial in der Systematisier- ung der Managementprozesse und im systematischen Management von Datenschutzrisiken. Da die EU-DSGVO den Aspekt der Accountability der Unternehmen stark in den Mittelpunkt rückt, wird es für viele Unternehmen unabdingbar sein, ihre Kontrollaktivitäten in Form von Datenschutz-Audits zu intensivieren.

Was müssen Unternehmen tun?

Die Studie gibt wertvolle Hinweise, wo die Stärken und Schwächen im Daten-schutz-Management großer österreichischer und internationaler Konzerne liegen und wo es sich lohnt, erste Analysen im Unternehmen anzusetzen. Mit Blick auf die EU-DSGVO sollten sich generell alle Unternehmen die Frage stellen, ob sie ohne strukturiertes DSMS bereits fit dafür sind, die neuen Anforderungen zu erfüllen. Nur ein systematischer Ansatz hilft auf dem Weg von einer gewachsenen Datenschutzorganisation mit bestehenden Prozessen zu einem strukturierten DSMS und einer zukunftsfähigen Datenschutz- organisation.

! Auf- und Ausbau von konzernweiten Datenschutz-Management-Systemen.


Der Weg nach vorne

Wie könnten die Unternehmen an die Aufgabe herangehen?

Idealerweise ist dieses Ziel mithilfe einer sukzessiven Transformation zu erreichen. Eine typische Vorgehensweise ist nachfolgend skizziert.

Phase 1: Assessment

Der erste Schritt ist ein Maturity-Assessment. Es dient dazu, ein Bild des Reife-grades des bestehenden DSMS und der Einsatzfähigkeit des Systems für die neue EU-DSGVO zu gewinnen. In einem zweiten Schritt werden die Ergebnisse des Maturity-Assessments den Datenschutzrisiken des Unternehmens oder des Geschäftsmodells gegenübergestellt. Dies ist der entscheidende Schritt, um ein adäquates Transformationsprogramm zu entwickeln. Denn ein Unterneh-men kann und will in der Regel nicht in allen Disziplinen des Datenschutzes „best in class“ sein. Wichtig ist, dass reife und angemessene Maßnahmen als Antwort auf die relevanten Risiken gefunden werden.

Phase 2: Planung

Die Ergebnisse des Assessments sind die Grundlage dafür, im zweiten Schritt der Planung ein Zielbild zu definieren. Darin wird festgelegt, welche Bereiche wie weit entwickelt werden sollen. Entscheidend für das Zielbild sind der Risiko-appetit und der Anspruch, wie und auf welchem Niveau Datenschutz im Unter-nehmen gelebt werden soll. Auf der Basis des Zielbildes wird die Roadmap für das Transformationsprojekt erstellt. Das heißt: Die notwendigen Maßnahmen und ihre Reihenfolge werden festgelegt. Mit der Definition der Roadmap geht die Prüfung einher, welche Grundlagen in der Datenschutzorganisation im Un-ternehmen bereits vorhanden und welche noch zu schaffen sind. Gegebenen-falls ist es notwendig, die Ressourcen und das Know-how aufzustocken. Bereits in dieser Phase sollten das Projekt und die Datenschutzorganisation durch einen entsprechenden „Tone from the Top“-Rückhalt im Unternehmen bekom-men. Schon in der Planung sollte Wert auf systematische Managementpro-zesse gelegt werden, in die der Risikogedanke durchgängig einfließt.

Phase 3: Implementierung

In der Implementierungsphase geht es darum, die Vorgaben der Roadmap in die betriebliche Realität umzusetzen. Im Verlauf dieser Phase werden einzelne Aspekte des DSMS mit Inhalt gefüllt oder optimiert. Am Anfang steht in der Regel eine Design- und Konzeptphase, in der beispielsweise Richtlinien erstellt, Konzepte beschrieben (Schulung, Audit, Kommunikation etc.), Prozesse ent-worfen (z. B. Datenschutzfolgenabschätzungen, Vendor Due Diligence etc.) oder organisatorische Strukturen und das Governance-Modell erarbeitet wer-den. Die so definierten Konzepte, Prozesse, Richtlinien und Governance- Elemente werden im Anschluss implementiert. Wichtig bei all diesen Aktivitä-ten ist, dass mögliche Überschneidungen und Schnittstellen mit anderen Prozessen und Managementsystemen im Unternehmen (etwa Information- Security-Management-System, Compliance-Management-System, Internal Audit, Risikomanagement) berücksichtigt werden.

Assessment1

Planung

Implementierung

2

3

Reifegrad Risiken

Def. Zielbild Roadmap

Design Rollout

• Strukturiertes Maturity-Assessment

• Angelehnt an Standards

• Modularer Ansatz

• National/ International

• Identifikation der Gaps

• Spiegelung am Geschäftsmodell

• Identifikation der Hauptrisiken

• Priorisierung der Gaps

• Festlegung des Ambitionsniveaus

• Festlegung der DSMS-Struktur

• Business Case

• Minimierung der Compliance Risiken

• Effizienz und Effektivität

• Priorisierung

• Hygienemaßnahmen zuerst

• Fokus auf Tools of Effectiveness

• Schnittstellen mit anderen Manage- mentsystemen

• Neuerfindung des Rades vermeiden

Beispielsweise

• Organisation (z. B. int. Team)

• Richtlinien

• Konzepte (z. B. Schulungskonzept)

• Prozesse (Privacy- Impact-Assessment, Auftragsdatenver-arbeitung, etc.)

Beispielsweise

• Verabschiedung/ Beschluss

• Best Practices/ Unterstützung

• Kommunikation/ Schulung

• Monitoring

• Erfolgskontrolle

Implementierung priorisierter Prozesse/Module


Wo sollten die Unternehmen im Mai 2018 stehen?

Große Unternehmen sollten sich das Ziel setzen, die Datenschutz- organisation im Unternehmen vom rein operativ und reaktiv agie-renden Compliance Manager zu einem Business Partner oder gar Business Enabler zu transformieren. Die Datenschutzorganisa-tion muss das Unternehmen in die Lage versetzen, die Daten-schutzrisiken systematisch und aktiv zu managen. Dann sind die Grundlagen geschaffen, um Datenschutz dauerhaft zu managen und die Datenschutzrisiken für die Betroffenen und das Unter-nehmen zu minimieren. Ist ein derartiges Managementsystem wirksam implementiert, kann das Unternehmen auf jegliche Ver-änderung in der weltweiten Datenschutzgesetzgebung flexibel reagieren. Die EU-DSGVO bringt dabei einige Herausforderungen mit sich, aber gleichzeitig die Chance, auf die steigenden Ansprü-che zum Datenschutz zu reagieren und das Unternehmen auch auf diesem Gebiet als High Performer zu positionieren. Bis zum Inkrafttreten der EU-DSGVO ist es im ersten Schritt für die Unternehmen essentiell, risikoorientiert vorzugehen und dahingehend die Hauptrisiken zu identifizieren, entsprechende Maßnahmen zu priorisieren und diese rechtzeitig umzusetzen. Keinesfalls dürfen die initial gesetzten Schritte und Vorkehrun-gen als finale und endgültige Lösung verstanden werden, konti-nuierliche Prozessverbesserungen sind, wie in jedem anderen Management-System, unabdingbar.

Im Verlauf der Studie haben wir diesbezüglich bereits eine stei-gende Awareness und ein aktiveres Handeln der Unternehmen feststellen können. Eine signifikante Anzahl an Unternehmen hat bereits im Rahmen von Vor-Projekten, viele davon mit der Unter-stützung von externen Beratern, begonnen, Maßnahmen aus der EU-DSGVO abzuleiten bzw. diese zu implementieren. Ausschlag-gebend für die Wahl der externen Berater sind für Unternehmen vor allem umfangreiche juristische als auch technische und pro-zessuale Kenntnisse um alle Bestandteile der neuen EU-Verord-nung gesamtheitlich interpretieren und umsetzen zu können.

Der Weg nach vorne


Studiendesign


Teilnehmer

Die 30 Teilnehmer der Studie sind größtenteils österreichische, international operierende Unternehmen und verteilen sich über diverse Branchen. Die Erhebung erfolgte schwer-punktmäßig Mitte bis Ende 2016 in Form von Befragungen mit einem standardisierten Fragenkatalog. Unter den Studienteilnehmern befinden sich zahlreiche größere, börsen- notierte Unternehmen, darunter auch drei Konzerne die dem ATX angehören.

Rahmenbedingungen

• Der Großteil der teilnehmenden Unternehmen hat ihren Hauptsitz in Österreich

• 19 der 30 Studienteilnehmer haben mehr als 500 Mitarbeiter

• Fast alle befragten Unternehmen sind international tätig

• Über 70 Prozent der befragten Unternehmen haben mehr als 70.000 Kunden

Studiendesign, Methodik und Einschränkungen

Im Rahmen der Studie wurde der Reifegrad der befragten Unternehmen hinsichtlich der EU-Datenschutzgrundverordnung abgefragt. Die Erhebung erfolgte anhand eines standardi-sierten Fragebogens zu Prozessen, Policies, Organisationen etc. Die Checkliste enthielt 50 offene und geschlossene Fragen (davon 26 Kernfragen) aus den sieben Kategorien bzw. Schwerpunkten Allgemeines, Rechtlicher Rahmen, Datenschutzorganisation, Prozesse im Datenschutz-Management, Datenverarbeitung, Datenschutzkommunikation und Risiken, welche aus der EU-DSGVO abgeleitet wurden. Die geschlossenen Fragen waren in einer fünf-stufigen Bewertungsskala von „Stimme nicht zu“ bis „Stimme zu“ beziehungsweise mit der Option „Nicht zutreffend“ zu beantworten. Die Studienergebnisse haben bezüglich ihrer Aussagekraft folgende Grenzen:

• Die Studie basiert nur auf Aussagen der Teilnehmer, nicht auf verifizierten Ergebnissen oder Effektivitätsprüfungen.

• Alle Ergebnisse müssen zum Geschäftsmodell, zu Art und Größe des Unternehmens und insbesondere zu den vorhandenen Risiken in Relation gesetzt werden. Ein schlechtes Teilergebnis bedeutet nicht automatisch Handlungsbedarf, und ein gutes Ergebnis heißt nicht zwingend, dass alles zum Besten steht.

• Insbesondere wurde nicht der Status der Datenschutz-Compliance im Unternehmen untersucht, sondern die Umsetzung beziehungsweise der Reifegrad von Prozessen und Methoden zum Datenschutz-Management.

14 Branchen

• Banken• Technology• Gesundheit• Energieversorgung• Versicherungen• Konsumgüter• Motor- und Fahrzeugbau• Öl & Gas• Medien• Telekommunikation• Lebensmittel/Retail• Baugewerbe• Chemie/Pharma • Consumer Products


Kontakte


Drazen Lukac

Managing Director | Advisory Services EY Österreich Ernst & Young Management Consulting GmbH, Wagramer Straße 19, IZD Tower, 1220 Wien +43 1 211 70 [email protected]

Gottfried Tonweber Senior Manager | Leiter Cyber Services EY Österreich

Ernst & Young Management Consulting GmbH, Wagramer Straße 19, IZD Tower, 1220 Wien +43 1 211 70 [email protected]

Thomas Steiner

Manager | Data Privacy Services EY Österreich Ernst & Young Management Consulting GmbH, Blumauerstraße 46, Blumau Tower, 4020 Linz+43 1 211 70 [email protected]

Birgit Eschinger

Senior Consultant | Data Privacy Services EY Österreich Ernst & Young Management Consulting GmbH, Blumauerstraße 46, Blumau Tower, 4020 Linz+43 1 211 70 [email protected]

Florian Hammer

Senior Consultant | Data Privacy Services EY Österreich Ernst & Young Management Consulting GmbH, Wagramer Straße 19, IZD Tower, 1220 Wien +43 1 211 70 [email protected]

EY | Assurance | Tax | Transactions | Advisory

Die globale EY-Organisation im Überblick EY ist einer der globalen Marktführer in der Wirtschaftsprüfung, Steuer-beratung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und in die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeiterinnen und Mitarbeitern, dynamischen Teams, einer ausgeprägten Kundenorientierung und individuell zugeschnittenen Dienstleistungen. Unser Ziel ist es, die Funktionsweise wirtschaftlich relevanter Prozesse in unserer Welt zu ver-bessern – für unsere Mitarbeiterinnen und Mitarbeiter, unsere Kunden sowie die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“.

Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden. Weitere Informationen finden Sie unter www.ey.com.

In Österreich ist EY an vier Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle österreichischen Mitgliedsunternehmen von Ernst & Young Global Limited.

© 2017 Ernst & Young Management Consulting GmbHAll Rights Reserved.

GSA Agency | TAL 1703-000ED None

Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Voll-

ständigkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young Wirtschaftsprüfungsgesellschaft m.b.H. und/oder anderer Mitgliedsunternehmen der globalen EY-Organisation wird ausgeschlossen. Bei jedem spezifischen Anliegen sollte ein geeigneter Berater zurate gezogen werden.

www.ey.com/at

Documents

Bereit für die EU-Daten- schutzgrund- verordnung? · verändern. Abhilfe wird die neue europäische Datenschutzgrundverordnung (EU-DSGVO) schaffen, indem die unterschiedlichen nationalen