Mit 25. Mai 2018 trat die neue Datenschutz-Grundverordnung (DSGVO) europaweit in Kraft. Dabei wurden für Unternehmen, die Waren und Dienstleistungen in der EU anbieten oder sensible Daten von EU-Bürgern verarbeiten, neue Regelungen eingeführt. Ziel der Verordnung war/ist es, hohe Datenschutzstandards, die einheitlich in der ganzen EU gelten, einzuführen.
Magenta Business (vormals T-Mobile) hat die Eckpfeiler der Verordnung für Sie zusammengefasst. In unserem Webinar informieren Sie Sigrun Plattner, vormals Legal Counsel und Datenschutzbeauftrage bei Magenta Telekom (vormals T-Mobile), und Michael Veronese, Product Manager Data & Cloud Solutions, über die Eckpfeiler der neuen Verordnung und einhergehenden Lösungen von Magenta Business (vormals T-Mobile).
Hier sind die 12 Fragen, die Sie während des Webinars besonders interessierten:
1. Sind natürliche Personen auch Firmen, die ihren Sitz nicht in der EU haben, aber in der EU ihre Dienste anbieten?
Sigrun Plattner: Ja, auch ein US-Unternehmen, das Dienstleistungen innerhalb der EU an natürliche Personen adressiert, ist von der DSGVO umfasst.
2. Empfiehlt es sich, einen externen Datenschutzbeauftragten zu beauftragen?
Sigrun Plattner: Ob man tatsächlich einen externen Datenschutzbeauftragten bestellt, der Sie rund um die Uhr betreut und dann auch der erste Ansprechpartner für Ihr Unternehmen gegenüber der Datenschutzbehörde sein soll, obliegt Ihnen und der Strategie Ihres Unternehmens. Grundsätzlich sollten Sie einen Datenschutzberater zumindest einmal konsultiert haben, um zu sehen, in wie weit Sie konkret betroffen sind.
Ob Sie selbst mit der Datenschutzbehörde sprechen oder ob es verpflichtend ist, einen ständigen Vertreter, z.B. einen Anwalt, zu beauftragen, hängt von der Art und Tätigkeit Ihres Unternehmens ab. Verpflichtet ist man, sobald die Art und Tätigkeit die systematische Überwachung von Kundendaten bzw. strafrechtlich relevante Daten im Fokus hat (Artikel 97). Wenn das nicht Ihr Kerngeschäft ist, können Sie freiwillig einen Datenschutzbeauftragten bestellen.
3. Gibt es ein Beispiel für ein Verzeichnis von Verarbeitungstätigkeiten – wie soll dieses aussehen?
Sigrun Plattner: Ein Verarbeitungsverzeichnis muss folgende Daten inkludieren und wird von jedem Unternehmen benötigt, unabhängig von der Mitarbeiteranzahl:
- den Namen (d.h. die Firma) des Verantwortlichen
- den Zweck der Verarbeitung
- die Beschreibung der Kategorien personenbezogener Daten
- die Kategorien von Empfängern
- die Übermittlung in ein Drittland
- die Fristen für die Löschung
- welche technischen und organisatorischen Maßnahmen Sie konkret für diese Verarbeitung platziert haben (Artikel 30 der DSGVO)
4. Wie sieht eine Datenschutz-Folgeabschätzung aus?
Sigrun Plattner: Wenn man eine neue Art der Datenverarbeitung hat und sie nicht nicht auf der Whitelist der Datenschutzbehörde steht. Auf der Whitelist steht: Dafür brauchen Sie keine. Auf der Blacklist steht: Hier brauchen Sie eine. Dann werden Sie die Datenschutz-Folgeabschätzung durchführen und bearbeiten: Welche Daten sind enthalten und welche Maßnahmen haben Sie geplant, damit die Rechte von Personen nicht betroffen sind. Wenn Sie keine geeigneten Maßnahmen dafür finden, müssen Sie zur Datenschutzbehörde und die kann Ihnen dann geeignete Maßnahmen vorschreiben.
5. In welchem Rahmen bewegt sich die Bestrafung, bei der Verletzung der DSGVO?
Sigrun Plattner: Die Bestrafung wird verhältnismäßig sein. Eine Behörde, die eine Strafe verhängt, muss nach Art und Schwere des Vergehens viele, viele einzelne Teile in die Waagschale werfen, um zu bemessen, wie hoch die Strafe sein soll. Wesentlich wird sein, wie viele Sorgfaltspflichten Sie erfüllt haben. Wenn Sie sich Dienstleistern bedienen wird geprüft, in wie weit diese sorgfältig ausgewählt wurden. Weiters wird geprüft welche Maßnahmen Sie selber getroffen haben, um die Daten zu schützen. Dann kann man feststellen, dass es vorsätzlicher, sondern ein leicht fahrlässiger Verstoß war, weil Sie alles unternommen haben, um die Daten zu schützen – und dennoch ist etwas schiefgegangen.
Wenn es jedoch ein klar vorsätzlicher Verstoß war, dann wird die Behörde ermitteln (Wie hoch ist der entstandene Schaden? Wie viele Leute waren betroffen?). Dann könnte die Strafe höher ausfallen (Artikel 151).
6. Wie beweist z.B. Magenta Telekom (vormals T-Mobile), dass dem Recht auf Löschen Folge geleistet wurde?
Sigrun Plattner: Das ist im Einzelfall sehr schwierig zu beweisen. Wir bei Magenta Telekom (vormals T-Mobile) handhaben das mit Audits. Es gibt auch die Möglichkeit, extern Zertifizierungen zu machen bzw. sollte etwas passieren, würde die Datenschutzbehörde technisch kompetente Dienstleister schicken, die dann ermitteln, welche Daten tatsächlich gelöscht wurden.
7. Gibt es bezüglich des Rechts auf Löschen Gesetzeskonflikte bzgl. der Verpflichtung, z.B. Verbindungsdaten aufzubewahren und dem Recht auf Löschen?
Sigrun Plattner: Natürlich dürfen wir nicht alle Daten löschen. Es gibt viele einzelne Gesetzesmaterien, weshalb man Daten entweder nicht aufbewahren darf oder länger aufheben muss. Aus dem Telekommunikationsgesetz ergibt sich, dass wir als Magenta Telekom (vormals T-Mobile) Inhaltsdaten nicht speichern dürfen. Der Inhalt Ihrer SMS wird bei uns nicht gespeichert – mit einer Einschränkung: Wenn Ihr Handy nicht eingeschalten ist, zwischenspeichern wir die SMS. Schalten Sie Ihr Gerät wieder ein, wird die SMS zugestellt und wir löschen die Nachricht.
Andere Daten hingegen müssen wir recht lange speichern. Aus dem Steuerrecht ergeben sich z.B. besondere Verpflichtungen. Etwa Finanzdaten, die zur Plausibilisierung einer Handelsbilanz dienen, müssen bis zu sieben Jahre aufbehalten werden. Daten, die z.B. zur Erstellung von Mitarbeiterdienstzeugnissen notwendig sind, müssen 30 Jahre lang aufgehoben werden. Das bedeutet, je nachdem in welcher Branche Sie arbeiten, haben Sie höchstwahrscheinlich eigene Gesetze, weswegen Sie Daten länger behalten müssen.
8. Bedeutet „Data Breach“, dass jeder Kunde seitens Magenta Telekom (vormals T-Mobile) innerhalb 72 Stunden informiert wird?
Sigrun Plattner: Data Breach ist die Datenschutzmeldung, die vorschreibt, dass wir Verstöße binnen 72 Stunden melden müssen. Magenta Telekom (vormals T-Mobile) hat dies schon seit 2014 in Anwendung, weil Telekommunikationsbranchen dieser Meldepflicht binnen 24 Stunden nachkommen. Je nach Art und Schwere des Verstoßes müssen wir natürlich den Kunden darüber informieren.
Es kommt darauf an, wie dieser Verstoß passiert ist und welche Daten betroffen sind. Wenn Mitarbeiterdaten betroffen waren, werden wir nur die Behörde informieren, wenn Kunde in ihren Rechten und Freiheiten beeinträchtigt werden könnten, würden diese unverzüglich informiert werden.
9. Ist die Geolocation zustimmungspflichtig?
Michael Veronese: Üblicherweise ist eine Betriebsvereinbarung notwendig, die den Einsatz der Geolocation regelt.
10. Gibt es Zertifizierungen seitens des TÜVs bzgl. Sicherheit im Netzwerk?
Michael Veronese: Magenta Telekom (vormals T-Mobile) hat große Anstrengungen unternommen, um das Netz sicher zu gestalten. Zu den zahlreichen Sicherheitsmaßnahmen gehört u.a. das sogenannte „Washing“ des Netzverkehrs. Diese Methode kommt bei DDOS-Attacken zum Einsatz. Darunter ist das Umleiten des Netzverkehrs auf unterschiedliche Zugangspunkte verstanden. Dies sorgt dafür, dass vorbereitete Systeme bestimmte Muster frühzeitig erkennen und Gegenmaßnahmen rasch gestartet werden können.
11. Bietet Magenta Business (vormals T-Mobile) einen Löschservice für alte nicht mehr benötigte Smartphones an?
Michael Veronese: Wir kooperieren mit der Firma Teqcycle aus Deutschland. Seit vielen Jahren arbeiten wir mit dieser Firma zusammen und haben gute Erfahrungen gesammelt. Diese Firma verfügt über die Schnittstellen, die Zertifikate, die Geräte sauber und nachhaltig zu löschen und dann zu recyceln. Damit ist sichergestellt das personenbezogenen Daten auf nicht mehr verwendeten Geräte nicht an unbefugte Dritte gelangen. Hier erhalten Sie mehr Infos dazu.
12. Welche Mobile Device Management Lösungen bietet Magenta Business (vormals T-Mobile) an, um personenbezogenen Daten auf Smartphones zu schützen?
Aktuell bieten wir MDM-Lösungen von Samsung Knox, 7P, BlackBerry und Air-Watch an. Samsung Knox kennt man über den Hersteller Samsung, der gerade für seine Geräte ein spezielles Sicherheitssystem entwickelt hat, den Knox-Container. 7P ist ein deutsches Unternehmen, welches in Deutschland und Österreich sehr gut operiert und mit uns schon seit vielen Jahren eng zusammenarbeitet.
Hinweis: Bitte beachten Sie, dass dieser und weitere Beiträge nur einen Ausschnitt der DSGVO abdecken können.
Dieser Beitrag wurde am 30.10.2019 aktualisiert.