Datenschutzgrundverordnung in der Praxis Versicherungsmakler empfehlen Datenschutzbeauftragten sowie Cyberrisk-Versicherung. „Das Datenschutzrecht dient vor allem der Privatsphäre von natürlichen Personen und regelt den Schutz personenbezogener Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, informiert DSGVO-Spezialist Florian Brutter von der Wirtschaftskammer Tirol. Im Zweifel ist immer von personenbezogenen Daten auszugehen, z.B. Name, Geburtsdatum, Wohnadresse, Größe, Gewicht, Ausbildung, Einkommen- und Vermögensverhältnisse, Telefonnummer, Passnummer, Sozialversicherungsnummer, Familienstand, Vorlieben, Hobbys, Urlaubsort etc. Die DSGVO enthält weiters eine abgeschlossene Aufzählung besonders geschützter Daten („sensible Daten“): Diese sind Daten zur rassischen und ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zum Sexualleben oder der sexuellen Orientierung. Unternehmen aller Branchen bereiten sich derzeit auf die DSGVO vor und stehen vor der Herausforderung, die Verordnung in der Praxis auch entsprechend umzusetzen. Die Informationspflichten bei der Erhebung personenbezogener Daten werden ab 25. Mai etwa deutlich erweitert. „Kundendaten und Aktivitäten müssen künftig noch exakter aufgezeichnet und dargelegt werden, da es sich großteils um personenbezogene Daten handelt. Hier ist es sicherlich empfehlenswert, dass man einen Datenschutzbeauftragten im Unternehmen installiert, der die Mitarbeiter entsprechend coacht“, erklärt der Fachgruppenobmann der Tiroler Versicherungsmakler, Thomas Tiefenbrunner. Auch bei Apps oder Websites, bei denen kundenbezogene Daten verarbeitet werden, ist eine entsprechend regelmäßige Kontrolle und Pflege erforderlich. Für die Daten haftet nämlich nicht der Hersteller der App oder Website, sondern der jeweilige Betreiber. Eine kontinuierliche Durchführung von Programmupdates, eine gewissenhafte Datensicherung sowie eine Auftragsdatenvereinbarung bei Weitergabe der Informationen an Dritte sind nur einige Beispiele, die im Tagesgeschäft berücksichtigt werden müssen. Die Auftragsdatenvereinbarung beinhaltet, wann die Daten zur Verfügung gestellt und wann diese wieder gelöscht werden müssen. Dem Kunden gegenüber muss man diesbezüglich jederzeit eine Auskunft erteilen können. Wie schnell man als Unternehmen in Teufels Küche kommen kann, beschreibt Kurt Wallasch, der seit Jahren als Computerforensiker beim Landeskriminalamt Tirol tätig ist: „Bei nicht fachgerecht entsorgten Computern oder Handys gelangen oft sensible Daten nach außen, was diverse Festplattenkäufe am Flohmarkt bewiesen haben. Das grenzenlose Vertrauen in Dritte, denen man Computergeräte oder Smartphones etwa zur Reparatur anvertraut, sollte überdacht werden.“ Geraten sensible Daten in falsche Hände, kann diese Datenpanne für die betreffende Firma teuer werden. Nach bestehendem Recht wäre eine Verwaltungsstrafe mit bis zu 10.000 Euro Strafe fällig. Ab 25. Mai erhöht sich der Strafrahmen auf bis zu 10 Millionen Euro. Die Strafe trifft die jeweils organisatorisch verantwortlichen Personen – Geschäftsführer oder bestellte verantwortliche Beauftragte – sowie die jeweils handelnden Personen. Was das Thema Cybercrime betrifft, so räumt der Experte mit einem Klischee auf. „Die Angriffe kommen meist nicht von außen. Die polizeiliche Praxis zeigt, dass mindestens 80 Prozent der Angriffe auf Daten bewusst oder unbewusst von innen kommen.“ Dies sei etwa der Fall, wenn infizierte Mailbeilagen angeklickt werden und dadurch aufgrund von Verschlüsselung ein dramatischer Datenverlust erlitten wird. Angriffsfläche bieten auch offene WLAN-Netze. Durch offene WLAN-Zugänge wird Terrorismus, Kriminalität, Kinderpornografie, Cybermobbing und Hassposting begünstigt. Gleichzeitig wird es der Exekutive und Justiz nahezu unmöglich gemacht, entsprechende Ermittlungen durchzuführen und die Täter auszuforschen. Wallasch empfiehlt, sowohl das private als auch das geschäftliche Netzwerk von einem Profi einrichten zu lassen und von einem anderen Experten überprüfen zu lassen. Dies dient der persönlichen Sicherheit und der Sicherheit der Firma, auch wenn diese Variante kostenintensiver ist. In jedem Fall von Datenverlust ist neben einer Strafe im Zuge der DSGVO der Schaden oft beträchtlich. „Zumindest die Schäden aufgrund von Datenverlust sowie die Wiederherstellung der Daten lassen sich durch sogenannte Cyberrisk-Produkte versichern. Die Verwaltungsstrafe muss jedoch in jedem Fall vom Unternehmen bzw. den handelnden Personen bezahlt werden“, so Joe Kaltschmid Experte für Cybercrime-Versicherungen abschließend.