E-Wirtschaft setzt zum europäischen Datenschutztag wichtige Schritte in Richtung zertifizierte Datensicherheit

Folgeprojekt aus Erfahrungen der DSGVO und bisheriger Datenschutz-Folgenabschätzung ins Leben gerufen

Oesterreichs Energie, die Interessenvertretung der österreichischen E-Wirtschaft nimmt 2019 den europäischen Datenschutztag am 28. Jänner zum Anlass für den Start einer branchenweiten Datensicherheits-Offensive mit mehreren Schwerpunkten in Richtung einer datenschutzrechtskonformen Datenverarbeitung, ergänzend zu den bereits gesetzten Maßnahmen. Schwerpunkte sind datenschutzkonforme Datenverarbeitung, die Themen Information und Einwilligung, bezüglich der Datenschutzverträge intern und mit Kunden, Dokumentation und Nachweis sowie Prozesse und Organisation.

Rund ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung DSGVO im Mai 2018 stärkt die E-Wirtschaft ihre Datenschutz-Folgeabschätzung für schutzwürdige Daten.
„Die E-Wirtschaft digitalisiert sich rasch und Oesterreichs Energie sieht sich als Vorkämpfer für einen sensiblen Umgang mit dem Thema, das an Bedeutung gewinnt, je weiter der Roll-Out der digitalen Stromzähler voranschreitet“, erklärte Leonhard Schitter, Präsident von Oesterreichs Energie. Bei der Datenschutzbehörde hat Oesterreichs Energie Muster-Verhaltensregeln für die Datennutzung bei Smart Meter zur Genehmigung eingereicht.

Im Zuge der Umsetzung des Smart Metering (SM) hat Oesterreichs Energie ebenfalls bereits einen Branchenvorschlag für ein effektives Risikomanagement in Form von spezifischen Compliance-Berichten für SM-Daten entwickelt. Das Projekt konnte Anfang Juli 2017 abgeschlossen werden. Schitter: „Die Ergebnisse stehen allen Mitgliedern von Oesterreichs Energie zur Verfügung und werden auch mit der zuständigen Datenschutzbehörde als Beispiel für eine best practice „Branchenumsetzung“ diskutiert.“

Softwareprojekte der BrancheIn einem Folgeprojekt wurden weitere Marktprozesse einer Überprüfung entsprechend den Vorgaben des Datenschutz-Anpassungsgesetz 2018 evaluiert und ein effektives Risikomanagement in Form von spezifischen Compliance-Berichten entwickelt. Im Rahmen des Multi-Compliance-Managements wurden für diese spezifischen Marktprozesse (z.B. Customer Processes), die Compliance-Berichte und Nachweise aus der in Crisam modellierten Infrastruktur ebenfalls automatisiert in Form vorgefertigter Berichte erzeugt. Oesterreichs Energie hat das uneingeschränkte Nutzungs- und auch Weitergaberecht für das Multi-Compliance-Management an alle Mitglieder von Oesterreichs Energie.

Die Projekte wurden inzwischen bei den einzelnen Unternehmen implementiert. Aufgrund der Erfahrungen aus der praktischen Umsetzung ergibt sich ein Bedarf für eine Erweiterung bzw. Überarbeitung des Multi-Compliance-Managements. Ziel ist es, eine Überarbeitung und Zusammenführung der Projekte „Prozesse Smart Meter und Customer Processes“ vorzunehmen.

Zertifizierte DatensicherheitFür die Dokumentation und den essenziellen Nachweis eines datenschutzkonformen Verfahrens plant die E-Wirtschaft eine Zertifizierung der Datensicherheit in den Unternehmen, die den europäischen und nationalen Vorgaben Rechnung trägt. Ziel des nunmehr eingeleiteten Projektes ist es, datenschutzrechtlich relevante Punkte und Themen nach DSGVO der Zertifizierung zu unterziehen. Die Thematik reicht vom Verarbeitungsverzeichnis über Dokumentation aller Maßnahmen bis hin zur Sicherung von Betroffenenrechten, der Meldung von etwaigen Datenschutzverletzungen, ein standardisiertes Schulungskonzept für Mitarbeiterinnen und Mitarbeiter, bis hin zu Konzepten für die Einhaltung des Grundsatzes der Speicherbegrenzung inklusive gesicherter Löschung.

Europäischer Datenschutztag

Der Europäische Datenschutztag ist ein auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich um den 28. Januar begangen. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet worden war.

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), beschlossen. Die europäische Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2016 in Kraft getreten, und wurde am 25. Mai 2018 in nationales Recht umgesetzt. Eine neue Anforderung für die Unternehmen aus dem nationalen Datenschutz-Anpassungsgesetz 2018 ist die verpflichtende Durchführung eines „Data Protection Impact Assessment“ (DPIA) bei der Verarbeitung personenbezogener Daten.