Am 25. Mai 2018 trat die neue EU-Datenschutzgrundverordnung in Kraft und gilt für alle Unternehmen. Welche Herausforderungen bringt die Umsetzung diese im Spannungsfeld zwischen Legal und IT-Security? Welche Strategien im Spannungsfeld Privacy & Security sind relevant und welche Maßnahmen stehen bei den Unternahmen aktuell auf der Agenda? Bei der 2. PriSec treffen sich Praktiker und Experten aus beiden Bereichen zur Diskussion.
Report-Chefredakteuer Martin Szelgrad führte als Moderator durch die Veranstaltung, die er mit der Aussage eröffnete, dass die PriSec zwar derzeit noch kein Buzzword in der Branche ist, aber man es dazu machen werde. Der fachliche Leiter Dr. Rainer Knyrim, der führende Datenschutz-Experte in Österreich, betonte noch einmal wie wichtig es ist, Datenschutzrecht, IT-Technik und Prozesse zu zusammenzubringen. Ein thematischer Schwerpunkt war die Umsetzung der DSGVO in den Unternehmen unter dem Motto „From Policy to Practice“.
Key-Notes: Marco Gercke und Nikolaus Forgó
Prof. Marco Gercke, Direktor des Cybercrime Research Institute in Köln, gab einen Überblick zu den aktuellen Cybercrime-Entwicklungen sowie im Bereich Artificial Intelligence. Im besonderen Fokus von Angriffen stehen zunehmend HR-Daten, Gesundheitsdaten, POS sowie interne Schwachstellen. Ein Leak sowie die folgende Erpressung von HR-Daten bringt beispielsweise durch die Offenlegung des Gender Gaps in der Bezahlung nachhaltig Unruhe und Schäden im Unternehmen.
Prof. Nikolaus Forgó, der an der Uni Wien lehrt und zuvor nicht nur Universitätsprofessor, sondern auch CIO und Datenschutzbeauftragter der Uni Hannover war, erklärte, dass der Vorstand in Unternehmen für die DSGVO-Strafen hafte und dass die Datenschutzbeauftragten daher ein ausreichendes Budget für ein den Anforderungen gerechtes DSGVO-Projekt einfordern sollten. Für ihn bringe die DSGVO: „Mehr Dokumentation, mehr Branchenstandards und mehr Deutschland.“ Wenn die „jetzt auftretenden Fragen juristisch abschließend geklärt sind“, werde er „schon lange nicht mehr arbeiten“, so Forgó. Er erklärte
Derzeit stochern alle nur im Nebel ... wenn die jetzt auftretenden Fragen juristisch abschließend geklärt sind, werde ich schon lange nicht mehr arbeiten
From policy to practice
Unter dem Titel „From policy to practice“ diskutierten Unternehmensvertreter von VERBUND und der Kapsch-Group die Rolle des Chief Privacy Officers. Die anschließende Publikumsdiskussion drehte sich auch um Fragen wie „Wann sind wir DSGVO-Compliant?“, „Wie nehmen wir unseren Kollegen die Furcht vor dem Ungewissen?“ und wie die Rolle des Datenschutzbeauftragten zwischen verlängertem Arm der Datenschutzbehörde und als „Anwalt des Unternehmens“ zu definieren ist.
Im Themenblock „Cybersecurity: State of the art & what’s next“ erläuterte Arne Jacobsen von IBM Deutschland, wie AI heute schon benutzt werden kann, um Cyber-Angriffe abzuwehren. Uwe Wizovsky von Microsoft stellte die häufigsten Security Cases vor, zeigte deren Ursachen auf und leitete Handlungsempfehlungen ab. Helmut Leopold vom Austrian Institute of Technology gab einen Ein- und Ausblick von Security by Design bis zu Cyber Range. Nichtsdestoweniger ist für ihn klar „ohne Menschen geht es nicht“, unverzichtbar bleiben Kompetenz- und Awarenessaufbau durch Training und Schulung. Holger Strotmann von Natuvion brachte schließlich Beispiele und Anleitung zum Umgang und Löschung bzw. Sperrung von Backup-Dateien und kam zum Schluß, daß eine DSGVO-Compliante Lösung nicht allein durch eine neue Software gelingen wird.
Privacy and Security auf Vorstandsebene
Alexis Johann (CEO, styria digital one) Oliver Krupitza (kaufm. Leiter, ÖAMTC) und Walter Schlögl (Vorstand, card complete) berichteten im Rahmen einem Podiumsdiskussion über Ihre top-down-Sicht und Strategien der laufenden Umsetzungsprojekte zu DSGVO und Security, sowie den Status Quo und die Learnings im Hinblick auf Mai 2018.
Aus Unternehmen, die (noch nicht) eine solche Rückendeckung aus der Vorstandsebene haben, wurde in den vielen Diskussionen berichtet, dass die Projektgröße zunächst typischer Weise völlig unterschätzt werde und die fehlenden Personal- und Budgetressourcen oft zu spät erkannt werden und das Projekt in einer Art „headless chicken mode“ ohne klare Zielrichtung gestartet werde, bis es endlich von oben nach unten ordentlich gemanagt würde.
Den Abschluss des 1. Konferenztages lieferte Dr. Steffi Burkhart, die oft als das "Gesicht der Generation Y" bezeichnet wird. Sie widmete sich nicht nur der Frage „Wie tickt der Nachwuchs?“ sondern vor allem auch dem War for Talents und der Frage, wie ein Unternehmen so attraktiv wird, dass junge Talente bei diesem einsteigen wollen.
Nach einem intensiven ersten Konferenztag bot das Abendprogramm den perfekten Rahmen Auflockerung und zum Netzwerken. Nach dem Abendessen gab es bei bester Stimmung noch ein Dish-Tennis Turnier.
Den 2. Konferenztag eröffnete die Leiterin der Österreichischen Datenschutzbehörde, Dr. Andrea Jelinek, die dem Publikum ein umfangreiches Update zur Zusammenarbeit mit den Behörden lieferte. „Suchen Sie sich als Datenschutzbeauftragten keinen Ja-Sager, sondern jemand Mutigen“, forderte sie auf. Die DSGVO gelte selbstverständlich in vollem Umfang genauso wie z.B. die Bauordnung auch für KMUs und EPUs. Auch wenn man laut Gesetz keinen DSB bestellen muß, entbindet das nicht davon, compliant zu sein.
Thomas Pfeiffer, CISO bei Linz Strom und Thomas Stubbings, Vorsitzender der Cyber Security Plattform Österreich lieferten Impulse und Handlungsempfehlungen zum Umgang im Falle eines Data Breach und zum Cyber Security Gesetz.
Anschließend fanden vertiefende Praxis-Sessions statt, in denen Erfahrungsaustausch der Teilnehmer und Teilnehmerinnen zu Themen wie organisatorische Notwendigkeiten, Risikomanagement und praktischer Umsetzung im Vordergrund stand.
In der Abschlusskeynote stellte Prof. Sarah Spiekermann, WU Wien, die das erste – und damit heute richtungsweisende – Data Protection Impact Assessment in der EU durchgeführt hat, ihr DPIA-Konzept anhand von konkreten Tabellen und Beispielen vor.
Danke allen Partnern und Sponsoren für zwei spannende Konferenztage.
Die Zusammenfassung der beiden Konferenztage im gescribbelten Protokoll von vervievas können Sie hier herunterladen
Wir freuen uns schon auf die PriSec 2018.
