Mehr Druck, mehr Dynamik, mehr PriSec – 10 Jahre Privacy & Security

Erfreulich auch, dass man jetzt im 4. Jahr in Folge einen Anmeldungsrekord hatte und man jetzt knapp bei 190 Personen war. Ebenso erfreulich, dass der Frauenanteil im Publikum stetig steigt und heuer bereits bei rund 40 % lag.

Im Anschluss gaben Martin Szelgrad und Rainer Knyrim, die beide seit der ersten PriSec dabei sind, einen kompakten Überblick über die Entwicklung der letzten zehn Jahre.

Behörden-Update: Datenschutz in Österreich, Deutschland und im Vergleich

Im Behörden-Panel sprachen Claudia Gabauer (Parlamentarisches Datenschutzkomitee), Matthias Schmidl (Österreichische Datenschutzbehörde), Klaus Steinmaurer (RTR) und Bayerns oberster Datenschützer Michael Will aus München über aktuelle Entwicklungen an der Datenschutzfront, transnationalen Austausch, relevante EuGH-Urteile und kommende regulatorische Vorgaben. Zudem wurde die Zusammenarbeit zwischen der Datenschutzbehörde und der KI-Servicestelle thematisiert.

Zunächst stellte Dr. Gabauer das neu eingerichtete Parlamentarische Datenschutzkomitee und dessen Arbeitsweise vor. Anschließend schilderte Michael Will die Perspektive aus Deutschland und insbesondere Bayern, die Dr. Schmidl um die österreichische Sicht ergänzte.

Einige zentrale Aussagen aus der Diskussion:

• Datenschutz bedeutet stets einen Blick über den Tellerrand – Behörden müssen sich in der jeweilige Materie auskennen.

• Data Act: Die Datenschutzbehörden behalten ihre Kernaufgaben, auch wenn die DSGVO nicht mehr das einzige maßgebliche Regulierungswerk ist.

• Informationsfreiheit: Österreich liegt hier im internationalen Vergleich zurück.

• Transparenzgesetz: Während es in Bayern kein entsprechendes Gesetz gibt, haben Bürger dort einen gesetzlichen Anspruch auf Informationszugang – inhaltlich ähnlich, aber mit anderem Zugangspunkt.

• Auch mit dem neuen Transparenzgesetz werden schützenswerte Geheimhaltungsinteressen weiterhin berücksichtigt. Das unbefugte Offenlegen bestimmter Informationen bleibt strafbar.

• Hersteller sollten stärker in die Verantwortung genommen werden, insbesondere mit Blick auf Produktsicherheit und Datenschutz-by-Design.

Zum Abschluss dankte Rainer Knyrim allen Diskutanten und betonte, dass ein derart hochkarätig besetztes Podium eine wirklich würdige Eröffnung für das 10-jährige Jubiläum der PriSec darstellt.

Panel: EU-Regulierung NIS2 – Herausforderungen in der Praxis

Im Panel zur EU-Regulierung NIS2 diskutierten Verena Becker (Women4Cyber Austria, WKÖ), Florian Jörgens, Barbara Leuschner (refurbed) und Christian Popp (Semperit) über zentrale Praxisfragen: das Zusammenspiel mit der DSGVO, die Zusammenarbeit zwischen Legal, Datenschutz und Informationssicherheit, die Umsetzbarkeit in international tätigen Konzernen sowie den Ausblick auf erste Audits.

NIS2 und DSGVO treffen sich vor allem bei den technischen und organisatorischen Maßnahmen (TOMs). Wer die DSGVO und bereits NIS1 solide umgesetzt hat, muss man keine übermäßige Scheu vor NIS2 haben. Dennoch bleibt der Anwendungsbereich schwer zu fassen – ein Fleckerlteppich, der juristisch komplex ist. „Das freut zwar Anwälte, bindet aber wertvolle Ressourcen in Legal und Compliance“. Entscheidend ist es, dass Geschäftsleitung und Eigentümer hinter den Maßnahmen stehen. Wer versteht, dass Investitionen in Sicherheit primär dem Unternehmen nützen, akzeptiert NIS2-Compliance als „angenehmes Nebenprodukt“. Herausfordernd bleibt die Umsetzung im Alltag: Teams müssen geschult werden, die Risiken müssen Mitarbeiter in der Produktionslinie richtig einschätzen, während die IT die Maßnahmen ausrollt. Aber, und das ist die gute Nachricht: Wer die grundlegenden Prinzipien der Cybersicherheit lebt, erfüllt einen Großteil der Anforderungen ohnehin. Regulierung darf nicht zum Selbstzweck werden.

Danach ging es zur Jubiläums-Gala „10 Jahre PriSec“ in die Legends Hall des Weingutes Scheiblhofer, wo Christian Gansch mit der Abend-Keynote das Publikum begeisterte.

Gerald Trieb: Wichtige EuGH-Entscheidungen – kompakt, pointiert und mit Praxisrelevanz

Dr. Trieb präsentierte in seinem wie gewohnt dynamischen und humorvollen Stil die wichtigsten EuGH-Entscheidungen der jüngeren Vergangenheit. Schon sein Einstieg machte klar: In 40 Minuten kann man die Datenschutzjudikatur der letzten Jahre unmöglich vollständig abbilden – immerhin sind seit 2018 bereits 62 Entscheidungen allein zum Datenschutz ergangen, und die Liste wird laufend länger.

Das EuGH-Rad dreht sich immer schneller

Zahlreiche Entscheidungen beschäftigen sich mit zentralen Themen wie: Gemeinsame Verantwortlichkeit, Internationaler Datenverkehr (Schrems-Thematik, inkl. Bindl und Latombe), Recht auf Auskunft und die Frage, was eine „Kopie“ wirklich umfasst Schadenersatz und der Begriff des immateriellen Schadens, Informationspflichten und die Reichweite von Art. 13/14 DSGVO

Aktuellste Entscheidung vom 13. November: Inteligo Media

Als besonderes Highlight präsentierte Trieb die brandaktuelle Entscheidung C-654/23 – Inteligo Media SA, die am Tag der Konferenz veröffentlicht wurde.

Demnach kann auch eine „indirekte Vergütung“ – etwa durch zahlende Nutzer eines Premiumdienstes – als Gegenleistung eines Verkaufs gelten. Dadurch fällt selbst die Nutzung eines kostenlosen Accounts unter jene Voraussetzungen, die E-Mail-Werbung ohne Einwilligung ermöglichen können. Für Direktmarketing geht außerdem die ePrivacy-Richtlinie der DSGVO vor.

Fazit:  Datenschutz ist alles – nur nicht trocken

Espresso-Talk mit Max Schrems: Datenschutz, Politik und der „Omnibus“

Im Espresso-Talk diskutierten Rainer Knyrim und Max Schrems über die aktuellen Omnibus-Entwürfe der EU-Kommission und die Frage, ob damit grundlegende Prinzipien der DSGVO unter Druck geraten. Ein spannendes Thema: Wie Max Schrems selbst sagte, wäre der Espresso eigentlich nicht nötig gewesen – „der Blutdruck ist eh schon hoch genug“. Wie Rainer Knyrim darauf lachend anmerkte: „Max schäumt“ – worauf Schrems entgegnete: „Mein ganzes Team schäumt.“

• Unabhängig davon, wie man politisch dazu steht.  „Die Gesetze sind qualitativ schlecht geschrieben, und es könne nicht behauptet werden, KMU zu entlasten – „das Gegenteil ist der Fall“.
• Ganz klar:  Datenschutzprobleme müssen gelöst werden, aber die Frage ist, wie: „Diese Art und Weise ist eine andere Sache.“
• Datenschutzrechte sind Grundrechte – und Grundrechte sind Abwehrrechte gegen Staat und private Machtstrukturen. Umso wichtiger ist es, wachsam zu bleiben, weil staatliche und wirtschaftliche Lobbyinteressen naturgemäß in eine andere Richtung drängen.
• Politische Dimension: Das EU-Parlament hat noch ein Wort mitzureden – und dort spieglt die aktuelle Mehrheit nicht mehr die Zusammensetzung der Kommission wider.
• Es ergeben sich rechtsstaatliche und demokratietheoretische Probleme. Einerseits „etablieren immer mehr Beamte, die keine Ahnung von der Materie haben“. Anderseits wird im EuGH oft erst Jahre später eine Entscheidung getroffen – zu spät, wenn die Daten längst verarbeitet wurden.

Abschied und Ausblick

Zum Abschluss galt es noch, allen Teilnehmerinnen und Teilnehmern herzlich für zwei inspirierende und erlebnisreiche Tage zu danken. Die 10. PriSec war ein würdiges Jubiläum: eine neue Location, Top-Themen, super Feedback und erneuter Anmelderekord. Das große Interesse zeigt, wie stark die Themen Privacy und Security inzwischen in Unternehmen verankert sind – und wie wichtig der fachliche Austausch bleibt.

Auch geografisch wächst das Format weiter, denn nach der erfolgreichen Premiere der „Compliance now!“ Deutschland geht es nun auch am 6. und 7. Mai 2026 mit der PriSec über den Inn.

Die österreichische PriSec 2026 findet statt am 12. und 13. November.

‍