Datenschutz: Was sich nächstes Jahr ändert – EU-Datenschutz-Grundverordnung DSGVO tritt am 25. Mai 2018 in Kraft
Wien, 29. September 2017 – Am 25. Mai 2018 ist es so weit: Dann tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Zwar müssen Unternehmen bis dahin komplizierte und aufwendige Anpassungen vornehmen, gleichzeitig ermöglicht das aber Wettbewerbsvorteile. Denn viele Betriebe bekommen erstmals ein klares Bild über ihre Datenlandschaft, erklärten Expertinnen und Experten bei einer Podiumsdiskussion der Plattform „Digital Business Trends“ (DBT) in Wien.
„Die Änderungen sind gravierend, bieten aber viele Chancen“, sagte Michael M. Pachinger, Rechtsanwalt und Partner bei der Kanzlei SCWP Schindhelm. Wichtig sei, herauszufinden, wie die Datenströme verlaufen, dadurch die Handlungsfelder zu erkennen und letztendlich die Änderungen umzusetzen. Das ermögliche einen unglaublich tiefen Einblick ins Unternehmen.
Die Neuregelung bringe jedenfalls mehr Schutz, mehr Rechte und mehr Pflichten, so Pachinger, der kürzlich als „Data Protection Lawyer of the Year in Austria“ ausgezeichnet wurde. Veränderungen gebe es vor allem in den Bereichen Selbstverantwortung, Rechte der Betroffenen und Datensicherheit. Insgesamt soll das zu mehr Transparenz führen. „Die DSGVO ist kein Datenverhinderungsrecht, aber wir müssen erklären, was wir tun“, erläuterte Pachinger.
Für Unternehmen heiße es künftig, personenbezogene Daten nur dort zu nutzen, wo es wirklich notwendig ist, dafür zu sorgen, dass sie richtig, also auch aktuell sind, und die Speicherung zu begrenzen. „Das muss eingehalten und auch nachgewiesen werden – Stichwort Rechenschaftspflicht“, so Pachinger. In gewissen Fällen werde ein Datenschutzbeauftragter zur Pflicht. Zudem könnten Geldbußen von bis zu 20 Millionen Euro verhängt werden.
Für die Betroffenen gibt es das Recht auf Information über die verwendeten Daten, das Recht auf Löschung der Daten und das Recht auf Übertragung zu einem anderen Unternehmen. Im Bereich Datensicherheit muss ein angemessenes Schutzniveau geboten werden. Sollte es zu einem Datenvorfall kommen, ist – möglichst innerhalb von 72 Stunden – die Aufsichtsbehörde zu informieren.
Datenvorfälle schaden der Reputation
„Bei Datenvorfällen geht es ja nicht nur um die Strafen, damit ist auch ein Reputationsverlust verbunden. Deshalb muss man rechtzeitig vorsorgen“, gab Judith Leschanz, Leiterin der Abteilung Data Privacy bei A1 Telekom Austria, zu bedenken. Allerdings seien die Auslegungshilfen der EU sehr spät gekommen und vieles sei noch immer unklar. Das verunsichere Unternehmen, Geld in die Hand zu nehmen. Für die Menschen sieht Leschanz durch die neue Verordnung Vorteile, weil sich „das diffuse Gefühl der Machtlosigkeit“ dadurch abschwäche und der User die Oberhoheit über seine Daten zurückgewinne.
In den vergangenen Jahrzehnten habe es einen markanten Kontrollverlust über die eigenen Daten gegeben – so sei beispielsweise das User-Tracking perfektioniert worden, erklärte Markus Haslinger, Professor für Öffentliches Recht im Fachbereich Rechtswissenschaften der Technischen Universität (TU) Wien. Im Gegensatz dazu sei das Recht stehen geblieben. Deshalb habe es die DSGVO dringend gebraucht. Sie biete einen modernisierten Rechtsrahmen für den Umgang mit personenbezogenen Daten im 21. Jahrhundert, in dem die digitale Transformation täglich rapide fortschreite.
Dadurch würden auch die Datenmengen massiv zunehmen, so Karin Mair, Partner und National Leader bei Deloitte Österreich. Viele Nutzer seien anfangs zu blauäugig gewesen und würden nun auf Transparenz pochen. „Die Unternehmen dürfen zwar meine Daten verwenden, aber ich will sehen, wozu. Das ist auch eine vertrauensbildende Maßnahme“, sagte Mair. Natürlich sei die DSGVO eine Herausforderung: „Die Unternehmen haben jetzt nicht unbedingt danach geschrien.“ Bei kleineren Unternehmen seien beispielsweise Beraterkosten ein Thema. Insgesamt biete sich aber die Chance für die Entwicklung individualisierbarer Lösungsansätze und Raum für digitale Innovation.
Laut Christoph Stangl, Head of Cloud Marketing and Communications bei Fabasoft, hat aber erst rund ein Drittel aller Unternehmen in Österreich Maßnahmen gestartet, um die DSGVO zu erfüllen. Die Drohkulisse von fälligen Strafzahlungen bei Nichteinhaltung sei jedoch kein Grund zur Panik, denn bereits heute könnten Unternehmen rechtssichere Business-Cloud-Lösungen nutzen. Die Datenmengen würden auch weiter zunehmen, „weil die Produzenten von heute durch die Digitalisierung zu den Dienstleistern von morgen werden“. Die Grundverordnung biete aber die Chance für einen gleichberechtigten Wettbewerb auf Augenhöhe.
Dass viele Unternehmen erst am Anfang stehen, betonte auch Karin Maurer, die für das Thema bei IBM Österreich zuständig ist. Begonnen werden müsse mit dem Verständnis, wo im Unternehmen sich personenbezogene Daten befinden, wer darauf zugreift und wo es dabei Schwachstellen geben könnte. Das Problem sei, dass sich ein entsprechendes Projekt über die verschiedensten Unternehmensbereiche „ziehe“ und sich dementsprechend schwierig und aufwendig gestalten würde. Die DSGVO könne aber auch zu Wettbewerbsvorteilen führen, würden Transparenz und Vertrauen doch an Bedeutung gewinnen. Deshalb sollte man die Neuregelung nicht als Bedrohung sehen, so Maurer.
Erst der deutlich erhöhte Strafrahmen habe dazu geführt, dass dem Thema Beachtung geschenkt wurde, betonte Daniel Miedler, Head of Business Unit – Network Infrastructure and Security bei Dimension Data Autria. Oft sei die Verantwortung innerhalb der Organisationen aber unklar. Die Informationen, wie, wo und zu welchem Zweck Daten verarbeitet werden, müssten aus den relevanten Abteilungen kommen. Erst dann komme die IT als ausführendes Organ ins Spiel. „Im Wesentlichen müssen sich die Geschäftsführer ihrer Verantwortung bewusst werden, wie die von ihnen geleiteten Unternehmen mit dem wichtigsten Gut der heutigen Zeit, unseren Daten, umgehen“, so Miedler.
Comments ()