Viele pfeifen noch drauf
Daten. Am 25. Mai geht es los: Die Datenschutzgrundverordnung ist eine riesige Herausforderung. Nur ein Drittel der heimischen Firmen hält sich für gut vorbereitet. Mehr als die Hälfte wollen das Problem per Excel-Sheet angehen.
Ende Mai geht es mit der Datenschutzgrundverordnung los.
Ein Gespenst geht um in Europa. Das Gespenst der Datenschutzgrundverordnung. Ein Wort, so gewaltig wie seine Bedeutung. Denn hinter der nicht sonderlich kurzen Abkürzung DSGVO verstecken sich neue, strengste Regeln zum Umgang mit personenbezogenen Daten, die alle Unternehmen in der EU betreffen – und damit auch in Österreich. Stichtag für das Inkrafttreten der DSGVO ist der 25. Mai. Erstmals gibt es zur Abschreckung auch empfindlich hohe Strafen für Firmen, die mit Kundendaten schlampig umgehen. Diese Strafen können bis zu 20 Millionen Euro oder vier Prozent des Umsatzes betragen. Die DSGVO zu ignorieren kann also sehr teuer werden – oder sogar existenzbedrohend.
Vor diesem Hintergrund erschreckend: Nur in einem Drittel der heimischen Unternehmen sieht man sich bereits „gut vorbe- reitet“auf die neuen Regeln. Das ergibt eine aktuelle Studie der Johannes Kepler Universität in Linz, die der „Presse“vorliegt. Fast siebzig Prozent der von Professor Thomas Werani befragten Unternehmen haben angegeben, „weniger gut“oder „schlecht“auf die DSGVO vorbereitet zu sein. Interessant: Die Frage, ob man den neuen Regeln positiv oder negativ gegenübersteht, wird sehr ähnlich beantwortet. Ein Drittel findet die neuen Datenschutzregeln, die den Verbrauchern mehr Rechte einräumen, gut. Zwei Drittel sehen sie kritisch.
„Überraschend ist dieses Ergebnis nicht“, sagt Werani: „Die Unternehmen sind nicht so weit, wie sie sein sollten. Finalisiert sind nur die Basics. Es ist offenbar eine Frage des Willens, der Einstellung und der Komplexitätswahrnehmung.“
Schon die Definition von „personenbezogenen Daten“ist nicht ganz einfach. Dabei kann es sich um Namen, Adressen oder Kontaktinformationen von Kunden handeln – oder um heikle Daten wie Gesundheitsinformationen, Kreditkartendaten oder gar biometrische Merkmale, etwa Fingerabdrücke oder Iris-Scans, wie sie von Handys gemacht werden. Auch Infos über die ethnische Herkunft oder politische Meinungen zählen zu den „sensiblen Daten“. Unternehmen, die solche Daten verwalten, müssen einen eigenen Datenschutzverantwortlichen benennen. Der muss die Einhaltung des Datenschutzes im Unternehmen überwachen – und wird im Extremfall die eigene Firma bei der Behörde melden müssen, sollten sich Verstöße nicht anders abstellen lassen.
Zuvor müssen die Firmen aber erstmal feststellen, ob Erfassung und Verarbeitung von sensiblen Daten überhaupt in ihre Kerntätigkeit fallen. Tun sie das nicht, dürfen solche Daten gar nicht verarbeitet werden. „Unternehmen sind jetzt immer in der Nachweispflicht. Es muss ein berechtigtes Interesse herrschen, um Daten zu erheben und zu verarbeiten“, sagt Markus Costabiei, Mitbegründer des Linzer Start-ups Akarion, das die Studie beauftragt hat. Unternehmen seien jetzt generell dazu angehalten, möglichst wenige Daten zu erfassen: „Ein Ziel der neuen Regeln ist ja auch die Datenminimierung.“
IT–Systeme auf dem Prüfstand
In Zukunft werden Verbraucher das Recht erhalten, über alle gesammelten Daten Auskunft von den Unternehmen zu erlangen. Zudem müssen viele Unternehmen ihre Geschäftsbedingungen ändern oder Zustimmung zu Aktivitäten einholen, die sie bisher schon ausführen – etwa die Versendung von Newsletters. Zusätzlich verkompliziert wird die Sache, weil kein Unternehmen bei null anfängt und daher alle bisher verwendeten Systeme zur Datenerfassung und Datenbearbeitung auf den Prüfstand müssen.
Ein wichtiger Punkt der DSGVO: Auch der gesamte Prozess der Datenverarbeitung muss dokumentiert werden. In einem sogenannten „Verarbeitungsverzeichnis“muss erfasst werden, warum welche Daten gespeichert werden, was mit ihnen geschieht und wann sie wieder gelöscht werden. Spätestens hier scheitern viele Unternehmen an der bestehenden IT-Infrastruktur.
Die Studie hat auch erhoben, welche Software die Unternehmen bei der Umsetzung der DSGVO bisher einsetzen. Das erschreckende Ergebnis: 52 Prozent der befragten Unternehmen setzen ausschließlich auf Microsoft Excel. „Das kann natürlich keine dauerhafte Lösung sein“, sagt Costabiei. Nur zwei der insgesamt 38 befragten Firmen haben sich schon eine spezifisch auf die DSGVO ausgerichtete Software besorgt. Das Linzer Start-up Akarion entwickelt selbst ein Tool, das an die bestehende IT-Infrastruktur angeschlossen werden kann und das Management personenbezogener Daten ermöglichen soll. „Sobald irgendwo personenbezogene Daten verarbeitet werden, können wir das erfassen“, sagt Costabiei.
Später will man sich zur manipulationssicheren Speicherung auch einer Blockchain bedienen. Anfang April will das Start-up das Produkt mit ersten Pilotkunden testen. Es gebe auch schon Gespräche mit Investoren.