„Der Mut zur Lücke schwindet“
Die in wenigen Tagen in Kraft tretende EU-Datenschutz-Grundverordnung stellt speziell international tätige Konzerne vor neue Herausforderungen.
Laut einer Umfrage des Kreditschutzverbandes hat – kurz vor Inkrafttreten – ein Drittel der heimischen Unternehmen noch keine Schritte gesetzt, um die strenge DatenschutzGrundverordnung (DSGVO) umzusetzen. Freilich sind eher Kleinbetriebe damit in Verzug. Konzerne haben meist früher reagiert, dafür aber deutlich mehr und komplexere Maßnahmen zu umzusetzen.
So leitete die OMV-Gruppe bereits vor Längerem eine intensive Vorbereitungsphase ein, um den DSGVO-Vorgaben zu entsprechen. Für ein internationales Unternehmen bestehe die Herausforderung insbesondere darin, sowohl die für alle EU-Mitgliedstaaten geltenden neuen Rahmenbedingungen der DSGVO als auch die lokale Gesetzgebung der einzelnen Länder zu berücksichtigen, sagt Martin Siencnik, Senior Vice President für Process Management & Systems. Es seien länderübergreifend einheitliche Prozesse implementiert worden. „So wird zum Beispiel ein und dieselbe Datenbank zur Abbildung des Verzeichnisses von Verarbeitungstätigkeiten verwendet.“Darüber hinaus sei eine homogene Organisationsstruktur geschaffen worden. „In den einzelnen Ländern nehmen sich nun lokale Datenschutzbeauftragte und -koordinatoren der umfangreichen und vielseitigen Themen an.“
Weniger umfassend sind die Anstrengungen für Zulieferer oder bei nicht datengetriebenen Industriegütern. „Als Komponentenbauer sammeln wir keine Daten“, sagt Rej Husetovic, Kommunikationschef bei Magna International Deutschland. „Da unsere Produkte ohnehin den Herstellern gehören, trifft uns das nicht so sehr.“Ein ganzes Team von Anwälten sei hingegen seit Monaten damit befasst, in allen Bereichen, in denen personenbezogene Daten eine Rolle spielten – etwa Marketing, Personal und Kommunikation – die Forderungen der DatenschutzGrundverordnung umzusetzen. Ähnliches ist aus der Kommunikationsabteilung des Halbleiterherstellers Infineon zu hören.
Wie brisant das Thema aus juristischer Sicht ist, weiß Rechtsanwalt Axel Anderl, Partner der Dorda Rechtsanwälte GmbH und Leiter des IT/IP- und Datenschutz- teams. Die DSGVO ändere in allen Branchen den gesamten Zugang zum Datenschutz: „Bislang musste jede Datenverarbeitung der Behörde gemeldet oder von ihr genehmigt werden. Bei Verstößen gab es nur geringe Strafen. Nun ist die Verantwortlichkeit zu den Unternehmen verschoben. Die Behörde hat nachträgliche Überprüfungsmöglichkeiten. Stellt sie Verstöße fest, kommt der drastisch erhöhte Strafrahmen zur Anwendung.“Die Industrie sei aufgrund der Unternehmensgrößen und des höheren Anfalls an Daten quantitativ überdurchschnittlich betroffen. Gleiches gelte auch hinsichtlich der Strafen. „Zuletzt hat der Gesetzgeber die Selbstverständlichkeit, dass Strafen verhältnismäßig zu verhängen sind, in das neue DSG 2018 – das österreichische Begleitgesetz – geschrieben. Damit wird das hohe Strafenregime etwas entschärft. Das Postulat der Verhältnismäßigkeit bringt aber mit sich, dass bei einem großen Unternehmen eine höhere Awareness und eine professionellere Umsetzung erwartet werden kann. Dazu kommt, dass aufgrund der höheren Bilanzsummen auch Strafen höher angesetzt werden können. Damit besteht in dieser Hinsicht eine größere Exponiertheit.“
In qualitativer Hinsicht hänge die Sensibilität von der Art des produzierten Produkts ab. Im Vergleich etwa zu einem Start-up im Lifesciences- oder Health-Bereich erlebe man in der Industrie – von Ausnahmen abgesehen – eher unspektakuläre Datenverarbeitungen und damit kein erhöhtes Risiko.
In der Vorbereitung hätten einige Industrieunternehmen das Thema sehr ernst genommen und rechtzeitig entsprechende Projekte aufgesetzt, sagt Anderl. „Bei vielen steckt die Kenntnis über das neue Regime und die Umsetzung aber noch in den Kinderschuhen.“
Diese Sicht wird auch von ITDienstleistern bestätigt. „Die rechtzeitige Umsetzung der Maßnahmen in den IT-Systemen wurde von vielen Unternehmen unterschätzt“, heißt es bei Capgemini. „Schwierig erweist sich zum Beispiel immer wieder die Unterscheidung, welche Daten als personenbezogen gelten“, sagt Stefan Kernbauer, Head of Business Intelligence bei Capgemini. „Die Differenzierung, welche Daten in welcher Art und Weise betroffen sind, ist nicht immer trivial, es muss eine sorgfältige Analyse über alle Bereiche – Marketing, Vertrieb, HR, Produktion, Service – durchgeführt werden. Dabei stellt sich schnell heraus, dass auch vordergründig nicht betroffene Daten personenbezogene Informationen darstellen, zum Beispiel Telemetriedaten, die einem Fahrer zugeordnet werden können.“
In vielen Unternehmen fehlten zudem die Systemvoraussetzun- gen, um die Anforderungen zu erfüllen. „In großen, komplexen ITSystemen sind Datenflüsse historisch gewachsen und führen über viele Systeme. Viele Daten seien zudem unstrukturiert und in verschiedensten Formaten – auch Bildern – abgelegt.
Außerdem hätten viele Industriebetriebe Big-Data-Anwendungen und BI-Lösungen eingeführt, um die Daten aus dem gesamten Unternehmen in Zusammenhang zu bringen, was jetzt, zumindest auf den ersten Blick, durch die Anforderungen der DSGVO konterkariert werde. Nun müssten diese Anwendungen überdacht und wieder neue Maßnahmen gesetzt werden. „Anonymisierung und Maskierung sind ein Schlüssel, um den Knoten zu lösen“, so der Experte.
Gerade für Unternehmen, die im B2B-Bereich tätig seien, sei die Erkenntnis spät gekommen, dass man im Zuge der Auftragsverarbeitung in den Prozess der Datenverarbeitung eingebunden sei. „Daher wurden sehr hektisch Projekte initiiert, um die Lücken zu schließen.“Nun stelle die Flut an Maßnahmen Unternehmen vor die Herausforderung der Priorisierung, sagt Kernbauer. „Es werden risikobasierte Ansätze gewählt, um die Maßnahmen in Projekten zeitgerecht abzubilden. Es bleibt die unangenehme Angst vor der Lücke, der Mut zur Lücke schwindet.“