Datenschutz: Die Uhr tickt
Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. Die Unternehmen müssen sich darauf vorbereiten, aber vielen läuft die Zeit davon.
Ab dem 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) europaweit anzuwenden und bringt weitreichende Auswirkungen mit sich. Die Verordnung ist ein wichtiger und notwendiger Schritt in der zunehmend digitalisierten Welt und soll für einen besseren Schutz der Daten von Bürgerinnen und Bürgern sorgen. Für Unternehmen, die personenbezogene Daten erfassen oder verarbeiten, bedeutet die DSGVO vor allem mehr Verantwortung und bei Missachtung hohe Strafen.
Dennoch haben sich viele Unternehmen noch kaum mit der Thematik beschäftigt und wissen oft gar nicht, was genau auf sie zukommt. Daher setzen sich die Fachgruppe UBIT der Wirtschaftskammer und der DMVÖ (Dialog Marketing Branche) verstärkt für Aufklärung und Bewusstseinsbildung ein. „Unternehmen sollten den notwendigen Zeitbedarf nicht unterschätzen. Umfang und Komplexität der erforderlichen Veränderungen benötigen oft eine längere Vorbereitungs- und eine entsprechende Implementierungszeit“, mahnt Martin Puaschitz, Obmann der UBIT-Wien.
Betroffen sind grundsätzlich alle Unternehmen und Organisationen, die mit personenbezogenen Daten arbeiten. Das beginnt bei der Verwaltung von Kundendaten bis hin zu Lieferanten- und Mitarbeiterdaten. Die Verordnung nimmt somit große Konzerne ebenso in die Pflicht wie auch Klein- und Mittelbetriebe. Durch sie werden zum einen die Nutzerrechte wesentlich gestärkt. So müssen beispielsweise Unternehmen vor der digitalen Kontaktaufnahme mit Personen, die keine Kunden sind bzw. waren, deren Zustimmung einholen. Diese muss „unmissverständlich und freiwillig durch eine aktive Handlung“erfolgen. „Vorausgewählte Häkchen bei Formularen, die eine Kontaktaufnahme erlauben, oder ,stille‘ Zustimmungen, versteckt in den AGB, sind ebenfalls nicht mehr gültig“, erklärt Anton Jenzer, Präsident des DMVÖ.
Zum anderen wird durch die neue Verordnung den Unternehmen auch in puncto Datensicherheit mehr Verantwortung auferlegt. Diese müssen für „angemessene Sicherheitsvorkehrungen“sorgen, um Datenmissbrauch und Datenlecks zu vermeiden. Hinzu kommen noch weitere Punkte, wie die für gewisse Unternehmen verpflichtende Bestellung eines Datenschutzbeauftragten oder die ungeteilte Gemeinschaftshaftung bei Unternehmen, Agenturen und Dienstleistern bei Datenmissbrauch. Das Risiko und die Verantwortung können somit nicht delegiert werden.
Die Strafen bei Rechtsverletzungen sind dabei bewusst empfindlich hoch angesetzt, um zu zeigen, dass die Sache ernst genommen wird. Die Höchststrafe beläuft sich auf 20 Millionen Euro oder vier Prozent vom weltweiten Umsatz, je nachdem was höher ist, um auch Giganten wie Facebook oder Google in die Pflicht zu nehmen.
Das „Datenschutz-Anpassungsgesetz 2018“, in dem die nationalen Ergänzungen der DSGVO definiert werden, liegt dem Nationalrat zur Begutachtung vor. Somit sind alle Eckdaten der neuen Datenschutz-Verordnung weitgehend bekannt. Daher raten die beiden Experten dringend, sich ab sofort damit zu beschäftigen. Denn um alle Punkte zu beachten und die IT-Strukturen und Prozesse entsprechend anzupassen, sind viele Schritte notwendig. „Zuallererst sollte ein Unternehmen sich ein genaues Bild davon machen, welche Arten von Daten überhaupt gespeichert werden und wie damit umgegangen wird“, rät Jenzer. „Viele, vor allem kleinere Unternehmen, wissen oft gar nicht, dass sie solche personenbezogenen Daten sammeln.“
Anschließend können mögliche Mängel identifiziert und entsprechend behoben werden. Die IT bildet für viele Unternehmen die Basis für ein reibungsloses und erfolgreiches Arbeiten. Änderungen dieser Prozesse brauchen Zeit und müssen sorgfältig umgesetzt werden. Daher sei es wichtig, sich alsbald und in Ruhe der Thematik zu widmen.
Fehlen Know-how und Zeit dafür, sollte die Einbindung eines externen Datenschutz-Experten in Betracht gezogen werden. Dieser kann rasch entsprechende Mängel feststellen und weiß, worauf bei der Anpassung zu achten ist. Datenschutz ist ein extrem wichtiger und heikler Aspekt, der in Zukunft noch mehr an Bedeutung gewinnen wird, sind sich Puaschitz und Jenzer einig. Deshalb solle die neue Verordnung nicht als Bedrohung, sondern auch als Chance betrachtet werden.