Datenschutz: Die Firmen warten auf klare Regeln
Neue Regeln. Bis 25. Mai müssen Firmen viele Hausaufgaben machen, fühlen sich aber zum Teil alleingelassen.
„Die Firmen wollen sich datenschutzkonform aufstellen“, sagt Anton Jenzer. „Ihnen fehlen aber konkrete Handlungsanweisungen.“Jenzer ist Chef des Dialog Marketing Verbandes Österreich (DMVÖ), eines Branchenverbandes der Kommunikations- und Werbewirtschaft. Was ihm vor allem abgeht, sind klare Regeln zum heiklen Thema „E-Privacy“, also zum Schutz der Privatsphäre bei elektronischer Kommunikation.
Aufs Tapet kam das Thema, alsl am 28. Jänner der zwölfte Europäische Datenschutztag über die Bühne ging. Dieser stand heuer ganz im Zeichen der Datenschutz-Grundverordnung, die am 25. Mai in Kraft tritt. Sie schraubt das Schutzniveau kräftig nach oben, lässt aber viele Details offen. Und die geplante E-Privacy-Verordnung, die Konkretisierungen bringen soll, steht noch aus. Es sei auch nicht damit zu rechnen, dass sie bis Mai fertig sein wird, sagt Jenzer. Zu vieles sei noch zu klären.
Zum Beispiel zum Reizthema Cookies. Webseitenbetreiber bekommen dadurch Aufschluss über das Suchverhalten von Nutzern ihrer Seiten. Cookies zu setzen, ist künftig jedoch nur noch bei aktiver Zustimmung des Betroffenen erlaubt. Angedacht ist, dass sie die Funktion künftig selbst in den Browsereinstellungen aktivieren sollen. Aber wie viele werden das tun? Wie viele kennen sich überhaupt damit aus? Und dürfen Anbieter ihre Seite für Nutzer sperren, die nicht zustimmen?
Unklarheiten gibt es aber auch noch bei scheinbar Banalem wie Adressver- zeichnissen – etwa, ob Daten, die z. B. im Telefonbuch stehen, ohne gesonderte Zustimmung übernommen werden dürfen.
Jenzer betont freilich auch die Vorteile des neuen Regulativs: „Transparenz für die Nutzer ist wichtig, dann fällt auch viel vom Unbehagen weg. Wer die Frage: ,Woher wissen die so viel über mich?‘ seriös beantworten kann, schafft Vertrauen.“
BRZ entwickelt Web-Tool für Firmen
Mit einem anderen Aspekt der neuen Regeln befasst sich das Bundesrechenzentrum (BRZ), und zwar nicht nur als ITDienstleister der öffentlichen Hand. Es möchte Firmen dafür sensibilisieren, dass sie künftig Verzeichnisse über ihre Datenverarbeitungen führen müssen. Dafür hat es ein Web-Tool namens „DataReg“entwickelt, ein vorgefertigtes Register, das die Nutzer „nur noch“ausfüllen müssen. Auch das ist freilich keine ganz leichte Übung, wie BRZ-Experte Markus Charwat einräumt. Wer diesen ersten Schritt bewältigt hat, habe jedoch „schon viel gewonnen“.
Das BRZ bietet auch Schulungen für Nutzer an. Eines der Hauptprobleme sei nach wie vor, dass vor allem in KMU oft das Bewusstsein dafür fehlt, dass sie überhaupt Daten verarbeiten, sagt Charwat. Sobald dies regelmäßig geschieht oder sensible Daten erfasst werden, müssen auch KMU das Register führen. Der Schwellenwert von 250 Mitarbeitern gilt dann nicht. Größere Unternehmen wiederum sehen Datenschutz oft nur als Thema für die IT-Abteilung oder den Firmenjuristen, sagt Charwat. Dass jeder einzelne Mitarbeiter betroffen sei, werde oft nicht erkannt.