Heute, am 25. Mai 2018, tritt die EU-Datenschutz-Grundverordnung in Kraft und soll einen Interessensausgleich zwischen Wirtschaft und Konsumentenschutz schaffen. Nach einer mehr als einjährigen Übergangszeit ist es so weit: Die Verordnung und die neuen Regelungen zum Schutz personenbezogener Daten sind ab dem heutigen Datum für Unternehmen verpflichtend. Bei Vergehen drohen existenzbedrohende Strafen in Millionenhöhe – nach den Entschärfungen seitens der Regierung ist jedoch unklar, wie weit das europaweite einheitliche Datenschutz-Regelwerk nun gelten soll.
Kaum ein Unternehmen ist von den Neuerungen der EU-DSGVO nicht betroffen. Wer mit personenbezogenen Daten arbeitet, muss auch sicherstellen, dass diese rechtskonform und zum Schutze des Individuums verarbeitet werden.
Das letzte Jahr wurde von Medien und unzähligen Beratungsunternehmen dafür genutzt, um ein Bewusstsein für Unternehmen zu schaffen. „Im Großen und Ganzen scheint alles klar zu sein: Datenmissbrauch wird bestraft. Es wird jedoch spannend werden, wie der Prüfplan und der Modus Operandi der österreichischen Datenschutzbehörde aussehen werden”, beurteilt Anton Jenzer, Präsident des DMVÖ und Geschäftsführer von VSG Direkt und digiDruck, die Situation.
Balanced Approach
„Die EU-DSGVO ist im Grunde ein guter Weg in Richtung Schutz des Konsumenten. Im Sinne eines ‚Balanced Approach' geht es darum, den Schutz der Privatsphäre der Bürger zu gewährleisten und gleichzeitig die berechtigten Interessen von Unternehmen und NPOs, nämlich Marketing und Werbung betreiben zu können, zu wahren”, so Jenzer. Daten sind in der digitalen Transformation ein wertvolles Gut, das für viele Unternehmen die Existenzgrundlage darstellt.
Digitale Sorglosigkeit schadet Unternehmen in ihrer Wettbewerbsfähigkeit, da Datenschutz von Konsumenten als Qualitätskriterium angesehen wird. Um die neuen gesetzlichen Bedingungen zu erfüllen und auch einen ethischen Umgang mit sensiblen Daten zu gewährleisten, brauchen Unternehmen daher ein umfassendes Datenschutzmanagement.
Übergangsfrist ist abgelaufen
Verpflichtungen wie die Nachweispflicht, das Anlegen eines Verarbeitungsverzeichnisses oder die Meldepflicht bei Datenverlust innerhalb von 72 Stunden sind ab sofort einzuhalten.
Die Angst vor Abmahnwellen und Bußgeldern für Weltkonzerne oder KMUs ist groß. Was auf Unternehmen in der Praxis zukommen wird, ist unklar. Da die Regierung nun auch das europaweite Regelwerk abgeändert hat, herrscht Unsicherheit: „Leider kann ich an dieser Stelle keine Entwarnung geben, denn die Bestimmungen der DSGVO werden in der Substanz, das heißt in puncto Dokumentationspflicht und Notwendigkeit der Einführung und Einhaltung von technisch-organisatorischen Datensicherheitsmaßnahmen, keinesfalls außer Kraft gesetzt oder aufgeweicht. Die Strafandrohungen bei Fehlverhalten oder gar Datenmissbrauch, also ‚Data Breach', sind horrend und können Unternehmen und Organisationen existenziell bedrohen”, erklärt Jenzer.
Prävention statt Reaktion
„Auch nach dem Inkrafttreten ist es nicht zu spät, Vorkehrungen zu treffen. Allerdings drängt die Zeit, und Prävention ist für Unternehmen kostengünstiger als Reaktion”, so Jenzer. Trotz der Entschärfung in Österreich ist es für Unternehmen notwendig, Rechtssicherheit zu schaffen. Internen Datenschutzbeauftragten fehlt jedoch häufig die Zeit und das Know-how, um einen verlässlichen Schutz zu gewährleisten.
Spezielle Aus- und Weiterbildungen für Mitarbeiter stellen eine wichtige Maßnahme dar, um Datenschutzlücken präventiv zu schließen. Die Reformierung und Harmonisierung des europaweiten Datenschutzes ist mit dem Inkrafttreten der EU-DSGVO noch nicht zu Ende, denn die E-Privacy-Verordnung, die als ergänzendes Regelwerk die DSGVO konkretisieren soll, steht noch in den Startlöchern und wird voraussichtlich mit 2019 in Kraft treten. (gs)
