Experten gefragt: Verordnung für Datenschutz
- Written by Redaktion
- font size decrease font size increase font size
Die Datenschutzrechtsexperten Rainer Knyrim und Günther Leissler.
Montage: Report
Die Kernpunkte der Datenschutzgrundverordnung (DSGVO) auf einen Blick: Worauf Unternehmen und Geschäftsleiter achten müssen. Wie die heimischen Unternehmen auf dieses Thema vorbereitet sind.
Frage 1: Wo sehen Sie den größten Handlungsbedarf in der Umsetzung datenschutzgesetzkonformer Prozesse in Unternehmen?
"Das größte Problem haben aktuell jene Unternehmen, die sich bislang noch nicht mit Datenschutzrecht oder Informationssicherheit auseinandergesetzt haben und daher keinen Überblick über ihre Datenanwendungen haben. Den benötigen sie aber nicht nur, um die Risiken abschätzen zu können, sondern schlicht, weil dieser in Form eines ›Verzeichnisses der Datenverarbeitungen‹ künftig jedenfalls bei Unternehmen über 250 Mitarbeitern verpflichtend zu dokumentieren ist. Hier benötigt es einen Prozess, diesen zu schaffen und dann aktuell zu halten. Weiterer Handlungsbedarf besteht unter anderem hinsichtlich der Speicherdauer. Wurde bisher alles ›ewig‹ gespeichert, müssen künftig für jede Applikation Speicherdauer und Löschfristen vom Juristen definiert und dann technisch und organisatorisch als Prozess umgesetzt werden. Das heißt: Zu jeder Applikation muss es einen ›Change Request‹ geben, mit dem Speicherdauern und Löschroutinen eingebaut werden."
Rainer Knyrim, Partner bei Knyrim Trieb Rechtsanwälte
"Man sollte die Vorbereitung auf die DSGVO nicht nur aus rechtlicher Sicht betrachten. Zuvor muss man sich einen Überblick über die Datenverarbeitungen des Unternehmens verschaffen: Welche Daten verarbeite ich, wo speichere ich sie, wer hat Datenzugriff, welche Dienstleister verwende ich zur Datenverarbeitung, etc.? Erst diese Befundaufnahme ermöglicht es dem Unternehmer, die für ihn relevanten Anforderungen der DSGVO und die daraus erfließenden Handlungsnotwendigkeiten zu identifizieren. Der größte Handlungsbedarf besteht also in dieser Bestandsaufnahme und deren rechtlicher Bewertung unter der DSGVO. Eine herausfordernde Aufgabe, die allerdings nicht zuletzt angesichts der hohen Strafdrohungen unter der DSGVO unumgänglich ist. Es gibt aber mittlerweile am Markt schon sehr gute Beratungsleistungen dazu, wie etwa unsere Privacy Academy, die wir extra zur Vorbereitung der Unternehmen auf die DSGVO ins Leben gerufen haben."
Günther Leissler, Schönherr Rechtsanwälte
Frage 2: Wie gut sind heimische Unternehmen zur DSGVO informiert und vorbereitet?
"Jene Unternehmen, die sich schon bisher mit Datenschutzrecht auseinandergesetzt haben, sind meist sehr gut informiert und befassen sich bereits intensiv damit. Viele andere wachen nun auf und merken plötzlich, dass ihnen vollkommen die Zeit davonläuft. Das spüren wir an geradezu panischen Anrufen und Terminbitten für Vorstandsgespräche und Workshops. Wir sind aber immer wieder überrascht, dass es immer noch eine erschreckende große Anzahl an Unternehmen geben dürfte, die von der DSGVO und ihren kommenden Strafen entweder noch gar nichts gehört haben oder fälschlicherweise glauben, dass sie diese Verordnung gar nicht trifft. So hat mich kürzlich ein CIO verunsichert angerufen, weil alle anderen CIOS in seinem Industriegebiet in Niederösterreich meinen, die DSGVO sei nur für Online-Business oder nur bei Endkonsumenten anwendbar. Das ist ein Irrglaube, der bald Millionen kosten kann, denn Unwissenheit schützt nicht vor Strafe! Die DSGVO scheint in der großen Masse der KMU noch nicht angekommen zu sein."
Rainer Knyrim, Partner bei Knyrim Trieb Rechtsanwälte
"Nach meiner Wahrnehmung ist das Bewusstsein zur DSGVO sehr unterschiedlich ausgeprägt. Mit der DSGVO wurde das Datenschutzrecht internationaler, weshalb international tätige Unternehmen einen Informationsvorsprung und auch ein größeres Bewusstsein für die Anforderungen der DSGVO haben. Am heimischen Markt ist dieses Bewusstsein teils noch nicht so ausgeprägt. Gerade im KMU-Bereich glauben viele Unternehmen, dass die DSGVO nur eine ›Facebook-Regulierung‹ ist, die sie nicht betrifft. Das ist ein Irrtum. Betroffen ist jedes Unternehmen, denn Datenverarbeitungen finden überall statt. Manche unterschätzen die DSGVO aber auch, weil sie glauben, dass die DSGVO nur eine Novelle des bisherigen Datenschutzrechts ist. Tatsächlich sollte die DSGVO eher als eine neue Rechtsordnung verstanden werden. Sie bringt viele neue Konzepte und Prozesse mit sich, auf die es sich einzustellen gilt."
Günther Leissler, Schönherr Rechtsanwälte