Ansichten und Einsichten zum ­Hype-Thema rund um die europäische ­Datenschutz-Grundverordnung. Was die Unternehmen erwartet. Wer Hilfestellungen bietet.

Das Inkrafttreten der Datenschutz-Grundverordnung mit 25. Mai dieses Jahres hatte das Thema Datenschutz stärker ins öffentliche Bewusstsein gerückt – positiv formuliert. In der Wirtschaft wuchsen die Fragen zu den Regelungen und Pflichten durch die DSGVO zu einem regelrechten Hype, der mit dem Näherkommen der Deadline fast zur Raserei ausartete. »Die meisten hatten ein halbes Jahr vor Inkrafttreten des Gesetzes ihren Anwalt zum ersten Mal dazu befragt. Nun ist Datenschutzgesetzgebung generell sehr komplex«, weist Max Schrems im Interview (Link) auf ein Dilemma hin, das viele betraf: der »Hausanwalt« der Unternehmen war mit den Fragestellungen überfordert. Mit der großen europäischen Datenschutz-Regelung hatten die Unternehmerinnen und Unternehmer auch in Österreich »juristisches Spezialgebiet« betreten.

Aber, so relativiert auch Schrems: »Jene, die sorgsam mit personenbezogenen Daten umgehen und Datenschutz ernst nehmen, haben keinerlei Probleme mit der DSGVO.«

Gut fünf Monate später steht das Abendland immer noch. Die Millionenstrafen, die bei Verstößen drohen, sind bislang ausgeblieben. Doch wenn der Datenschutzstandard davor schon in Österreich und Europa vergleichsweise hoch war, hat der neue Rechtsrahmen mit Sanktionsmöglichkeiten nachgelegt, die auch immateriellen Schaden berücksichtigen. Prompt wurde die DSGVO von Datenschützern als Meilenstein bezeichnet. »Es gibt nun auch neue Tools für die Rechtsdurchsetzung in der Praxis. Sie sorgen dafür, dass das Regelwerk ernst genommen wird«, ist Petra Leupold, Leiterin der VKI-Akademie, überzeugt. »Die großen Player, die auch als Datenkraken bezeichnet werden, sitzen typischerweise nicht in Österreich. Die DSGVO hat nun zur Ausweitung des europäischen Datenschutzes auch auf diese Unternehmen geführt«, argumentiert die Juristin. Eine Niederlassung in Europa sei nicht mehr Voraussetzung, auch US-Anbieter mit hiesigem Geschäft müssen sich an die Datenschutzregeln halten. Es ist eine Erfolgsgeschichte der EU. Der »Gold-Standard« des Datenschutzes könnte zu einem Exportgut der Union werden. »Die Message ist angekommen«, meint Leupold. Man werde nun sehen, wie sich die Konzerne – vor allem im Silicon Valley – verhalten.

Unterschiedliche Reaktionen

Wellen schlägt das Thema jedenfalls in Übersee, und damit hat die DSGVO teilweise, zumindest indirekt zu tun. Ende Oktober hielt Apple-CEO Tim Cook auf dem Branchentreff »International Conference of Data Protection and Privacy Commissioners« eine Ansprache zum Thema Datenschutz und wählte dabei durchaus drastische Worte. Cook spricht – auch mit Seitenhieb auf die großen Konkurrenten Google und Facebook –von der Entstehung eines »Daten-industriellen-Komplexes« und führt aus: »Unsere persönlichen Daten – von alltäglichen bis hin zu sehr privaten – werden mit militärischer Effizienz als Waffen gegen uns selbst eingesetzt«.

Sind sich nun die Österreicherinnen und Österreicher den Vorgaben und Zielen der DSGVO bewusst? Man könnte sagen: teilweise sind sie es. Gut zwei Monate nach Inkrafttreten der Sanktionsmöglichkeiten waren bei der Datenschutzbehörde bereits so viele Beschwerden eingebracht, wie im gesamten Jahr 2017. Das Anziehen der Höhen der Strafen hat Leupold zufolge aber vor allem das Bewusstsein bei den Unternehmen geschürt. Konnten die maximal 25.000 Euro hohen Pönalen bei gröberen Datenschutzverletzungen früher sprichwörtlich aus der Portokasse bezahlt werden, treiben Höhen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes mancher Geschäftsleitung die Sorgenfalten auf die Stirn.

Stand im Alpenland

Es könnte wesentlich besser sein: Einer aktuellen Umfrage des Kreditschutzverband 1870 zufolge hinkt ein Großteil der Unternehmen den gesetzlichen Anforderungen für datenschutzkonforme Unternehmensprozesse und Services hinterher. Sechs von zehn Unternehmen haben die gesetzlichen Vorgaben nicht vollständig erfüllt.  Acht Prozent aller Firmen haben aktuell mit der Umsetzung noch gar nicht begonnen. Kurz vor dem Inkrafttreten der EU-DSGVO im Mai 2018 waren es 30 %. Insbesondere die kleinen Unternehmen müssen noch aufholen: Lediglich 38 % agieren so, wie es die neue Verordnung vorsieht.

»Im Vergleich zum Frühjahr hat sich die Situation in den heimischen Betrieben zwar deutlich gebessert, insgesamt ist das aber noch zu wenig. Ein Großteil der Unternehmen hat noch einiges zu tun, bis sämtliche DSGVO-Maßnahmen realisiert sind«, kommentiert KSV1870-Vorstand Ricardo-José Vybiral die Ergebnisse.

Während ungefähr zwei Drittel (67 %) der Großunternehmen bereits sämtliche Kriterien erfüllt haben, weisen Betriebe bis zu einer Größe von maximal 20 Mitarbeitern weiterhin den größten Aufholbedarf auf.

Tipp: Interview mit Roland Marko, Wolf Theiss, zum Thema DSGVO aus Unternehmenssicht (Link)

Rechte für Konsument­innen

Recht auf Auskunft. Auf Anfrage müssen Unternehmen sämtliche personenbezogenen Daten umfassend, kostenlos und grundsätzlich innerhalb eines Monats mitteilen. Dies betrifft Daten, die vom Unternehmen erhoben und verarbeitet werden, zu welchem Zweck sie verwendet werden und an wen sie weitergegeben werden.

Recht auf Datenübertragbarkeit. Bei einem Wechsel eines Dienstleisters können KundInnen personenbezogene Daten transferieren. Damit wird ein Schutz des freien Verkehrs personenbezogener Daten gewährleistet. Erleichtert wird dadurch auch die Kontrolle über die eigenen Daten.

Recht auf Entscheidungen durch eine natürliche Person. Rein auf Algorithmen gestützte Entscheidungsfindungen sind nicht zulässig – etwa bei Scoring-Modellen.