Am 25. Mai 2018 trat die Datenschutzgrundverordnung in Kraft. Viele Unternehmen befürchteten einen Super-GAU. Die große Bußgeldwelle blieb jedoch aus, in Österreich wurden bisher nur wenige Strafen – vorwiegend wegen Videoüberwachung – ausgesprochen. Die französische Datenschutzbehörde CNIL verurteilte Google zur Zahlung von rund 50 Millionen Euro; der Konzern ging in Berufung. Auch wenn sich die Aufregung inzwischen gelegt hat, ist die Kritik nicht verstummt. Report(+)PLUS hat ExpertInnen um eine erste Bilanz gebeten.

1.War die Aufregung um die DSGVO übertrieben?

Ferdinand Pongracz, CIO Artus Unternehmensberatung

Österreich hatte hinsichtlich des Datenschutzes eigentlich immer eine »Vorzugsschüler-Rolle« und war mit den Regelungen aus dem seit den 70er-Jahren geltenden Datenschutzgesetz und dem Telekommunikationsgesetz sehr bedacht auf die Betroffenenrechte im Datenschutz. Die DSGVO hat nun insbesondere durch hohe Strafandrohungen dazu beigetragen, dass sich Gewerbetreibende endlich ernsthaft mit dem Thema auseinandersetzen und sich genau überlegen, welche Daten sie verarbeiten und wem sie diese weitergeben. Daher halte ich die Aufregung für angemessen.

Sylvia Dellantonio, Geschäftsführerin willhaben internet service GmbH

Die Verordnung und die intensive Berichterstattung hatte den positiven Effekt, eine breite Masse an Unternehmen, aber auch Konsumenten für das wichtige (Zukunfts-)Thema Datenschutz und persönliche Daten zu interessieren und sensibilisieren. User-Zufriedenheit ist für willhaben ein sehr hohes Gut. Wir haben daher im Zuge der Entwicklungen mit datenschutz.willhaben.at einen eigenen Info-Bereich für unsere User eingerichtet, um möglichst offen und breit zu informieren.

Gabriele Davies, Geschäftsführerin dataprivacy consulting GmbH

Naja, die Aufregung rund um die DSGVO war, so wie es sich rückblickend darstellt, doch ziemlich übertrieben. Vor dem Inkrafttreten der DSGVO im Mai letzten Jahres gab es enorm viel Medienberichterstattung dazu. Es wurde vielfach Panikmache betrieben und das Schreckgespenst von exorbitant hohen Strafen beschworen.

Das hat leider dazu geführt, dass das Thema Datenschutz sehr negativ besetzt ist und die Unternehmer und Unternehmerinnen sich am liebsten so wenig wie möglich damit befassen wollen. Man kann auch das Gefühl bekommen, dass das Thema DSGVO in den letzten Monaten medial nahezu in Vergessenheit geraten ist. Auch von der Arbeit der Datenschutzbehörde oder von interessanten Fällen, die bearbeitet werden, hört man kaum etwas.

2.Welche Schwierigkeiten gab es bei der Umsetzung?

Ferdinand Pongracz

Die höchste Herausforderung besteht hier für Berater und Klienten gleichermaßen darin, den Aufwand für die Maßnahmen möglichst realistisch zu halten und keinesfalls den Kopf in den Sand zu stecken. Wir sehen immer wieder, dass es Unternehmer gibt, die sich aufgrund der scheinbar überbordenden Aufwände gar nicht mit der Materie auseinandersetzen. Wenn man sich auf die wesentlichen Punkte konzentriert und ein paar Stunden investiert, kann man meist mit geringem Aufwand seiner Sorgfaltspflicht ausreichend nachgehen.

Sylvia Dellantonio

Wir wollen unseren Usern alle Serviceleis­tungen möglichst schnell und unkompliziert anbieten, die Verordnung verlangt aber recht komplexe Schritte. Es war und ist eine intensive Aufgabe, gute Lösungen zu finden, vor allem bei der Vielfalt an Nutzungsmöglichkeiten auf willhaben. Schwierig war aber auch die Tatsache, dass nicht alles ganz eindeutig formuliert und damit großer Interpretationsspielraum gegeben war. Das hat leider viele leere Kilometer erzeugt.

Gabriele Davies

Unserer Erfahrung nach zeigten sich bei vielen Gesprächen mit unseren Kunden unterschiedlichste Themen bei der Umsetzung. Diese sind natürlich von der Art des Geschäftsfelds, des Umfangs von Datenverarbeitungen sowie zum Beispiel von der Betriebsgröße abhängig. Schwierig war meist der Einstieg, beginnend mit der Erfassung wirklich aller personenbezogenen Datenanwendungen im Unternehmen. Hatte man sich einmal aufgerafft, war die Erstellung des Verfahrensverzeichnisses zum Beispiel mit unserer Webapp datadoku.at kaum ein Problem.

Auch die Gewährleistung und Umsetzung der technischen und organisatorischen Maßnahmen bis hin zur Datensicherheit, Prozessdefinition bei Auskunftsbegehren, Löschkonzepten etc. sind doch wirklich wichtig und müssen konzentriert abgearbeitet werden. Viele Fragen und Unklarheiten gab und gibt es weiterhin bei diversen marketing- und vertriebsrelevanten Datenanwendungen. Das wird sich auch nicht so schnell ändern.

3.Was sollte verbessert werden?

Ferdinand Pongracz

Im Zeitalter der Digitalisierung und der ansteigenden Automatisierung wird die Verarbeitung und Analyse personenbezogenen Daten zu einem zentralen Bestandteil unserer Gesellschaft. Nachdem inzwischen die erste DSGVO-Euphorie abgeflaut ist, könnte es passieren, dass die Sorgfalt langsam nachlässt und das Thema Datenschutz bei innovativen Neuprojekten wieder in den Hintergrund gedrängt wird. Hier wäre es wichtig, dass praxisorientierte Leitfäden und Werkzeugkästen für Unternehmer zur Verfügung stehen und weiterhin das Bewusstsein für Datenschutz hoch gehalten wird.

Sylvia Dellantonio

Das Thema betrifft eine enorm große und inhomogene Gruppe an Unternehmen. Insofern ist es wichtig, ein entsprechendes Augenmaß nicht zu verlieren und auch stark zu differenzieren. Was für manche Firmen, vor allem internationale Konzerne relativ einfach zu bewältigen ist, kann für andere Betriebe einen immensen Mehraufwand – bis hin zur Existenzbedrohung – bedeuten. Und ich würde mir gern mehr Klarheit in der Ausformulierung wünschen.

Gabriele Davies

Meiner Meinung nach muss es eine kontinuierliche Sensibilisierung zum Datenschutz geben. Die Wichtigkeit und die positive
Grundidee der DSGVO für praktisch jedes Unternehmen in Europa muss auch betriebsintern präsent bleiben. Mehr Begleitung und intensive Aufklärung durch professionelle Kommunikation seitens der Datenschutzbehörde wäre wünschenswert.

Buchtipp der Redaktion