"Daten sind das Gold der Wirtschaft"

"Wiener Zeitung": Marketagent hat im Auftrag der WKO eine Umfrage zum Thema Bewusstsein für Datenschutz in Firmen in Auftrag gegeben. Welche sind für Sie die wichtigsten Erkenntnisse?Hans-Jürgen Pollirer: Bei Datenschutz und Datensicherheit ist ein Nachholbedarf festzustellen. Die Situation ist aber etwas besser geworden, das Bewusstsein ist auch durch die Diskussionen der letzten Zeit - Stichwort NSA und Prism - gestiegen.

70 Prozent der Befragten sind der Meinung, dass das Datenschutzgesetz aus unternehmerischer Sicht nicht praktikabel ist. Wo sehen die Unternehmer die Probleme?

Das größte Problem - das sieht man auch in der Diskussion um den Entwurf der EU-Datenschutz-Grundverordnung - ist die Frage der Zustimmungserklärung. Bis jetzt gilt auch die konkludente Zustimmung. Laut EU-Grundverordnung wird die ausdrückliche Zustimmung gefordert, und das ist natürlich im Internet-Bereich ein großes Problem.

Wie kann man das lösen?

Technisch soll die Lösung so aussehen, dass ich für jedes Cookie erkläre, was es tut und die Zustimmung für die Verwendung dieses einholen muss. Das ist bei manchen Seiten, wo hunderte Cookies verwendet werden, natürlich ein großer Aufwand. Zudem bezweifeln die Firmen, dass sich die Anwender das durchlesen.

Ist die Gefahr tatsächlich gegeben, dass diese Regelung so kommt?

Die Wirtschaft hofft darauf, dass es zu einer konkludenten Zustimmung kommt. Es gibt die Zustimmung des EU-Parlaments, über den abgestimmten Entwurf von Jan Philipp Albrecht aus 2013 weiter zu verhandeln. Im Rat gehen die Meinungen allerdings diametral auseinander. Den Deutschen ist der Entwurf zu leichtgewichtig, auf der anderen Seite stehen Großbritannien und Irland, die nicht unbedingt die datenschutzfreundlichsten Länder sind.

Die EU-Datenschutz-Grundverordnung sieht auch einen Datenschutzbeauftragten für Unternehmen vor. In nur 15 Prozent der befragten Firmen gibt es einen solchen. Warum ist hier das Bewusstsein offensichtlich noch so gering?

Das hängt damit zusammen, dass es schon zahlreiche Beauftragte für unterschiedliche Zwecke in den Firmen gibt - etwa Brandschutzbeauftragte. Der ursprüngliche Entwurf der EU-Verordnung ist von einer Mitarbeiterzahl von 250 ausgegangen, was nicht unbedingt sinnvoll ist. Ein großer Tischlereibetrieb kann 250 Mitarbeiter haben, verfügt aber vielleicht über keine sensiblen Daten. Der jetzige EU-Vorschlag sieht vor, dass es ab 5000 personenbezogenen Datensätzen einen Beauftragten braucht. Dieses Kriterium trifft auch auf viele Ein-Personen-Unternehmen zu.

Was wäre ein sinnvolles Kriterium?

Sinnvoll wäre es, die Einrichtung eines Datenschutzbeauftragten von der Sensibilität der Daten abhängig zu machen. Zum Beispiel steht für mich außer Frage, dass man im Gesundheitsbereich entsprechende Stellen einrichtet.

Ein Argument der Gegner der Datenschutz-Grundverordnung ist, dass Europas KMU dann einen Wettbewerbsnachteil gegenüber den USA haben. Ist das so?

Das ist ein grundsätzliches Problem, weil sich der europäische Datenschutz auf sehr hohem Niveau befindet. Die Amerikaner haben einen ganz anderen Zugang zum Datenschutz. Die Safe Harbor Principles, die ja ohnehin in Diskussion stehen, stellen eine freiwillige Selbstzertifizierung dar. Sie orientieren sich zwar an den europäischen Normen, werden aber nicht überprüft. Und es gibt Staaten ganz ohne Datenschutz, zum Beispiel China.

Könnte man ein hohes Niveau nicht auch als Asset verkaufen?

Es ist ein Wettbewerbsnachteil. Man sollte sich auch genau überlegen, ob man die Aufkündigung der Safe Harbor Principles wirklich will. Denn das unterbindet den Datenfluss zwischen Europa und den USA, was auch internationale Firmen trifft. Daten sind heute das Gold der Wirtschaft. Es funktioniert gar nichts mehr ohne Daten. Man müsste mit den Amerikanern verhandeln, dass sie ihren Datenschutzstandard verbessern, aber das geht nur auf politischer Ebene. Allerdings ist es grundsätzlich sicherlich ein Wettbewerbsvorteil, wenn ich einen hohen Datenschutzstandard nach außen hin kommunizieren kann.

Zurück zum Datenschutzbeauftragten: Sie bilden ja auch aus - können Sie kurz umreißen, was Datenschutzbeauftragte können müssen?

Das ist die eierlegende Wollmilchsau. Er muss juristisches Wissen haben - und zwar nicht nur über das Datenschutz-, sondern etwa auch über das Telekommunikationsgesetz. Er muss ein tiefes Wissen über Informatik haben und mit Menschen umgehen können. Er muss Durchsetzungsvermögen gegenüber Mitarbeitern und Management besitzen. Datenschutz wird eben manchmal als Behinderung gesehen.

Für knapp 31 Prozent der in der Studie Befragten ist der Staat glaubwürdiger, für 25,7 eher privatwirtschaftliche Unternehmen - der Staat hat also einen kleinen Vorsprung vor der Privatwirtschaft. Wo herrscht aus Ihrer Sicht ein größeres Bewusstsein vor?

Dieses Ergebnis hängt mit unserer Obrigkeitshörigkeit zusammen. Es gibt keinen Grund zu glauben, dass die staatliche Datenverarbeitung sicherer ist als die in Firmen.

Neue Zeitschrift

Zur Person

Dem Thema Datenschutz widmet der Manz-Verlag eine neue Zeitschrift, deren erstes Heft dieser Tage erscheint.

"Datenschutz konkret" wird fünf Mal jährlich erscheinen und wendet sich an Personen, die in Unternehmen und im öffentlichen Bereich für Datenschutz verantwortlich sind. Informationen - unter anderem zum "early bird"-Abo - unter: dako.manz.at

Hans-Jürgen Pollirer

(Jahrgang 1942) ist seit 1975 Geschäftsführer der Internet-Security Firma Secur-Data. Bis Juni war er zwölf Jahre Obmann der Bundessparte Information und Consulting in der WKO. Der Co-Autor des Kommentars zum Datenschutzgesetz ist Teil der Redaktion der neuen Manz-Zeitschrift "Datenschutz konkret".