Unternehmen sind bei der Umsetzung der Datenschutz-Grundverordnung säumig. Schuld ist auch der Gesetzgeber.
Wien. Der Countdown für die neue "Datenschutz-Grundverordnung" (DS-GVO) läuft. Bis Mai 2018 müssen alle Datenanwendungen an die neue Rechtslage, die das Datenschutzrecht innerhalb Europas vereinheitlichen soll, angepasst werden. Doch obwohl sich die Unternehmen der zukünftigen Datenschutzanforderungen zumeist bewusst sind, lässt der Umsetzungsgrad zu wünschen übrig, wie ein Report der Wirtschaftsanwaltskanzlei DLA Piper belegt.
Mehr als 250 Firmen wurden 2016 für die Studie "Data Privacy Scorebox" befragt. Das Ergebnis: Die durchschnittliche Umsetzungsquote der wesentlichen internationalen Datenschutzgrundsätze betrug lediglich 38,3 Prozent, wobei größere Unternehmen mit 39 Prozent ein höheres Datenschutzniveau aufwiesen als kleinere Firmen mit nur 33,5 Prozent. "Aus dem Report geht hervor, dass viele Unternehmen noch Nachholbedarf in puncto Datenschutz-Maßnahmen haben", sagt Sabine Fehringer von DLA Piper. "Alle in Europa tätigen Unternehmen müssen aber bis Mai 2018 ihre Datenschutzmaßnahmen entsprechend fit machen, um sich nicht dem Risiko hoher Geldbußen auszusetzen."
Tatsächlich sollte man die Datenschutz-Deadline nicht auf die leichte Schulter nehmen, drohen doch bei Zuwiderhandeln extrem hohe Strafen. Anders als bisher werden die Bußgelder bei Datenschutzverstößen nicht mehr in starren Werten angegeben, vielmehr können diese nun bis zu vier Prozent der Jahresumsätze eines Unternehmens betragen.
Recht auf "Vergessenwerden"
Wie hoch die Strafe ausfällt, hängt von der Schwere der Datenrechtsverstöße ab. Wer etwa bei der Erhebung persönlicher Daten vergisst, den Kunden angemessen zu informieren, der wird mit bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes bestraft. Wer erst gar keine Zustimmung zur Verarbeitung der Daten einholt, zahlt bis zu 20 Millionen Euro Strafe oder vier Prozent - je nachdem, welche Summe höher ist.
Ziel der europäischen Datenschutzpolitik ist es, für den Einzelnen künftig mehr Kontrolle über und leichteren Zugang zu den eigenen Daten zu gewährleisten. So stärkt die neue Grundverordnung unter anderem das sogenannte "Recht auf Vergessenwerden". Damit soll es für den Einzelnen einfacher werden, einmal veröffentlichte persönliche Informationen löschen zu lassen. Zudem wird der Nutzer Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten zu welchem Zweck, wie und wo verarbeitet. Und der Einzelne muss künftig noch ausführlicher informiert werden, wenn seine Daten gehackt wurden.
Unternehmen müssen aber auch darauf achten, dass bei der Verarbeitung von Daten durch externe Dienstleister, wie zum Beispiel Lohnverrechner oder IT-Dienstleister, diese ebenfalls Datenschutz-konform handeln. Dazu sind entsprechende Verträge mit zwingenden Mindestinhalten abzuschließen, deren Einhaltung laufend kontrolliert werden muss. Weiters sieht die DS-GVO eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor. Empfohlen wird dieser Schritt seitens der EU ab einer Betriebsgröße von 250 Mitarbeitern und für Unternehmen, bei denen das Geschäftsmodell im Kern auf der Verarbeitung personenbezogener Daten beruht. Wer genau einen Datenschutzbeauftragten brauchen wird, ist jedoch Teil einer sogenannten Öffnungsklausel.
Diese Öffnungsklauseln geben Spielraum für nationale Regelungen. Wie der österreichische Gesetzesgeber diesen nutzen wird, ist derzeit noch offen. "Auch wenn der Gesetzgeber formell noch nicht im Verzug ist, sehen wir anhand der großen Spielräume durchaus Handlungsbedarf", sagt Stefan Panic von DLA Piper. "Es wäre ratsam, wenn bald ein erster Entwurf eines Implementierungsgesetzes verabschiedet wird." Das sei für Unternehmen aus praktischer Sicht enorm wichtig, um sich auf allfällige nationale Regelungen rechtzeitig vorbereiten zu können. Panic: "Unseres Erachtens ist das Hinterherhinken der österreichischen Unternehmen bei der Umsetzung der neuen Rechtsvorschriften nicht zuletzt darauf zurückzuführen, dass in einigen Bereichen eben noch weitere Vorschriften zu erwarten sind."
Es ist also für alle Betroffenen hoch an der Zeit aufs Tempo zu drücken. "Vom möglichen finanziellen Schaden ganz abgesehen droht mit der Verhängung von Geldbußen wegen Nichteinhaltung von Datenschutzvorgaben auch immer ein enormer Imageschaden", warnt Fehringer. "Kunden oder Geschäftspartner sind nicht zuletzt durch die breite Medienberichterstattung zu Datenschutzthemen immer stärker sensibilisiert. Es ist daher gerade jetzt ratsam, in Strategien und Verfahren zur Verbesserung des Datenschutzes innerhalb der Unternehmen zu investieren."