Wien. Dass das eher sperrig anmutende Thema Datenschutz die Emotionen hochgehen lässt, scheint relativ unwahrscheinlich. Am 11. Europäischen Datenschutztag am Donnerstag im Bundeskanzleramt ist das jedoch passiert. Es ging um das neue Datenschutzrecht in der Europäischen Union und die damit verbundenen Herausforderungen für Unternehmen. Die Umsetzung sei eine wirklich schwierige Aufgabe, man arbeite seit etwas mehr als einem Jahr daran, sagte die Leiterin der National Data Privacy Judith Leschanz von der A1 Telekom Austria AG im Zuge ihres Vortrags. Sie koste Ressourcen und Budget. Am Ende des Tages werde die Summe für das 8300 Mitarbeiter zählende Unternehmen "auf jeden Fall siebenstellig" sein, schätzt Leschanz im Gespräch mit der "Wiener Zeitung".

Für Unternehmen bringt die neue Verordnung neue Verpflichtungen. So müssen sie die nationalen Aufsichtsbehörden so bald wie möglich über schwere Verstöße gegen den Datenschutz informieren, die grundsätzliche Meldepflicht fällt allerdings. Nutzer von Onlinediensten müssen besser von Unternehmen informiert werden, wie ihre Daten verarbeitet werden und ihr ausdrückliches Einverständnis zur Nutzung ihrer Daten geben.

Nationales Datenschutzrecht soll heuer in Kraft treten

Die Zeit für Unternehmen drängt. Denn bei Nicht-Umsetzung drohen bereits in etwas mehr als einem Jahr Verwaltungsstrafen von bis zu 20 Millionen Euro respektive vier Prozent des Konzernumsatzes des vorangegangenen Jahres. Dann, am 25. Mai 2018, endet die zweijährige Umsetzungspflicht und die neue Datenschutz-Grundverordnung der Europäischen Union gilt.

Diese wird die 20 Jahre alte Datenschutz-Richtlinie ablösen, die als zu bürokratisch galt. Österreich habe der neuen Grundverordnung nicht zugestimmt, sondern sich der Stimme enthalten, sagte Kultur- und Medienminister Thomas Drozda am Donnerstag. Die Verhandlungen darüber hatten vier Jahre lang gedauert. Die Datenschutz-Grundverordnung lässt den einzelnen Mitgliedstaaten grundsätzlich wenig Spielraum, die jeweiligen Verpflichtungen seien jedoch durch nationales Recht zu spezifizieren oder zu verändern, heißt es. Österreichs nationales Datenschutzrecht sei vor einigen Wochen dem Koalitionspartner zur Begutachtung übergeben worden, sagte Drozda. Er sei zuversichtlich, "dass es in der ersten Hälfte dieses Jahres in Kraft tritt".

Bei der Datenschutz-Grundverordnung geht es im Wesentlichen darum, die Sicherheit und Privatheit der persönlichen Daten von EU-Bürgern zu schützen. Und zwar EU-weit einheitlich.

Eine nicht leichte Aufgabe, vor allem nicht für Unternehmen, die viel mit Informationstechnik und personenbezogenen Daten zu tun haben wie auch die A1 Telekom Austria AG. Vor allem die Mitarbeiterschulungen - meist per E-Learning - seien eine Herausforderung, so Leschanz. Das Ausgangsniveau sei zu unterschiedlich, der Inhalt sehr komplex. Unter anderem gehe es um die Frage, wer welche Daten verarbeiten dürfe.

Datenschutzbehörde rechnet mit Anstieg der Verfahren

Man habe einen Datenschutzbeirat eingerichtet, und mehrere Juristen sowie Nichtjuristen seien als Datenschutzbeauftragte im Einsatz. Es gebe bereits einen Verein der Datenschutzbeauftragten Österreichs (www.privacyofficers.at).

Die neue Datenschutz-Grundverordnung ist aber nicht nur für Unternehmen, sondern auch für die Aufsichtsbehörde selbst Neuland. Dieser komme künftig eine entscheidende Rolle zu, sagte Matthias Schmidl, stellvertretender Leiter der Datenschutzbehörde. Denn die Verordnung sei erstmals verbindlich, zudem sei die Datenschutzbehörde im EU-Ausschuss vertreten und daher berufen, Leitlinien zu verabschieden.

Aufgabe der Behörde wird es zum Beispiel laut Schmidl künftig sein, Stellungnahmen zu Gesetzesentwürfen abzugeben, falls datenschutzrechtliche Auswirkungen damit verbunden sein könnten. Auch mit Beschwerden müsse sich diese befassen.

Um die Verwaltungsstrafverfahren bei Nicht-Umsetzung der Verordnung müsse sich die Datenschutzbehörde ebenfalls kümmern. Diese rechne mit einem Anstieg der Bescheidverfahren, ergänzte deren Leiterin Andrea Jelinek. "Ein Gutteil der jetzigen Paragraph-30-Verfahren (Kontrollbefugnisse der Datenschutzbehörde, Anm.) könnte in diesen Bereich hinüberschwappen." Deren Zahl läge derzeit bei etwa 400.

Dass dadurch automatisch die Zahl der Verfahren am Bundesverwaltungsgericht, wo man die Bescheide anfechten kann, steigen werde, glaubt Jelinek allerdings nicht. Eva Souhrada-Kirchmayer, stellvertretende Kammervorsitzende am Bundesverwaltungsgericht sowie Datenschutzbeauftragte des Europarates, hatte das in ihrer Wortmeldung aus dem Publikum befürchtet. "Die Beschwerdegeneigtheit beim Datenschutz ist zwar hoch", sagte dazu Jelinek, "aber auch die Einsicht ist hoch." Zudem sollten Geldbußen nicht das erste Mittel sein.

Sarah Spiekermann von der Wirtschaftsuniversität Wien, sah das Ganze nicht so negativ. Sie ortete sogar eine wirtschaftliche Chance: Durch das Anbieten kompletter Datenschutzpakete hätten die Handelnden die Chance, sich strategisch neu zu positionieren. Daten seien das Öl der Ökonomie.