ABW Logo
shutterstock1025592940

D-Day 25.05.? Was die DSGVO wirklich für uns bedeutet.

Zwischen Beruhigung und Warnung pendelten die Diskussionsbeiträge am 29. Compliance Netzwerktreffen am 16. April zur EU-Datenschutzgrundverordnung. Wie sehr das Thema nach wie vor allen unter den Nägeln brennt, bewiesen über 200 Interessierte, die ins Haus der Europäischen Union in Wien kamen.

Alberto Sanz de Lama, CEO LexisNexis Österreich, konnte im Namen von LexisNexis und den Compliance Netzwerkpartnern über 200 Teilnehmer im Haus der Europäischen Union in Wien begrüßen, das Hausherr Dr. Jörg Wojahn für den Event geöffnet hatte. Im Zentrum der Diskussion mit Vertretern aus Behörden, NGOs und Wirtschaft: Wie viel Verve werden Behörden und NGOs beim Aufzeigen von Verstößen an den Tag legen, was erwartet Organisationen ab dem Stichtag also tatsächlich und wie können sie sich vorbereiten?

Die Podiumsgäste Dr. Gerhard Kunnert (BM für Verfassung, Reformen, Deregulierung und Justiz), Mag. Karin Maurer (GDPR Leader IBM DACH), Dr. Matthias Schmidl (stv. Leiter der österreichischen Datenschutzbehörde / DSB), Ing. Mag. Dr. Christof Tschohl (epicenter.works, noyb und GF Research Institute) pendelten im Gespräch mit Journalistin Barbara Steininger zwischen Beruhigung und Warnung.

KMU nicht das Ziel der DSGVO?

Zentral für viele der Zuhörer war die Information von DSB-Vertreter Matthias Schmidl: „Am 25. Mai kann die Datenschutzbehörde bestenfalls eine Aufforderung zur Rechtfertigung verlangen, nicht aber eine Geldbuße verhängen. Es ist absurd zu glauben, dass einem Kleinunternehmen eine 20-Millionen-Euro-Strafe droht.“ Ziel der DSGVO sei es nie gewesen, gegen KMU Millionenstrafen zu verhängen. Selbst Datenschützer Christof Tschohl unterstrich, dass man vorrangig die „schwarzen Schafe“ an den Pranger stellen wolle: „Mit unserer NGO noyb wollen wir die Schlinge enger ziehen für solche Firmen, die Datenmissbrauch als Geschäftsmodell betreiben.“

Vor allem für die Umsetzung der DSGVO durch die „Global Player“ werde entscheidend sein, ob die Aufsichtsbehörden sich mit gewissem Nachdruck auf das Thema stürzen, meinte Gerhard Kunnert, der ausdrücklich nicht als Ministeriumsvertreter sprach: „Es wird sich zeigen, ob die Ressourcen und der Wille da sind, sich mit Behörden in anderen Mitgliedstaaten abzustimmen.“

Die Holschuld der Unternehmen

Bei IBM befasst man sich bereits seit Mitte 2016 mit der DSGVO, führte Karin Maurer, GDPR Leader bei IBM, aus. In sechs verschiedenen „Workstreams“ prüfte ein globales Team verschiedene Bereiche wie Kundendaten, Verträge oder Subauftragnehmer. Die Vorgehensweisen, die dabei ausgearbeitet wurden, sollen nun auch den Kunden von IBM zugutekommen. „IBM bietet seinen Kunden Datenschutzlösungen, die wir bei IBM selbst in 170 Länderorganisationen weltweit eingeführt haben“, so Maurer. Kleinen Unternehmen, die sich nicht so intensiv mit der DSGVO beschäftigen konnten oder Software-Lösungen eingeführt haben, gibt sie den Tipp „nicht panisch zu werden, sondern sich gute Berater suchen.“

Jedoch nicht nur bei aktivem Datenmissbrauch drohen hohe Strafen, sondern auch, wenn bei zentralen Punkten der DSGVO wie Privacy by Design, Datenschutz-Folgeabschätzung, Verträgen zur Auftragsverarbeitung und Verarbeitungsverzeichnis nicht Compliance hergestellt wird. Die Hände in den Schoß zu legen, ist jedenfalls keine Option, so Gerhard Kunnert: „Es wird viel Information zur DSGVO, z.B. bei den Kammern, angeboten, es gibt aber auch eine Holschuld. Wer sich mit den Basics beschäftigt, ist auf dem richtigen Weg.“ Und Christof Tschohl: „Schon jetzt hat die Zahl der Auskunftsbegehren zugenommen. Kann man auf eine Anfrage keine Antwort gegeben, droht ein Besuch der Datenschutzbehörde.“

Scharfe Kritik erntete die Tatsache, dass für Behörden die in der DSGVO vorgesehenen Geldbußen nicht anwendbar sind und dass Österreich gegen diese gesetzliche Möglichkeit optiert hat. Seither werde durch Anpassungsgesetze versucht, Gott und die Welt zu einer Behörden zu erklären. Dazu Matthias Schmidl: „Wir haben einige Gesetzesentwürfe bereits als unionsrechtswidrig kritisiert.“

Die DSGVO als Chance

Abschließend betonte Karin Maurer die positiven Seiten der neuen Datenschutzbestimmungen: „Kunden vertrauen Unternehmen, die mit ihren Daten sorgfältig umgehen.“ In dieselbe Kerbe schlug Datenschützer Tschohl, der u.a. Amnesty International und das Rote Kreuz berät. Auf der Nutzerseite wiederum förderten die neuen Verpflichtungen das Bewusstsein für Datenschutz nachhaltig, so Tschohl.

Möglich, dass EU-Repräsentant Jörg Wojahn mit seiner in der Begrüßung geäußerten Einschätzung doch noch Recht behält: „Es wird schon nicht so schlimm kommen, sage ich einmal ganz undeutsch.“

Foto/Quelle: Shutterstock/Pe3k