Neues Datenschutzrecht vor der Tür
„Wir verbessern unsere Datenschutzregeln“, „Erhalten Sie weiter unsere Newsletter!“, oder „DSGVO-Zustimmung“: E-Mails dieses Schlags trudeln derzeit in vielen Postfächern am laufenden Band ein. Das ist kein Zufall: Ab Freitag wird die EU-Datenschutz-Grundverordnung (EU-DSGVO) durchgesetzt. Sie soll für mehr Kontrolle über digitale Identitäten sorgen. Gleichzeitig hat sie in den vergangenen Wochen bei Unternehmen für Kopfzerbrechen gesorgt.
Dieser Artikel ist älter als ein Jahr.
Die EU-DSGVO verfolgt ambitionierte Ziele: Mit strengen Regeln und der Androhung von Millionenstrafen soll die Verordnung den Datenschutz ins 21. Jahrhundert hieven und Unternehmen zu einem sorgsameren Umgang mit Daten zwingen. An die neuen Regeln muss sich jeder halten, der personenbezogene Daten verarbeitet - vom Hobbyverein über den Großkonzern bis hin zur Universität.
Vielerorts laufen seit Wochen oder gar Monaten Vorbereitungen für den Stichtag am Freitag. Weil die EU-DSGVO hohe Strafen vorsieht und sich als äußerst komplex erwiesen hat, wird der 25. Mai vielfach von Nervosität begleitet. Eine überraschend beschlossene österreichische Entschärfung könnte hierzulande allerdings für eine Sondersituation sorgen.
Die wichtigsten Punkte der EU-DSGVO
Doch was ist die EU-DGSVO eigentlich? Die wichtigsten Punkte kurz zusammengefasst: Alle Organisationen und Firmen müssen künftig ganz genau dokumentieren, welche personenbezogenen Daten von EU-Bürgerinnen und -Bürgern (etwa von Kunden, Angestellten, Patienten, Studierenden etc.) sie besitzen und was sie damit tun. Darunter fallen Namen, (E-Mail)-Adressen, Telefonnummern, IP-Adressen, und alles, was darüber hinausgeht.
APA/dpa/Matthias Balk
Daten sind das neue Erdöl - diesem Fakt will die EU-DSGVO Rechnung tragen
Wollen Unternehmen oder Institutionen Daten speichern, die nicht für eine Vertrags- oder Gesetzeserfüllung nötig sind, braucht es dafür die explizite Zustimmung des Besitzers. Daten, die nicht mehr für einen konkreten Zweck benötigt werden, müssen gelöscht werden. Zudem haben Personen künftig ein Recht darauf, zu erfahren, welche Infos ein Unternehmen über sie besitzt.
Die Datenbesitzer haben außerdem ein Recht auf Korrektur und „Vergessenwerden“. Ganz grundsätzlich muss dokumentiert und nachgewiesen werden können, dass alle Schritte für einen angemessenen Datenschutz erbracht wurden - auch technisch. Für die Verfolgung ist die Datenschutzbehörde zuständig. Datenschützer werten diese Maßnahmen als positive Entwicklung für den Verbraucher.
Saftige Strafen als Angstmacher
Als Ansporn für eine konsequente Umsetzung gelten die für EU-Verhältnisse überraschend saftigen Strafen: Bei Brüchen der neuen Regeln sind Bußgelder vorgesehen, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes hoch sind. Es gilt der höhere Wert. Das Strafmaß zielt freilich auf Großkonzerne ab, es sorgt aber auch bei kleineren Unternehmen für erhebliche Nervosität. Vor allem in den letzten Wochen boomten EU-DSGVO-Workshops, etwa von der der Wirtschaftskammer (WKÖ), ein lebhafter Beratungsbetrieb entwickelte sich.
Bereits gültig
In Kraft ist die EU-DSGVO bereits seit Mai 2016. Tatsächlich durchgesetzt wird sie aber erst mit dem 25. Mai 2018. Geht es nach der EU, soll sie das Datenschutzrecht harmonisieren und den IT-Markt der Union ankurbeln.
Trotzdem ist die Vorbereitung auf den Stichtag für viele Firmen ein steiniger Weg. Auch weil die geltenden Datenschutzgesetze bis jetzt eher lax behandelt wurden, ist ein dicht verfilztes Datenknäuel vielerorts die Realität. Dessen Entwirrung bedeuten Bürokratie und oft auch größere technische Umbauten - zu Lasten des Tagesbetriebs. Vor allem Kleinunternehmer ohne eigene Rechts- und IT-Abteilungen müssen nicht nur die Umsetzung stemmen, sondern sich auch das Wissen mühsam zusammensuchen. Viele Unternehmen sind auch zu spät - oder haben noch gar nicht begonnen.
Komplexität: Vom Hundertsten ins Tausendste
Dazu kommt, dass einen die gewissenhafte Umsetzung der EU-DSGVO vom Hundertsten ins Tausendste leiten kann. Gerade dank der technischen Vernetzung gilt: Gespeicherte (Alt-)Daten sind überall, und auch häufig dort, wo sie nicht sofort ins Auge stechen. Die Vielzahl an potenziellen Stolperfallen und Verstößen löst oft große Ratlosigkeit aus, die vielen verschiedenen Erfordernisse von unterschiedlichen Branchen und Firmen verschärfen die Situation.
Zudem bringt die EU-DSGVO auch liebgewonnene Workflows heftig ins Wanken. Ein klassisches Problem sind Services von Technologiekonzernen im Ausland. So stuft etwa die WKÖ die Nutzung von WhatsApp derzeit als höchst problematisch ein, weil der Messenger Telefonbücher ausliest und die Daten ins internationale Ausland übertragen werden.
Gefürchtetes Abmahngeschäft
Für viele Firmen kollidiert der Arbeitsalltag sehr stark mit den Anforderungen und Vorgaben der DSGVO, vielerorts steht die Frage im Raum, was jetzt eigentlich noch machbar ist. Eines der größten Probleme: Teile des EU-Textes sind äußerst schwammig formuliert. Schon jetzt ist die einhellige Expertenmeinung, dass viele offene Fragen erst vor Gericht entschieden werden müssen. Auch wie die Datenschutzbehörde prüfen und strafen wird, steht noch vollkommen in den Sternen.
Und dann ist da noch das Problem des befürchteten Abmahngeschäfts: Experten befürchten, dass schwarze Schafe unter den Anwälten oder Konkurrenten die Rechtsunsicherheit der EU-DSGVO für den eigenen Profit nutzen und Unternehmer gezielt nach EU-DSGVO-Verstößen „gescannt“ und abgemahnt werden könnten.
Entschärft in Österreich
Das Grundgerüst der EU-DSGVO gilt für alle Unionsstaaten gleich. Was die Verfolgung anbelangt, könnte in Österreich nun trotzdem eine Sondersituation kommen - denn Ende April sorgte eine mit Stimmen von ÖVP und FPÖ beschlossene Entschärfung via Novelle für Überraschung. Diese dürfte die Wahrscheinlichkeit für Strafen bei Verstößen ganz enorm senken.
Allen voran schreibt die Novelle das Prinzip „Verwarnen statt Strafen“ vor. Die zuständige - und eigentlich weisungsfreie Datenschutzbehörde - „wird“ den Strafkatalog der EU-DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“, so der Text. Tatsächlich geahndet werden sollen nur schwere und wiederholte Verstöße. Gestraft werden darf außerdem ohnehin nur noch, wenn nicht bereits eine andere Verwaltungsbehörde Bußgelder verhängt hat.
Auch bei dem Auskunftsrecht wurde entschärft. Die nach EU-DSGVO verpflichtende Herausgabe von Personendaten können Firmen dann verweigern, wenn „durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde“ - was vieles offen lässt. Abseits davon bringt die Novelle Ausnahmen, unter anderem für Journalisten. Zudem wurden die Verbandsklagen herausgestrichen. Das trifft vor allem Datenschützer wie Max Schrems’ Verein noyb schwer, der mittels Verbandsklagen Datenschutzverstöße nachgehen wollte.
Zwischen Verwässerung und Erleichterung
Datenschützer sehen in dem österreichischen Alleingang eine Verwässerung des ursprünglichen Grundgedankens der EU-DSGVO. Sie zweifeln daran, dass Österreichs Alleingang rechtmäßig ist. Dass etwa das Prinzip „Verwarnen statt Strafen“ auch bei einem „klaren Rechtsbruch mit Anlauf“ gelten soll, kritisierte etwa Schrems gegenüber der „Presse“: Es müsse eine „Generalprävention“ geben: „Die Leute müssen das Gefühl haben, dass sie bestraft werden können. Dann halten sie sich an das Gesetz.“
Wirtschaftsvertreter begrüßten die Novelle hingegen. Sie bringe „nötige Klarstellungen, die die Rechtssicherheit in der komplexen Sachmaterie Datenschutz wesentlich verbessert“. Die Unternehmer könnten sich nun mit voller Kraft auf die Umstellungen konzentrieren. Für diese beginnt nun jedenfalls der Endspurt. Beschwichtigt werden sie jedenfalls seitens der EU-Justizkommissarin Vera Jourova: „Verfallen Sie nicht in Panik“, so der Ratschlag aus Brüssel.
Links:
