Es wird ernst, sehr ernst: Das neue EU-Datenschutzrecht

Ab 25.5.2018 wird in ganz Europa die neue EU-Datensschutz-Grundverordnung („DSGVO“) direkt anwendbar sein. [...]

Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, haben nur noch eineinhalb Jahre Zeit, sich auf das neue europäische Datenschutzrecht einzustellen. Es wird also sehr ernst, vor allem für jene Unternehmen in Österreich, die sich bis heute noch immer nicht mit Datenschutzrecht befasst haben.

Die DSGVO enthält nämlich zahlreiche neue Plichten für alle die Daten verarbeiten und das sind: alle, denn es gibt praktisch kein Unternehmen mehr, das keine Daten verarbeitet. Viele von diesen haben aber bis heute keinen Überblick, was sie eigentlich für Daten verarbeiten. Weder die Geschäftsführung, der IT-Leiter, noch die Rechtsabteilung haben keinen genauen Überblick und dem entsprechend auch keine Ahnung ob das, was sie tun überhaupt rechtlich zulässig ist. Das ist heute auch oft nicht so problematisch, denn die Höchststrafe im Datenschutzrecht beträgt derzeit in Österreich 25.000 Euro. Ab Mai 2018 gilt aber eine völlig neue, geradezu astronomisch hohe Strafdrohung für nicht rechtmäßige Datenverarbeitung von bis zu EUR 20 Mio oder vier Prozent des weltweiten Konzernumsatzes (je nachdem, welche Zahl höher ist!).
Wenn die verantwortlichen Techniker und Juristen im Unternehmen nicht wissen, dass man Daten zwischen Konzerngesellschaften nicht einfach technisch vernetzen kann, wenn sie sich noch nie mit der Frage befasst hat, wann die Daten endgültig gelöscht werden (und das müssen sie schon heute, ewig speichern als gängige Praxislösung ist unzulässig), sie noch nie daran gedacht haben, konzerninternen und externe Dienstleistungen mit einem datenschutzrechtlichen Dienstleistervertrag zu dokumentieren und keine Ahnung haben, dass Cloud-Services und Support aus Nicht-EU-Ländern heute uU sogar bei der Datenschutzbehörde vorher genehmigt werden müssen und das Online Datenverarbeitungsregister DVR Online nicht kennen und beschicken, dann liefern sie ihr Unternehmen regelrecht ans datenschutzrechtliche Messer.

Wie soll man dann aber erst all die neuen Verpflichtungen der DSGVO, etwa die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines „Verfahrensverzeichnisses“ oder „Datenschutz durch Technik“ („privacy by design“) und „datenschutzfreundlichen Voreinstellungen“ („privacy by default“) bewerkstelligen, wenn es an den oben genannten Grundlagen fehlt?
Hier hilft nur noch, mit absoluter Dringlichkeit ein Rettungsprogramm einzuleiten, um mit entsprechendem Budget und internen und externer Ressourcen zu versuchen, die jahrelangen Versäumnisse aufzuholen und sich fit für die Zukunft zu machen.
*Der Autor Dr. Rainer Knyrim ist Rechtsanwalt und Datenschutzexperte bei Preslmayr Rechtsanwälte OG Wien.