10. Oktober 2016 Dr. Rainer Knyrim*

Es wird ernst, sehr ernst: Das neue EU-Datenschutzrecht

Ab 25.5.2018 wird in ganz Europa die neue EU-Datensschutz-Grundverordnung („DSGVO“) direkt anwendbar sein. [...]

Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, haben nur noch eineinhalb Jahre Zeit, sich auf das neue europäische Datenschutzrecht einzustellen. Es wird also sehr ernst, vor allem für jene Unternehmen in Österreich, die sich bis heute noch immer nicht mit Datenschutzrecht befasst haben.

Die DSGVO enthält nämlich zahlreiche neue Plichten für alle die Daten verarbeiten und das sind: alle, denn es gibt praktisch kein Unternehmen mehr, das keine Daten verarbeitet. Viele von diesen haben aber bis heute keinen Überblick, was sie eigentlich für Daten verarbeiten. Weder die Geschäftsführung, der IT-Leiter, noch die Rechtsabteilung haben keinen genauen Überblick und dem entsprechend auch keine Ahnung ob das, was sie tun überhaupt rechtlich zulässig ist. Das ist heute auch oft nicht so problematisch, denn die Höchststrafe im Datenschutzrecht beträgt derzeit in Österreich 25.000 Euro. Ab Mai 2018 gilt aber eine völlig neue, geradezu astronomisch hohe Strafdrohung für nicht rechtmäßige Datenverarbeitung von bis zu EUR 20 Mio oder vier Prozent des weltweiten Konzernumsatzes (je nachdem, welche Zahl höher ist!).
Wenn die verantwortlichen Techniker und Juristen im Unternehmen nicht wissen, dass man Daten zwischen Konzerngesellschaften nicht einfach technisch vernetzen kann, wenn sie sich noch nie mit der Frage befasst hat, wann die Daten endgültig gelöscht werden (und das müssen sie schon heute, ewig speichern als gängige Praxislösung ist unzulässig), sie noch nie daran gedacht haben, konzerninternen und externe Dienstleistungen mit einem datenschutzrechtlichen Dienstleistervertrag zu dokumentieren und keine Ahnung haben, dass Cloud-Services und Support aus Nicht-EU-Ländern heute uU sogar bei der Datenschutzbehörde vorher genehmigt werden müssen und das Online Datenverarbeitungsregister DVR Online nicht kennen und beschicken, dann liefern sie ihr Unternehmen regelrecht ans datenschutzrechtliche Messer.

Wie soll man dann aber erst all die neuen Verpflichtungen der DSGVO, etwa die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines „Verfahrensverzeichnisses“ oder „Datenschutz durch Technik“ („privacy by design“) und „datenschutzfreundlichen Voreinstellungen“ („privacy by default“) bewerkstelligen, wenn es an den oben genannten Grundlagen fehlt?
Hier hilft nur noch, mit absoluter Dringlichkeit ein Rettungsprogramm einzuleiten, um mit entsprechendem Budget und internen und externer Ressourcen zu versuchen, die jahrelangen Versäumnisse aufzuholen und sich fit für die Zukunft zu machen.
*Der Autor Dr. Rainer Knyrim ist Rechtsanwalt und Datenschutzexperte bei Preslmayr Rechtsanwälte OG Wien.


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*