Es wird ernst, sehr ernst: Das neue EU-Datenschutzrecht

Ab 25.5.2018 wird in ganz Europa die neue EU-Datensschutz-Grundverordnung („DSGVO“) direkt anwendbar sein. [...]

Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, haben nur noch eineinhalb Jahre Zeit, sich auf das neue europäische Datenschutzrecht einzustellen. Es wird also sehr ernst, vor allem für jene Unternehmen in Österreich, die sich bis heute noch immer nicht mit Datenschutzrecht befasst haben.

Die DSGVO enthält nämlich zahlreiche neue Plichten für alle die Daten verarbeiten und das sind: alle, denn es gibt praktisch kein Unternehmen mehr, das keine Daten verarbeitet. Viele von diesen haben aber bis heute keinen Überblick, was sie eigentlich für Daten verarbeiten. Weder die Geschäftsführung, der IT-Leiter, noch die Rechtsabteilung haben keinen genauen Überblick und dem entsprechend auch keine Ahnung ob das, was sie tun überhaupt rechtlich zulässig ist. Das ist heute auch oft nicht so problematisch, denn die Höchststrafe im Datenschutzrecht beträgt derzeit in Österreich 25.000 Euro. Ab Mai 2018 gilt aber eine völlig neue, geradezu astronomisch hohe Strafdrohung für nicht rechtmäßige Datenverarbeitung von bis zu EUR 20 Mio oder vier Prozent des weltweiten Konzernumsatzes (je nachdem, welche Zahl höher ist!).
Wenn die verantwortlichen Techniker und Juristen im Unternehmen nicht wissen, dass man Daten zwischen Konzerngesellschaften nicht einfach technisch vernetzen kann, wenn sie sich noch nie mit der Frage befasst hat, wann die Daten endgültig gelöscht werden (und das müssen sie schon heute, ewig speichern als gängige Praxislösung ist unzulässig), sie noch nie daran gedacht haben, konzerninternen und externe Dienstleistungen mit einem datenschutzrechtlichen Dienstleistervertrag zu dokumentieren und keine Ahnung haben, dass Cloud-Services und Support aus Nicht-EU-Ländern heute uU sogar bei der Datenschutzbehörde vorher genehmigt werden müssen und das Online Datenverarbeitungsregister DVR Online nicht kennen und beschicken, dann liefern sie ihr Unternehmen regelrecht ans datenschutzrechtliche Messer.

Wie soll man dann aber erst all die neuen Verpflichtungen der DSGVO, etwa die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines „Verfahrensverzeichnisses“ oder „Datenschutz durch Technik“ („privacy by design“) und „datenschutzfreundlichen Voreinstellungen“ („privacy by default“) bewerkstelligen, wenn es an den oben genannten Grundlagen fehlt?
Hier hilft nur noch, mit absoluter Dringlichkeit ein Rettungsprogramm einzuleiten, um mit entsprechendem Budget und internen und externer Ressourcen zu versuchen, die jahrelangen Versäumnisse aufzuholen und sich fit für die Zukunft zu machen.
*Der Autor Dr. Rainer Knyrim ist Rechtsanwalt und Datenschutzexperte bei Preslmayr Rechtsanwälte OG Wien.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*