Es wird ernst, sehr ernst: Das neue EU-Datenschutzrecht

Ab 25.5.2018 wird in ganz Europa die neue EU-Datensschutz-Grundverordnung („DSGVO“) direkt anwendbar sein. [...]

Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, haben nur noch eineinhalb Jahre Zeit, sich auf das neue europäische Datenschutzrecht einzustellen. Es wird also sehr ernst, vor allem für jene Unternehmen in Österreich, die sich bis heute noch immer nicht mit Datenschutzrecht befasst haben.

Die DSGVO enthält nämlich zahlreiche neue Plichten für alle die Daten verarbeiten und das sind: alle, denn es gibt praktisch kein Unternehmen mehr, das keine Daten verarbeitet. Viele von diesen haben aber bis heute keinen Überblick, was sie eigentlich für Daten verarbeiten. Weder die Geschäftsführung, der IT-Leiter, noch die Rechtsabteilung haben keinen genauen Überblick und dem entsprechend auch keine Ahnung ob das, was sie tun überhaupt rechtlich zulässig ist. Das ist heute auch oft nicht so problematisch, denn die Höchststrafe im Datenschutzrecht beträgt derzeit in Österreich 25.000 Euro. Ab Mai 2018 gilt aber eine völlig neue, geradezu astronomisch hohe Strafdrohung für nicht rechtmäßige Datenverarbeitung von bis zu EUR 20 Mio oder vier Prozent des weltweiten Konzernumsatzes (je nachdem, welche Zahl höher ist!).
Wenn die verantwortlichen Techniker und Juristen im Unternehmen nicht wissen, dass man Daten zwischen Konzerngesellschaften nicht einfach technisch vernetzen kann, wenn sie sich noch nie mit der Frage befasst hat, wann die Daten endgültig gelöscht werden (und das müssen sie schon heute, ewig speichern als gängige Praxislösung ist unzulässig), sie noch nie daran gedacht haben, konzerninternen und externe Dienstleistungen mit einem datenschutzrechtlichen Dienstleistervertrag zu dokumentieren und keine Ahnung haben, dass Cloud-Services und Support aus Nicht-EU-Ländern heute uU sogar bei der Datenschutzbehörde vorher genehmigt werden müssen und das Online Datenverarbeitungsregister DVR Online nicht kennen und beschicken, dann liefern sie ihr Unternehmen regelrecht ans datenschutzrechtliche Messer.

Wie soll man dann aber erst all die neuen Verpflichtungen der DSGVO, etwa die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines „Verfahrensverzeichnisses“ oder „Datenschutz durch Technik“ („privacy by design“) und „datenschutzfreundlichen Voreinstellungen“ („privacy by default“) bewerkstelligen, wenn es an den oben genannten Grundlagen fehlt?
Hier hilft nur noch, mit absoluter Dringlichkeit ein Rettungsprogramm einzuleiten, um mit entsprechendem Budget und internen und externer Ressourcen zu versuchen, die jahrelangen Versäumnisse aufzuholen und sich fit für die Zukunft zu machen.
*Der Autor Dr. Rainer Knyrim ist Rechtsanwalt und Datenschutzexperte bei Preslmayr Rechtsanwälte OG Wien.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*