Die Mehrheit der Unternehmen in Österreich hat Nachholbedarf beim Datenschutz. [...]
Im Mai 2018 tritt in allen Mitgliedstaaten der Europäischen Union die neue EU-Datenschutz-Grundverordnung in Kraft. Durch die Vereinheitlichung des Datenschutzgesetzes auf EU-Ebene wachsen die technischen und organisatorischen Herausforderungen für Österreichs Unternehmen. Gleichzeitig werden auch die Risiken erheblich größer, da die Datenschutzbehörde bei Verfehlungen drastische Bußgelder verhängen kann: Die Strafzahlungen können bis zu 800 Mal höher sein als bisherige Strafsummen und bis zu vier Prozent des weltweiten Jahresumsatzes ausmachen – je nach Größe des Unternehmens können Strafzahlungen viele Millionen Euro ausmachen, bislang lag die Obergrenze in Österreich bei 25.000 Euro pro Vergehen.
Handlungsbedarf erkannt – Umsetzung noch zögerlich
Den österreichischen Unternehmen bleiben noch 13 Monate, um ihren Datenschutz an die neuen Richtlinien anzupassen. Gerade in Hinblick auf die potenziell existenzbedrohenden Strafen und Reputationsschäden wächst der Druck, den eigenen Datenschutz unter die Lupe zu nehmen. Viele Unternehmen in Österreich haben auf diesem Weg noch einige Hausaufgaben zu erledigen.
Das sind Ergebnisse des Trendbarometers „Datenschutz in Österreich“ der Prüfungs- und Beratungsorganisation EY. Dafür wurden über 30 österreichische Unternehmen – darunter auch mehrere ATX-Unternehmen – befragt. Die Ergebnisse wurden außerdem einer vergleichbaren EY-Umfrage in Deutschland gegenübergestellt.
„Mit den erhöhten Anforderungen der neuen Verordnung führt kaum ein Weg an der Einrichtung eines Datenschutz-Management-Systems vorbei. Das betrifft grundsätzlich alle Unternehmen mit Mitarbeitern, insbesondere aber jene, die Daten ihrer Endkunden erheben und verarbeiten, wie beispielsweise Banken, Versicherungen und Handelsunternehmen. Damit der Datenschutz systematisch gemanagt werden kann, müssen unbedingt entsprechendes Know-how, Prozesse, Methoden und vor allem ausreichend Personal zur Verfügung gestellt werden“, so Gottfried Tonweber, Senior Manager IT Advisory und Leiter Cyber Services bei EY Österreich.
80 Prozent haben zu wenige Ressourcen
Der Datenschutz wird zwar bereits in mehr als zwei Drittel der Unternehmen als wichtiges oder sehr wichtiges Thema für das Top-Management eingestuft. Dennoch geben 80 Prozent der Studienteilnehmer an, dass im eigenen Unternehmen nicht genügend finanzielle und personelle Ressourcen für den Datenschutz zur Verfügung stehen. Trotz des vorhandenen Bewusstseins für die Problematik spiegelt sich dieses also kaum in der tatsächlichen Budget- und Ressourcengestaltung für Datenschutz wider. Damit hinken Österreichs Unternehmen im internationalen Vergleich hinterher. So sind in Deutschland immerhin 57 Prozent der Datenschutzbeauftragten zufrieden mit ihrer Ressourcenausstattung – in Anbetracht der bereits bestehenden strengeren Datenschutzbestimmungen in Deutschland ist dieser Wert allerdings immer noch überraschend gering.
Überhaupt nur jedes vierte befragte Unternehmen in Österreich ging bisher noch einen Schritt weiter und gibt an, Datenschutzrisiken angemessen in seinem zentralen Risikomanagement zu berücksichtigen.
Dazu Gottfried Tonweber: „Gerade vor dem Hintergrund, dass die Hälfte der befragten Unternehmen in Österreich ihre Daten durch externe Dienstleister verarbeiten lässt, muss die Sensibilität für Datenschutzrisiken hierzulande deutlich gesteigert werden. In Zukunft wird eine positive Außenwahrnehmung in Hinblick auf Datenschutz ein wesentlicher Wettbewerbsvorteil sein, umgekehrt können sich negative Medienberichte über Verfehlungen im Datenschutz existenzbedrohend auswirken.““
Umdenken gefordert: vom „Compliance Keeper“ zum „Business Enabler“
Bei 77 Prozent der befragten Unternehmen in Österreich arbeitet nur bis zu maximal eine Person im Datenschutzumfeld. Angesichts der momentan schon hohen und zukünftig weiter steigenden Anforderungen unterstreicht dieses Ergebnis den Handlungsbedarf für eine bessere personelle und finanzielle Ausstattung im Bereich Datenschutz. Bei deutschen Unternehmen zeigt sich – auch aufgrund der bereits geltenden strengeren Anforderungen – ein gegenteiliges Bild: Dort beschäftigen 73 Prozent der befragten Unternehmen mehr als zwei Personen in ihrer Datenschutzabteilung.
„Der Datenschutz wird in vielen österreichischen Unternehmen immer noch eher stiefmütterlich behandelt. Bis heute sind Datenschutzbeauftragte in österreichischen Unternehmen – selbst in Großkonzernen – oft als Einzelkämpfer unterwegs“, so Drazen Lukac, Geschäftsführer IT Advisory bei EY Österreich. „Sie müssen alleine gegen Unternehmensprozesse ankämpfen und nicht selten kommt erschwerend dazu, dass sie unternehmensintern als ‚Verhinderer‘ gesehen werden. Spätestens mit Inkrafttreten der Datenschutz-Grundverordnung muss ein Umdenken stattfinden. Datenschutzbeauftragte sollten nicht mehr als reaktiv agierende ‚Compliance Keeper‘ gesehen werden, sondern zum ‚Business Partner‘ oder gar ‚Business Enabler‘ transformiert werden.“
Top-Management ist gefordert
Auf dem Weg zu einem zeitgemäßen und gesetzeskonformen Datenschutzmanagement ist insbesondere die Geschäftsführung der Unternehmen gefordert – bleiben die Geschäftsführer untätig, verstoßen sie gegen ihre Sorgfaltspflicht und können belangt werden.
„Datenschutz ist Chefsache. Es ist sehr wichtig, dass das Top-Management durch einen klaren ‚Tone from the Top‘ Bewusstsein und Rückhalt für das Datenschutzmanagement schafft. Die Vorzeichen stehen gut, das Bewusstsein ist in den meisten Unternehmen bereits vorhanden. Darauf basierend sollten aber klare Verantwortlichkeiten festgelegt, Schulungen durchgeführt und der Datenschutz systematisch in bestehende Prozesse eingebunden werden. Die gute Nachricht: In der Regel existieren in den meisten Unternehmen bereits bewährte Methoden und Mechanismen für Risikomanagement – nun gilt es jedoch dringend, diese auch auf den Datenschutz umzulegen“, so Drazen Lukac abschließend.
Be the first to comment