Viele Unternehmen haben bis heute keinen Überblick, was für Daten sie eigentlich verarbeiten und ob das, was sie tun, überhaupt rechtlich zulässig ist. [...]
Ab 25. Mai 2018 wird in ganz Europa die neue EU-Datensschutz-Grundverordnung (DSGVO) direkt anwendbar sein. Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, haben nur noch eineinhalb Jahre Zeit, sich auf das neue europäische Datenschutzrecht einzustellen. Es wird also sehr ernst, vor allem für jene Unternehmen in Österreich, die sich bis heute noch immer nicht mit Datenschutzrecht befasst haben. Die DSGVO enthält nämlich zahlreiche neue Plichten für alle, die Daten verarbeiten, und das sind Alle, denn es gibt praktisch kein Unternehmen mehr, das keine Daten verarbeitet.
Viele von diesen Unternehmen haben aber bis heute keinen Überblick, was für Daten sie eigentlich verarbeiten. Weder die Geschäftsführung, der IT-Leiter, noch die Rechtsabteilung haben einen genauen Überblick und dementsprechend auch keine Ahnung, ob das, was sie tun, überhaupt rechtlich zulässig ist. Das ist heute auch oft nicht so problematisch, denn die Höchststrafe im Datenschutzrecht beträgt derzeit in Österreich 25.000 Euro. Ab Mai 2018 gilt aber eine völlig neue, geradezu astronomisch hohe Strafdrohung für nicht rechtmäßige Datenverarbeitung von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes. Je nachdem, welche Zahl höher ist.
Wenn die verantwortlichen Techniker und Juristen im Unternehmen nicht wissen, dass man Daten zwischen Konzerngesellschaften nicht einfach technisch vernetzen kann, wenn sie sich noch nie mit der Frage befasst haben, wann die Daten endgültig gelöscht werden (und das müssen sie schon heute, ewig speichern als gängige Praxislösung ist unzulässig), wenn sie noch nie daran gedacht haben, konzerninterne und -externe Dienstleistungen mit einem datenschutzrechtlichen Dienstleistervertrag zu dokumentieren und keine Ahnung haben, dass Cloud-Services und Support aus Nicht-EU-Ländern heute unter Umständen sogar bei der Datenschutzbehörde vorher genehmigt werden müssen, wenn sie das Online Datenverarbeitungsregister DVR Online nicht kennen und beschicken, dann liefern sie ihr Unternehmen regelrecht ans datenschutzrechtliche Messer.
Wie soll man dann aber erst all die neuen Verpflichtungen der DSGVO, etwa die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines Verfahrensverzeichnisses oder „Datenschutz durch Technik“ (privacy by design) sowie „datenschutzfreundliche Voreinstellungen“ (privacy by default), bewerkstelligen, wenn es an den oben genannten Grundlagen fehlt? Hier hilft nur noch, mit absoluter Dringlichkeit ein Rettungsprogramm einzuleiten, um mit entsprechendem Budget und internen und externen Ressourcen zu versuchen, die jahrelangen Versäumnisse aufzuholen und sich fit für die Zukunft zu machen.
* Rainer Knyrim ist Anwalt bei Preslmayr Rechtsanwälte.
Be the first to comment