Navigation
Seiteninhalt

29. Compliance Netzwerktreffen: „D-Day 25.05.? Was die DSGVO wirklich für uns bedeutet.“

Zwischen Beruhigung und Warnung pendelten die Diskussionsbeiträge am 29. Compliance Netzwerktreffen am 16. April zur EU-Datenschutzgrundverordnung. Wie sehr das Thema nach wie vor allen unter den Nägeln brennt, bewiesen über 200 Interessierte, die ins Haus der Europäischen Union in Wien kamen.
Von Mag. Klaus Putzer
19. April 2018 / Erschienen in Compliance Praxis 2/2018, S. 42

Diskussionsabende und Seminare zur EU-Datenschutzgrundverordnung (DSGVO) gab es im letzten Jahr wohl unzählige. Trotzdem ist das Interesse am Thema ungebrochen, wie das 29. Compliance Netzwerktreffen am 16. April zeigte. Alberto Sanz de Lama, CEO LexisNexis Österreich, konnte im Namen von LexisNexis und den Compliance Netzwerkpartnern über 200 Teilnehmer im Haus der Europäischen Union in Wien begrüßen, das Hausherr Jörg Wojahn für den Event geöffnet hatte.

Vielleicht lag das große Publikumsinteresse auch an der etwas anderen Fragestellung des Abends. Ging es doch nicht primär um das Gesetzeswerk an sich, sondern darum, welche Verve Behörden und NGOs beim Aufzeigen von Verstößen an den Tag legen werden, was Organisationen ab dem Stichtag also tatsächlich erwartet und wie sie sich vorbereiten können.

Die Diskussionsteilnehmer – Vertreter von Behörden, NGOs und Wirtschaft (detaillierte Informationen s Bildunterschrift) – pendelten zu diesen Fragen im Gespräch mit Trend-Journalistin Barbara Steininger zwischen Beruhigung und Warnung.

V.l.n.r.: Dr. Matthias Schmidl, stellvertretender Leiter der österreichischen Datenschutzbehörde (DSB); Alberto Sanz de Lama, CEO LexisNexis Österreich; Mag. Karin Maurer, GDPR Leader IBM DACH – Germany, Austria, Switzerland; Moderatorin Barbara Steininger, Trend; Ing. Mag. Dr. Christof Tschohl, Obmann epicenter.works, Vorstandsmitglied noyb, Geschäftsführer Research Institute; Dr. Gerhard Kunnert, Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz. (Foto © LEADERSNET/S.  Menegaldo), © LEADERSNET/S.Menegaldo
V.l.n.r.: Dr. Matthias Schmidl, stellvertretender Leiter der österreichischen Datenschutzbehörde (DSB); Alberto Sanz de Lama, CEO LexisNexis Österreich; Mag. Karin Maurer, GDPR Leader IBM DACH – Germany, Austria, Switzerland; Moderatorin Barbara Steininger, Trend; Ing. Mag. Dr. Christof Tschohl, Obmann epicenter.works, Vorstandsmitglied noyb, Geschäftsführer Research Institute; Dr. Gerhard Kunnert, Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz. (Foto © LEADERSNET/S. Menegaldo)

KMU nicht das Ziel der DSGVO?

So versuchte DSB-Vertreter Matthias Schmidl zu beruhigen: „Am 25. Mai kann die Datenschutzbehörde bestenfalls eine Aufforderung zur Rechtfertigung verlangen, nicht aber eine Geldbuße verhängen. Es ist absurd zu glauben, dass einem Kleinunternehmen eine 20-Millionen-Euro-Strafe droht.“

Ziel der DSGVO sei es nie gewesen, gegen KMU Millionenstrafen zu verhängen, Ziel seien die großen Konzerne wie Facebook und Co., so der Tenor am Podium. Selbst Datenschützer Christof Tschohl unterstrich, dass man vorrangig die „schwarzen Schafe“ an den Pranger stellen wolle: „Mit unserer NGO noyb wollen wir die Schlinge enger ziehen für solche Firmen, die Datenmissbrauch als Geschäftsmodell betreiben.“

An der Arbeitsweise der Datenschutzbehörde (DSB) wird sich übrigens nichts ändern, führte der Behördenvertreter aus. Die DSB wird aufgrund von Anzeigen, Beschwerden und anonymen Eingaben oder im Rahmen von Schwerpunktverfahren aktiv. Dabei wird jeder Fall im Einzelnen bewertet, abhängig etwa davon, ob der Verstoß vorsätzlich erfolgte oder wie groß das Unternehmen ist.

Vor allem für die Umsetzung der DSGVO durch die "Global Player" werde entscheidend sein, ob die Aufsichtsbehörden sich mit einem gewissen Nachdruck auf das Thema stürzen, meinte Gerhard Kunnert, der ausdrücklich nicht als Ministeriumsvertreter sprach: „Es wird sich zeigen, ob die Ressourcen und der Wille da sind, sich mit Behörden in anderen Mitgliedstaaten abzustimmen.“

Die Holschuld der Unternehmen

Was aber ist für Unternehmen zu tun? Bei IBM befasst man sich bereits seit Mitte 2016 mit der DSGVO, führte Karin Maurer, GDPR Leader bei IBM, aus. In sechs verschiedenen „Workstreams“ prüfte ein globales Team verschiedene Bereiche wie Kundendaten, Verträge oder Subauftragnehmer. Die Vorgehensweisen, die dabei ausgearbeitet wurden, sollen nun auch den Kunden von IBM zugutekommen. Der IT-Konzern hat daher nicht ein einzelnes Produkt, sondern viele unterschiedliche Softwarelösungen für verschiedene Risikobereiche entwickelt. „IBM bietet seinen Kunden Datenschutzlösungen nach dem Prinzip ‚Eat your own cookies‘, also Lösungen, die wir bei IBM selbst in 170 Länderorganisationen weltweit eingeführt haben“, so Maurer. Dabei arbeite IBM stark mit Wirtschaftsprüfern und Softwarepartnern zusammen, die die Lösungen bei den Kunden umsetzen (wie etwa Netzwerkpartner BIConcepts).

Vor allem kleinere Unternehmen haben sich allerdings nicht jahrelang intensiv mit der DSGVO beschäftigt oder aufwändige Softwarelösungen implementiert. Den Kleinen gibt Maurer den Tipp „nicht panisch zu werden, sondern sich gute Berater zu suchen.“

Die Hände in den Schoß zu legen, ist jedenfalls keine Option, betonte auch Gerhard Kunnert: „Es wird viel Information zur DSGVO, z.B. bei den Kammern, angeboten, es gibt aber auch eine Holschuld. Wer sich mit den Basics beschäftigt, ist auf dem richtigen Weg.“

Unternehmen müssten jedenfalls abklären, von welchen Kategorien von Anfragern sie welche Daten gespeichert haben, erinnerte Christof Tschohl: „Schon jetzt hat die Zahl der Auskunftsbegehren zugenommen. Kann man auf eine Anfrage keine Antwort geben, droht ein Besuch der Datenschutzbehörde.“ Und: Nicht nur im Fall von aktivem Datenmissbrauch drohen hohe Strafen, sondern auch, wenn bei zentralen Punkten der DSGVO wie Privacy by Design, Datenschutz-Folgeabschätzung, Verträgen zur Auftragsverarbeitung und Verarbeitungsverzeichnis nicht Compliance hergestellt wird. Kunnert nannte mehrere Beispiele, wie es bald nicht mehr gehen wird: eine Textverarbeitungs-App, die vollständigen Einblick in das Adressverzeichnis des Smartphones verlangt, ein soziales Netzwerk, das Zugriff aufs Mikrofon begehrt, ein digitales Formular für einen Post-Nachsendeauftrag, bei dem man automatisch der Weitergabe seiner Daten an mehrere Dritt-Verarbeiter zustimmt, falls man diese Möglichkeit nicht aktiv abwählt.

Extrawurst für Behörden

Scharfe Kritik übten die Diskutanten an der Tatsache, dass für Behörden die in der DSGVO vorgesehenen Geldbußen nicht anwendbar sind. Christof Tschohl bedauerte, dass Österreich gegen diese gesetzliche Möglichkeit optiert hat. Seither werde durch Anpassungsgesetze versucht, Gott und die Welt zu einer Behörde zu erklären, so Kunnert. Matthias Schmidl: „Wir haben einige Gesetzesentwürfe bereits als unionsrechtswidrig kritisiert.“

Alles nur negativ? Die DSGVO als Chance

Abschließend betonte Karin Maurer die positiven Seiten der neuen Datenschutzbestimmungen: „Kann die DSGVO nicht auch eine Chance, ein Wettbewerbsvorteil sein? Kunden vertrauen Unternehmen, die mit ihren Daten sorgfältig umgehen.“ In dieselbe Kerbe schlug Datenschützer Tschohl, der u.a. Amnesty International und das Rote Kreuz berät. „Das Problem des Vertrauensschadens ist für viele Organisationen bei weitem größer als Geldstrafen.“ Auf der Nutzerseite wiederum förderten die neuen Verpflichtungen das Bewusstsein für Datenschutz nachhaltig, so Tschohl.

Möglich, dass EU-Repräsentant Jörg Wojahn mit seiner in der Begrüßung geäußerten Einschätzung doch noch Recht behält: „Es wird schon nicht so schlimm kommen, sage ich einmal ganz undeutsch.“

Fotos 

Video 

Autoren

Mag. Klaus Putzer

Mag. Klaus Putzer ist herausgebender Chefredakteur von „Compliance Praxis“ – Magazin und Portal. Zuvor war er in mehreren Verlagen als leitender Redakteur im Magazinbereich beschäftigt bzw. als fre...