Seit 25. Mai 2018 wird die Datenschutz-Grundverordnung der EU angewendet. Parallel dazu gelten in Österreich das Datenschutz-Anpassungsgesetz sowie das Datenschutz-Deregulierungsgesetz. Was, außer das Ansteigen von Beschwerden bei der Datenschutzbehörde (Berichte sprechen von einer Verzehnfachung), haben die neuen Datenschutzbestimmungen gebracht?
Der Aufschrei von Unternehmern war groß. Wie kann die EU Regeln, welche globale Datenkraken á la Facebook, Google & Co. in die Schranken weisen sollen, auch auf kleine und kleinste Unternehmen anwenden? Viele Unternehmer fühlten sich mit der Umsetzung überfordert. Von Anfang an war (und ist) die DSGVO als Bürokratie-Monster verschrien.
Es wird nicht so heiß gegessen wie gekocht
Ausnahmsweise einmal hat der österreichische Gesetzgeber beim Umsetzen der Öffnungsklauseln in nationales Recht kein Gold Plating betrieben. So wurde die Datenschutzbehörde per Gesetz angewiesen, bei erstmaligen Verstößen vom Recht auf Verwarnen Gebrauch zu machen anstatt gleich zu Strafen.
In der Praxis der Behörde zeigt sich eine große Bandbreite. Über ein kleines Unternehmen wurde beispielsweise wegen unrechtmäßiger Videoüberwachung eine Geldbuße von einigen tausend Euro verhängt. Ein anderes Unternehmen wurde trotz über einem Dutzend Verstößen lediglich per Bescheid aufgetragen, die Verstöße binnen acht Wochen zu beheben.
Der Komet hat die Erde nicht getroffen
Einer meiner Kunden meinte im Mai 2018 im Hinblick auf die DSGVO: „Auch nach dem 25. Mai wird sich die Erde weiterdrehen. Uns wird kein Komet treffen.“ Ja, stimmt, die Unternehmenswelt dreht sich nach wie vor. Das liegt unter anderem auch daran, dass die befürchtete Abmahnwelle nicht gekommen ist.
Vielleicht liegt es aber auch daran, dass wir Konsumenten und Internet-User die Welt realistischer betrachten als die Bürokraten in Brüssel. Wir haben uns über weite Strecken damit abgefunden, dass wir in unserer vernetzten und digitalisierten Welt die volle Kontrolle über unsere persönlichen Daten verloren haben.
Wir profitieren aber auch davon. Das Nutzen unserer Daten ist unter anderem der Preis für die Bequemlichkeit, die wir genießen und nicht mehr missen möchten. Jedenfalls bringt uns die DSGVO die Kontrolle über unsere Daten nicht zurück.
Vom gesetzlichen Datenschutz zum zweckmäßigen Datenschutz
Mehr noch als die DSGVO haben wahrscheinlich Berichte über massive Data Breach-Fälle dem Thema Datenschutz und IT-Sicherheit erhöhte Aufmerksamkeit beschert. Fehlerfrei funktionierende Geschäftsabläufe, und damit der Erfolg von Unternehmen, sind von der durchgehenden Verfügbarkeit vieler Daten und technischer Systeme abhängig. Warenwirtschaft, Produktinformationen, Kommunikationsnetze, usw. – und nicht nur personenbezogene Daten, die dem Gesetzgeber so wichtig sind – gilt es wirksam und angemessen zu schützen.
Viel zu groß ist die Gefahr, dass Unternehmen auf Grund eines Datenverlustes oder dem Ausfall von IT-Systemen von einer Sekunde auf die andere stillstehen. Der dadurch entstehende Schaden kann enorm bis hin zu Existenz bedrohend sein. Und genau dem gilt es wirksam vorzubeugen.
Sinnvoller und wirksamer Datenschutz sollte sich daher nicht nur auf personenbezogene Daten beziehen, sondern auf sämtliche Daten, die für Unternehmen unverzichtbar sind. Dabei muss nicht gleich das ganze, hunderte Seiten umfassende IT-Grundschutz-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnik umgesetzt werden. Je nach Unternehmensgröße sowie Art und Weise der verarbeiteten Daten können und dürfen die getroffenen Maßnahmen angemessen sein.
Diese zweckmäßigen technischen und organisatorischen Maßnahmen zu ermitteln, ist unter anderem das Ziel unseres Datenschutz Quick Checks. Auch für das Überprüfen vorhandener Maßnahmen (das auch im Gesetz vorgesehen ist) stellt der Datenschutz Quick Check ein sehr gutes Werkzeug dar.
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.
Weitere interessante Beiträge:
DSK zu Online-Diensten: Maßnahmen zur Zugangssicherung
Mangelhafte Datenschutzerklärung machte die Behörde neugierig
Datenschutz: Tragen Sie im Job ein Namensschild?