In gut einem Jahr tritt sie in Kraft, für Unternehmen drängt die Zeit, ihre IT anzupassen. Auf sie kommt mehr Aufwand zu – und höhere Strafen bei Verstößen.
Ein gutes Jahr dauert es noch, bis die neue Datenschutz-Grundverordnung der EU in Kraft tritt. Ab 25. Mai 2018 wird sie EU-weit gelten. Bis dahin müssen die Unternehmen ihre Datenanwendungen an die neue Rechtslage anpassen.
Die Zeit für die Umstellung kann knapp werden – umso mehr, weil noch nicht alle Details klar sind. Denn die EU-Verordnung wird zwar unmittelbar wirksam, enthält aber einige sogenannte Öffnungsklauseln – und damit Spielräume für nationale Regeln. Eine Reform des Datenschutzgesetzes steht also ebenfalls noch ins Haus. Während aber etwa die deutsche Regierung die nötigen Anpassungen schon beschlossen hat, heißt es in Österreich: Bitte warten. Hinter verschlossenen Türen wird zwar dem Vernehmen nach schon an einem Gesetz gefeilt. Ein Begutachtungsentwurf liegt aber noch nicht vor.
Verzeichnis statt DVR-Meldung
Aber was kommt durch die EU-Verordnung selbst auf die Firmen zu? Mehr Aufwand, mehr Verantwortung und höhere Strafen als bisher, soviel steht fest. Unter anderem müssen die Unternehmen durch technische und organisatorische Maßnahmen, etwa datenschutzfreundliche Voreinstellungen, dafür sorgen, dass der – künftig strengere – Datenschutz gewahrt wird. Und sie „ersparen“ sich zwar die Meldungen ans Datenverarbeitungsregister (DVR), dafür müssen sie aber ein „Verzeichnis von Verarbeitungstätigkeiten“ führen, dessen Inhalt den DVR-Meldungen sehr ähnlich ist.
Laut Wirtschaftskammer müssen darin der Zweck der Verarbeitung, eine Beschreibung der Daten- und Personenkategorien, die Empfängerkategorien, Übermittlungen von Daten in Drittländer und vorgesehene Löschungsfristen angegeben werden. Auch eine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen muss enthalten sein. Für Unternehmen, die mindestens 250 Mitarbeiter haben, wird das generell gelten, für kleinere nur unter bestimmten Voraussetzungen (die aber recht schwammig gefasst sind). Auch eine „Datenschutz-Folgenabschätzung“ kann erforderlich werden.
Ob hier nicht zum Teil übers Ziel geschossen wurde? Selbst der Salzburger Datenschutzaktivist Max Schrems – bekannt geworden durch seinen Rechtsstreit mit Facebook, der das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA zum Kippen brachte – hält das für möglich: „Die administrativen Regelungen sind eine starke Belastung für Unternehmen, die für den Betroffenen oft wenig bringen“, sagte er im Gespräch mit der Deutschen Presse-Agentur (dpa).
Schrems hält die EU-Verordnung zwar für einen großen Fortschritt, weil sie Datenschutz durchsetzbar macht: „Die Luft für Facebook & Co. wird definitiv dünner.“ Aber: „Auch ein schönes Theaterstück kann an der technisch oft schlechten Umsetzung kranken.“ Die Bürger wie auch die Wirtschaft hätten konkretere und klarere Regeln gebraucht, kritisiert der Jurist. Und zwar auch angesichts der hohen Strafdrohungen bei Verstößen.
Die Geldbußen sind tatsächlich exorbitant, sie können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Nicht nur deshalb raten manche Juristen bereits, so weit wie möglich von der Nutzung personenbezogener Daten abzugehen und lieber auf „Big-Data“-Anwendungen zurückzugreifen, die auf statistischen Auswertungen anonymisierter Daten beruhen. In Betracht kommt das freilich nur für große Firmen.
Recht auf Vergessenwerden
Aber zurück zu Datenschützer Schrems: Zu seinem Rechtsstreit mit Facebook kam es, weil er von dem sozialen Netzwerk eine Auflistung aller dort über ihn gespeicherten Daten verlangt – und schließlich nicht weniger als 1200 Seiten erhalten hatte, auf denen sich auch angeblich längst Gelöschtes befand. Auch dieses Themas nimmt sich die EU-Verordnung an: Sie schreibt fest, dass betroffene Personen ein „Recht auf Vergessenwerden“ haben. Also darauf, dass Unternehmen ihre Daten auch wirklich löschen, wenn sie ihre Zustimmung zur Datenverwendung widerrufen. Und übrigens auch, wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden. Wenigstens in diesem Punkt bringt die Verordnung dann doch mehr Klarheit.
("Die Presse", Print-Ausgabe, 18.04.2017)
