Digitale Privatsphäre

EU-Datenschutzverordnung: Mit diesen Änderungen müssen österreichische Unternehmen umgehen

Sharing is caring:

Neue Regelungen für Datenströme in der EU. © Fotolia/Alex Tihonov
Neue Regelungen für Datenströme in der EU. © Fotolia/Alex Tihonov

Daten sind das Öl des 21. Jahrhunderts. Ein gerne gezogener Vergleich, der zumindest eines gut verdeutlicht: Es handelt sich dabei nicht nur um eine besonders wertvolle, sondern auch um eine heikle Ressource, mit der die Unternehmen sorgsam umgehen müssen. Wenn ein Leck auftritt, müssen zwar keine Umweltschützer ausrücken, um verklebte Vögel zu säubern, aber dann sind Persönlichkeitsrechte in Gefahr.

Nachdem sich die EU auf neue Regeln für den Datenschutz geeinigt und das EU-Parlament die Datenschutzverordnung abgesegnet hat, müssen die Unternehmen den Datenschutz in Zukunft ernster nehmen. Befolgen sie die neuen Regeln nicht, drohen strenge Strafen. Der Markt steht vor großen Veränderungen. Die Meinungen, ob das neue Regelwerk der digitalen Zukunft Europas nutzt oder mehr schadet, gehen allerdings auseinander. Vier Jahre lang hatte die EU-Kommission mit Experten und Lobbyisten um die Bestimmungen einer neuen Datenschutzverordnung gerungen. In spätestens zwei Jahren werden die Bestimmungen dann in Kraft treten. Solange bleibt den Unternehmen noch Zeit, sich auf die neuen Vorschriften einzustellen.

Die wichtigsten Änderungen

Aber worauf wird es in Zukunft ankommen, und was genau ändert sich? Andreas Krisch, Geschäftsführer der Firma mksult, die Beratung zum Thema Datenschutz anbietet, analysiert die wesentlichen Punkte.

  • Einheitliche Vorgaben für alle Marktteilnehmer
    Wirklich alle müssen sich an die neuen Regeln halten, auch Anbieter aus Drittstaaten, die in der EU anbieten, wie die Datenriesen Google oder Facebook. „Das verändert den Markt grundlegend“, sagt Krisch. „Das Wissen darüber, wie die neuen Vorgaben bestmöglich zu erfüllen sind, könnte zu einem Exportgut werden.“ Nach dem Grundsatz „privacy by Design“ sind Datenschutz und Privatsphäre schon in der Entwicklung von Technik zu beachten, und Produkte und Services müssen nach dem Prinzip „privacy by default“ von Beginn an mit datenschutzfreundlichen Voreinstellungen angeboten werden.
  • Big-Data-Analysen nur noch mit Pseudonymisierung
    Bei der massenhaften Auswertung von Daten zum Zweck von Forschung und Entwicklung ist in Zukunft auf die sogenannte Pseudonymisierung zu setzen, um dabei die Privatsphäre zu schützen. Nutzer sollen dabei zwar unbekannt bleiben, ihre Daten aber trotzdem zur Verknüpfung und Auswertung genutzt werden können. Eine Art Kompromiss zwischen Datenschützern und Wirtschaftsvertretern. Krisch findet diese Lösung nur mäßig gelungen. „Ich hätte mir hier eine deutlich klarere Regelung erwartet, da die potenziellen Auswirkungen sehr groß sind. Natürlich gibt es nach wie vor Möglichkeiten, auf die Personen rückzuschließen.“
  • Mehr Verantwortung für die Unternehmen
    Was die Vorabkontrolle für Produkte oder Services betrifft, in denen ­sensible Daten verarbeitet werden, wandert die Verantwortung zu den Unternehmen selbst. Diese müssen zunächst selbst entscheiden, was ­zulässig ist und was nicht und sich erst bei Bedenken, dass ein hohes ­Risiko besteht, an die Datenschutzbehörde wenden. Bis dato mussten heikle Vorhaben zunächst von dieser bewilligt werden. „Das wird schwierig für die Unternehmen“, sagt Krisch. Diese müssten sich nun wohl mehr Know-how ins Haus holen. Eine Meldepflicht besteht künftig nur noch, wenn schwere Datenschutzverletzungen auftreten – etwa bei einem Hackerangriff.
  • Recht auf Herausgabe, Löschen und Mitnahme von Daten
    Aufgrund der Verordnung müssen Unternehmen Konzepte im Sinne des „Rechts auf Vergessen“ zum Löschen von Daten entwickeln, gegen deren Veröffentlichung es berechtigte Einwände gibt. Nutzer haben auch das Recht auf Herausgabe ihrer Daten. Bereits bisher konnten User einmal im Jahr von Firmen Auskunft darüber verlangen, welche persönlichen Daten von ihnen verarbeitet werden.
    Allerdings erlaubt die Neuregelung Klein- und Mittelunternehmen (KMU), dafür Gebühren zu verlangen. Nämlich dann, wenn Anträge ­offensichtlich unbegründet oder unverhältnismäßig sind. „Ich halte das für berechtigt“, sagt Krisch. „Weil es für Unternehmen sehr aufwändig sein kann, diese Daten zu erheben. Vor allem, wenn sie nicht automatisiert erfasst sind.“ Auch das Recht, Daten von einem Anbieter zu einem anderen mitzunehmen – etwa von ­einem sozialen Netzwerk zu einem anderen – hält er für sinnvoll.
  • Hohe Strafen bei Verstößen
    Im Fall einer Missachtung der neuen Vorgaben drohen harte Strafen. Bislang lagen sie in Österreich bei maximal 25.000 Euro. Nun werden die Strafen auf bis zu vier Prozent des Jahresumsatzes angehoben. Bei großen Konzernen wie Google und Facebook kann das in die Milliardenhöhe gehen. Für Krisch ein gutes Signal: „Und zwar dafür, dass Datenschutz in Zukunft einfach ernster genommen werden muss als bisher.“ Im Gegensatz dazu bedauert er, dass es nicht mehr in allen Firmen einen Datenschutzbeauftragten geben muss, sondern nur noch dort, wo auch intensiv Daten verarbeitet werden. Dadurch gingen Ansprechpartner verloren, die vieles vereinfacht hätten.

Nun gibt es zum neuen Regelwerk zwei Lesarten. Für die einen ist es ein Sieg für die Verbraucher, die künftig mehr Rechte genießen. Der David EU habe den Goliath USA, mit all seinen Datenriesen, in die Schranken gewiesen. Für die anderen verbaut sich die EU damit den Weg in die digitale Zukunft. Wer hat Recht? Die Wahrheit liegt, wie so oft, wohl irgendwo in der Mitte. „Ich finde das durchaus ausgewogen“, sagt Krisch. „Alle Seiten haben etwas bekommen.“

Erhöhter Aufwand, mehr Vertrauen

Die Wirtschaft sieht er jedenfalls nicht in Gefahr. Natürlich komme auf die Unternehmen ein erhöhter Aufwand zu, aber zugleich biete sich die Chance, das Vertrauen der Kunden massiv zu erhöhen. „Hier gibt es ein Riesenpotenzial.“ Laut einer Eurobarometer-Umfrage, die im Vorfeld der Reform der Datenschutzrichtlinie in Auftrag gegeben worden war und im Juni 2015 veröffentlicht wurde, halten 63 Prozent der Österreicher Internetfirmen für nicht vertrauenswürdig. Am Wesentlichsten an der neuen Verordnung sei laut Krisch, dass eine neue Aufmerksamkeit für das Grundrecht auf Datenschutz entstanden sei. „In Zukunft wird es nicht mehr möglich sein, das zu ignorieren. Das ist ein Fortschritt.“

Springe zu:

Mehr Stories

Be smart and nice ;)

Ganzen Artikel lesen