Themenüberblick

Lascher Umgang mit Daten soll enden

Ab dem 25. Mai wird die EU-Datenschutzgrundverordnung (EU-DSGVO) durchgesetzt. Sie will eines der großen Themen des digitalen Zeitalters anpacken und Verbrauchern wieder mehr Schutz über ihre eigenen Daten geben. Unternehmer müssen künftig wesentlich behutsamer mit Informationen über Kunden umgehen - das führt zu Handlungsbedarf.

Vor allem in größeren Firmen sorgt die EU-DSGVO seit Monaten für rege Betriebsamkeit. Aber nicht nur sie sind betroffen. An die Verordnung müssen sich in Zukunft ausnahmslos alle halten, die Daten von EU-Bürgern speichern oder Zugang dazu haben. Sprich: So gut wie alle Firmen und Institutionen.

Drakonische Strafen sollen dabei verhindern, dass die EU-DSGVO zum zahnlosen Papiertiger wird. Bei Brüchen drohen Bußgelder, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes hoch sind. Es gilt der höhere Wert. Damit könnten die Strafen bei Schwergewichten wie Google, Microsoft und Facebook in die Millionen gehen, aber auch für Kleinere erhebliche Ausmaße annehmen.

„Kontrolle über die digitale Identität wiedergeben“

Für den Verbraucher soll die EU-DSGVO die teilweise 20 Jahre alten EU-Vorschriften zum Schutz persönlicher Daten ins digitale Zeitalter verfrachten. Es gelte, den Menschen „die Kontrolle über die digitale Identität“ wiederzugeben, so der Wiener IT-Consultant Sebastian Herget von Data Traction, der Firmen zur Umsetzung der EU-DSGVO berät und sie als Unternehmer auch selbst durchsetzen muss. Er halte die Verordnung deswegen für „ein wichtiges Gesetz und einen Schritt in die richtige Richtung“, so Herget gegenüber ORF.at.

Person verwendet auf dem Handy die Facebook-APP

ORF.at/Lukas Krummholz

Die Menge an Daten, die Internetnutzer täglich hinterlassen, ist kaum hoch genug einzuschätzen

Und tatsächlich verspricht die EU-DSGVO Verbrauchern breite Kontrolle über die eigenen Datenspuren, die tagtäglich online und im echten Leben hinterlassen werden. So soll jeder EU-Bürger von jeder Firma (vom Apotheker um die Ecke bis hin zu Tech-Giganten wie Facebook) die Herausgabe der eigenen Daten verlangen können. Dazu gilt das Recht auf Korrektur und „Vergessenwerden“.

„Terms & Conditions“: Kein schnelles Hakerl mehr

Daten, die nicht mehr für einen konkreten Zweck benötigt werden, müssen künftig automatisch gelöscht werden. Zudem müssen Unternehmer ihre Kunden genau und in klaren Worten darüber informieren, was sie mit den gesammelten Informationen anstellen. Ein schnell gesetztes Hakerl bei den „Terms & Conditions“ soll in Zukunft nicht mehr reichen. Der Kunde muss jeder Datenverwendung explizit zustimmen, wenn sie über die eigentliche Vertragserfüllung hinausgeht.

Bereits gültig

In Kraft ist die EU-DSGVO bereits seit Mai 2016. Tatsächlich durchgesetzt wird sie aber erst mit dem 25. Mai 2018. Geht es nach der EU, soll sie das Datenschutzrecht harmonisieren und den IT-Markt der Union ankurbeln.

Auch das Prinzip „Privacy by Design and Default“ soll in Zukunft gelten. Das bedeutet, dass Anwendung automatisch so gestaltet werden müssen, dass sie bereits aus technischer Sicht Rücksichtnahme auf die Privatsphäre der Nutzer nehmen. Damit dürften unter anderem auch versteckt laufende Anwendungen wie Tracker illegal werden, die etwa für genaues Werbeprofiling Daten zum Nutzerverhalten sammeln.

Viele nicht vorbereitet

Auf der anderen Seite der EU-DSGVO stehen Unternehmen, die das neue Regelwerk umsetzen müssen. Viele von ihnen sind nicht darauf vorbereitet - oder wissen nicht einmal davon. Laut einer Umfrage der Allianz Versicherung von November haben 59 Prozent der Befragten noch nichts von der EU-DSGVO gehört. Ein optimistischeres Bild zeichnet eine aktuelle Befragung von Deloitte. Ihr zufolge wissen zwar die meisten befragten Firmen von der EU-DSGVO, allerdings fühlt sich nur die Hälfe gut vorbereitet.

Wenig verwunderlich also, dass sich rund um die EU-DSGVO ein regelrechter Beratungsboom durch Unternehmer und Verbände wie die Wirtschaftskammer Österreich (WKO) entwickelt hat. Denn bei vielen Firmen sorgt die Verordnung sowohl wegen ihrer Komplexität als auch der Strafen für Unruhe.

Ein Hemmnis ist auch die fehlende Basis - bis jetzt mussten sich Unternehmer hierzulande nur wenig Gedanken zum Thema Datenschutz machen. Bei zahlreichen Firmen gelte es laut Herget nun, chaotische Datensammlungen aufzuarbeiten. Das sei zeitintensiv, teuer, aber auch eine Chance. Das sieht auch der Datenschutzjurist Michael M. Pachinger von SCWP Schindhelm so: Die neue Dokumentation ermögliche unglaublich tiefe Einblicke in Unternehmen, wie er in einem Symposium der Plattform Digital Business Trends (DBT) zur EU-DSGVO im September sagte.

Die Devisen für Firmen

IT-Consultant Ines Janusch von Data Traction sieht nun vor allem drei Devisen: Dokumentation, Information und Vorbeugung. So müssen Firmen künftig nicht nur abwägen, wann Datensammeln angemessen ist. Sie müssen genau schriftlich festhalten, was sie mit den Daten ihrer Kunden tun. Diese Aufzeichnungen müssen immer aktuell und der Datenschutzbehörde zugänglich sein. Besonders große Firmen sowie jene, die sensible Daten verarbeiten, brauchen einen eigenen Datenschutzbeauftragten.

Zudem müssen Firmen künftig beweisen, dass sie organisatorisch und technisch Vorkehrungen für die Datensicherheit schaffen. Gerade das dürfte sich im Alltag wohl vielerorts als gar nicht so einfach gestalten. Immer noch sind „123456“ oder „hallo“ beliebte Passwörter. Komplexeres findet sich nach wie vor auf Post-its, die auf Monitoren kleben. Auch E-Mail-Anhänge werden immer noch sorglos geöffnet. Das Bewusstsein für digitale Sicherheit wächst zwar, im Gros ist es aber nach wie vor gering.

Offizier Jeffrey Wong vor zwei Bildschirmen mit Post-it-Zettel, auf dem das Passwort zu lesen ist

APA/AP/Jennifer Sinco Kelleher (Montage)

Auch bei dem falschen Raketenalarm in Hawaii vor einigen Wochen fand sich ein Passwort im Netz

Jeder einzelner Mitarbeiter verantwortlich

Die Bedrohungen sind im Übrigen keinesfalls nur digital. Sei es ein im Taxi vergessener Laptop mit Kundendaten, sei es das verlorene Klemmbrett eines Unterschriftensammlers mit E-Mail-Adressen von Unterzeichnern: In allen Fällen handelt es sich um Verletzungen des Datenschutzrechts. Diese müssen künftig binnen 72 Stunden der Datenschutzbehörde gemeldet werden, wenn ein Risiko für jene Personen besteht, deren Daten offengelegt wurden. „Bei Datenvorfällen geht es ja nicht nur um die Strafen, damit ist auch ein Reputationsverlust verbunden. Deshalb muss man rechtzeitig vorsorgen“, so Judith Leschanz von A1 bei dem DBT-Symposium.

Alles noch offen

Wie drakonisch die Bestrafungen bei Brüchen der EU-DSGVO tatsächlich ausfallen wird und wie der Modus Operandi bei Prüfungen sei, können Experten derzeit noch nicht einschätzen. Das werde man erst erfahren, sobald die ersten Fälle bei der Datenschutzbehörde und vor den Gerichten landen. Herget rechnet damit, dass Ersteres frühesten 2019 der Fall sein wird.

Fakt ist aber: Die Strafhöhe wurde so angesetzt, dass sie auch große Konzerne empfindlich treffen würde. Es gehe dabei laut Herget vor allem um eine „schmerzhafte Bewusstseinsschaffung“. Er hofft, dass der Umgang mit Daten durch die EU-DSGVO auf lange Sicht wesentlich sensibler wird. Es brauche „das Bewusstsein, dass alles, was digital ist, auch schützenswert ist“.

„Größter Fallstrick, nichts zu tun“

Auch im kleineren Rahmen gibt es für die praktische Anwendung des Gesetzes noch viele offene Fragen. Der Text lässt zahlreiche Interpretationsspielräum offen, zudem dürfte die Umsetzung im Alltag weitere Graubereiche zutage treten lassen. Die Unsicherheiten reichen dabei von Kategorisierungsfragen bis hin zu praktisch-technischen Aspekten. Ungeachtet dessen gelte es laut Herget und Janusch derzeit, sich vorzubereiten. Für Unternehmen sei derzeit der größte „Fallstrick, nichts zu tun“.

Links: