Ein Jahr DSGVO: Gefahr für Ignoranten

Am 25. Mai 2019 feierte die DSGVO ihren ersten Geburtstag. Es gibt noch viele offene Fragen, doch klar ist, dass die  Datenschutzbehörde die Sache ernst nimmt. „Jene Unternehmen, die immer noch nichts getan haben, stehen mit einem Fuß im Gefängnis“, warnt IT-Sprecher Alfred Gunsch.

Marathonläufer zu sein, ist nicht die schlechteste Voraussetzung für diesen Job. Nur auf den ersten Blick verwundert das, beim zweiten Blick wird aber klar, dass große Ausdauer und Flexibilität nötig sind, um bei diesem juristischen Hürdenlauf den Überblick zu behalten.

„Die Datenschutzgrundverordnung beziehungsweise die Umsetzung der Verordnung in Österreich und Europa ist ein sehr spannendes Thema, weil noch so viele Dinge offen sind und letztinstanzliche Urteile noch ausstehen. Um über die Entwicklungen informiert zu bleiben, studiere ich Urteile, lese Fachartikel, Guidelines oder Newsletter und nutze alle Infokanäle, um am Ball zu bleiben“, erzählt Florian Brutter.

Brutter ist nicht nur begeisterter Sportler, sondern auch Datenschutzbeauftragter der WK Tirol und als Jurist tief drin in der Thematik, die noch vor einem Jahr unzählige Köpfe rauchen und viele Unternehmer regelrecht verzweifeln ließ.

„Jene, die noch immer nichts getan haben, stehen mit einem Fuß im Gefängnis.“
Alfred Gunsch

Jeder, der Daten verarbeitet, musste sich damit auseinandersetzen. Allein weil alle Unternehmer Rechnungen schreiben und dabei Kundendaten verarbeiten, „trifft“ die DSGVO ausnahmslos jeden.  „Wir hatten und haben drei Gruppen“, berichtet Alfred Gunsch, Berufsgruppensprecher der Tiroler IT-Unternehmen in der WK Tirol, „die, die schon immer gut aufgestellt und sich dessen bewusst waren. Dann jene die sich vor Inkrafttreten der DSGVO damit auseinandergesetzt und sauber aufgestellt haben. Zur dritten Gruppe zählen die, die davon überzeugt sind, dass das alles Blödsinn ist und immer noch nichts getan haben.“ Die dritte Gruppe stehe – so Gunsch – mit einem Fuß im Gefängnis. Sie wüssten nicht, dass die Datenschutzbehörde mehr Befugnisse habe, als die Finanzpolizei.

Bewusstes Ignorieren einer Verordnung, die für den Datenverkehr so etwas ist, wie die  Straßenverkehrsordnung für den Straßenverkehr, ist keine wirklich gute Idee. Weder im eigenen, noch im Interesse der anderen Datenverkehrs-Teilnehmer. Wer mit 90 Sachen durch eine Zone fährt, in der nur 30 Kilometer pro Stunde erlaubt sind, hat nicht nur einen Rechtfertigungsgrund, sondern muss auch zwingend mit Konsequenzen rechnen.

Im Vergleich zur Straßenverkehrsordnung wohnt der DSGVO jedoch die Krux inne, dass sie ein Gesetz mit großer Eigenverantwortung ist. „Steht auf der Verkehrstafel ein 50-er, weißt du, was du zu tun hast“, so Gunsch. „Angemessene technische Maßnahmen“ zu treffen, um die Daten von Kunden und Mitarbeitern der Verordnung entsprechend zu schützen, bürdet den Verantwortlichen weit mehr Aktionismus auf.

Enorme Kraft

„Am 25. Mai 2017 gab es ein paar Auserwählte, denen das Thema Datenschutz am Herzen gelegen ist, und es gab ein paar Branchen – wie etwa Banken oder Gesundheitseinrichtungen – für die das Thema schon alt war. In vielen anderen Bereichen war der Datenschutz damals überhaupt nicht präsent“, blickt Florian Brutter zwei Jahre zurück.

In rasender Geschwindigkeit sollte sich das ändern. Die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr“ ließ Informationskampagnen sprießen und die mediale Präsenz des Datenschutzes war so flächendeckend wie tiefgreifend.

„Sogar in der Frauenzeitschrift Brigitte wurde über den Datenschutz berichtet“, schmunzelt Brutter. Jede Schlagzeile weckte Aufmerksamkeit, jeder Bericht schärfte das Bewusstsein, das Terrain wurde auch von Panikmachern bearbeitet und als mit dem 25. Mai 2018 die DSGVO europaweit gültig wurde, war der Datenschutz bei den Betroffenen angekommen. „In dem Zusammenhang ist Trendwende ein zu schwaches Wort“, hält Brutter zur enormen Kraft fest, mit welcher der notwendige Schutz der Menschen und ihrer Privatsphäre gleichsam über Nacht in der öffentlichen Wahrnehmung verankert wurde.

Den Herausforderungen entsprechend intensiv hatte die WK Tirol alle Service-Geschütze aufgefahren, um die Mitglieder zu rüsten. „Am 24. Mai 2018, also einen Tag bevor die DSGVO in Kraft trat, haben rund 400 Mitglieder bei unserer Telefonhotline angerufen. Die Leitung hat geglüht. Das war der Spitzentag“, erinnert sich Brutter. Und heute? Ein Jahr danach? „Jetzt bekommen wir eher qualitative Anfragen zu ganz konkreten Themen. Etwa, wie oder wie schnell auf gewisse Vorfälle reagiert werden muss.“

50 Millionen Euro-Bombe

Am 25. Mai 2019 feiert die DSGVO ihren ersten Geburtstag. Medial ist es arg ruhig um sie geworden, doch der Eindruck, dass das Thema zu heiß gegessen wurde und zwischenzeitlich eingeschlafen ist, täuscht gewaltig. „Die Datenschutzbehörde nimmt die Sache ernst“, sagt Florian Brutter. Es mangelt nicht an Verfahren, wohl aber an letztinstanzlichen Entscheidungen bzw. an Judikatur, die erst dann vorliegt, wenn der Instanzenzug erledigt und die Urteile – beispielsweise von Verwaltungsgerichtshof oder Europäischem Gerichtshof – rechtskräftig sind. „Ich denke, dass wir im nächsten halben Jahr mit ein paar Urteilen rechnen dürfen. Derzeit lässt sich noch kein endgültiges Bild ableiten“, erklärt Brutter.

Europaweit wurden „im ersten Halbjahr DSGVO“ respektive im zweiten Halbjahr 2018 rund 100.000 Fälle angezeigt. Eine echte DSGVO-Bombe war in Paris geplatzt, als Frankreichs Datenschutzbehörde CNIL den globalen Internetkonzern Google zu einer Strafe in Höhe von 50 Millionen Euro verdonnerte.

Eine Gruppe von Bürgerrechtsaktivisten aus Paris und die Wiener Non-Profit-Organisation noyb hatten am 28. Mai 2018, drei Tage nachdem die DSGVO in der EU zur Anwendung kam, ihre Beschwerden an die Behörde gerichtet. Darin wurde Google unter anderem vorgeworfen, Transparenz- und Informationspflichten verletzt zu haben und die CNIL  begründete die 50 Millionen Euro-Strafe mit der „Schwere der festgestellte Verstöße gegen die wesentlichen Grundsätze der DSGVO: Transparenz, Information und Zustimmung.“ Selbst wenn die „französische“ Strafe – sollte sie rechtskräftig werden – den Riesen nicht ins Wanken bringen wird, bleibt die Entscheidung richtungsweisend.

Keine Geldbußenkeule

Im Heimatland des für die französische Bombe mitverantwortlichen Datenschutzaktivisten Max Schrems, wurden im ersten DSGVO-Halbjahr 1.619 Beschwerden bei der Datenschutzbehörde anhängig. Auch registrierte die österreichische Behörde 551 „Meldungen über die Verletzung des Schutzes personenbezogener Daten“ (Data Breach Notifications) nach DSGVO, wobei diese Datenpannen von falsch adressierten Briefen über verloren gegangene Firmen-Handys mit Kundendaten bis hin zu veritablen Hackerangriffen reichen.

129 amtswegige Prüfverfahren und 134 Verwaltungsstrafverfahren nennt die Statistik der Behörde genauso wie 4.052 individuelle Rechtsauskünfte.

„Es ist nicht bekannt, wie viele der Beschwerden oder Datenpannen auf Tirol entfallen. Mir persönlich sind nur 20 bis 30 Fälle bekannt. So weit ich es mitbekommen habe, ist noch nichts Tragisches passiert“, sagt Florian Brutter und Alfred Gunsch ergänzt: „Ich weiß beispielsweise von einem Unternehmen, dem eine Datenpanne im Mailverkehr passiert ist. Ich habe dazu geraten, sich selbst bei der Datenschutzbehörde anzuzeigen und sie darüber zu Informieren, dass ein Datenschutzexperte im Haus war, die Mitarbeiter geschult und technische Maßnahmen getroffen wurden, die wohl nicht ausreichten und dass der Massenversand von Mails jetzt nur noch nach dem Vier-Augen-Prinzip gemacht wird. Nach etwa einem Monat kam die Benachrichtigung der Behörde, dass unter diesen Umständen das Verfahren eingestellt werde.“

Auch der Datenschutzbeauftragte der WK Tirol hat beobachtet, dass die Behörde nicht ganz so scharf schießt. „Sie packen nicht die große Geldbußenkeule aus. Es wird schon gestraft, es werden aber genauso gut anderen Abhilfemaßnahmen verwendet, wie eben der Auftrag, den gesetzmäßigen Zustand herzustellen. Im Prinzip kann die Behörde aber auch den Computer beschlagnahmen, mit dem die Daten verarbeitet wurden“, sagt Brutter.

Den Tiroler Unternehmern raten die beiden Experten, den ersten Geburtstag der DSGVO zu feiern, indem sie sich anschauen, was sich in ihrer Datenwelt in der Zwischenzeit getan hat, ob etwas in der Datenverarbeitung umgestellt oder beispielsweise der Online-Auftritt geändert wurde. „Dafür ist jetzt eine gute Zeit und dann können sie auch wieder beruhigt schlafen“, sagt Alfred Gunsch. „Man muss dranbleiben und weiter seine Hausaufgaben machen“, sagt Florian Brutter. Er bleibt sowieso am Ball. Wie gut, dass er die Kondition dafür hat.

» Mehr Infos zur DSGVO: www.WKO.at/datenschutz

Diesen Post teilen
X

Ihre Anmeldung für aktuelle Tiroler Wirtschaftsnews – Fast geschafft!

Bitte überprüfen Sie Ihren E-Mail-Eingang. Sie erhalten in Kürze unter der angegebenen E-Mail-Adresse eine Nachricht mit einem Bestätigungslink.
Ein Klick auf den Bestätigungslink schließt die Anmeldung ab.

Sehen Sie gegebenenfalls unter „Werbung“ oder „Spamverdacht“ nach, sollten Sie die E-Mail nicht in Ihrem normalen Posteingang finden.

Jetzt Newsletter abonnieren und regelmäßig personalisierte Tiroler Wirtschaftsnews erhalten!
(Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben)

Bitte warten, Sie werden angemeldet!
Bitte füllen Sie alle Felder aus!