Wien. „T-365 Tage bis zur EU-Datenschutz-Grundverordnung“ rufen die Berater-Fachgruppe UBIT und der Direktmarketingverband DMVÖ aus: Den Unternehmen laufe die Zeit davon.
Ab dem 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung europaweit anzuwenden und mit ihr kommen auch weitreichende Auswirkungen auf Unternehmen zu. Obwohl die Zeit bereits knapp ist und bei Verstößen gegen die Verordnung hohe Strafen drohen, warten viele Unternehmen mit den Vorbereitungen noch zu, einige wissen noch gar nicht darüber Bescheid, heißt es.
Die Wiener Fachgruppe für Unternehmensberatung, Buchhaltung und Informationstechnologie (UBIT) der Wirtschaftskammer Wien und der Dialog Marketing Verband Österreich (DMVÖ) setzen daher verstärkt auf Aufklärung und raten allen Unternehmen, die Angelegenheit ernst zu nehmen, so eine Aussendung.
Die Verordnung sei ein wichtiger und notwendiger Schritt in der zunehmend digitalisierten Welt und werde für einen besseren Schutz der Daten von Bürgern sorgen. Für Unternehmen, welche personenbezogene Daten erfassen oder verarbeiten, bedeute die DSGVO dagegen vor allem mehr Verantwortung und bei Missachtung hohe Strafen.
„Auch wenn ein Jahr lang klingen mag, sollten die Unternehmen den notwendigen Zeitbedarf nicht unterschätzen. Umfang und Komplexität der erforderlichen Veränderungen benötigen oft eine längere Vorbereitungs- und eine entsprechende Implementierungszeit“, so Martin Puaschitz, Obmann der Wiener Fachgruppe UBIT. Anton Jenzer, Präsident des DMVÖ: „Wer sich jetzt noch nicht damit beschäftigt hat, ist schon sehr spät dran. Die Zeit ist mehr als knapp.“
Finanzieller Schaden und Imageverlust drohen
- Von der Verordnung betroffen sind grundsätzlich alle Unternehmen und Organisationen, welche mit personenbezogenen Daten arbeiten. Das beginnt bei der Verwaltung von Kundendaten bis hin zu Lieferanten- und Mitarbeiterdaten. Die Verordnung nimmt somit große Konzerne ebenso in die Pflicht wie auch Klein- und Mittelbetriebe.
- Zum einen werden die Nutzerrechte wesentlich gestärkt. So müssen beispielsweise Unternehmen vor der digitalen Kontaktaufnahme mit Personen, die keine Kunden sind bzw. waren, deren Zustimmung einholen. Diese muss „unmissverständlich und freiwillig durch eine aktive Handlung“ erfolgen. „Vorausgewählte Häkchen bei Formularen, die eine Kontaktaufnahme erlauben, oder ‚stille‘ Zustimmungen, versteckt in den AGBs, sind ebenfalls nicht mehr gültig“, erklärt Jenzer.
- Zum anderen wird durch die neue Verordnung den Unternehmen auch in puncto Datensicherheit mehr Verantwortung auferlegt. Diese müssen für „angemessene Sicherheitsvorkehrungen“ sorgen, um Datenmissbrauch und Datenlecks zu vermeiden.
- Ist ein tatsächlicher Datenmissbrauchsfall oder Datendiebstahl eingetreten und sind dadurch negative Folgen zu erwarten, müssen die Behörden sowie auch alle Betroffenen unverzüglich benachrichtigt werden, wobei die Risiko-Folgenabschätzung den Unternehmen obliegt. „Abgesehen vom finanziellen Schaden bedeutet das vor allem einen hohen Imageverlust“, unterstreicht Puaschitz die zukünftigen Risiken eines mangelnden Datensicherheits-Konzeptes.
- Hinzu kommen noch weitere Punkte, wie die für gewisse Unternehmen verpflichtende Bestellung eines Datenschutzbeauftragten oder die ungeteilte Gemeinschaftshaftung bei Unternehmen, Agenturen und Dienstleistern bei Datenmissbrauch. Das Risiko und die Verantwortung können somit nicht delegiert werden.
- Die Strafen bei Rechtsverletzungen sind dabei bewusst empfindlich hoch angesetzt, um zu zeigen, dass die Sache ernst genommen wird. Die Höchststrafe beläuft sich auf 20 Millionen Euro oder 4% vom weltweiten Umsatz, je nachdem was höher ist, um auch Giganten wie Facebook oder Google in die Pflicht zu nehmen.
Der Gesetzesentwurf ist da
Seit Kurzem liegt auch das österreichische „Datenschutz-Anpassungsgesetz 2018“, in dem die nationalen Ergänzungen der DSGVO definiert werden, dem Nationalrat zur Begutachtung vor. Somit sind nun alle Eckdaten der neuen Datenschutz-Verordnung weitgehend bekannt.
Daher raten die beiden Branchenvertreter dringend, sich ab sofort damit zu beschäftigen. Denn um alle Punkte zu beachten und die IT-Strukturen und Prozesse entsprechend anzupassen, seien viele Schritte notwendig.
„Zuallererst sollte ein Unternehmen sich ein genaues Bild davon machen, welche Arten von Daten überhaupt gespeichert werden und wie damit umgegangen wird“, rät Jenzer. „Viele, vor allem kleinere Unternehmen, wissen oft gar nicht, dass sie solche personenbezogenen Daten sammeln“, kann der Präsident des DMVÖ aus Erfahrung berichten.
Anschließend können mögliche Mängel identifiziert und entsprechend behoben werden. „Die IT bildet für viele Unternehmen die Basis für ein reibungsloses und erfolgreiches Arbeiten. Änderungen dieser Prozesse brauchen Zeit und müssen sorgfältig umgesetzt werden“, so Puaschitz.
Link: UBIT
Link: DVMÖ
