Schmidl, Sanz de Lama, Maurer, Steininger, Tschohl, Kunnert LexisNexis ©Leadersnet.at – S. Menegaldo
Datenschutz. Unter dem Motto „D-Day 25.05.? Was die DSGVO wirklich für uns bedeutet“ luden LexisNexis & Compliance Netzwerk zur Diskussion. Und zwar passenderweise ins Haus der Europäischen Union in Wien.
Zwischen Beruhigung und Warnung pendelten die Diskussionsbeiträge beim 29. Compliance Netzwerktreffen am 16. April 2018 zur EU-Datenschutzgrundverordnung (DSGVO). Wie sehr das Thema nach wie vor allen unter den Nägeln brennt, bewiesen die über 200 Teilnehmer, heißt es bei den Veranstaltern.
Im Zentrum der Diskussion mit Vertretern aus Behörden, NGOs und Wirtschaft stand eine Grundfrage: Wie viel Verve werden Behörden und NGOs beim Aufzeigen von Verstößen an den Tag legen – was erwartet Organisationen ab dem Stichtag also tatsächlich und wie können sie sich vorbereiten?
Auf dem Bild die Podiumsgäste: Dr. Matthias Schmidl (stellvertretender Leiter der österreichischen Datenschutzbehörde), Alberto Sanz de Lama (CEO LexisNexis Österreich), Mag. Karin Maurer (GDPR Leader IBM DACH – Germany, Austria, Switzerland), Moderatorin Barbara Steininger (Trend), Ing. Mag. Dr. Christof Tschohl (Obmann epicenter.works, Vstd.Mitglied noyb, GF Research Institute), Dr. Gerhard Kunnert (Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz)
Zu Gast im Epizentrum
Alberto Sanz de Lama, CEO LexisNexis Österreich, begrüßte im Namen von LexisNexis und den Compliance Netzwerkpartnern die Besucherinnen und Besucher im Haus der Europäischen Union in Wien, das Hausherr Jörg Wojahn für den Event geöffnet hatte.
„KMU sind gar nicht das Ziel der DSGVO“
Zentral für viele der Zuhörer war die Information von DSB-Vertreter Matthias Schmidl: „Am 25. Mai kann die Datenschutzbehörde bestenfalls eine Aufforderung zur Rechtfertigung verlangen, nicht aber eine Geldbuße verhängen. Es ist absurd zu glauben, dass einem Kleinunternehmen eine 20-Millionen-Euro-Strafe droht.“
Ziel der DSGVO sei es nie gewesen, gegen KMU Millionenstrafen zu verhängen. Selbst Datenschützer Christof Tschohl unterstrich, dass man vorrangig die >schwarzen Schafe< an den Pranger stellen wolle: „Mit unserer NGO noyb wollen wir die Schlinge enger ziehen für solche Firmen, die Datenmissbrauch als Geschäftsmodell betreiben.“
Vor allem für die Umsetzung der DSGVO durch die >Global Player< werde entscheidend sein, ob die Aufsichtsbehörden sich mit gewissem Nachdruck auf das Thema stürzen, meinte Gerhard Kunnert, der ausdrücklich nicht als Ministeriumsvertreter sprach: „Es wird sich zeigen, ob die Ressourcen und der Wille da sind, sich mit Behörden in anderen Mitgliedstaaten abzustimmen.“
Die Holschuld der Unternehmen
Bei IBM befasst man sich bereits seit Mitte 2016 mit der DSGVO, führte Karin Maurer, GDPR Leader bei IBM, aus. In sechs verschiedenen „Workstreams“ prüfte ein globales Team verschiedene Bereiche wie Kundendaten, Verträge oder Subauftragnehmer. Die Vorgehensweisen, die dabei ausgearbeitet wurden, sollen nun auch den Kunden von IBM zugutekommen.
„IBM bietet seinen Kunden Datenschutzlösungen, die wir bei IBM selbst in 170 Länderorganisationen weltweit eingeführt haben“, so Maurer. Kleinen Unternehmen, die sich nicht so intensiv mit der DSGVO beschäftigen konnten oder Software-Lösungen eingeführt haben, gibt sie den Tipp „nicht panisch zu werden, sondern sich gute Berater suchen.“
Kein Datenmissbrauch, aber ein Fehler?
Jedoch nicht nur bei aktivem Datenmissbrauch drohen hohe Strafen, sondern auch wenn bei zentralen Punkten der DSGVO nicht Compliance hergestellt wird – wie etwa:
- Privacy by Design
- Datenschutz-Folgeabschätzung
- Verträge zur Auftragsverarbeitung
- Verarbeitungsverzeichnis
Die Hände in den Schoß zu legen, ist jedenfalls keine Option, so Kunnert: „Es wird viel Information zur DSGVO, z.B. bei den Kammern, angeboten, es gibt aber auch eine Holschuld. Wer sich mit den Basics beschäftigt, ist auf dem richtigen Weg.“
Und Tschohl meint: „Schon jetzt hat die Zahl der Auskunftsbegehren zugenommen. Kann man auf eine Anfrage keine Antwort gegeben, droht ein Besuch der Datenschutzbehörde.“
Warum sind Behörden ausgenommen?
Scharfe Kritik erntete die Tatsache, dass für Behörden die in der DSGVO vorgesehenen Geldbußen nicht anwendbar sind und dass Österreich gegen diese gesetzliche Möglichkeit optiert hat. Seither werde durch Anpassungsgesetze versucht, Gott und die Welt zu einer Behörde zu erklären.
Dazu Matthias Schmidl: „Wir haben einige Gesetzesentwürfe bereits als unionsrechtswidrig kritisiert.“
Abschließend betonte Karin Maurer die positiven Seiten der neuen Datenschutzbestimmungen: „Kunden vertrauen Unternehmen, die mit ihren Daten sorgfältig umgehen.“ In dieselbe Kerbe schlug Datenschützer Tschohl, der u.a. Amnesty International und das Rote Kreuz berät. Auf der Nutzerseite wiederum förderten die neuen Verpflichtungen das Bewusstsein für Datenschutz nachhaltig, so Tschohl.
Möglich, so heißt es bei den Veranstaltern hoffnngsvoll, dass EU-Repräsentant Jörg Wojahn mit seiner in der Begrüßung geäußerten Einschätzung doch noch Recht behält: „Es wird schon nicht so schlimm kommen, sage ich einmal ganz undeutsch.“
Link: Compliance Netzwerktreffen
