Michael Mrak ©Peter Svec
Wien. Die Datenschutz-Grundverordnung (DSGVO) naht: Michael Mrak, Vorstand beim Verein österreichischer Datenschutzbeauftragter (Privacyofficers.at), spricht im Interview zum Stand der Vorbereitung. Ganze Branchen wie die Ärzte hinken technisch nach. Mraks wichtigster Rat hat mit Löschen zu tun.
Extrajournal.Net: Privacyofficers.at sieht sich als Forum für Datenschutzbeauftragte – und da ist das Thema DSGVO derzeit wohl aus naheligenden Gründen sehr zentral. Sie bieten dazu Info-Veranstaltungen, Checklisten, Muster für Datenschutzerklärungen und dergleichen. Was war die Motivation für den Start des Vereins?
Michael Mrak: Unser Verein wurde im Jahr 2016 von einer kleinen Gemeinschaft gleichgesinnter Datenschutzbeauftragter mit Blick auf die im Mai 2018 in Kraft zu setzende Datenschutz-Grundverordnung gegründet. Sozusagen als „Selbsthilfegruppe“ mit den Hauptzielen das Rollenbild des Datenschutzbeauftragten in Österreich zu fördern und über eine gemeinsame Infrastruktur (Website, Forum, Seminare etc.) Wissen auszutauschen. Eines unserer Kernziele ist auch der Aufbau eines aktiven Netzwerkes von DSBs und mit dem Datenschutz betraute Personen in Österreich.
An wen richtet sich der Verein, wie viele Mitglieder gibt es?
Mrak: Unser Netzwerk hat derzeit 200 Mitglieder, täglich kommen neue Bewerber dazu. Wir richten uns primär an Datenschutzbeauftragte und mit dem Datenschutz betraute Personen. Unsere Statuten sind diesbezüglich relativ streng, weil wir uns wirklich auf das Kernthema Datenschutz und damit verbundene Fachbereiche konzentrieren wollen.
Wie gut sehen Sie Österreich auf die DSGVO vorbereitet, gibt es Wirtschaftsbereiche bzw. Branchen, bei denen aus Ihrer Sicht noch sehr viel Vorbereitungsarbeit zu leisten ist?
Mrak: Österreich ist, neben Deutschland, aus unserer Sicht grundsätzlich gut aufgestellt. Wie zu erwarten kommt es jetzt, im Vorfeld der Inkraftsetzung der DSGVO natürlich zu einer gewissen Unruhe im privaten Sektor. Dies erklärt auch das rege Interesse an unseren Seminaren, von denen wir aus Gründen fehlender Ressourcen leider viel weniger anbieten können als wir eigentlich wollten. Insbesondere im Bereich von KMUs wird es aber noch einige Zeit dauern, bis die entsprechende Awareness über die neuen Datenschutzbestimmungen auch in Maßnahmen umgesetzt werden.
Unklarheit gibt es auch noch in spezifischen Branchen, z.B. bei Ärzten. Hier hapert es aus unserer Sicht vor allem auch an der technischen Umsetzung, vielerorts findet man beispielsweise völlig veraltete PC Systeme mit nicht mehr aktualisierbaren Betriebssystemen vor.
Was sind typische Fragen bzw. Anliegen, die im Zusammenhang mit der DSGVO an den Verein herangetragen werden?
Mrak: Die in der Breite wichtigsten Themen beschäftigen sich mit der Umsetzung von richtigen Einwilligungserklärungen und auch wie korrekte Datenschutzerklärungen auszusehen haben. Aber auch das Thema Löschen von personenbezogenen Daten (Stichwort Löschkonzept) steht ganz oben auf der Liste der zum Teil noch offenen Probleme bei unseren Mitgliedern.
Am 25. Mai wird die Welt wohl nicht untergehen – aber es stellt sich die Frage, wie weit der Vorbereitungsgrad der Wirtschaft bis dahin gediehen ist. Rechnen Sie mit einer längeren Schonfrist für Datenschutz-Säumige, oder ist eher vom ersten Tag an mit Kontrollen, Klagen und Strafen zu rechnen?
Mrak: Es wäre vermessen hier eine valide Aussage zu treffen. Die Datenschutzbehörde hat jedenfalls schon mehrfach bestätigt, dass sie für die Anforderungen der DSGVO gut aufgestellt ist. Es wird sich aber wirklich erst Ende Mai zeigen, wie und in welchem Umfang hier gleich mit größeren Sanktionen zu rechnen ist. Alles ist möglich, würde ich nach dem heutigen Wissenstand behaupten.
Gibt es unter den vielen Aspekten der DSGVO – immerhin ist der Verordnungstext knapp 90 Seiten lang – bestimmte Bereiche, wo übermäßiges Zuwarten sich ganz besonders rächen könnte?
Mrak: Sehr relevant für die Umsetzung der DSGVO sind sicher die Betroffenenrechte. Wer ab Ende Mai beispielsweise die Themen Auskunftsrecht, Richtigstellung und Löschung auf Wunsch der Betroffenen nicht im Griff hat sollte hier unbedingt noch nachbessern.
Vor allem hat sich die Frist für das Auskunftsrecht von 8 auf 4 Wochen verkürzt, bei größeren Unternehmensstrukturen kann das durchaus zeitlich eng werden.
Michael Mrak ist Mitglied des Vorstandes beim Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter (Privacyofficers.at).
Link: Privacyofficers.at
