datenschutzgrundverordnung

DSGVO ignorieren kann teuer werden

Die DSGVO ignorieren ist keine Lösung. Worum es bei der Datenschutzgrundverordnung geht und warum Unternehmen das Thema ernst nehmen müssen, erklärt Datenschutzexperte Manuel Schmöllerl im Interview.

Obskura: Die DSGVO gilt seit 25. Mai 2018. Wie weit sind Unternehmen in Österreich mit der Umsetzung?

Schmöllerl: Die größeren Unternehmen haben das Thema DSGVO ziemlich auf Schiene gebracht, die mittleren auch. Viele kleinere Firmen haben es bisher vor sich hergeschoben und nichts gemacht.

»Der Aufwand ist überschaubar, wenn man es richtig angeht«

Obskura: Warum ignorieren kleinere Unternehmen die DSGVO? Ist die Sache so kompliziert?

Schmöllerl: Ihr Hauptproblem ist, dass sie keine Zeit haben, sich mit der Thematik grundsätzlich auseinanderzusetzen. Es fehlt an Ressourcen. Dazu kommt, dass die Erklärungen zur Datenschutzgrundverordnung sehr kompliziert formuliert sind. Wer es selbst versucht, scheitert oft daran, dass er nicht versteht, was genau gemeint ist. Dabei ist der Aufwand in Wirklichkeit gerade bei den kleineren Firmen überschaubar, wenn man es richtig angeht.

Obskura: Wie viel Aufwand bedeutet die Umsetzung der DSGVO?

Schmöllerl: Das hängt als erstes davon ab, wie viele Mitarbeiter im Unternehmen damit beschäftigt sind, Personendaten zu verarbeiten. Es muss nachgewiesen werden, dass jeder, der mit der Verarbeitung von Personendaten zu tun hat, entsprechend geschult wurde und mit der neuen Gesetzeslage vertraut ist. Dann kommt es darauf an, wie viele Prozesse mit der Erhebung von Personendaten zusammenhängen. Ein Hotel beispielsweise erhebt sehr viele Personendaten, ein Kaffeehaus kaum. Extrem ist der Aufwand z.B. im Krankenhaus. Je sensibler die Daten, umso wichtiger ist Datenschutz.

Obskura: Was sind sensible Daten im Sinne der DSGVO?

Schmöllerl: Sensible Daten sind natürlich Gesundheitsdaten oder biometrische Daten wie Fingerabdruck oder Gesichtsgeometrie. Außerdem zählen persönliche Informationen dazu, wie Religionszugehörigkeit, politische Einstellung, sexuelle Orientierung oder ethnische Herkunft.

»Es geht um alle Prozesse, wo Personendaten erhoben oder verarbeitet werden«

Obskura: Welche Prozesse im Unternehmen müssen beachtet werden?

Schmöllerl: Es geht um alle Prozesse, wo Personendaten erhoben oder eben verarbeitet werden, sei es anlässlich von Messen, bei der Anmeldung zu Newslettern oder generell im Marketing. Man muss sich fragen, welche Arten von Marketing betreibe ich, wie sieht mein Online-Marketing aus, gibt es Website, Online-Shop und so weiter. Und wie werden welche personenbezogenen Daten erhoben, schriftlich, über die Website oder auch telefonisch. Interessant ist dabei, wie sicher die Daten aufbewahrt werden, also welche technischen und organisatorischen Maßnahmen für die Datensicherheit getroffen werden.

Obskura: Wie sieht es mit Datenschutz speziell im Online-Marketing aus?

Schmöllerl: Im Online-Marketing wird Datenschutz in Zukunft noch viel mehr Thema werden. Mit der ePrivacy-Verordnung wird sich einiges ändern, sie betrifft das Online-Marketing weit intensiver als die DSGVO. Der Start der ePrivacy-Verordnung hätte ursprünglich gleichzeitig mit der DSGVO sein sollen, hat sich aber verschoben, weil sich die Länder in einigen Punkten noch nicht einig sind. Geplant ist die neue Verordnung jetzt für 2019.

Obskura: Wann braucht man einen eigenen Datenschutzbeauftragten oder einen externen Experten?

Schmöllerl: Öffentliche Institutionen, wie z.B. Gemeinden, oder Unternehmen, die mit sensiblen Daten in großem Umfang arbeiten, müssen einen Datenschutzbeauftragten, extern oder intern, nennen. Einen externen Experten brauche ich, wenn ich im Unternehmen nicht das entsprechende Know-how und die Manpower habe, um die Einhaltung der DSGVO sicherzustellen.

»DSGVO ignorieren wird zum Problem, sobald Betroffene ihr Recht auf Auskunft einfordern«

Obskura: Was passiert mit Unternehmen, die die DSGVO ignorieren?

Schmöllerl: Das Problem wird akut, sobald eine betroffene Person ihr Recht auf Auskunft einfordert. Das kann ein unzufriedener Kunde sein oder auch ein ehemaliger Mitarbeiter. Bei der sogenannten Betroffenenauskunft muss das Unternehmen Auskunft geben, ob und welche Daten der betroffenen Person gespeichert sind, woher diese Daten stammen und welche Rechtsgrundlage die Firma hat, dass sie diese Daten verarbeiten darf. Wenn das Unternehmen nicht innerhalb von 4 Wochen antwortet, kann der Betroffene Anzeige bei der Datenschutzbehörde erheben. Die Behörde überprüft dann, wie das Unternehmen mit dem Thema Datenschutz umgeht bzw. wie die DSGVO umgesetzt wird. Wenn die betroffene Person glaubt, dass sie zu Schaden gekommen ist, kann sie außerdem zivilrechtlich über einen Anwalt vorgehen. Das kann für ein Unternehmen teuer werden.

»Wichtig ist, das Thema Datenschutz ernst zu nehmen«

Obskura: Was raten Sie Unternehmen, die sich bisher nicht um die DSGVO gekümmert haben – womit oder wie soll man anfangen?

Schmöllerl: Es gibt verschiedene Möglichkeiten, je nachdem, wie viel Zeit man sich nehmen will oder kann. Entweder ich kaufe mir ein einfaches Buch zum Thema und lese es. Oder ich besuche ein entsprechendes Seminar und bilde mich fort. Oder, wenn ich die Zeit bzw. Manpower nicht habe, hole ich mir Hilfe ins Unternehmen. Ich stelle jemanden ein, der sich mit der DSGVO auseinandersetzt, oder ich beauftrage einen externen Experten. Wichtig ist, dass ich das Thema ernst nehme, in welcher Form auch immer.

Wenn Sie die DSGVO nicht länger ignorieren wollen, kommen Sie zu uns.