Datenschutz: Warum kein Betrieb zu klein ist

Datenschutz
31.03.2022

 
Auch wenn es um die DSGVO ein wenig ruhiger geworden ist, tun Unternehmen gut daran, Datenschutz sehr ernst zu nehmen. Welche Konsequenzen ansonsten drohen, erklärt der Fachexperte für Digitalisierung und Datenschutz Lambert Gneisz.
Datenschutz

Die DSGVO ist bereits seit mehreren Jahren in Kraft. Ist das Thema in heimischen Unternehmen bereits gelebte Materie?

Es ist seit dem datenschutzrechtlich bedeutenden Datum am 25.05.2018 medial zwar etwas ruhiger geworden. Doch vergeht kaum eine Woche, in der nicht über Datenschutzverfahren der unterschiedlichen Datenschutzbehörden in den einzelnen EU-Mitgliedstaaten berichtet wird, im Zuge derer Unternehmen bei Datenschutzverstößen Bußgeldern in schwindelerregender Höhe ausfassen. Wir können in diesem Zusammenhang auch beobachten, dass insgesamt betrachtet die Bereitschaft zur DSGVO-Compliance wächst, auch wenn diese noch in unterschiedlichen Umsetzungsgraden vorhanden ist.

Worin unterscheiden sich die Herangehensweisen der Betriebe?

Viele Unternehmen mit hohem Organisationsgrad, also zumeist solche mit höherer Mitarbeiteranzahl (zB Produktionsunternehmen, internationalverflochtene Unternehmen, Großhandel), mit höher qualifizierten Mitarbeitern (zB Anwaltsbüros), oder in Branchen, deren überwiegende Geschäftstätigkeit die Verarbeitung großer Mengen sog. „sensibler Daten“ ist, wie etwa Banken, Versicherungen, Gesundheitseinrichtungen, Blutlabors „leben die Materie“ Datenschutz schon seit einiger Zeit. Oft mit dem erforderlichen Engagement und auch mit zweckmäßiger Qualität. Die Datenschutzbehörde würde hier dennoch „room for improvement“ finden, da die DS-Materie lebendig ist und für Verantwortliche immer wieder neue Fragestellungen aufwirft: „Max Schrems 2 / Cookie-Richtlinie“, kommende EU-Richtlinie zu AI/KI.

Wie gehen kleinere Betriebe mit dem Thema um?

In kleineren Organisationen, etwa in Beherbergungsbetrieben ist der gute Wille dazu ebenfalls oft zu finden und die gelebte Praxis zeigt, dass man weiß, dass Grundlagen zu DSGVO erwartet werden. Während die oben genannten Organisationen Wissens- und Handlungslücken zur DSGVO meist durch professionelle Berater schließen lassen, verfolgen KMU oft den „do it yourself“ Ansatz. Manche mit ansprechenden Ergebnissen, wenn auch in der Minderheit. Entsprechend „bunt“ ist die Qualität der Ergebnisse zur DSGVO-Compliance. Von grober Unterschätzung „betrifft uns nicht“ schlägt das Pendel zur starken Überschätzung „Wir benötigen einen Datenschutzbeauftragten“ - was tatsächlich nur für eine sehr kleine Zahl der Unternehmen zutreffend ist – aus. Oft beugen sich KMU den Datenschutzvorgaben ihrer größeren Kooperationspartner und unterzeichnen, was ihnen vorgelegt wird, was ggf. unerfreuliche Konsequenzen haben kann.

Lambert Gneisz

Und das klassische Mittelfeld?

Im breiten österreichischen Mittelfeld der Organisationen mit Jahresumsätzen im ein- bis zweistelligen Millionenbereich, wo DSGVO zumindest auf einem „semiprofessionellen Niveau“ möglich und zweckmäßig wäre, klafft die größte Lücke in Bezug darauf, was die Datenschutzbehörde zumindest erwartet und die Organisation tatsächlich vorweisen kann. Hier herrscht der größte Nachholbedarf. Hier besteht die größte Gefahr, Opfer des Umstandes zu werden, „seine Hausaufgaben nicht gemacht zu haben“.

Welche konkreten Konsequenzen drohen denn, wenn sich Unternehmen nicht ausreichend um Datenschutz kümmern?

Vor dem Zeitraum der Einführung der neuen DSGVO hätte man an dieser Stelle lediglich auf einen möglichen Imageverlust verwiesen: Wegen eines DSGVO-Zwischenfalls „in der Zeitung zu stehen“ kann das jahrelang und aufwendig gepflegte Image einer Organisation und ihres Top-Management in kürzester Zeit nachhaltig beschädigen. Durch die seitens der DSGVO nunmehr rechtlich geschaffenen Möglichkeit, bei Datenschutzverstößen (exorbitant) hohe Bußgelder zu verhängen, droht parallel zu dem bloßen Imageverlust nunmehr auch eine tatsächliche materielle Gefahr. Die Erfahrung der letzten Jahre hat hier auch gezeigt, dass die jeweiligen nationalen Datenschutzbehörden nicht davor zurückschrecken, von dieser Möglichkeit auch Gebrauch zu machen.  Es hat sich hier weiters gezeigt, dass dies nicht nur die großen datengetriebenen US-Unternehmen betrifft, sondern auch heimische Unternehmen. Als prominentestes Beispiele in Österreich können hier wohl die Post AG sowie der Jö Bonunsclub genannt werden, über die seitens der Datenschutzbehörde jeweils Geldbuße in Millionenhöhe verhängt wurde. Rasch wachsend ist die Zahl kleiner Beanstandungen der DS-Behörde, die den Weg in die Zeitung – zum Glück für die Betroffenen – nicht finden. Dennoch ist der daraus resultierende unerwünschte Mehraufwand  erheblich und unerfreulich.

Abseits von Bußgeldern: Welchen internen Aufwand erzeugen solchen Vorfälle?

Unproduktive Kosten: Eine wirksame Rechtfertigung gegenüber der Datenschutzbehörde oder die Abwehr einer Datenschutz-„Attacke“ durch einen Mitbewerber, durch verärgerte Kunden oder einen genervten ehemaligen Mitarbeiter, kann erheblichen internen Aufwand zur Sanierung erfordert. Die Einbindung der IT ist zumeist unerlässlich sowie die Begleitung durch einen externen DS-Experten oder Anwalt. All das ist weder in kurzer Zeit machbar noch auf wenige Personen zu begrenzen. Ist der Zwischenfall „behoben“, so lautet die Erkenntnis zumeist: „Hätten wir uns vorher darum gekümmert, so wäre uns hohe emotionale und monetäre Kosten erspart geblieben.“ Darüber hinaus drohen Loyalitätsverluste. Sie sind schwer messbar, doch besonders schmerzhaft. Wenn im Außenverhältnis der Eindruck entsteht, dass eine Organisation zum Thema Datenschutz nicht „zeitgemäß fit“ ist, so war das bis zur Einführung der DSGVO ein „Kavaliersdelikt“. Heute sind Kunden, Unternehmen und Institutionen zur DSGVO sensibilisiert. Sie erwarten, mit ihren Wünschen zum Datenschutz an ihren Schnittstellen in die Organisation professionell verstanden und gut umsorgt zu werden. Besonders schlecht für die immer wichtiger werdende Mitarbeiterloyalität ist es, wenn die eigenen Mitarbeiter:innen erleben, was intern dazu alles nicht passt.

Was sind die wesentlichsten Pflichten von Betrieben rund um Datenschutz?

Das schlechte Nachricht zuerst: es sind zahlreiche. Insbesondere betreffend Kundendaten, Mitarbeiterdaten, Daten für oder von Profiling-Algorithmen, Datentransfer in Drittländer, Löschfristen, Einwilligungen, Dokumentations- und Schulungsverpflichtungen, Datenverarbeitung nach dem Stand der Technik. Die gute Nachricht: Die Leiterin des öst. DS-Behörde Hofrätin Dr. Andrea Jelinek sagte mir: „Mehr als 90% der Inhalte der DSGVO und des DSG betreffen Inhalte, die ein ordentlicher Unternehmen ohnehin tun sollte.“

Ein häufiger Denkfehler?

„Betrifft uns bestenfalls indirekt“, „wir sind zu klein“, „unser IT-Provider hat vorgesorgt“, „wir warten, bis die Strafen beginnen“. „Wir haben das so schon seit Jahrzehnten so gemacht und es hat sich auch niemand beschwert…“ „Für uns genügt eine normale Lösung. Wir sind schließlich keine Bank, nur ein Unternehmen, wie so viele andere auch.“ „Wer soll an den Daten der Mitglieder unseres Vereins interessiert sein? Kollege XY hat für uns einen günstige Lösung gefunden. Das wird schon so passen.“

TIPP: Worauf Betriebe im Zusammenhang mit der DSGVO achten müssen, bringt das E-Training Fit 4 DSGVO kompakt auf den Punkt. Jetzt kostenlos 14 Tage testen! 

Zur Person:

Lambert O. Gneisz, ist Fachexperte für Digitalisierung und Datenschutz. Sein Wissen und seine 20-jährige Erfahrung setzt er bei der Beratung von Klein- und Mittebetrieben erfolgreich ein. Er ist zertifizierter Management Consultant (CMS), zertifizierter Commerce & Social Media Consultant (ISO 17024) sowie zertifizierter Data & IT Security Experte. Als geprüfter Datenschutzexperte und TÜV-zertifizierter Datenschutzbeauftragter für die EU–DSGVO hält er zahlreiche Kurse und Vorträge an der TÜV AUSTRIA Akademie. Außerdem ist er als Autor für Digitalisierung beim TÜV AUSTRIA Fachverlag tätig und bringt sein profundes Wissen in mehreren Arbeitskreisen der Wirtschaftskammer ein.