Neues Datenschutzgesetz lässt Firmen zittern

Mit 25. Mai tritt die sogenannte Datenschutzgrundverordnung in Kraft. Hinter dem sperrigen Begriff versteckt sich ein Gesetz, dass den Datenschutz von Privatpersonen erhöhen soll. Für Unternehmen kann es viel Mehraufwand bedeuten.

Name, Adresse, Telefonnummer - beinahe jedes Unternehmen hat diese Daten seiner Kunden gespeichert und in nur noch seltenen Fällen in Karteikarten abgelegt. Aber schon diese Form der Datenverarbeitung reicht aus, um sich mit dem neuen Gesetz auseinandersetzen zu müssen, weiß IT-Experte Thorsten Jost.

Strafen drastisch erhöht: „Bis zu 20 Millionen Euro“

Thorsten Jost: "Das Gemeine an der Datenschutzgrundverordnung ist, dass es auch die Kleinen trifft und das in vollem Umfang. Das noch Gemeinere ist, dass es eine drastische Erhöhung der Strafen gibt, wir sprechen hier von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes im gesamten Konzern.“ Datenschutzexperten versuchen aber zu beruhigen: Die Behörde habe auch die Angemessenheit und den Aufwand der Umsetzung des Gesetzes berücksichtigen.

Vor Datenverarbeitung muss Einverständnis vorliegen

In der Praxis bedeutet das neue Gesetz: Kunden müssen schriftlich ihr Einverständnis geben, dass ihre Daten gespeichert werden. Firmen müssen damit noch genauer protokollieren, welche Kundendaten wie gespeichert werden.

Thorsten Jost: "Ich muss mir zuerst einen Überblick darüber verschaffen, wo ich personenbezogene Daten verarbeite und muss das dann zu Papier bringen. Diese Verarbeitungstätigkeit nennen und sozusagen dokumentieren. Habe ich eine Zustimmung, habe ich eine vertragliche Grundlage? Wie lange speichere ich die Daten, wo speichere ich das Ganze? Ich muss einen Gesamtüberblick herstellen und das am Ende des Tages in einem Gesamtüberblick dokumentieren und die Aufsichtsbehörde kann dann Einsicht nehmen.“

Unternehmen fürchten erheblichen Mehraufwand

Unternehmen - und hier vor allem kleinere Firmen - fürchten einen erheblichen technischen, finanziellen und organisatorischen Mehraufwand. Datenschutzexperte Günther Zikulnig versucht aber zu beruhigen: „Grundsätzlich muss man sagen, dass sich in Bereich des Datenschutzes gar nicht so viel in Österreich getan hat. Ein Großteil ist auch heute schon mit der alten Gesetzeslage in Kraft. Wer sich in der Vergangenheit intensiv damit beschäftigt hat, hat einen moderaten Aufwand.“

Gesundheitsrelevante Daten besonders heikel

In knapp drei Monaten tritt die Verordnung in Kraft. Der Vorbereitungswillen der Firmen sei unterschiedlich, so Zikulnig. „Viele glauben noch immer, dass es auf sie nicht zutrifft. Grundsätzlich: Wer personenbezogene Daten verarbeitet fällt da hinein und hat entsprechende Vorsorge zu treffen.“

Eine besondere Sorgfaltspflicht kommt dann hinzu, wenn gesundheitsrelevante Daten gespeichert werden. Als Beispiel wird hier etwa ein Friseur genannt, zu dessen Kunden Krebspatienten zählen.

Barbara Bein, Inhaberin eines Friseursalons in St. Veit: „Es ist wieder mehr Bürokratie, ich würde einfach gern mein Handwerk ausüben.“