2-5-2017 Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/17240

Gastkommentar - Michael Hohl, transtec

EU-Datenschutz-Grundverordnung erhöht Druck auf Mittelstand

Die neue EU-Datenschutz-Grundverordnung, die ab 2018 gilt, bringt etliche Verschärfungen mit sich. Vor allem für kleine und mittlere Unternehmen mit begrenzten IT-Ressourcen kann die frist- und regelkonforme Umsetzung der Vorgaben eine große Herausforderung darstellen. Hilfreich ist die Unterstützung durch einen externen Datenschutzbeauftragten.

Michael Hohl, Vice President Services & IT, transtec AG (Bild: transtec AG))

Für alle in der Europäischen Union ansässigen Unternehmen, die personenbezogene Daten verarbeiten, gilt ab 25. Mai 2018 die EU-Datenschutz-Grundverordnung. Bei der Anpassung an die neuen Vorgaben sind rechtliche, technische und organisatorische Aspekte zu berücksichtigen. Gravierende Änderungen, die vielfach eine Anpassung vorhandener IT-Strukturen und Prozesse erforderlich machen, betreffen etwa die Stärkung der Nutzerrechte oder die Da-tenschutz-Folgeabschätzung, also die Risikobewertung vor der Verarbeitung sensibler, personenbezogener Daten.
 
Kleine und mittelständische Unternehmen besitzen oft weder Zeit noch Know-how, um alle Anforderungen adäquat und rechtzeitig umsetzen zu können – gerade im Hinblick auf die generelle Konzeption des Datenschutz-Managements. Unterstützung kann hier ein externer Datenschutzbeauftragter leisten. Eine solche Möglichkeit sieht die Grundverordnung explizit vor. In Artikel 37 "Benennung eines Datenschutzbeauftragten" heißt es dazu: "Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen." (1)
 
Nach dem aktuellen österreichischen Datenschutzgesetz ist ein Datenschutzbeauftragter nicht zwingend erforderlich. Mit der neuen EU-Datenschutz-Grundverordnung treten hier allerdings Änderungen in Kraft. So ist die Bestellung eines Datenschutzbeauftragten dann unter anderem Pflicht, wenn "die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen" (2). Auch die "Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person" erfordern die Berufung eines Datenschutzbeauftragten (3).
 
Auch wenn die EU-Verordnung keine generelle Verpflichtung zur Einsetzung eines Datenschutzbeauftragten vorsieht, sollte jedes Unternehmen im Hinblick auf die Einhaltung datenschutzrechtlicher Bestimmungen eine solche Position schaffen oder zumindest auf einen externen Dienstleister zurückgreifen.
 
Bei der Auswahl eines externen Datenschutzbeauftragten muss ein Unternehmen darauf achten, dass er über eine umfassende interdisziplinäre Expertise verfügt, und zwar nicht nur hinsichtlich der komplexen rechtlichen und technischen Anforderungen, sondern auch im Hinblick auf Branchenspezifika des jeweiligen Anwenders.
 
Das Angebotsspektrum des Dienstleisters sollte folgende Punkte umfassen:
  • Evaluierung des Datenschutz-Istzustandes im Unternehmen
  • Vergleich des ermittelten Istzustandes mit den gesetzlichen Vorgaben
  • Identifizierung aller nicht oder nur teilweise erfüllter Vorgaben
  • Ermittlung von Maßnahmen zur Umsetzung der gesetzlichen Regelungen
  • Service-Leistungen wie turnusmäßige Kontrollen, bei denen die Einhaltung des Datenschutzes überprüft wird
  • Kontinuierliche Dokumentation des Datenschutzkonzepts
  • Beratung zu aktuellen Fragen des Datenschutzes
  • Durchführung von Mitarbeiter-Schulungen
  • Proaktive Beratung zu gesetzlichen Änderungen wie dem neuen Datenschutzgesetz in Österreich, das voraussichtlich im ersten Halbjahr 2017 beschlossen wird
 
Datenschutzverstöße können für Unternehmen künftig sehr kostspielig werden. Das Strafmaß nach der EU-Datenschutz-Grundverordnung kann bis zu 20 Millionen Euro oder 4 Prozent des konzernweiten Jahresumsatzes umfassen. Wer sich bislang noch nicht mit den neuen Regeln auseinandergesetzt hat, sollte die Übergangsphase bis Mai 2018 nutzen, um den Datenschutz durchgängig im Unternehmen zu verankern. Es darf nämlich nicht außer Acht gelassen werden, dass aufgrund des Umfangs und der Komplexität erforderlicher Veränderungen hierfür oft ein größerer Zeitbedarf einzukalkulieren ist. Fehlt kleinen und mittleren Unternehmen Zeit und Know-how für die selbstständige Umsetzung der notwendigen Maßnahmen, sollten sie durchaus die Einbindung eines externen Datenschutzbeauftragten in Betracht ziehen.
 
Michael Hohl ist Vice President Services & IT bei der deutschen transtec AG.