Interview mit DI Wolfgang Waldhäusl: „DSGVO – Lassen wir die Kirche doch ruhig im Dorf“

Im INARA-Interview erläutert Herr DI Wolfgang Waldhäusl, Geschäftsführer des Beratungsunternehmens step2solution, wie er sein Unternehmen auf die bevorstehende EU-Datenschutzgrundverordnung vorbereitet. Sein Rat an die Unternehmer-Kollegen: Das Thema ernst nehmen, aber deswegen nicht in Panik verfallen.

INARA: Die Datenschutzgrundverordnung (DSGVO) der EU ist derzeit bei allen Wirtschaftstreibenden ein großes Thema. Wie weit haben Sie sich schon damit beschäftigt und wie sehen Sie grundsätzlich die neue Rechtslage?
DI Wolfgang Waldhäusl: Wir sind kein Großkonzern, sondern ein mittelständisches Beratungsunternehmen. Selbstverständlich haben wir uns über die neue Rechtslage bereits informiert und entsprechend beraten lassen. So fühlen wir uns jetzt für die EU-DSGVO gut gerüstet und wissen, was wir zu tun haben. Derzeit gibt es zu diesem Thema jede Menge an Veranstaltungen, die alle gut besucht sind, weil die Verunsicherung bei den Betrieben groß ist. Rechtsanwälte, Wirtschaftsprüfer und Unternehmensberater sind eifrig unterwegs, um ihre Klienten über die Details und Feinheiten der DSGVO informieren. Von dieser Informations-Flut“ fühlen sich allerdings viele kleinere Unternehmer völlig überfordert. Sie denken sich: Das werden wir nie schaffen.

INARA: Wer ist grundsätzlich von der DSGVO betroffen? Kleinere Unternehmen waren ja ursprünglich nicht die Zielgruppe, die man anpeilen und deren Tätigkeit man regulieren wollte…
DI Wolfgang Waldhäusl: Die ursprünglichen Adressaten des neuen Gesetzes waren Amazon, Facebook, Google & Co., um die Rechte der Konsumenten gegenüber diesen Giganten stärken. Nun aber betrifft die EU-DSGVO, die am 25. Mai 2018 in Kraft tritt, alle Unternehmen, die in irgendeiner Weise personenbezogene Daten – das kann schon eine einfache Email-Adresse sein – verarbeiten. Es können auch Kleinunternehmer, Start-ups oder EPUs sein, die künftig für Databreach haften. Auch wer einen Blog betreibt oder einen Newsletter versendet, muss aufpassen – viele Adressen sind ja personenbezogene Daten – und muss deshalb das Einverständnis der Empfänger einholen (double-opt-in).

INARA: Und was sind die grundlegenden Änderungen gegenüber dem bisherigen Datenschutz-Recht?
DI Wolfgang Waldhäusl: Bereits seit 1980 musste in Österreich jede Datenanwender Vorgaben einhalten, dann kam das Datenschutzgesetz 2000. Durch die neue DSGVO wird dieses nun „aufgerüstet“. Im Grunde erfolgt eine EU-weite Angleichung an das bisher schon sehr strenge deutsche Datenschutzrecht. Jeder der Daten verarbeitet muss sich künftig selbst um deren Schutz kümmern, dazu kommen Prinzipien wie Datensparsamkeit, Speicherbegrenzung oder die Verschlüsselung bzw. Pseudonymisierung von Daten.

INARA: Die Strafen nach der neuen DSGVO sind exorbitant. Wie sehen Sie das, vor allem aus dem Blickwinkel eines mittelständischen Unternehmers?
DI Wolfgang Waldhäusl: Bisher waren Verstöße gegen das Datenschutzgesetz meist mit relativ kleinen Konsequenzen verbunden. Künftig wird es aber richtig teuer, die Strafen, bei deren Höhe man sich an den Internet-Giganten orientiert haben dürfte, können bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes ausmachen. Diese vier Prozent können für ein kleineres Unternehmen existenzbedrohend sein. Nicht zu vergessen, dass unabhängig von der Strafe Betroffenen unter Umständen auch Schadenersatz zusteht. Deshalb muss man das Thema DSGVO als Unternehmer durchaus ernst nehmen. Wie die neue Datenschutzbehörde in der Praxis agiert, kann man derzeit nicht abschätzen. Ziel sollte die Prävention sein, nicht die Repression. Vielleicht wird bei leichteren Verstößen zunächst nur abgemahnt und den Firmen eine Nachfrist gesetzt. Ich erwarte eigentlich, dass es hier ähnlich abläuft wie bei diversen Kapitalmarkt-, Compliance- und Kartellverschärfungen oder dem neuen Untreuetatbestand. Auch hier wurde der Strafrahmen kürzlich empfindlich erhöht. Aber vermutlich wird die Datenschutzbehörde, die ja nicht flächendeckend prüfen kann, am Anfang das eine oder andere Exempel statuieren, Vorsicht ist also in jedem Fall von Anfang an geboten. Ein Problem sehe ich darin, dass die gesetzlichen Regelungen schwammig formuliert sind, da wird es vor allem auf die Auslegung in der Praxis ankommen.

INARA: Welche konkreten Ratschläge können Sie Ihren Unternehmer-Kollegen geben?
DI Wolfgang Waldhäusl: Wichtig ist zunächst ein Soll/Ist-Vergleich in Sachen DSVGO-Anforderungen. Wo werden überall personenbezogene Daten gespeichert und verarbeitet? Hat man einmal die „Lücken“ im eigenen Unternehmen analysiert, müssen diese der Reihe nach geschlossen werden. Sowohl das rechtliche, als auch das kaufmännische Risiko im Zusammenhang mit der DSGVO sind zu evaluieren. Ganz wichtig ist es zu dokumentieren, dass auch beim Datenschutz mit der gebotenen kaufmännischen Sorgfalt umgegangen wird und die getroffenen Maßnahmen state of the art sind. Die Geschäftsführung hat dabei natürlich voranzugehen und die entsprechenden Handlungsfelder zu verstehen. Im Anschluss sind dann die Mitarbeiter nachweislich zu schulen. Auch die Datenschutzbehörde wird künftig darauf achten, dass sich die Firmen adäquat mit der Materie beschäftigt haben und das im Ernstfall auch beweisen können. Databreach wird sicher eine Herausforderung für die Business Judgment Rule werden.

INARA: Gibt es Gefahren durch die neue DSGVO, an die derzeit vielleicht noch niemand denkt?
DI Wolfgang Waldhäusl: Diese Gefahren sehe ich schon. Findige Anwälte könnten etwa daraus ein Geschäftsmodell machen, sich auf Verbandsklagen von vermeintlich von Verstößen Betroffenen zu spezialisieren, also vereinfacht gesprochen Unternehmen „anpatzen“, um damit Geld zu verdienen.

INARA: Was ist kurz gefasst Ihr Ratschlag für Unternehmen, die sich für die DSGVO rüsten wollen?
DI Wolfgang Waldhäusl: Natürlich ist es wichtig, sich selbst ausreichend zu informieren oder sich beraten zu lassen. Und das bitte rechtzeitig, denn bis Mai 2018 ist nur noch wenig Zeit. Und man sollte jetzt nicht in Panik verfallen, sondern die Kirche im Dorf lassen und auf seinen Hausverstand vertrauen.

Auch wir haben uns mit Dr. Anton Platt einen externen Fachexperten gesucht, der uns bei der Gap-Analyse durch seinen neutralen Blick geholfen hat und in der Umsetzung begleitet. Damit kann man das Aufwand – Nutzen Verhältnis optimieren: Viele der komplizierten Detailbestimmungen betreffen nur große Unternehmen wie Banken, Versicherungen, Telekom- oder Energiefirmen. Einen Datenschutzbeauftragten wird man z.B. in einem Kleinunternehmen nicht brauchen, hier muss das Thema ohnehin Chefsache sein.

Wer sich schon bisher beim Datenschutz an seine Verpflichtungen gehalten hat, der hat nicht allzu viel zu tun. Wichtig sind vor allem ein geschärftes Bewusstsein für das Thema, Transparenz und eine umfassende Dokumentation. Darüber hinaus bietet das Gesetz auch eine Chance, sich von alten Datenfriedhöfen und Altlasten zu verabschieden. Damit kann man einerseits den Aufwand für die Erreichung der DSGVO Konformität reduzieren und andererseits für die Prozessoptimierung im Tagesgeschäft Benefits schaffen. Und bis Mai braucht es Konsequenz und auch etwas Mehraufwand, um die Risiken zu minimieren und sich auf eine etwaige Prüfung oder auch nur Löschanfragen gut vorzubereiten.

Mehr zu step2solution: www.step2solution.at

Autorin: Dr. Brigitta Schwarzer, MBA