Datenschutz : Identifizieren, dokumentieren, löschen: Was die DSGVO für die Industrie bedeutet

Michael Krausz ist selten sprachlos. Der eloquente Experte für IT-Security, der auch gerne zu TV-Talks eingeladen wird, hat bereits fast alles gesehen, was datenschutzrechtlich gar nicht existieren dürfte. Was er auf dem Server eines österreichischen Industriebetriebes fand, verschlug ihm dann doch die Sprache. Dort lagerten die kompletten Krankengeschichten der Mitarbeiter – für die Führungskräfte der Firma jederzeit einsehbar. Datenschutz? Seit 17 Jahren gibt es entsprechende Gesetze. „Aber viele haben es nicht ernst genommen“, sagt Michael Krausz. Nicht zuletzt wegen der vergleichsweise geringen Strafen. Es war in vielen Fällen kostengünstiger, diese zu bezahlen, als ordentlich in den Datenschutz zu investieren. „Ironisch formuliert: Betriebswirtschaftlich war das fast zwingend.“

Ab kommendem Frühjahr wird diese verbreitete Mechanik gefährlich. Am 25 Mai 2018 tritt die Datenschutz-Grundverordnung – kurz DSGVO – in Kraft. Bis zu 20 Millionen Euro oder vier Prozent des Jahres-Konzernumsatzes sind bei schweren Verstößen angedroht – im Zweifel der höhere Betrag. Doch die exorbitante Strafankündigung ist nur die prominenteste Veränderung. Die DSGVO, der erste Versuch, den Schutz personenbezogener Daten EU-weit zu harmonisieren, bringt fundamentale Neuerungen: für Personen vor allem das „Recht auf Vergessenwerden“, das Recht auf datenschutzfreundliche Voreinstellungen („privacy by default“) sowie auf erleichterten, transparenten Datentransfer. Für Unternehmen gilt dann das Marktortprinzip (europäische Daten genießen weltweit den Schutz der DSGVO), strengere Berichts- und Auskunftspflichten sowie die – reichlich arbeitsintensive – Verpflichtung zur Durchführung einer Datenschutz-Folgeabschätzung. (Einen Leitfaden für die Umsetzung Ihres DSGVO-Projektes finden Sie in dem praktischen Booklet, das dieser Ausgabe beiliegt.)

Das neue Gesetz gilt als strengstes Datenschutzregularium der Erde. Und es misst Datenkraken wie Google an denselben Maßstäben wie die produzierende Wirtschaft. Dabei stehen selbst ausgewiesene Datenschutzexperten derzeit vor vielen offenen Detailfragen bei der Umsetzung.

Digitale Begriffe wie Datamapping gehören seit längerem zum Grundvokabular von Christian Kaufmann. Dabei ist der 43-jährige Linzer eigentlich gestandener Jurist. Als Leiter der Rechtsabteilung des Voestalpine-Konzerns führt er seit 2016 Projektteams für die Umsetzung der DSGVO. Die Herausforderung für Kaufmann: Alle Niederlassungen der Voestalpine, ob in Deutschland, China, Indien oder Südamerika, brauchen ab Mai 2018 dieselben hohen DSGVO-Standards. Gemeinsame Shared-Service-Organisationen – bis hin zur hauseigenen Zeitarbeitsgesellschaft – machen diese Aufgabe selbst innerhalb der Europäischen Union schwierig. „Seit dem Frühjahr steht unsere hauseigene Datenschutzorganisation, mit Datenschutzmanagern im Gesamtkonzern, in jeder der vier Divisionen sowie ausgewählten darunterliegenden Gesellschaften. Jetzt wird in Unterprojekten die Umsetzung unserer Richtlinien abgearbeitet“, sagt Kaufmann. Jetzt heißt es für die Teilgesellschaften Happy Mapping: In dem Prozess des Datenmappings werden die Zusammenhänge von Datensätzen, ihre Herkunft und ihre Sensibilität identifiziert, dokumentiert und in Sicherheitsstufen kategorisiert. Und der Umgang mit ihnen in Verfahrensverzeichnissen reglementiert.

Projekte, die auch Bernhard Bildstein angestoßen hat. Der IT-Leiter bei Gebrüder Weiss ist Teil der Arbeitsgruppe, die den Logistiker auf die DSGVO vorbereitet. Alle Datenbestände in Applikationen und Ablagen wurden in den vergangenen Monaten abgearbeitet. Ein Verarbeitungsverzeichnis regelt, in welchem Prozess welche Applikationen zum Einsatz kommen, wer davon betroffen ist – und wer zukünftig worauf zugreifen darf. Die Vorarlberger Logistiker scheinen optimal vorbereitet, könnte man meinen. Und doch herrscht bei Bildstein in vielen Details Ratlosigkeit: „Die Vorbereitungszeit ist zu kurz, um auf Best Practices zu warten. Selbst bei weitgehend standardisierten Prozessen gibt es noch viele Fragen im Hinblick auf die praktische Umsetzung“, sagt der Logistiker.

Die projektierte Ratlosigkeit beginnt bei simplen Fragestellungen, wie etwa jener, ob die Kontaktdaten von Ansprechpartnern bei Kundenunternehmen zukünftig als personenbezogen gelten oder als Teil der juristischen Person des Kundenunternehmens behandelt werden dürfen. „Da gibt es so viele Antworten wie befragte Juristen“, sagt Bildstein. Nach den Buchstaben des Gesetzes sind für erstere Löschfristen zu definieren, die dem Grundsatz der Datensparsamkeit und Datenvermeidung entsprechen. Aber damit enden die Fragen noch nicht. Denn nirgendwo ist festgeschrieben, ob diese Löschfristen ein, zwei, drei oder zehn Jahre betragen dürfen.

Mit Fragen solcher Art wenden sich Unternehmen in anderen europäischen Ländern üblicherweise vertrauensvoll an ihre Datenschutzbehörde. Denn diese hat neben der Kontrollaufgabe – ab Mai 2018 – auch die Pflicht zu Information und Beratung, wenn es um die Auslegung des Gesetzes geht. Anders als in Österreich haben sich die meisten europäischen Behörden schon bisher als Partner der Wirtschaft verstanden: „Während das in Stuttgart immer recht rasch ging, habe ich auf einige Anfragen in Wien in den vergangenen Jahren niemals eine Antwort bekommen“, berichtet etwa ein Datenschutzbeauftragter eines Baden-Württembergischen Unternehmens.

Auch für den Chef des oberösterreichischen Maschinenbauers Fill sind historische Daten derzeit das Thema Nummer Eins, wenn es um die DSGVO geht. „Von allen Kunden der letzten Jahre im Nachhinein die Unterschriften einzuholen, wird sehr viel Arbeit“, sagt der Oberösterreicher, der die DSGVO eigentlich für überfällig hält. „Es kann sein, dass wir löschen müssen.“ Der Verlust von Kundendaten – selbst wenn diese bereits einige Jahre nicht mehr bestellt haben – ist ein Schlag für Marketing und Vertrieb in jedem Unternehmen.

Ganz ähnliche Probleme – bei ganz unterschiedlicher Ausgangslage – hat ein oberösterreichischer Metallbauer. Der Unternehmenschef, der anonym bleiben will, liegt derzeit mit den Betriebsräten seiner deutschen Niederlassung im Clinch. Seine Arbeitnehmervertreter sind der Ansicht, dass simple betriebswirtschaftliche Kerndaten wie Maschinendurchlauf- oder Rüstzeiten Daten mit Personenbezug nach dem neuen Datenschutzgesetz sind. Und diese in Zukunft ohne Anonymisierung weder die Grenzen der Bundesrepublik verlassen noch für Big-Data-Analysen – in der DSGVO „Profiling“ genannt – genutzt werden dürfen.

„In solchen verhärteten Fällen lohnt sich ein Datenschutzbeauftragter“, sagt Markus Stemmer mit leicht ironischem Unterton. Ironisch, weil er als Datenschutzbeauftragter quasi Werbung in eigener Sache betreibt – und, weil er aus der bayerischen Zentrale von Wacker Neuson die österreichische Diskussion um das scheinbar bürokratische Amt des Datenschutzbeauftragten mitverfolgt. „Der Datenschutzbeauftragte ist ein Arbeitgebervertreter, der durchaus auch in der Lage ist, die Sorgen von Arbeitnehmern zu mindern womit sich deren Forderungen verringern“, sagt Stemmer.

Das Ende von Big Data und CRM sieht Stemmer selbst bei strenger Auslegung der DSGVO nicht heraufziehen – auch, weil es zumindest zur gängigen bundesdeutschen Spruchpraxis eigentlich keine wesentlichen Änderungen in der DSGVO gibt. „Außderdem liefert Big Data mit anonymisierten Daten keine schlechteren Ergebnisse“, sagt der IT-Experte. „Und damit auch keinen Standortnachteil für europäische Unternehmen.“

Doch nicht nur Datenlöschung und Anonymisierung sondern auch eine Verengung des Zugangs zu betrieblichen Wissensquellen bereitet vielen Führungskräften Sorgenfalten. Viele realisieren erst jetzt, bei intensiver Beschäftigung mit dem eigenen Datenschatz, dass durchaus berechtigte Personen über Datenrelationen Zugang zu versteckten, sensitiven Daten erhalten. Dieses Informationsleck zu stopfen, ohne die Wissensbasis des Unternehmens zu schmälern, ist oft eine Gratwanderung. „Mit dem Inkrafttreten der DSGVO wird sich das Prinzip der Informationsbereitstellung ändern“, sagt Christian Ott, Chief Information Officer und Bereichsleiter Informationsmanagement bei der Banner GmbH.

Dass sich die Waagschalen von kodifiziertem Wissen und Datenschutz zukünftig öfters zu Gunsten des Datenschutzes neigen wird, hat man bei Banner vorgemacht. „Wir haben bei Banner auch in Vorbereitung auf die DSGVO unsere Berechtigungssysteme stark eingeschränkt. Auch wenn das teilweise den eigenen Anforderungen an unser Wissensmanagement widerspricht“, sagt Ott. Das sei, so Ott, nun einmal der Preis, der dafür zu zahlen sei, dass in Zukunft der oft fahrlässige Umgang mit Daten eingeschränkt würde.

Ein gar nicht so kleiner Preis, den, wie unser Rundruf ergab, viele Unternehmer als Bürger durchaus bereit sind zu zahlen. „Im Grunde halte ich die DSGVO für sehr sinnvoll“ sagt etwa der Maschinenbauer Andreas Fill. „Die erhöhte Sensibilität im Umgang mit Daten und vor allem die strenge Regelung der Weitergabe von Daten finde ich persönlich sehr gut.“ Zudem treten mit der Einführung der DSGVO in Österreich auch einige Erleichterungen für Unternehmer in Kraft. So können nach dem neuen, ab Mai 2018 geltenden Gesetz in Österreich jetzt Geldbußen erstmals direkt gegen juristische Personen verhängt werden – eine Parallelbestrafung von verantwortlichen Beauftragten wird erstmals grundsätzlich ausgeschlossen.

Ebenfalls eine gute Nachricht für die Industrie: Juristische Personen sind nun nicht mehr vom Datenschutz erfasst. Damit wird die Verarbeitung von Kunden-, Lieferanten- und vor allem Interessentendaten, so genannten Sales Leads, deutlich einfacher. „Bei der Umsetzung der Richtlinie in österreichisches Recht hat das oft in Österreich übliche golden Plating eindeutig nicht stattgefunden“, sagt Robert Kreisler, auf Datenschutzrecht spezialisierter Anwalt bei CMS Reich-Rohrwig Hainz Rechtsanwälte. Vielleicht, so ist ihm zu entlocken, weil das österreichische Gesetz aufgrund der vorgezogenen Neuwahlen mit heißer Nadel gestrickt werden musste.

Dass die Zeitknappheit durchaus auch eine schlechte Nachricht ist, wird Unternehmern klar, die sich mit ihren Fragen zur Auslegung der DSGVO an die heimische Datenschutzbehörde wenden. Zwar kann wohl mangels Präzedenz derzeit keine nationale Behörde wirklich rechtsfeste Aussagen zu den vielen Detailfragen geben. Doch im Gegensatz zu Österreich probiert man es wenigstens: So veranstalten französische Datenschutzbehörden Roadshows, geben finnische Datenhüter Broschüren mit Handlungsanweisungen heraus und präzisieren deutsche Datenhüter in Veröffentlichungen die allerschwammigsten Bestimmungen der DSGVO.

Heimischen Unternehmen bleiben angesichts der Funkstille der heimischen DSB nur zwei Optionen. Das Prinzip Hoffnung: „Ich glaube nicht, dass produzierende Unternehmen im Mittelstand das vorrangige Ziel der Datenschutzbehörden sein werden“, sagt Banner-CIO Christian Ott. Denn für B2B-Unternehmen wurde dieses Gesetz definitiv nicht gemacht. Oder aber das Prinzip Vorsicht, nach dem Maschinenbauer Fill handelt. „In unseren Arbeitsverträgen ist auch der Umgang mit Teamfotos detailliert geregelt“, sagt Andreas Fill. Wenn auf einem dieser Fotos ein Kind abgebildet ist, muss vor der Veröffentlichung eine schriftliche Einwilligung der Eltern vorliegen. Willkommen in der Zukunft!

IM-Expertenpool: 10 Fragen zur Umsetzung der EU-Datenschutz-Grundverordnung

Die neue "Data Academy" der Post unterstützt Geschäftskunden bei Fragen zum Datenschutz

Rechtstipp: DSGVO - Die Uhr tickt