"Der Ruf kann innerhalb von Sekunden ruiniert sein"
"Ein Unternehmen braucht Jahrezehnte, um seine Reputation aufzubauen, Versäumnisse im Datenschutz können den Ruf innerhalb von wenigen Sekunden ruinieren", sagte Jochen Borenich, Vertriebsvorstand der Kapsch BusinessCom bei einer Veranstaltung zum Europäischen Datenschutztag am Mittwoch im Bundeskanzleramt in Wien. "Wenn man Datenschutzvorgaben nicht erfüllt, kann das unternehmenszerstörend sein."
"Bewusstseinsbildung notwendig"
Hinsichtlich der Datensicherheit sei bei heimischen Unternehmen Bewusstseinsbildung notwendig, mahnte Sonja Steßl, Staatssekretärin im Bundeskanzleramt unter Berufung auf den vor kurzem präsentierten Internet-Sicherheitsbericht 2014. Nur 6,1 Prozent der heimischen Unternehmen würden demnach als "sehr sicher" eingestuft. Das Gros der heimischen Betriebe gelte lediglich als "mittel sicher", so die Staatssekretärin, die auf die zunehmende Anzahl wirtschaftlich motivierter Cyberangriffe verwies: "Gehackt wird dort, wo es sich auszahlt."
Nachholbedarf
Aber auch bei datenschutzrechtlichen Grundvoraussetzungen haben heimische Betriebe Nachholbedarf. Johann Maier, Vorsitzender des Datenschutzrats (DSR), zitierte eine EU-Studie aus dem vergangenen Juni, die ergab, dass lediglich ein Drittel der von Bürgern gestellten Auskunftsbegehren bei Unternehmen zur Speicherung und Verarbeitung persönlicher Daten korrekt beantwortet wurde. Österreich rangiert dabei von zehn untersuchten Ländern am vorletzten Platz. "Man muss von einer datenschutzrechtlichen Sorglosigkeit vieler Unternehmen sprechen", meinte Maier.
Datenschutzreform
Für Unternehmen würden sich durch die EU-Datenschutzgrundverordnung, die derzeit im EU-Rat verhandelt werde, voraussichtlich zahlreiche Änderungen ergeben, kündigte Staatssekretärin Steßl an. Datenanwendungen von Unternehmen müssten nach dem Inkrafttreten der Verordnung nicht mehr im Vorraus bei den Datenschutzbehörden gemeldet und von diesen werden. Stattdessen gebe es nachträgliche Kontrollen und effizientere Strafen. "Das wird für Unternehmen mehr Flexibilität, aber auch mehr Eigenverantwortung bedeuten", sagte Steßl.
Auch einen "One-Stop-Shop", der als einheitliche Ansprechstelle für internationale Unternehmen in Datenschutzfragen fungiert, sowie eine EU-weite Zusammenarbeit der Datenschutzbehörden soll die EU-Datenschutzgrundverordnung bringen.
"Qualitätsmerkmal" Datenschutz
Datenschutz könne ein Qualitätsmerkmal für heimische Firmen sein, meinte der Anwalt Gernot Schaar, der kleine und mittlere Unternehmen in Datenschutzfragen vertritt. Vor allem für kleinere Firmen bedeute Datenschutz zunächst aber eine wirtschaftliche Belastung. Auf lange Sicht sei er aber eine Investition in die Zukunft und eine "große Chance". Unternehmen müssten im Umgang mit den Daten, die von ihnen gespeichert werden, transparent sein. "Sie müssen ihren Kunden mitteilen, an wen, in welcher Form und zu welchem Zweck sie weitergegeben werden."
Datenschutzbeauftragter
Dazu könne auch ein betrieblicher Datenschutzbeauftragter beitragen, der sich Datenschutzfragen von Mitarbeitern stellt und auch Anfragen von Kunden beantwortet, meinte Schaar. Im Gegensatz zu Deutschland ist ein solcher für österreichische Unternehmen nicht verpflichtend vorgesehen. Auch die EU-Datenschutzreform schreibt einen Datenschutzbeauftragten erst bei Firmen ab 52 Mitarbeitern vor. "Das betrifft 90 Prozent der heimischen Unternehmen nicht", sagte Stefan Strauss vom Institut für Technikfolgenabschätzung der Österreichischen Akademie der Wissenschaften.
Zunehmende Vernetzung
Thema bei der Veranstaltung war auch die zunehmende Vernetzung im Internet der Dinge und die damit einhergehenden Auswirkungen auf den Datenschutz. "Je mehr Vernetzung und automatisierte Auswertung von Daten wir haben, desto größer wird der Autonomieverlust des Menschen", warnte Strauss. Es sei wichtig zu fragen, wie viel Vernetzung die Gesellschaft vertrage.
"Nicht jedes innovative Geschäftsmodell ist sinnvoll", meinte auch Datenschützer Maier. Wenn es um sensible Daten gehe, seien Einschränkungen durchaus sinnvoll. Eine Frage sei etwa, zu welchem Zweck Daten von vernetzten Autos verwendet werden dürften. "Sollen Versicherungen, die Daten verwenden dürfen, um Prämien herab- oder hinaufzusetzen?" Menschen, die nicht bereit seien, sich dem Datendiktat zu unterwerfen, dürften nicht schlechter gestellt werden, forderte Maier.