1984 plus 30: Kommt die Datenschutzwende?

Posted on Jan 29, 2014 in Datenschutz, IKT, Kommentare

Die Chancen auf ein neues, schärferes EU-Datenschutzrecht noch heuer stehen gut

Behördliche Eingriffe in die digitale Privatsphäre sind eine Seite der Medaille. Aber ist das Schutzniveau im geschäftlichen Bereich, also dort, wo private Daten von Unternehmen gespeichert und verarbeitet werden, tatsächlich höher? Nicht wesentlich. Öffentlich wahrgenommen werden vor allem kritische Aktivitäten der Big Data Guys, Stichwort „Europe versus Facebook“  oder  Google-Produkte wie Google Glass oder Street View. Und vielleicht auch noch deren Verurteilungen wegen Datenschutzverstößen.

Für wie viele österreichische Unternehmen hat wirksamer Datenschutz tatsächlich Priorität? Denn wir reden hier nicht über Datensicherheit, also den Schutz unternehmensrelevanter Daten, sondern über den Schutz von Personen im Hinblick auf ihre persönlichen Daten – wann immer und in welchem Kontext auch immer diese privaten Daten durch Unternehmen (oder Behörden) ­ermittelt, gespeichert, übermittelt oder verarbeitet werden.

Wie so oft in Compliance-Bereichen gestaltet sich die praktische Einhaltung der Regeln mühsam, ohne einen unmittelbaren Mehrwert für das Unternehmen zu generieren. Dazu kommt, dass das Strafausmaß im Verletzungsfall kein wirksames Instrument zu ­Erhöhung der Datenschutzmoral darstellt – zumindest derzeit noch nicht. Denn sieht man von krassen, vorsätzlichen Verstößen ab, die gerichtlich strafbar sind, endet der Strafrahmen der Datenschutzbehörde bei 25.000 Euro.

Aber gut möglich, dass das Jahr 2014 – heute, Dienstag, ist übrigens europäischer Datenschutztag – das Wendejahr in Richtung ­effektiven Datenschutzes wird. Zwei Entwicklungen könnten den Umschwung bringen:

Sollten sich die EU-Mitglieder  durchringen und einer Vereinheitlichung (und gleichzeitig Erneuerung) der Datenschutzregeln in der EU zustimmen, so wird es zu einer dramatischen Erhöhung der Strafdrohung für die Nicht­befolgung der Datenschutzregeln kommen. Ein solcher Vorschlag der Kommission liegt seit 2012 vor. Das EU-Parlament hat diesen im Herbst 2013 akzeptiert. Nur noch das Einlenken des Rates, genauer einiger großer Mitgliedstaaten, fehlt, um die neue EU-Datenschutzverordnung zu verabschieden. Obwohl sich dies bis zu den EU-Wahlen nicht mehr ausgehen wird – es spricht einiges dafür, dass die Verabschiedung noch 2014 erfolgen wird.

Der zweite Treiber der Entwicklung ist das steigende Bewusstsein für Qualität und Sicherheit im Kontext digital unterstützter Dienstleistungen. Im Kern geht es um das Vertrauen, das ich als private Person jedem gegenüber haben will, dem ich Teile meiner Privatsphäre zur digitalen Weiterverarbeitung anvertraue. Ist dieses Vertrauen nicht vorhanden oder gestört, so ist ein Alternativangebot oft nur einen Klick entfernt. Unternehmen müssten deswegen freiwillig, aus Eigeninteresse, und ohne dass es einer Strafdrohung bedarf, ein hohes Datenschutzniveau gewährleisten.

(Dieser Beitrag ist auch als ‚Kommentar der Anderen‘, in DER STANDARD, Printausgabe vom 28.1.2014 erschienen.)