Datenschutz: Bei den KMU macht sich sanfte Panik breit

Überraschend zuversichtlich zeigten sich viele Unternehmen kürzlich bei einer Umfrage des KSV1870 bei tausend heimischen Unternehmen. In 68 Prozent der befragten Betriebe ging man davon aus, die gesetzlichen Vorgaben rechtzeitig erfüllen zu können. Allerdings: Erst 13 Prozent, mittlerweile vielleicht 15 bis 17 Prozent, haben das geforderte Verzeichnis der Verarbeitungen erstellt. Aus Sicht von KSV1870-Chef Ricardo-José Vybiral ist das aber ein Kern der Datenschutz-Grundverordnung. Viel Zeit bleibt jetzt nicht mehr. Vybiral im KURIER-Interview über personenbezogene Daten und sanfte Panik.

KURIER: Viele Betriebe scheinen die Vorbereitungen zu spät angegangen zu sein. Wie ist Ihre Wahrnehmung?

Ricardo-José Vybiral: Das Thema wird gerne beiseite gelegt, weil es lästig ist. Und viele glauben auch, dass es an ihnen vorbeiziehen wird, weil sie sich als kleine Handwerker nicht betroffen fühlen. Außerdem kommt noch dazu, dass man sich zwar damit befassen muss, das Unternehmen hat aber unmittelbar nichts davon. Wir haben schon im Vorjahr festgestellt, dass es ein großes Orientierungsdilemma gibt.

Ist mehr zu tun, um die Vorgaben der Verordnung zu erfüllen, je größer das Unternehmen ist?

Das ist ganz unterschiedlich. Ein Ein-Personen-Unternehmen etwa wird sich sehr viel damit beschäftigen müssen, wenn es als digitaler Anbieter agiert.

Bei Ihrer Umfrage im März haben zwei Drittel der Betriebe angegeben, die Vorbereitungen rechtzeitig zu schaffen. Glauben Sie auch daran?

Das ist ein Klassiker. Mehr als zwei Drittel sagen: Wir sind am 25. Mai ready. Mit dem wichtigen Verzeichnis der Verarbeitungen sind aber erst 13 Prozent fertig. Ich glaube, dass viele zu spät dran sind. Von den Klein- und Mittelbetrieben werden am 25. Mai nicht viel mehr als die Hälfte fertig sein. Bei denen, die sich des Problems jetzt bewusst werden, macht sich gerade sanfte Panik breit.

Was kann man als Kleinstbetrieb, der sich um noch gar nichts gekümmert hat, jetzt rasch tun?

Der erste Schritt ist ganz entscheidend, und der heißt: Erstellen eines Verzeichnisses der Verarbeitungen. In diesem Verzeichnis werden die personenbezogenen Daten gelistet, die im Unternehmen geführt werden. Dafür haben wir einen DSGVO-Assistenten für KMU entwickelt (https://www.ksv.at/dsgvoassistent). Diese Anwendung prüft unter anderem die Website des Unternehmens auf personenbezogene Daten.

Das heißt, Sie sind als Hacker unterwegs?

(lacht) Nein, wir machen einen Schritt weniger. Wir schauen, wo es Türen gibt, wo man reingehen könnte, wir gehen aber nicht rein.

Wie lange braucht man, um mithilfe des Assistenten ein Verzeichnis zu haben?

Man kann in ein paar Stunden durch sein. Und hat man diesen ersten Schritt gemacht, sieht die Behörde, dass man willens ist. Trotzdem braucht man mehr. Eine vernünftige EDV-Infrastruktur zum Beispiel. Es fällt nicht nur administrative Arbeit an, es braucht vielleicht auch einen EDV-Berater.

Liegt die jetzt noch schlechte Vorbereitung der Kleinbetriebe nicht auch daran, dass sich der Tischler sicher nicht als Datenkrake wie Facebook fühlt?

Das kommt sicher dazu, aber jedes Unternehmen hat eine Fülle von Daten – von den Kunden über die Mitarbeiter bis zu den Lebensläufen von jenen, die sich beworben haben.

Wird es gegen Ende Mai schon Kontrollen und Strafen geben?

Am 25. Mai wird scharf gestellt, die Frage ist, wie scharf. Viele Unternehmen setzen darauf, dass es unter der jetzigen Regierung, die als wirtschaftsfreundlich gilt, nicht allzu scharf wird. Ich wünsche mir, dass die Behörde anfangs mehr edukativ vorgeht.