Die EU-Kommission möchte die Digitalwirtschaft stärken. Dass dies in Europa nur über die Stärkung von Datenschutzrichtlinien passieren kann, war Konsens der Experten bei einem Gespräch des Report "Mehr Datenschutz - weniger Geschäft?" Ende November 2014. Hier der Nachbericht in voller Länge.
Mit einer neuen Datenschutz-Grundverordnung, die derzeit in der EU verhandelt wird, soll der Umgang mit personenbezogenen Daten in allen Mitgliedstaaten auf einheitliches Niveau gebracht werden. Was bedeutet dies für die Konsumenten und Unternehmen in Österreich? Wie sieht es damit in der Praxis tatsächlich aus? Am 25. November 2014 diskutierten im Fabasoft Techsalon am Hauptbahnhof in Wien Experten und Publikum zum Thema Datenschutz. Am Podium: Helmut Fallmann, Gründer und Mitglied des Vorstandes der Fabasoft AG; Albert Steinhauser, Nationalratsabgeordneter und Justizsprecher der Grünen; Johann Maier, Vorsitzende des Datenschutzrates, und Peter Resch-Edermayr, synetics. Partner des Report-Talks war Fabasoft.
(+) plus: EU-weit wird eine Datenschutzgrundverordnung diskutiert. Datenschutz ist eines der Kernthemen auch bei Fabasoft. Herr Fallmann, Sie engagieren sich auf europäischer Ebene. Was sind die Themen hier?
Helmut Fallmann, Fabasoft: Wir laufen in der Informations- und Kommunikationstechnologie Gefahr, den Anschluss an den internationalen Wettbewerb zu verlieren und wirtschaftliches Potenzial in Milliardenhöhe brachliegen zu lassen. Die neue Kommission sollte nun auf mehreren Ebenen gegensteuern: Zum einen muss der digitale Binnenmarkt rasch realisiert werden. Die digitalen Schrebergärten, die wir mit unterschiedlichen Regelungen und Richtlinien in den einzelnen Ländern haben, müssen weg. Dann brauchen wir eine europäische Cloudstrategie, die vertrauenswürdige IT-Services und die Speicherung von Daten auf europäischem Boden sicherstellt. Die Europäische Kommission muss die Wettbewerbsfähigkeit der europäischen Unternehmen stärken, um der Marktmacht weniger großer US-Firmen im IT-Bereich zu begegnen. Dazu brauchen wir die Etablierung höchster Standards in der IT-Sicherheit und im Datenschutz. Die Kommission sollte also ein neues einheitliches Datenschutzregelwerk zügig vorantreiben.
Ich bin optimistisch, dass wir bis Ende 2015 eine europäische Datenschutz-Grundverordnung haben werden. Denn: In einer global vernetzten Welt endet Datenschutz nicht an der Landesgrenze. Auch sehen wir heute eine Wettbewerbsverzerrung für die heimische Wirtschaft. Unsere Unternehmen müssen sich an strenge Datenschutzrichtlinien halten, die für Anbieter aus anderen Regionen, wie den USA, nicht gelten. Datenschutz auf diesem Kontinent muss aber für alle Unternehmen gelten und Rechte und Pflichten sollten auch bei den Nationalgerichten geltend gemacht werden können. Dann müssten auch nicht engagierte Bürger wie der Österreicher Max Schrems nach Irland pilgern und sich in englischer Sprache mit irischen Richtern auseinandersetzen, um ihre Bürgerrechte gegenüber Facebook oder anderen durchzusetzen. Nur zusammen mit europäischen Partnern und europäischen Spielregeln können wir das Vertrauen der Verbraucher in den IT-Markt mit seinen vielfältigen Dienstleistungen zurückgewinnen.
(+) plus: IT-Dienstleister wie Amazon oder Google wollen nun garantieren, die Daten ihrer Kunden in Europa zu speichern. Das löst doch das Problem?
Fallmann: Das löst gar nichts. Es gibt eine klare Entscheidung von US-Gerichten, die amerikanische Unternehmen zur Herausgabe der Daten ihrer Kunden verpflichtet – unabhängig davon, wo die Daten gespeichert sind. Das lokale Prinzip müsste daher auch mit lokalem Recht verbunden werden.
(+) plus: Ist es tatsächlich ein Problem, wenn ein ausländischer Geheimdienst theoretisch Zugriff auf die Unternehmensdaten eines österreichischen Mittelständlers bekommt? Dies wirkt manchmal ein wenig übertrieben – es sei denn, wir sprechen von Firmen im Rüstungsumfeld.
Fallmann: Leider ist das überhaupt nicht übertrieben. Generell herrscht die Haltung, dass Spionage keinen Sinn hätte, wenn sie nicht auch der Wirtschaft helfen würde. In Ländern wie den USA ist der militärisch-wirtschaftliche Komplex eng verwoben. Dort geht es um Wirtschaftsvorteile in unterschiedlichen Bereichen. Eine Gefahr besteht, wenn Europäer in bestimmten Bereichen einen Know-how-Vorsprung aufbauen, dessen Vermarktung dann allerdings in Übersee stattfindet. Wenn wir unsere Forschungsergebnisse und unser Know-how anderen überlassen, gefährden wir damit unseren Wohlstand. Deshalb ist das Thema Spionage so heikel. Es kommt dadurch zum Abfließen von Know-how und künftiger Wertschöpfung.
Albert Steinhauser, Grüne: Wir sollten dafür werben, dass Datenschutz und Wirtschaft keine Gegenspieler sind. Eine ähnliche Debatte hatten wir ja vor Jahren auch bei Umweltschutzfragen geführt. Heute sehen alle das Innovationspotenzial, das Umweltschutz geschaffen hat. In beiden Bereichen brauchen wir aber Rahmenbedingungen, auf die sich Unternehmen einstellen können. Mit einer neuen Rechtssicherheit durch die Datenschutz-Grundverordnung kann die heimische Wirtschaft im europäischen wie auch im globalen Kontext wettbewerbsfähig gestärkt werden. Das Europäische Parlament hat nach langwierigen Gesprächen einen herzeigbaren, sehr guten Kompromiss erarbeitet. Wenn man den europäischen Gesetzgebungsprozess kennt, dann glaube ich, ist vieles für den Datenschutz Wichtiges in dieser Verordnung enthalten. Freilich ist die europäische Gesetzgebung ein Stück komplizierter als die österreichische. Aufgrund der beschnittenen Rechte des europäischen Parlaments treten Gesetze nicht mit einem Parlamentsbeschluss und einer Unterschrift des Präsidenten in Kraft, wie es in Österreich der Fall ist. Nein, sie werden im Anschluss an der Absegnung durch das Parlament in Dreiergesprächen zwischen Parlament, Kommission und dem Europäischen Rat in seiner Rolle als Vertreter aller Staaten nochmals diskutiert. Deshalb dauert dieser Prozess ingesamt länger, als zu Beginn erhofft. Es gilt, viele unterschiedliche Positionen unter einen Hut zu bringen.
(+) plus: Es gibt unter den EU-Staaten einen unterschiedlich stark ausgeprägten Willen, die Datenschutz-Grundverordnung durchzusetzen. Wer gilt hier als Bremser?
Steinhauser: Ich würde da keine Noten verteilen, zumal es meist auch innerhalb der einzelnen Staaten sehr unterschiedliche Interessen und Positionen gibt. Wichtig ist, dass wir einen Grundkonsens formulieren können, der auch Punkte enthält, die manchen vielleicht unangenehm erscheinen. Das wäre einmal eine geforderte Transparenz für die Anwender: Welche Daten werden gespeichert? Wie lange werden sie gespeichert? Für welchen Zweck werden sie gespeichert? Der zweite Grundsatz betrifft die Begrenzung der Speicherdauer. Ein dritter Grundsatz, der mir wichtig ist, sind Opt-in-Lösungen. Das bedeutet, dass Daten zwar erhoben werden dürfen, allerdings nur mit Zustimmung der Nutzer.
Wenn diese Punkte offen diskutiert und in der Datenschutzverordnung behandelt werden, kann auch bei den Anwendern ein richtiggehendes Datenbewusstsein entstehen. Natürlich besteht für die Staaten auch ein gewisses Risiko, dass auf nationaler Ebene dann keine Sonderregelungen mehr möglich sind.
(+) plus: Herr Maier, wie ist Ihre Sicht zum aktuellen Stand der Diskussion? Welche Folgen sind durch eine neue europäische Regelung für die heimische Wirtschaft zu erwarten?
Johann Maier, Datenschutzrat: Wenn wir heute über Datenschutz reden, müssen wir uns vor Augen halten, dass Datenschutz zu den Grundrechten der Europäischen Union gehört und seit dem Lissaboner Vertrag Teil des europäischen Primärrechtes ist. Der Schutz auf Privatsphäre hat einen hohen Stellenwert in Europa. Das sieht man auch an Entscheidungen des Europäischen Gerichtshofes, der unter anderem die umstrittene Vorratsdatenspeicherung gekippt hat. Die Transparenzgebote, die Herr Steinhauser formuliert hat, sind bereits in der bestehenden Richtlinie 95/46/EG des Europäischen Parlaments verankert. Allerdings stehen wir vor dem Problem der unterschiedlichsten Umsetzung der Datenschutzrichtlinie aus dem Jahr 1995 in Europa. Viele Staaten sind aber nun aus wirtschaftlichen Überlegungen nicht bereit, den neuen Datenschutzstandards, die die Europäische Kommission in einem Entwurf vorgegeben hat, zuzustimmen. Ich befürchte daher, dass es durch die Datenschutz-Grundverordnung in einigen Bereichen zu Rückschritten gegenüber der geltenden Richtlinie kommen kann.
Und bei dieser Debatte sollten wir auch eines nicht vergessen: Würde ein europäisches Unternehmen Ansprüche im Bereich der Datenspeicherung oder des Datenschutzens in den USA – ohne dort eine eigene Niederlassung zu haben – geltend machen, hätte es zum gegenwärtigen Zeitpunkt keine Chance. Daher hat das Europäische Parlament bereits 2012 in einer Entschließung einstimmig festgehalten, dass sich jedes Unternehmen, das im IT-Bereich in Europa Leistungen anbietet oder wirtschaftlich tätig ist, an die europäischen Normen zu halten hat – im konkreten Fall an das europäische Datenschutzrecht.
(+) plus: Beim Sammeln welcher Daten müssen Unternehmen besonders darauf achten, keine Gesetzesübertretung zu begehen?
Maier: Das Datenschutzrecht unterscheidet zwischen personenbezogenen Daten und sensiblen Daten. Zu letzteren gehören beispielsweise Religionsbekenntnis, Gewerkschaftszugehörigkeit oder Gesundheitsdaten, die ja immer wieder im Fokus der Diskussionen stehen. Weiters ist im Datenschutzgesetz 2000 genau festgehalten, unter welchen Voraussetzungen Daten ins Ausland transferiert werden dürfen und ob dies für bestimmte Länder genehmigungfrei ist, weil diese selbst über ein angemessenes Datenschutzniveau verfügen. Der aktuellen Datenschutzrichtlinie zufolge hat auch jeder das Recht zu erfahren, welche Daten über ihn gespeichert sind und aus welchen Quellen diese Daten stammen. Auch hat jeder Betroffene das Recht, dass Daten unter bestimmten Voraussetzungen gelöscht oder gespeicherte Informationen richtiggestellt werden.
Gemäß einer EU-weit durchgeführten Studie, die dieses Auskunftsrecht in der Praxis überprüft hat, befindet sich Österreich dazu leider auf dem vorletzten Platz. Lediglich ein Drittel der Anfragen wurde von den Befragten konkret beantwortet. Der Grund für das Hinterherhinken der Österreicher ist meiner Meinung nach offensichtlich: Es gibt viel zu wenige ausgebildete Personen oder Datenschutzbeauftragte in den Betrieben, die sicherstellen, dass Datenschutzbestimmungen tatsächlich eingehalten werden.
Ich kann nur allen Unternehmen empfehlen, bei Problemen und besser noch im Vorfeld rechtzeitig den Kontakt zur unabhängigen Datenschutzbehörde zu suchen. Deren Mitarbeiter beraten und stellen die nötigen Informationen zu Verfügung, damit Datenanwendungen innerbetrieblich rechtskonform gestaltet werden.
(+) plus: Es gibt bereits Lösungen für die Transparenz in der Dokumentation der Speicherung von Daten. Wie gehen Unternehmen damit um?
Peter Resch-Edermayr, synetics: Wir können unabhängig von der politischen Debatte feststellen: Unternehmen brauchen die Dokumentation innerhalb der eigenen IT-Abteilung und einen gewissen Reifegrad in der IT, um überhaupt an die herrschenden Sicherheitsstandards andocken zu können. Dennoch werden viele IT-Verantwortliche, die Administratoren in ihrer Rolle als Maschinisten der Moderne, im Zuge der Speicherung von Daten mit Datenschutzthemen allein gelassen. Das Juristendeutsch kann der Administrator nicht umsetzen. Er braucht dazu einen Übersetzer, jemanden, der ihn an der Hand nimmt, um Daten zunächst überhaupt korrekt zu klassifizieren. Leider ist Datenschutz aber oft ein Thema, für das kaum Zeit und Geld vorhanden ist. Das Bewusstsein ist bei mittelständischen Unternehmen noch nicht so weit entwickelt. Es gibt aber eindeutig einen Zug in die richtige Richtung, auch ausgelöst durch die öffentliche Diskussion.
Auf der einen Seite sehen wir eine Entwicklung von unten her kommend: Administratoren und Benutzer, die täglich mit den Daten zu tun haben und Maßnahmen zur Datensicherheit fordern. Parallel wächst das Bewusstsein im Management zur Verantwortung für die Daten im eigenen Unternehmen. Schließlich haben auch Audits und Prüfmechanismen ihre Wirkung – man muss die Unternehmen auch ein wenig zu ihrem Glück zwingen.
Wenn jemand ein Restaurant eröffnet, werden aufgrund der Hygieneverordnung regelmäßig sehr genau und systematisch Anlagen und Prozesse im Betrieb geprüft. Solche Hygienevorschriften brauchen wir auch in der IT.
Aus dem Publikum meldet sich Vincenz Leichtfried, L7 Media Services, zu Wort: Ich bin in der Start-up-Szene in Österreich und auch international im Silicon Valley tätig. Wir betreiben verschiedene ortsbasierte Suchmaschinen und starten gerade ein Nachrichtenportal. Natürlich finde ich die Diskussion zu Datenschutz wichtig. Leider vergessen wir dabei, dass gerade Märkte mit weniger strengen Regulativen, wie eben die USA, das Heranwachsen von weltweit erfolgreichen Größen wie Facebook oder Google ermöglichen. Solch ein Umfeld vermisse ich in Europa.
Helmut Fallmann: Genau hier muss ein europäisches Recht, das auch Anbieter aus den USA in die Pflicht nimmt, ansetzen. Es geht uns nicht um die Ausgrenzung anderer Nationen, sondern um einen fairen Wettbewerb auf Augenhöhe.
Johann Maier: Datenschutz ist im Unternehmensbereich ein klarer Wettbewerbsfaktor und sollte daher weiter verstärkt werden. Hier wurden in den letzten Jahren mit Unterstützung der Europäischen Kommission Modelle wie »Datenschutz by design« und auch ein Europäisches Datenschutzgütesiegel entwickelt. Wenn ein neues Geschäftsmodell entsteht, sollte von Beginn an Datenschutz mitgedacht werden. In Europa ist das Recht auf Privatsphäre ein Grundrecht im Sinne der Europäischen Menschenrechtskonvention. Das unterscheidet Europa von anderen Kontinenten, Ländern und deren staatlichen Verfassungen.
Zitate aus dem Gespräch:
"In einer global vernetzten Welt endet Datenschutz nicht an der Landesgrenze. Auch sehen wir eine Wettbewerbsverzerrung für die heimische Wirtschaft."
"Datenschutz und Wirtschaft sind keine Gegenspieler. Die Debatte hatten wir schon beim Umweltschutz."
"Ich befürchte, dass es durch die Datenschutz-Grundverordnung in einigen Bereichen zu Rückschritten kommen wird."
"Jedes Restaurant wird regelmäßig und genau geprüft. Ähnliche Hygienevorschriften brauchen wir auch in der IT."
Fotos zur Veranstaltung unter https://www.flickr.com/photos/award2008/sets/72157649416150726/ Fotografin: Milena Krobath
Video unter https://www.fabasoft.com/cloud/de-at/lp/fabasoft-techsalon-mehr-datenschutz-weniger-geschaft