Datenschutz: Bald droht der DSGVO-Bußgeld-Schock
Ab Mai 2018 gilt EU-weit die Datenschutzgrundverordnung (DSGVO) – und erst 13 Prozent der deutschen Unternehmen haben erste Maßnahmen zur Umsetzung der neuen Vorgaben begonnen, so eine Bitkom-Umfrage. Jedes dritte Unternehmen hat sich noch gar nicht mit der DSGVO beschäftigt. Das kann teuer werden.
Auf die große Mehrheit der Unternehmen in Deutschland können schon in wenigen Monaten Bußgeldforderungen in Millionenhöhe zukommen – das vorgesehene Strafmaß der DSGVO im Falle von Verstößen beläuft sich auf bis zu vier Prozent des Jahresumsatzes. Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) umgesetzt sein, doch nur eine Minderheit wird diesen Termin einhalten können. Das zeigt eine repräsentative Umfrage unter mehr als 500 Unternehmen, die der Digitalverband Bitkom durchgeführt hat. Befragt wurden Datenschutzverantwortliche (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland.
Vorbereitungen in Unternehmen mangelhaft
Demnach gehen selbst von den Unternehmen, die sich aktuell mit der DSGVO beschäftigen, nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zum 25. Mai 2018 vollständig umgesetzt haben. Weitere 20 Prozent erwarten, dass sie die Anforderungen zum größten Teil erfüllen werden. Mehr als jedes zweite Unternehmen (55 Prozent) sagt jedoch, in acht Monaten werde die Umsetzung nur teilweise erfolgt sein. Eine im Auftrag des Softwareanbieters und Storage-Spezialisten Veritas Technologies durchgeführte Umfrage kommt zu dem Ergebnis, dass in weltweit führenden Wirtschaftsländern sogar nur zwei Prozent der Unternehmen auf die DSGVO vorbereitet sind. Befragt wurden hierfür 900 Führungskräfte in Deutschland und acht weiteren Industrienationen wie USA, Frankreich, Großbritannien und Japan. Ein Grund für diese frappierend geringe Quote besteht in dem offensichtlich weit verbreiteten Irrglauben, dass die DSGVO nur für Firmen mit Sitz in der EU gelte. Tatsächlich gilt das so genannte Marktortprinzip: Jedes Unternehmen weltweit, das personenbezogene Daten von EU-Bürgern – etwa von Kunden oder Mitarbeitern aus dem EU-Raum – erfasst und verarbeitet (oder verarbeiten lässt), muss sich an die neue Regelung halten.
Die Zeit läuft den Unternehmen davon
„Die Zeit drängt, um die Vorgaben der Datenschutzgrundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, sagte Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom, bei Veröffentlichung der Studienergebnisse im September 2017. „Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens.“
Aktuell haben laut Bitkom-Umfrage erst 13 Prozent der Unternehmen erste Maßnahmen zur Umsetzung der DSGVO begonnen oder abgeschlossen. 49 Prozent beschäftigen sich derzeit mit dem Thema, doch jedes dritte Unternehmen (33 Prozent) gibt an, sich bislang überhaupt noch nicht mit den Vorgaben der Verordnung befasst zu haben.
Selbst Datenschutz-Basics fehlen
Häufig mangelt es selbst an grundlegenden organisatorischen Voraussetzungen für den Datenschutz im Unternehmen. So geben 42 Prozent der Unternehmen an, dass sie über kein Verfahrensverzeichnis verfügen, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DSGVO schwierig. Die neue Verordnung verlange von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung, und eine solche Datenschutz-Dokumentation werde in Streitfällen eine wichtige Rolle spielen, betont Bitkom-Expertin Dehmel. Für ein Unternehmen kann ein Verfahrensverzeichnis als Nachweis dienen, dass alle seine Prozesse datenschutzkonform ablaufen, falls Aufsichtsbehörden eine entsprechende Prüfung durchführen.
Personenbezogene Daten im Fokus
Die Umfrage zeigt auch: Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes Dritte (32 Prozent) setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen (42 Prozent) geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. Dehmel: „Angesichts der Bedeutung von personenbezogenen Daten für die Geschäftstätigkeit der Unternehmen ist es schwer nachzuvollziehen, warum so viele die Übergangsfrist bei der Datenschutzgrundverordnung bislang untätig verstreichen ließen.“
Größte Hürden: Unklarer Umsetzungsaufwand und Rechtsunsicherheit
Die Unternehmen, die sich mit der DSGVO beschäftigt haben oder dies noch tun wollen, nennen als größte Herausforderungen bei der Umsetzung den schwer abzuschätzenden Aufwand (52 Prozent), Rechtsunsicherheit (43 Prozent) und mangelnde praktische Umsetzungshilfen (32 Prozent). Entsprechend wünschen sich 28 Prozent Auslegungshilfen der Verordnung durch die EU-Kommission, 27 Prozent hätten gerne Praxisleitfäden und 16 Prozent Handreichungen von den Aufsichtsbehörden. „Das Gesetz ist an vielen Stellen vage und den Unternehmen fehlen Vorgaben, wie sie damit umgehen sollen. Konkrete Vorgaben wären hilfreich“, so Dehmel. „Allerdings dürfen die rechtlichen Unsicherheiten kein Grund dafür sein, die Hände in den Schoß zu legen.“ 35 Prozent der Unternehmen rechnen damit, dass ihnen durch die DSGVO künftig Mehraufwand entstehen wird.
Unternehmen sehen Risiken, aber auch Chancen durch DSGVO
Bei der grundsätzlichen Bewertung der Datenschutzgrundverordnung halten sich Zuversicht und Skepsis die Waage. So rechnen 6 von 10 Unternehmen (60 Prozent) damit, dass die DSGVO langfristig zu mehr Rechtssicherheit führt, fast ebenso viele (57 Prozent) erwarten einheitlichere Wettbewerbsbedingungen in der EU. 4 von 10 Unternehmen sagen sogar, dass ihr eigenes Unternehmen durch die DSGVO Vorteile hat (39 Prozent) und dass sie ein Wettbewerbsvorteil für europäische Unternehmen ist (38 Prozent).
Allerdings gibt es auch kritische Einschätzungen. So befürchten 57 Prozent kurzfristig mehr Rechtsunsicherheit, 42 Prozent glauben, dass Geschäftsprozesse komplizierter werden. Mehr als jeder dritte Befragte (36 Prozent) sagt zudem, die DSGVO bremse Innovationen in Europa, jeder Vierte (23 Prozent) sieht einen Wettbewerbsnachteil für europäische Unternehmen. Und 14 Prozent bewerten die Datenschutzverordnung sogar als Gefahr für die eigene Geschäftstätigkeit.
Auch IT- und Digitalunternehmen vernachlässigen DSGVO
Pikante Randnotiz: Erst wenige Monate zuvor hatte Bitkom unter 200 IT- und Digitalunternehmen eine Umfrage zum Stand der DSGVO-Vorbereitungen durchgeführt. Diese zeigte, dass selbst unter den Datenspezialisten große Nachlässigkeit herrscht: Jedes fünfte IT- und Digitalunternehmen (19 Prozent) hat sich noch gar nicht mit dem Thema beschäftigt, und nur jedes dritte (34 Prozent) zumindest erste Maßnahmen eingeleitet oder sogar schon umgesetzt. Vier von zehn Unternehmen (42 Prozent) beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen begonnen.
FAQs und Praxisleitfäden
Für den Einstieg in das Thema DSGVO hat der Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht, die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben. Außerdem informieren vier Praxisleitfäden des Bitkom darüber, wie sich verschiedene Verpflichtungen aus der Verordnung im Unternehmen umsetzen lassen: „Datenübermittlung in Drittstaaten“, „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie die „Mustervertragsanlage zur Auftragsverarbeitung“. Alle Informationen stehen auf der Bitkom-Webseite zum kostenlosen Download bereit.
Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG