Gehört auch Ihr Unternehmen zu den DSGVO-Schlafwandlern?
Datenschutz-Grundverordnung: Das Wort verspricht keine aufregende Lektüre. Selbstredend hält jeder Datenschutz für wichtig, also den der eigenen Daten. Beim Schutz persönlicher Daten von Mitarbeitern, Partnern und Kunden braucht es dagegen professionelles Pflichtbewusstsein – und saftige Strafen helfen auch. Zehn Belege, dass die Mehrheit der Unternehmen lieber hohe Datenschutz-Risiken in Kauf nimmt.
Und wie steht’s mit Ihrem Betrieb? Machen Sie einen Selbsttest!
Beim Datenschutz nicht den Kopf in den Sand stecken! Bild: © istock.com / Jan-Otto
Hohe Bußgelder drohen. Bild: © istock.com / Stadtratte
1. Das unterschätzte Strafmaß
Bis zu 20 Millionen Euro oder maximal vier Prozent des weltweiten Umsatzes muss jetzt jedes Unternehmen zahlen, das massiv gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) verstößt. Ein solches Bußgeld beeindruckt, sollte man meinen. Tatsächlich denken 63 Prozent der Betriebe: „So schlimm wird’s schon nicht kommen!“ Sie rechnen allenfalls mit Strafen, die zweihundert mal kleiner sind. Nur 15 Prozent sind sich der (unmittelbaren) finanziellen Risiken von Datenschutzverstößen bewusst. Herausgefunden haben das die Marktforscher von techconsult.
Studie und kostenloser Selbsttest
Vergangenen November befragten Analysten von techconsult, unter anderem mit Unterstützung von QSC, 259 deutsche Unternehmen unterschiedlicher Größe. Ihr Befund: Sechs von zehn befragten Unternehmen sind nicht DSGVO-konform, und das fast ein Jahr nach Inkrafttreten der EU-Verordnung. Ein Fünftel hat sich noch gar nicht um die einheitlichen Datenschutzregeln für den europäischen Binnenmarkt gekümmert. Es herrscht also Handlungsbedarf.
Eingeflossen sind die Umfrageergebnisse von techconsult in den DSGVO-Index. Auf dieser Website können Unternehmen effektiv prüfen, wie weit sie die DSGVO in ihrer Organisation bereits umgesetzt haben. Besonders interessant: Zur Auswertung erhalten alle Teilnehmer einen Vergleich ihres Umsetzungsgrads mit dem Durchschnitt in ihrer Branche.
Machen Sie noch heute den DSGVO-Test!
Mehr Freiheiten für Behörden. Bild: © istock.com / Nikada
2. Der Amtmann gönnt sich ’ne Freifahrt
Freilich mildert sich jede Dringlichkeit, wenn Strafe nur den anderen droht: Gegen öffentliche Einrichtungen nämlich dürfen keine Bußgelder verhängt werden. Ausgerechnet. Denn in keiner anderen Branche würden mehr Daten gesammelt als in der öffentlichen Verwaltung, so die Experten von Techconsult – und darum verlangen dort auch besonders viele Bürger Auskunft über gespeicherte Daten.
Kunden und Bürger verlangen Auskunft. Bild: © istock.com / SIphotography
3. Die Nutzer wollen’s genau wissen
So gingen bei 56 Prozent der befragten Behörden bereits Bürgeranfragen ein, persönliche Daten zu korrigieren, zu sperren, zu löschen oder offen zu legen, was gespeichert wurde. Im Durchschnitt über alle Branchen haben Nutzer ihre Betroffenenrechte bei 39 Prozent der Umfrageteilnehmer geltend gemacht.
Oft bleiben Nutzer im Ungewissen. Bild: © istock.com / Image Source
4. Auf dumme Fragen gibt’s keine Antworten
Doch wie gut sind die Unternehmen für solche Anfragen gerüstet? Schließlich dürfen Nutzer spätestens nach vier Wochen eine Antwort erwarten. In puncto Schnelligkeit liegen die befragten Unternehmen schon ganz gut: Fast zwei Drittel reagieren innerhalb weniger Tage. Aber zwölf Prozent der Behörden gönnen sich drei bis fünf Wochen für die Bearbeitung, reißen also durchaus mal die gesetzliche Frist. Jede zehnte Anfrage lassen öffentliche Verwaltungen sogar ganz unbeantwortet.
Wer will was wissen über Ihre Daten? Bild: © istock.com / andriano_cz
5. Da könnt ja jeder kommen
Was so schlecht vielleicht gar nicht, schaut man sich den Bearbeitungsprozess im Detail an: Denn ein Viertel der teilnehmenden Behörden prüft bei Datenschutzanfragen überhaupt nicht die Identität des Antragstellers. Besonders unkritisch gehen hierbei auch Handel und Industrie vor, die ein Drittel der Anträge ohne Identitätsprüfung beantworten. So könnten persönliche Daten in falsche Hände geraten. Die Verantwortlichen würden das Kind mit dem Bade ausschütten.
Verpennt wird die Vorsorge für Datenpannen. Bild: © istock.com / fongleon356
6. Verschnarcht im Krisenfall
Damit wären wir bei den Datenschutzpannen. Spätestens dann sind erprobte Prozesse unentbehrlich. Schließlich müssen betroffene Unternehmen meldepflichtige Vorfälle bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden anzeigen. Doch mehr als ein Drittel der befragten Organisationen nimmt’s gemütlich und verzichtet ganz auf eingespielte Abläufe und klare Zuständigkeiten, selbst im Krisenfall. Ein Viertel vertraut bestenfalls auf grobe Anweisungen, zur Orientierung. Auch hier macht ein hoher Anteil von Behörden ebenso wie Handels und Telekommunikationsunternehmen keine gute Figur.
Aufholjagd der Energie- und Wasserversorger. Bild: © istock.com / Yuri_Arcurs
7. Die Letzten wollen die Ersten sein
Zu den Sorgenkindern gehören auch die Energie- und Wasserversorger. Bislang bilden sie das Schlusslicht bei der Umsetzung der DSGVO. Gerade einmal jedes fünfte Unternehmen geht mittlerweile konform mit den neuen Datenschutzregeln. Aber die Branche holt auf: Nach Auskunft der Umfrageteilnehmer hat die öffentliche Diskussion über die neue EU-Regelung den Stellenwert des Datenschutzes bei den Versorgern deutlich erhöht. Bei Nutzeranfragen geht die Energie- und Wasserwirtschaft schon heute besonders gewissenhaft vor und prüft in 60 Prozent der Fälle die Identität regelmäßig und bei weiteren 20 Prozent auf Verdacht. Vorbildlich verhält sich die Branche beim Umfang der persönlichen Daten, die ihre Unternehmen speichern.
Spätzle-Suppe mögen alle. Auch der Datenhunger ist groß. Bild: © istock.com / mjutabor
8. Kaum schwäbische Tugenden
Stichwort Datenminimierung: Guter Datenschutz beginnt nicht erst bei der Datenverarbeitung, wie die Experten von Techconsult betonen, sondern schon bei der Überlegung, welche Daten für die Geschäftstätigkeit erforderlich sind und welche nicht. Während Versorger und Finanzdienstleister möglichst wenig persönliche Daten zu speichern versuchen, sind die Telekommunikationsdienstleister großzügiger. Nur jedes dritte Unternehmen der Branche strebt überhaupt nach Datenminimierung. Genauso wie eine weitere Branche. Siehe Punkt 9.
Autsch: Nur wenig Datenschutz im Gesundheitswesen. Bild: © istock.com / catalinr
9. Das Gesundheitswesen setzt auf Selbstheilungskräfte
Obwohl dort besonders sensible Daten verarbeitet werden, bemüht sich im Gesundheitswesen nur jedes zweite Unternehmen um Sparsamkeit im Umgang mit persönlichen Daten. Nur ein Drittel der befragten Gesundheitsorganisationen erfüllt überhaupt die Vorgaben der Datenschutz-Grundverordnung. Bei den Prozessen im Krisenfall sieht es auch nicht gut aus. Vielleicht hoffen die Unternehmen, dass Datenlecks von selbst heilen?
Leere Schulbänke, es wird zu wenig Datenschutzwissen vermittelt. Bild: © istock.com / Pixelci
10. Wer drückt schon gern die Schulbank?
Nichts ist schrecklicher als tätige Unwissenheit, wusste schon Goethe. Trotzdem verzichten 34 Prozent aller befragten Unternehmen darauf, ihre Mitarbeiter zu schulen oder ihnen wenigstens konkrete Anweisungen für den Umgang mit persönlichen Daten mitzugeben. Ein Viertel der Unternehmen bot zwar interne Schulungen an, doch nicht für alle Mitarbeiter. Im Gesundheitswesen war die Bildungsvermeiderquote mit 44 Prozent am höchsten.
Groß rauskommen in der DSGVO-Studie die Banken und Versicherungen. Bild: © istock.com / RichVintage
… Ein paar „Streber“ gibt’s aber auch
Doch selbst bei völlig missratenen Klassenarbeiten gibt es immer den einen Streber, der trotzdem wieder eine Eins bekommt. In Sachen Datenschutz schnitten Banken und Versicherung in der Techconsult-Umfrage durchweg positiv ab. DSGVO-Umsetzungsgrad: 74 Prozent! Top-Platzierungen gab es auch bei den Themen Weiterbildung, Datenminimierung und Prozessen.
Lieber jetzt, als nie: Machen Sie den Selbsttest!
- Wie gut hat sich Ihr Unternehmen auf die Datenschutz-Grundverordnung vorbereitet?
- Liegen Sie vielleicht sogar über dem Durchschnitt Ihrer Branche?
Der Selbsttest mit dem DSGVO-Index von techconsult zeigt klar, wo ein Unternehmen steht und welcher Handlungsbedarf noch vorhanden ist. Der Test ist kostenfrei. Auf der Website bieten die Experten von techconsult zudem nützliches Hintergrundwissen und exzellent aufbereite Analysen aus der Umfrage.
