Seit Ende Mai 2018 ist sie auch für den deutschen Rechtsraum bindend: Die Rede ist von der EU-Datenschutzgrundverordnung, kurz Datenschutzgrundverordnung (DSGVO). Bereits im Mai 2016 verabschiedet, kommen die Unternehmen in 2018 dann endgültig nicht mehr an ihr vorbei. Auf deutsche Betriebe kommen mit ihr datenschutzrechtlich einige erhöhte Anforderungen hinzu. Wie eine aktuelle Studie der Artegic zeigt, wissen deutsche Unternehmer von der neuen Verordnung. Mit der Umsetzung der Datenschutz-Grundverordnung ist bisher allerdings kaum begonnen worden.
Was hat die Artegic-Studie zur DSGVO-Umsetzung gezeigt?
Im Frühjahr 2017 wurden verschiedene Unternehmen zur Datenschutzgrundverordnung befragt. Dabei gaben immerhin fast 60 % der befragten deutschen Unternehmen aus dem B2B-Segment an (im B2C-Bereich waren es rund 44 %), bereits etwas von der neuen Verordnung gehört zu haben, aber nur 38 % (im B2C-Segment 47,1 %) hatten sich bereits damit beschäftigt. Auf die Bedeutung und die Umsetzung der Datenschutz-Grundverordnung angesprochen, fühlten sich über 87 % aller Unternehmen deutlich bis moderat von der DSGVO betroffen. Trotz dieser Einschätzung hatten zum Zeitpunkt der Befragung aber nur 10 % aller Unternehmen die Anforderungen der Datenschutzgrundverordnung bereits umgesetzt. Was macht die Unternehmen hier so zögerlich?
Mögliche Gründe für die zögerliche DSGVO-Umsetzung
Viele Unternehmen sehen offensichtlich den Datenschutz immer noch als eine etwas lästige, aber leidlich vernachlässigbare Pflicht an. Das mag unter anderem daran liegen, dass Verstöße gegen datenschutzrechtliche Pflichten vom deutschen Gesetzgeber bisher eher milde geahndet worden sind. Mit der neuen Verordnung hat sich allerdings die Höhe der möglichen Bußgelder signifikant gesteigert. Bis zu 20 Millionen Euro, respektive 4 % des gesamten weltweiten Umsatzes, der von dem Unternehmen im Vorjahr erzielt wurde, können jetzt als Geldbuße gefordert werden. Hinzu kommt, dass die DSGVO die einzelnen Staaten ausdrücklich ermächtigt, für zusätzliche strafrechtliche Sanktionen zu sorgen. Abgesehen von der Sanktionslage haben viele deutsche Unternehmer noch nicht verstanden, dass die Umsetzung datenschutzrechtlicher Regelungen nicht nur Last, sondern auch Chance ist. Hier liegen Wettbewerbsvorteile sowie auch Vorteile im Hinblick auf den Schutz eigener Unternehmensdaten verborgen, die vielfach noch nicht erkannt wurden. Obwohl allein der Datenklau von innen heraus Unternehmen jährlich um die 5 Milliarden Euro kostet und jedes fünfte Unternehmen von solchen Vorgängen betroffen sein soll, wächst erst allmählich die Erkenntnis, dass ein effektiver Datenschutz an solchen Zahlen etwas ändern könnte. Zunächst einmal erfordert die Umsetzung der Datenschutz-Grundverordnung die eine oder andere Investition, und diese schieben die Unternehmen gern hinaus.
Welche wesentlichen Anforderungen stellt die Datenschutzgrundverordnung?
Auf die Unternehmen kommen vor allem neue oder erhöhte Anforderungen in den Bereichen der Datenerhebung und Datenverarbeitung zu. Im Bereich des technischen Datenschutzes etwa sind verbraucher- und datenschutzfreundliche Voreinstellungen abzuschätzen. Insgesamt wird den Unternehmen eine höhere Verantwortlichkeit bei der Abschätzung datenschutzrechtlicher Risiken aufgebürdet, die in geeignete technische und organisatorische Maßnahmen zum Datenschutz einfließen müssen. Diese Maßnahmen müssen teilweise in Verzeichnisse übertragen und so der Behörde nachgewiesen werden. Bei Vorhaben, die ein großes Risiko für den Datenschutz mit sich bringen, muss das Unternehmen in Zukunft eine Datenschutzfolgeabschätzung vornehmen und dazu unter Umständen auch noch in der Planungsphase des Vorhabens die Aufsichtsbehörde konsultieren. Unter dem Strich müssen Unternehmen also ihre Datenschutzvorkehrungen viel transparenter machen und verstärkt Rechenschaft zu ihren Bemühungen um den Datenschutz abgeben. Das erfordert bei der DSGVO-Umsetzung schon einige strukturelle Änderungen im Unternehmen.
Besser jetzt mit der DSGVO-Umsetzung beginnen
Es ist höchste Zeit, mit der Umsetzung der Datenschutz-Grundverordnung zu beginnen. Der organisatorische und teilweise auch technische Aufwand sollte dabei nicht unterschätzt werden. Außerdem ist nicht davon auszugehen, dass die Behörden nach Mai 2018 den Unternehmen eine weitere stillschweigende "Karenzzeit" zur DSGVO-Umsetzung einräumen. Schließlich hatten vorab alle Unternehmen gleichermaßen 2 Jahre Zeit, um die Umstellungen vorzunehmen. Unverständlich ist auch, warum nur so wenige Betriebe die erforderlichen Änderungen als Wettbewerbsvorteil nutzen. "Wir arbeiten bereits nach den Vorgaben der DSGVO" ist ein Prädikat, das durchaus Aufmerksamkeit findet. Das trifft besonders auf den B2C-Bereich zu, weil Datenschutz in der Öffentlichkeit ein sensibles Thema ist.
Artikel veröffentlicht am: 21. August 2017
