Vor allem kleine und mittelständische Betriebe haben noch erhebliche Defizite und scheitern schon bei der Beantwortung grundlegender Fragen der neuen Datenschutzverordnung.

48 Prozent der deutschen Unternehmen sehen sich schlecht auf die neue Datenschutzverordnung vorbereitet, die in knapp einem Jahr in Kraft tritt. Im Vergleich mit anderen europäischen Ländern liegt Deutschland damit auf dem letzten Platz, wie eine Studie des Information-Management-Spezialisten Veritas hervorgeht.

Die EU-Datenschutzgrundverordnung, kurz DSGVO oder englisch General Data Protection Regulation, GDPR, tritt am 25 2018 in Kraft. Damit sollen Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union harmonisiert werden. In der Praxis bedeutet das, vor allem dass bei personenbezogenen Daten Unternehmen nachweisen können müssen, wo diese gespeichert sind und wer sie auf welche Weise verarbeitet. Die Verordnung gilt jedoch auch für Organisationen, die Daten von EU-Bürgern Speichern, also auch für Google, Facebook, Amazon oder aber auch kleinere Anbieter, die innerhalb der EU Services oder Produkte anbieten.

Weltweit betrachtet bezweifeln 47 Prozent, die Deadline einhalten zu können. Unternehmen, die gegen die Vorgaben verstoßen drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes wobei die höhere Summe angesetzt wird. Für Unternehmen erwächst hier ein neues Risiko: 18 Prozent der Unternehmen befürchten im Fall einer Strafzahlung, gänzlich vom Markt zu verschwinden. 21 Prozent befürchten andere Folgen wie etwa Stellenabbau.

Auch die Außenwirkung bereitet Unternehmen Kopfzerbrechen. Das gilt vor allem für den Fall, wenn ein Compliance-Verstoß aufgrund der Verpflichtung, Datenlecks zu melden, an die Öffentlichkeit gelangt. 19 Prozent der Befragten gehen davon aus, dass negative Berichte in Medien oder sozialen Netzwerken Kunden veranlassen könnten, zur Konkurrenz zu wechseln. In Deutschland fürchten sich sogar 24 Prozent vor schlechter Presse – der globale Spitzenwert. Weitere zwölf Prozent erwarten den Wertverfall der Unternehmensmarke, in Deutschland sind es 15 Prozent.

Wo liegen die Daten?

Schon die erste Frage, die sich im Zuge der DSGVO stellt, können viele Unternehmen nicht mehr beantworten: Wo lagern Daten, was enthalten diese und inwieweit sind sie relevant? Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann.

Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen.

32 Prozent der Befragten gaben an, keine Technologie zu besitzen, mit der Daten verwaltet werden können. Was wiederum die effektive Suche nach den Daten erschwert.

Bei 42 Prozent der befragten Unternehmen weltweit sind keine Prozess definiert, nach denen Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Gemäß der DSGVO steht Unternehmen auch zu, Daten zu behalten. Das ist jedoch nur dann der Fall, wenn die betroffene Person über die Gründe informiert wurde. Sind diese jedoch erfüllt, müssen die fraglichen Informationen sofort gelöscht werden.

Noch gut ein Jahr haben Organisationen Zeit, sich auf die DSGVO vorzubereiten. Deutsche Unternehmen sehen sich zu 36 Prozent vorbereitet. Im Vereinigten Königreich, den USA und Frankreich seien etwa 60 Prozent der Befragten laut eigenen Angaben in der Lage, rechtzeitig alle Regelungen erfüllen zu können. Für alle anderen werden in den nächsten Monaten noch Investitionen zukommen. Im Schnitt gehen Unternehmen von 1,3 Millionen Euro Mehrkosten durch die DSGVO aus. Deutsche Unternehmen veranschlagen im Schnitt 820.000 Euro. Allerdings könnte diese Zahl noch steigen.

“Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen”, erklärt Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

Laut Kranig seien es vor allem größere Unternehmen, die bereits geeignete Prozesse etwa für das Löschen von nicht mehr erforderlichen Daten installiert haben.

“Viel problematischer ist die Situation bei kleinen und mittelständischen Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen”, warnt Kranig.

Jedoch mache es für einen Betroffenen es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Die Verbraucher werden durch die DSGVO gestärkt die Betroffenenrechte gegenüber allen Verantwortlichen geltend machen. “Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant”, warnt der Datenschutzexperte.

“Wenn geschäftliche Beziehungen zur Region existieren, gilt die DSGVO”, erklärt Andreas Bechter, Senior Product Manager bei Veritas. Ein Verdrängen der Anforderungen mache keinen Sinn. “Jetzt wäre es an der Zeit, einen Berater einzubeziehen, der den aktuellen Stand evaluiert und dem Unternehmen hilft eine Compliance-Strategie zu entwickeln. Den Kopf in den Sand zu stecken ist keine Alternative – es geht um Arbeitsplätze, Reputation und das Wohlergehen des Unternehmens.”

Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Unternehmen mit mindestens 1000 Mitarbeitern in Europa, Asien und den USA befragt .

Kingston hatte im Januar USB-Sticks mit einer Kapazität von 2 TByte auf den Markt gebracht hat. Die kosten aktuell je nach Anbieter zwischen 1579 (Alternate) und 3620 Euro (Amazon). Für 20 bis 50 Euro sind Speicher-Sticks mit der Kapazität dagegen trotz anderslautender Angebote auf Onlinemarktplätzen nicht zu haben.

Bis zur Geltung der DS-GVO ab 25. Mai 2018 verbleibt den Unternehmen in der EU nicht viel Zeit, ihre Datenschutzorganisation an die neuen Anforderungen der DS-GVO anzupassen. Ab diesem Zeitpunkt wird das Funktionieren des Datenschutzmanagements nach DS-GVO ohne weitere Übergangsfrist erwartet.

Die Aufsichtsbehörden sind aktuell bemüht, durch intensive Abstimmungsrunden eine einheitliche Sichtweise der neu geregelten Grundlagen und Anforderungen an den Datenschutz auf europäischer Ebene zu erzielen. Das BayLDA veröffentlicht in regelmäßigen Abständen ein kurzes Papier zu einem ausgewählten Schwerpunkt der DS-GVO.

Nun hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in 10 Punkten Anregungen für Unternehmen mit Sitz in NRW zusammengestellt. Das Vorgehen unterteilt die LDI NRW wie folgt:
1. Sensibilisierung durchführen
2. Bestandsaufnahme machen
3. Rechtsgrundlage prüfen
4. Personenbezogene Daten von Kindern besonders prüfen
5. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen
6. Verträge checken
7. Datenschutzfolgeabschätzung implementieren
8. Melde- und Konsultationspflichten organisieren
9. Betroffenenrechte und Informationspflichten umsetzen
10. Dokumentation organisieren

Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Verbraucherorganisationen weltweit rufen die G20 auf, sich für die Stärkung digitaler Verbraucherrechte einzusetzen. Sie fordern, Anreize und Leitlinien zu entwickeln, so dass alle Menschen von der digitalen Wirtschaft profitieren können. Höchste Standards bei Online-Sicherheit und Datenschutz müssten gewährleistet werden.

Während die Digitalisierung immer mehr Lebensbereiche betrifft, sind viele Verbraucherinnen und Verbraucher besorgt, dass ihre Rechte dabei auf der Strecke bleiben. Consumers International (CI), der Dachverband von über 200 Verbraucherorganisationen weltweit, und der Verbraucherzentrale Bundesverband (vzbv) haben zehn Empfehlungen entwickelt, um dieses Problem anzugehen.

Die Empfehlungen zum Schutz der Verbraucher in der digitalen Welt werden auf dem G20 Consumer Summit an Gerd Billen, Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz (BMJV), übergeben.

Weiter zur Pressemeldung geht es hier

Datenschutz erklären – über die Notwendigkeit, Datenschutz leicht verständlich zu vermitteln

– Interview mit Thomas Spaeing, BvD-Vorstand –

BvD-News: Herr Spaeing, Datenschutz ist ein komplexes Thema, betrifft aber alle Menschen in der Gesellschaft. Wie kann der BvD dazu beitragen, dass sich Laien mit dem Thema stärker auseinandersetzen, um beispielsweise die Bedeutung der europäischen Datenschutz-Grundverordnung (DS-GVO) für ihren Alltag verstehen können?

Thomas Spaeing: Das können wir nur schaffen, in dem wir Datenschutz herunterbrechen auf konkrete Beispiele aus der Lebenspraxis der Menschen. Die neuen Regelungen betreffen ja nicht nur Datenschutzexperten in Unternehmen und Behörden, sondern auch Personal- oder Abteilungsleiter, Geschäftsführungen, Betriebsräte, Senioren, Hausfrauen, Lehrkräfte und natürlich auch junge Leute, also Kinder und Jugendliche.

BvD-News: Mit der Initiative „Datenschutz geht zur Schule“ hat der BvD ja in den vergangenen Jahren an ganz unterschiedlichen Schulen viel Erfahrung gesammelt. Was interessiert die Jugendlichen an dem Thema?

Thomas Spaeing: Unsere Dozenten stellen sich in ihren Unterrichtseinheiten auf die Fragen der Jugendlichen ein und zeigen ihnen zum Beispiel, was passieren kann, wenn sie von sich unbedacht Daten ins Netz stellen, also zum Beispiel Fotos von einer Party auf Facebook posten. Es passiert immer wieder, dass sich die jungen Leute später bewerben und dann finden Personalabteilungen ein Foto, auf dem der Bewerber betrunken abgebildet ist. Das minimiert natürlich die Job-Chancen. So kann ein unbedachter Moment weitreichende Folgen haben. An Hand solcher Beispiele erkennen die Jugendlichen, welche Konsequenzen es haben kann, private Erlebnisse und Informationen öffentlich zu machen.

BvD-News: Gerade Kinder und Jugendliche nutzten ganz selbstverständlich die vielfältigen Angebote des Internets, die sozialen Medien, YouTube und WhatsApp sind ihre Realität. Kann der BvD Jugendliche außerhalb der Schule da überhaupt noch erreichen?

Thomas Spaeing: In den neuen Medien liegt hier auch eine Chance. Nehmen wir das Beispiel YouTube.

Dort gibt es mittlerweile eine Reihe von richtig guten Filmen und Videos von Netzaktivisten oder auch Künstlern, die sich mit Datenschutz auseinandersetzen. Wir können also genau dort ansetzen und junge Menschen auf diesen Kanälen mit dem Thema erreichen. Das muss natürlich auch in ihrer Sprache stattfinden – und ohne den berühmten erhobenen Zeigefinger. Solche Beiträge finde ich sehr beeindruckend.

BvD-News: Bewegtbilder nehmen in der Kommunikation immer mehr zu. Wird der BvD selbst dort stärker aktiv sein?

Thomas Spaeing: Ja, aber wir wollen selbst nicht in die Filmproduktion einsteigen, sondern andere unterstützen, die einen Film oder einen Clip zum Thema Datenschutz entwickeln.

BvD-News: Wie wird diese Unterstützung konkret aussehen?

Thomas Spaeing: Wir bereiten derzeit einen Preis vor, einen Medienpreis, der die besten Filme zum Thema Datenschutz prämieren wird. Das können Kinofilme sein, wie „Democracy – Im Rausch der Daten“ von David Bernet über die Arbeit des Grünen-Datenschutzexperten Jan Philipp Albrecht in Brüssel, der im vergangenen Jahr viel Aufmerksamkeit auf das Thema Datenschutz gezo- gen hat. Das können aber auch – und damit erreicht man deutlich mehr Menschen – Berichte und Dokumentationen fürs Fernsehen sein, oder kleine Clips, die Jugendgruppen selbst drehen und in denen sie sich pointiert mit dem Thema auseinandersetzen. Die Idee zählt dabei, nicht das Budget.

BvD-News: Wann werden wir mehr erfahren über den neuen Medienpreis zum Thema Datenschutz?

Thomas Spaeing: Auf dem BvD-Verbandstag am 4. Mai werden wir die Details bekannt geben. Wir haben auch schon renommierte Persönlichkeiten für die Jury gewonnen, aber das bleibt bis Mai geheim. Dann fällt auch der Startschuss für die Bewerbungsphase, so dass Interessierte Zeit haben, vielleicht auch speziell für den Preis einen Beitrag zu produzieren. Die Sieger werden wir dann auf dem Verbandstag 2018 feierlich küren.

Dieses Interview wurde in der aktuellen BvD-News 1/2017 veröffentlicht.