Veri­tas Stu­die: Deut­sche Unter­neh­men schlecht auf DSGVO vor­be­rei­tet

Vor allem klei­ne und mit­tel­stän­di­sche Betrie­be haben noch erheb­li­che Defi­zi­te und schei­tern schon bei der Beant­wor­tung grund­le­gen­der Fra­gen der neu­en Daten­schutz­ver­ord­nung.

48 Pro­zent der deut­schen Unter­neh­men sehen sich schlecht auf die neue Daten­schutz­ver­ord­nung vor­be­rei­tet, die in knapp einem Jahr in Kraft tritt. Im Ver­gleich mit ande­ren euro­päi­schen Län­dern liegt Deutsch­land damit auf dem letz­ten Platz, wie eine Stu­die des Infor­ma­ti­on-Manage­ment-Spe­zia­li­sten Veri­tas her­vor­geht.

Die EU-Daten­schutz­grund­ver­ord­nung, kurz DSGVO oder eng­lisch Gene­ral Data Pro­tec­tion Regu­la­ti­on, GDPR, tritt am 25 2018 in Kraft. Damit sol­len Daten­schutz-, Auf­be­wah­rungs- und Gover­nan­ce-Gesetz­ge­bung inner­halb der Euro­päi­schen Uni­on har­mo­ni­siert wer­den. In der Pra­xis bedeu­tet das, vor allem dass bei per­so­nen­be­zo­ge­nen Daten Unter­neh­men nach­wei­sen kön­nen müs­sen, wo die­se gespei­chert sind und wer sie auf wel­che Wei­se ver­ar­bei­tet. Die Ver­ord­nung gilt jedoch auch für Orga­ni­sa­tio­nen, die Daten von EU-Bür­gern Spei­chern, also auch für Goog­le, Face­book, Ama­zon oder aber auch klei­ne­re Anbie­ter, die inner­halb der EU Ser­vices oder Pro­duk­te anbie­ten.

Welt­weit betrach­tet bezwei­feln 47 Pro­zent, die Dead­line ein­hal­ten zu kön­nen. Unter­neh­men, die gegen die Vor­ga­ben ver­sto­ßen dro­hen im Ernst­fall Straf­zah­lun­gen in Höhe von 20 Mil­lio­nen Euro oder vier Pro­zent des Gesamt­um­sat­zes wobei die höhe­re Sum­me ange­setzt wird. Für Unter­neh­men erwächst hier ein neu­es Risi­ko: 18 Pro­zent der Unter­neh­men befürch­ten im Fall einer Straf­zah­lung, gänz­lich vom Markt zu ver­schwin­den. 21 Pro­zent befürch­ten ande­re Fol­gen wie etwa Stel­len­ab­bau.

Auch die Außen­wir­kung berei­tet Unter­neh­men Kopf­zer­bre­chen. Das gilt vor allem für den Fall, wenn ein Com­pli­an­ce-Ver­stoß auf­grund der Ver­pflich­tung, Daten­lecks zu mel­den, an die Öffent­lich­keit gelangt. 19 Pro­zent der Befrag­ten gehen davon aus, dass nega­ti­ve Berich­te in Medi­en oder sozia­len Netz­wer­ken Kun­den ver­an­las­sen könn­ten, zur Kon­kur­renz zu wech­seln. In Deutsch­land fürch­ten sich sogar 24 Pro­zent vor schlech­ter Pres­se – der glo­ba­le Spit­zen­wert. Wei­te­re zwölf Pro­zent erwar­ten den Wert­ver­fall der Unter­neh­mens­mar­ke, in Deutsch­land sind es 15 Pro­zent.

Wo lie­gen die Daten?

Schon die erste Fra­ge, die sich im Zuge der DSGVO stellt, kön­nen vie­le Unter­neh­men nicht mehr beant­wor­ten: Wo lagern Daten, was ent­hal­ten die­se und inwie­weit sind sie rele­vant? Zusätz­lich befürch­ten 39 Pro­zent, dass ihr Unter­neh­men Daten nicht treff­si­cher iden­ti­fi­zie­ren und in der IT-Land­schaft loka­li­sie­ren kann.

Die Richt­li­nie schreibt aber Unter­neh­men vor, per­so­nen­be­zo­ge­ne Daten auf Anfra­ge inner­halb einer sehr kur­zen Frist zu loka­li­sie­ren und dem Antrag­stel­ler inner­halb von 30 Tagen eine Kopie sei­ner Daten zur Ver­fü­gung zu stel­len oder die­se, falls gewünscht, zu löschen.

32 Pro­zent der Befrag­ten gaben an, kei­ne Tech­no­lo­gie zu besit­zen, mit der Daten ver­wal­tet wer­den kön­nen. Was wie­der­um die effek­ti­ve Suche nach den Daten erschwert.

Bei 42 Pro­zent der befrag­ten Unter­neh­men welt­weit sind kei­ne Pro­zess defi­niert, nach denen Daten klas­si­fi­ziert wer­den. Dies ist aber not­wen­dig, um zu ent­schei­den, ob Daten gespei­chert oder gelöscht wer­den müs­sen. Gemäß der DSGVO steht Unter­neh­men auch zu, Daten zu behal­ten. Das ist jedoch nur dann der Fall, wenn die betrof­fe­ne Per­son über die Grün­de infor­miert wur­de. Sind die­se jedoch erfüllt, müs­sen die frag­li­chen Infor­ma­tio­nen sofort gelöscht wer­den.

Noch gut ein Jahr haben Orga­ni­sa­tio­nen Zeit, sich auf die DSGVO vor­zu­be­rei­ten. Deut­sche Unter­neh­men sehen sich zu 36 Pro­zent vor­be­rei­tet. Im Ver­ei­nig­ten König­reich, den USA und Frank­reich sei­en etwa 60 Pro­zent der Befrag­ten laut eige­nen Anga­ben in der Lage, recht­zei­tig alle Rege­lun­gen erfül­len zu kön­nen. Für alle ande­ren wer­den in den näch­sten Mona­ten noch Inve­sti­tio­nen zukom­men. Im Schnitt gehen Unter­neh­men von 1,3 Mil­lio­nen Euro Mehr­ko­sten durch die DSGVO aus. Deut­sche Unter­neh­men ver­an­schla­gen im Schnitt 820.000 Euro. Aller­dings könn­te die­se Zahl noch stei­gen.

Wir stel­len eine deut­li­che Stei­ge­rung der Bera­tungs­an­fra­gen fest, die sich fast aus­schließ­lich auf die Anwen­dung der in näch­stem Jahr wirk­sam wer­den­den Daten­schutz-Grund­ver­ord­nung (DSGVO) bezie­hen”, erklärt Tho­mas Kra­nig, Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht.

Laut Kra­nig sei­en es vor allem grö­ße­re Unter­neh­men, die bereits geeig­ne­te Pro­zes­se etwa für das Löschen von nicht mehr erfor­der­li­chen Daten instal­liert haben.

Viel pro­ble­ma­ti­scher ist die Situa­ti­on bei klei­nen und mit­tel­stän­di­schen Unter­neh­men, die zum Teil noch gar nicht rea­li­siert haben, dass und wel­che Anfor­de­run­gen in Zukunft auf sie zukom­men”, warnt Kra­nig.

Jedoch mache es für einen Betrof­fe­nen es kei­nen Unter­schied, ob sein Per­sön­lich­keits­recht durch ein gro­ßes oder klei­ne­res Unter­neh­men ver­letzt wird. Die Ver­brau­cher wer­den durch die DSGVO gestärkt die Betrof­fe­nen­rech­te gegen­über allen Ver­ant­wort­li­chen gel­tend machen. “Auch die Daten­schutz­auf­sichts­be­hör­den ste­hen in den Start­lö­chern, um zeit­nah nach Wirk­sam­wer­den der DSGVO im Mai 2018 ihre Prü­fungs­ak­ti­vi­tä­ten zu inten­si­vie­ren. Abwar­ten und nichts tun, ist mehr als ris­kant”, warnt der Daten­schutz­ex­per­te.

Wenn geschäft­li­che Bezie­hun­gen zur Regi­on exi­stie­ren, gilt die DSGVO”, erklärt Andre­as Bech­ter, Seni­or Pro­duct Mana­ger bei Veri­tas. Ein Ver­drän­gen der Anfor­de­run­gen mache kei­nen Sinn. “Jetzt wäre es an der Zeit, einen Bera­ter ein­zu­be­zie­hen, der den aktu­el­len Stand eva­lu­iert und dem Unter­neh­men hilft eine Com­pli­an­ce-Stra­te­gie zu ent­wickeln. Den Kopf in den Sand zu stecken ist kei­ne Alter­na­ti­ve – es geht um Arbeits­plät­ze, Repu­ta­ti­on und das Wohl­erge­hen des Unter­neh­mens.”

Für den Veri­tas 2017 GDPR Report wur­den Anfang die­ses Jah­res 900 Füh­rungs­kräf­te in Unter­neh­men mit min­de­stens 1000 Mit­ar­bei­tern in Euro­pa, Asi­en und den USA befragt .