Die DSGVO kommt – viele Unternehmen sind aber immer noch schlecht vorbereitet
Unterschiedlichste Studien zeichnen ein erschreckendes Bild deutscher Unternehmen, den Datenschutz betreffend: kaum vorbereitet, wenig Durchblick und keine Vorstellung, welche Sanktionen durch die Aufsichtsbehörden verhängt werden können.
Der Druck auf Unternehmer steigt, denn mit der DSGVO bleibt kein Spielraum, das Thema Datenschutz künftig zu ignorieren. Dennoch konnten Anfang 2018 lediglich 5 % der Unternehmen die vollständige Umsetzung der neuen EU-Datenschutzgrundverordnung melden.
Zu wenige Unternehmen sind auf die DSGVO vorbereitet
Eine aktuelle Studie des Zentrums für europäische Wirtschaftsforschung (ZEW) befragte rund 700 Unternehmer aus den Branchen für Informationswirtschaft. Dazu gehören Unternehmen aus dem Bereich Informations-/Kommunikationstechnologie sowie Medien- und Wissensdienstleister.
Knapp 40 % der von der ZEW befragten Unternehmen gaben an, sich noch gar nicht mit der EU-Verordnung auseinandergesetzt zu haben (Stand Anfang 2018), obwohl sie bereits davon gehört hatten. Die Zahlen belegen eindrucksvoll, dass immer noch zu wenig Klarheit besteht, ob und wie das eigene Unternehmen zukünftig von der neuen Gesetzeslage betroffen ist.
Dabei ist es ganz einfach: Speichern, verarbeiten oder übertragen Sie interne (Mitarbeiter) oder externe (Kunden) personenbezogene Daten (Art. 2 DSGVO)? Dann sind Sie ab dem 25. Mai 2018 in der Pflicht, sich an die Vorgaben der DSGVO zu halten!
Wissensintensive Dienstleister sind am wenigsten vorbereitet
Bemerkenswert ist der Branchenvergleich in der Studie: Während die Telekommunikations- und Informationsdienstleister sich zum großen Teil bereits mit der DSGVO beschäftigt haben, hinken wissensintensive Dienstleister hinterher.
Runde 55 % der befragten Unternehmen aus den Bereichen Rechts-, Steuer- und Unternehmensberatung sowie Architektur-/Ingenieurbüros und Agenturen für Werbung und Marktforschung gaben an, dass sie sich noch gar nicht mit der Datenschutzverordnung beschäftigt haben. Das Fatale daran ist: Ausgerechnet diese Unternehmen sind am meisten betroffen und damit auch bei etwaigen Verstößen am meisten gefährdet. Sensibilität beim Schutz von personenbezogenen Daten ist also noch lange nicht überall angekommen.
Datenschutzbehörden greifen durch
Die neue Rechenschaftspflicht in der DSGVO zielt darauf ab, dass Transparenz über datenverarbeitende Prozesse geschaffen wird. Nicht nur gegenüber dem Kunden, auch gegenüber den Aufsichtsbehörden muss jederzeit nachgewiesen werden, was mit den personenbezogenen Daten in Ihrem Unternehmen geschieht.
Wer seiner Rechenschaftspflicht ab Ende Mai nicht nachkommt, riskiert Bußgelder bis zu 2 % des Jahresumsatzes. Die proaktive Nachweisbarkeit des Datenschutzniveaus bedeutet schon im Vorfeld viel Arbeit für den Unternehmer. Unser Tipp: Datenschutzexperten können helfen, eine Dokumentation der Prozesse anzufertigen und dauerhaft umzusetzen.
Die Technologien müssen dem heutigen Stand entsprechen
Die DSGVO erwartet Mitte des Jahres nicht nur transparentere Geschäftsprozesse, sondern stellt auch hohe Bedingungen an die Technik und IT-Sicherheit. Dort heißt es:
„Unter Berücksichtigung des Stands der Technik, ... (…) ... treffen der Verantwortliche geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Damit ist gemeint, dass dem aktuellen Stand der Technik und entsprechenden Verschlüsselungsverfahren zur Sicherheit in der Datenverarbeitung entsprochen werden muss.
Je nach Branche und Umfang kann dies ganz unterschiedlich aussehen. Hilfreiche Richtlinien sowie Empfehlungen findet man beim Bundesamt für Sicherheit in der Informationstechnik.
Wie ehemalige Mitarbeiter zur Daten-Gefahr werden könnten
In Sachen Datenschutz geht der Blick ab Mai aber nicht nur nach vorne, sondern auch in die Vergangenheit: Eine Studie der Bitkom hat ergeben, dass ehemalige Mitarbeiter oftmals für Datenlecks verantwortlich sind und auch finanzielle Schäden generieren können. Wegen der empfindlichen Bußgelder müssen Unternehmer sicherstellen, dass ehemalige Mitarbeiter keinen Zugriff mehr auf Firmeninterna haben.
Das ist beileibe keine reine IT-Sache, sondern betrifft beispielsweise auch nicht zurückgegebene Unterlagen, Hardware, im Home-Office eingerichtete E-Mail-Accounts und Netzwerkzugänge über mobile Endgeräte. Dafür bedarf es in Unternehmen genauer Richtlinien, deren Einhaltung penibel überwacht wird.
Zusätzlich bietet es sich an, Mitarbeiter in Sachen Datenschutz zu schulen, auch im Hinblick auf das Erkennen und Melden von Datenlecks. Mit der DSGVO bleibt für das Melden von Datenpannen nämlich nur noch ein knapper Zeitrahmen von 72 Stunden – und den gilt es unbedingt einzuhalten!
Die Uhr tickt – sind Sie vorbereitet?
Haben Sie bereits ein Bewusstsein in Ihrem Unternehmen geschaffen, welche Maßnahmen für Datenschutzkonformität erforderlich sind? Denn obwohl die ZEW-Studie nahelegt, dass die meisten Unternehmen (70 %) zuversichtlich sind, die DSGVO zeitnah umsetzen zu können, fehlt immer noch das Know-how über den Umfang der notwendigen Veränderungen. Zusammenfassend lässt sich feststellen: Die Datenschutzreform ist nicht mehr weit! Noch ist Zeit zum Handeln, noch können Sie sich rundum absichern. Machen Sie sich fit für die Zukunft!
Diesen Fachbeitrag vollständig lesen?
Wir freuen uns über Ihr Interesse. Diese Themen und viele andere rund um den betrieblichen Datenschutz finden Sie in unserem Fachportal für Datenschutz und Datensicherheit.
Kostenlos 4 Wochen lang testen
Sie sind bereits Nutzer von Datenschutz und Datensicherheit?
Zu diesem Beitrag finden Sie in Ihrem Ratgeber „Praktisches Grundlagenwissen für die DSGVO“ weitere Inhalte. Melden Sie sich hier an und lesen Sie alles zum Thema.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.
Datenschutz & Datensicherheit Das Fachinformationsportal
- Aktuelles Fachwissen
- Rechtssichere Entscheidungen
- Praktische Arbeitshilfen
- Übersichtliche Prozessdarstellungen
- Sofort einsetzbare Schulungen