Auch knapp 7 Monate nach vollständiger Anwendung der Datenschutz-Grundverordnung können 57 % der deutschen Unternehmen die Vorgaben der DSGVO nicht erfüllen und riskieren Bußgelder – zu diesem Ergebnis kommt eine neue Studie von techconsult.
Die Datenschutz-Grundverordnung hat in den vergangenen Monaten für viel Verunsicherung bei kleinen und mittelständischen Unternehmen gesorgt. Die Verordnung führte nicht zuletzt wegen der immensen potenziellen Bußgelder und drohenden Reputationsschäden bei Nichteinhaltung zu einer gewissen Verunsicherung bis hin zu Überforderung vieler Unternehmen. Eine vom Analystenhaus techconsult in Kooperation mit dem IT Verlag durchgeführte Studie – der „DSGVO-Index“ – zeigt, dass dennoch immerhin 18 % der befragten deutschen Unternehmen noch keine praktische Umsetzung der Regelungen der Datenschutz-Grundverordnung vorgenommen haben. Zum jetzigen Zeitpunkt sehen lediglich 43 % ihre Prozesse in einer vollständigen DSGVO-Konformität und 39 % der befragten Unternehmen geben an, aktuell in der praktischen Umsetzung der Verordnung zu sein.
Unwissenheit und großer Nachholbedarf
Bereits seit dem 25. Mai 2016 (!) ist die DSGVO in Kraft, seit dem 25. Mai 2018 findet sie vollständige Anwendung. Die Ergebnisse der Studie verdeutlichen, dass die Unternehmen trotz der gewährten zweijährigen Umsetzungsfrist noch immer Schwierigkeiten haben, die gesetzlichen Mindestanforderungen für den Umgang mit personenbezogenen Daten zu erfüllen. Die komplexen Vorgaben der DSGVO beinhalten nicht nur umfassende Dokumentations- und Informationspflichten, sondern auch Vorgaben hinsichtlich der Sicherheit der Datenverarbeitung. Mehr als Dreiviertel der Befragten fühlen sich von der Fülle der Inhalte überfordert und halten die Datenschutz-Grundverordnung für zu komplex. Mit den hohen Anforderungen und Standards einhergehend, glauben nur 19 % der noch nicht DSGVO-konformen Unternehmen, dass sie innerhalb der nächsten 3 bis 6 Monate die Vorgaben der Verordnung vollständig erfüllen werden.
In Anbetracht der möglichen Bußgelder lässt sich ein erstaunlich hoher Anteil viel Zeit mit der Umsetzung. Knapp ein Drittel der Unternehmen wird noch mindestens 6 Monate für eine vollständige DSGVO-Konformität ihrer Prozesse benötigen. Mögliche Erklärungen für diese Defizite könnten laut DSGVO-Index neben der Komplexität der Verordnung auch mangelnde Ressourcen oder auch die Unwissenheit über die Ausmaße der möglichen Bußgelder sein. Obwohl über die Hälfte der Befragten die Höhe der Bußgelder als unverhältnismäßig hoch bewerteten, wissen nur 17 %, dass sie tatsächlich bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen können. 61 % der befragten Unternehmen nehmen fälschlicherweise an, dass die drohenden Bußgelder maximal 100.000 Euro betragen können, und 22 % gehen davon aus, dass die Aufsichtsbehörden eine Höchststrafe von einer Million Euro verhängen können.
Datenschutz zu aufwendig?
Trotz der Datenschutz-Offensive der Europäischen Union halten zwei Drittel der befragten Unternehmensverantwortlichen die Inhalte der Verordnung für zu streng. Für kleine Unternehmen ist die Umsetzung der 99 Artikel der Datenschutz-Grundverordnung mit großem Zeitaufwand verbunden, wobei oftmals das juristische und technische Fachwissen für die konforme Umsetzung fehlt. Nun liegt es an den Unternehmen abzuwägen, zu welchem Preis sie die Umsetzung der DSGVO vorantreiben, um Bußgelder seitens der Aufsichtsbehörden zu vermeiden. Die Ergebnisse der Studie machen deutlich, dass die Verunsicherung in deutschen Unternehmen noch immer groß ist und hinsichtlich der DSGVO noch Anpassungsbedarf besteht.
Alle Aspekte berücksichtigen
DSGVO-konforme Prozesse in Unternehmen sind Pflicht. Ist der Datenschutz nicht ausreichend gewährleistet und kommt es zum Verlust von Daten, räumt die DSGVO Betroffenen zahlreiche Rechte ein. Tatsächlich besteht der Datenbestand eines Unternehmens nicht nur aus Kundendaten, sondern umfasst auch zahlreiche andere Datengruppen. Die EU-Datenschutz-Grundverordnung umfasst insgesamt 99 Artikel, die mithilfe von 173 Erwägungsgründen umfassend erläutert werden. Bei der Umsetzung der Inhalte der Verordnung müssen nicht nur Punkte wie Grundsätze und Rechtmäßigkeit der Verarbeitung beachtet werden, sondern auch die Aufgaben des Datenschutzbeauftragten, die Bearbeitung von Auskunfts- und Informationsrechten, die Sicherheit der Verarbeitung, das Führen eines Verzeichnisses von Verarbeitungstätigkeiten und der gesamte Bereich der Datensicherheit.
Um kleine und mittelständische Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung nicht komplett sich selbst zu überlassen, hat sich ein Konsortium aus den Unternehmen Avedos, Microsoft, QSC, SEP und Tarox gemeinsam mit techconsult zusammengeschlossen und einen „DSGVO-Selfcheck“ aufgesetzt. Damit können Unternehmen ihre internen Prozesse ebenso wie weitere Bereiche, die für den Schutz von personenbezogenen Daten relevant sein könnten, anhand von insgesamt 65 Fragen online einer Prüfung unterziehen. Durch den Selfcheck erfahren sie, in welchen Bereichen dringender Handlungsbedarf besteht und welche Facetten der DSGVO sie möglicherweise bereits ordnungsgemäß erfüllen.
Den DSGVO-Selfcheck können Sie über diese Webseite durchführen. Hier finden Sie auch die Studie „DSGVO-Index“ zum Download sowie weiterführende Informationen zur Umsetzung der Datenschutz-Grundverordnung.
Zur Studie
Die Grundlage der Studie „DSGVO-Index“ stellt eine branchen- und größenklassenübergreifende Befragung im November 2018 dar, die die Angaben von 259 Unternehmen aus Deutschland umfasst und mit der kompetenten Unterstützung von Microsoft, Tarox, Avedos, SEP und QSC durchgeführt wurde. Die Studie und der multidimensionale Self-Check sind auf www.DSGVO-Index.de abrufbar.
Nur 57 Prozent nicht konform? Ich hätte jetzt mit 80%+ gerechnet. Fragt sich worauf die 57 Prozent warten.