Ein Jahr DSGVO

Feierlaune oder Katerstimmung?

Sie war das Thema der vergangenen zwei Jahre – nicht nur für diejenigen, die sich professionell mit IT beschäftigen: Die EU-DSGVO. Jeder, der im weitesten Sinne mit dem Erheben, Verarbeiten oder Speichern von Daten zu tun hat, ist davon betroffen. Grund genug also, anlässlich des ersten Jahrestages ein kleines Resümee zu ziehen.

Feierlaune oder Katerstimmung?

Seit dem 25. Mai 2018 ist die EU-DSGVO nun schon in Kraft – doch inwieweit wird sie auch konsequent durchgesetzt?

Obwohl schon sehr lange vor Ablauf der Übergangsfrist 25. Mai 2018 bekannt war, dass sich spätestens zum Stichtag vieles ändern würde, hatte man den Eindruck, dass viele Unternehmen und IT-Verantwortliche sich erst relativ kurzfristig mit der Thematik und ihren Implikationen auseinandergesetzt haben. Der Mangel an zuverlässigen Informationen und Fachwissen führte rasch dazu, dass vor allem im Netz – zum Teil hanebüchene – Mythen grassierten und für noch mehr Unsicherheit sorgten. Schnell fragte man sich, ob überhaupt noch irgendeine Art von Daten erhoben werden dürfe, oder ob man sich per se strafbar mache, wenn man bei öffentlichen Veranstaltungen Fotos macht. Auch die Angst vor Abmahnungen und Bußgeldern in Millionenhöhe griff um sich, obwohl die gefürchtete große "Abmahnwelle" bislang noch ausgeblieben ist. Wie sieht es also ein Jahr nach dem offiziellen Start der EU-DSGVO aus? Sind die Unternehmen mittlerweile besser gerüstet? Hat sich das anfängliche Chaos im Alltag regulieren lassen?

Die Ergebnisse sind zum Teil ernüchternd: Laut einer aktuellen Umfrage der deutschsprachigen SAP-Anwendergruppe e. V. (DSAG) entsprechen noch immer nicht alle Unternehmen der Verordnung. Lediglich 12 Prozent (vgl. Oktober 2017: 4 Prozent) der befragten Unternehmen sollen bisher vollständig die Anforderungen der Verordnung erfüllt haben.

Vor allem KMU hinken hinterher

Knapp 83 Prozent der befragten DSAG-Mitglieder haben einige Vorbereitungen getroffen, sind aber noch nicht komplett EU-DSGVO-konform. Für Ralf Peters, DSAG-Fachvorstand Anwendungsportfolio, ist das Ergebnis ein Jahr nach Inkrafttreten der EU-DSGVO keine Überraschung: „Wir wissen, dass sich viele unserer Mitgliedsunternehmen schon vor längerer Zeit auf den Weg gemacht haben, sich datenschutzkonform aufzustellen. Einige haben ein- oder zweijährige Projekte durchgeführt, um die EU-DSGVO zu implementieren.“ Erfolgsmeldungen seien aber vor allem von Großunternehmen zu hören, die entsprechende Mittel besäßen. Daher schätzt Peters, dass diese Unternehmen das Gros der zwölf Prozent ausmachen, die inzwischen EU-DSGVO-konform sind.

Dokumentationspflicht ist angewachsen

Insgesamt hält der Fachvorstand die Zahl der Unternehmen, die vollständig der Verordnung entsprechen, aber für deutlich zu niedrig. Insbesondere vor dem Hintergrund, dass sich die Voraussetzungen, unter denen Daten verarbeitet werden dürfen, durch die EU-DSGVO eigentlich kaum verändert hätten. „Lediglich zwei Aspekte sind neu. Erstens müssen Unternehmen jetzt für alle in der Grundverordnung vorgesehenen Verarbeitungen von Daten die geforderten Voraussetzungen nachweisen und diese umsetzen. Die Dokumentationspflichten sind gewachsen“, erläutert Ralf Peters. Zweitens habe die umfangreiche mediale Berichterstattung zur Einführung der EU-DSGVO speziell die Auskunftsrechte in den Vordergrund gerückt. Das führe zu vermehrten Anfragen zu diesem Thema und seitens der Unternehmen zu einem entsprechend erhöhten Aufwand, um der Informationspflicht gerecht zu werden. 

Insgesamt 77 Prozent der Befragten (Oktober 2017: 43 Prozent) haben zusätzliche Investitionen getätigt, um die EU-Datenschutz-Grundverordnung umzusetzen. 82 Prozent (Oktober 2017: 54 Prozent) der Unternehmen, die investiert haben, steckten laut Umfrage zusätzlich Geld in die IT-Beratung. Auch in Zukunft stehen bei 72 Prozent der befragten Unternehmen weitere Investitionen in IT-Beratung. „Die Investitionsbereitschaft ist nach wie vor hoch. Daraus lässt sich schließen, dass das Schreckgespenst EU-DSGVO für viele noch nicht gebannt und die Angst vor Abmahnungen und Sanktionen durchaus in den Köpfen ist“, ordnet Ralf Peters ein.

Laxer Umgang mit Daten

Vielleicht liegt der laxe Umgang mit dem Datenschutz daran, dass abschreckende Beispiele seit Einführung der DSGVO bisher noch fehlen, das könnte sich zumindest Roger Scheer von Veritas Technologies vorstellen: „Erst vor Kurzem hat die Welt am Sonntag eine Umfrage unter den Behörden der Länder durchgeführt. Demnach wurden in Deutschland seit Mai letzten Jahres in 75 Fällen Bußgelder verhängt, die Durchschnittshöhe beträgt dabei ‚nur‘ 6.000 Euro – die angedrohten Strafen in Millionenhöhe blieben bisher aus. Und das, obwohl die Zahl der Datenpannen laut Handelsblatt in der gleichen Zeit bei circa 10.000 lag.“

Vorsorge ist immer besser als Nachsorge

Während viele Unternehmen oftmals noch zögerlich bei der Implementiereung der Datenschutzregulierungen sind, hätten sich laut Scheer etliche Verbraucher bereits ein Bild gemacht und würden, so das Ergebnis einer Umfrage, eher zu einem direkten Konkurrenten wechseln, als weiterhin bei einem Unternehmen zu bleiben, dass mit erhobenen Daten „falsch“ umgehe. Auch, so gibt er zu bedenken, hätten inzwischen etliche Anwaltskanzleien ein neues Geschäftsmodell entwickelt, bei dem sie gezielt Verbraucher darin bestärken, gegen DSGVO-verstöße rechtliche Schritte wie z.B. Schadenersatzforderungen einzuleiten.

„Statt Umsatzeinbußen oder Strafgelder zu riskieren, sollten Unternehmen viel mehr die Gelegenheit nutzen, ihre Datenmanagementprozesse auf Vordermann zu bringen. Nur, wer seine Daten kennt und die volle Kontrolle darüber hat, wird die Vorgaben der DSGVO auch einhalten und ich das Vertrauen der Kunden langfristig sichern können“, rät Roger Scheer dementsprechend.

Auch eine Frage der Formulierung

Ein großer Streitpunkt ist zudem nach wie vor die Auslegung der Formulierungen wie „angemessener Datenschutz“ und „Zweckmäßigkeit der Datenverarbeitung“, wie das Unternehmen Micro Focus ferner feststellt. So sei Google von der französischen Datenschutzbehörde CNIL nicht wegen eines Datenlecks zu 50 Millionen Euro verurteilt worden. Vielmehr nannte die Behörde als Grund mangelnde Transparenz und Verletzung der Informationspflicht sowie dem Zwang, die Nutzungsbedingungen zur Datenverarbeitung zu akzeptieren. Dies war der erste Fall, in dem ein Bußgeld gegen ein global operierendes Internetunternehmen gemäß der DSGVO verhängt wurde.

„Es wird noch einige Zeit vergehen, bis Compliance in ganz Europa zu 100 Prozent gewährleistet ist, allein schon, weil sich die etwas freier formulierten Passagen abhängig vom Unternehmen unterschiedlich umsetzen lassen. Dennoch ist zu erkennen, dass die DSGVO den digitalen Alltag inzwischen mitbestimmt, da Privatpersonen und Unternehmen stärker für Datenschutz sensibilisiert sind,“ kommentiert David Kemp, Business Strategist bei Micro Focus.

Damit lässt sich insgesamt sagen, dass es sich mit der DSGVO nicht anders verhält, als es generell mit EU-Richtlinien, -Verordnungen oder -Gesetzesnovellen: Es braucht immer eine Weile, bis sich der Grundgedanke festsetzt, bis die Dimension der Neuerung begriffen wurde und auf dieser Grundlage ein tragfähiger Handhabungskonsens geschaffen wird, der allen Beteiligten als Richtschnur für den alltäglichen, praktischen Umgang mit der Verordnung dienen kann. Und wenn auch viele Experten noch unzufrieden sind, so ist dennoch das Thema stärker denn je in den Fokus gerückt und erfährt eine lange überfälliges Bewusstsein.

Bild: Gettyimages/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok