DSGVO: Fast die Hälfte der Unternehmen unzureichend vorbereitet

Die Datenschutzgrundverordnung (DSGVO) tritt am 15. Mai 2018 in Kraft und noch viele Unternehmen treffen schleppende oder gar keine Vorbereitungen. Das kann sich rächen, denn die Zeit für eine erfolgreiche Umsetzung der neuen rechtlichen Anforderungen wird knapp.

Um den Ist-Zustand bei der Umsetzung der DSGVO in der deutschen Unternehmenslandschaft zu ermitteln, hat die IDC 251 Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt (Stand August 2017). In Anbetracht der Tatsache, dass Unternehmen nur etwas mehr als ein halbes Jahr haben, um compliant zu werden, fällt das Ergebnis ernüchternd aus. Zwar gaben 15% der befragten Unternehmen an, dass sie bereits jetzt vollständig compliant sind. 41% der Unternehmen haben zumindest vereinzelte Maßnahmen umgesetzt.

Demgegenüber stehen 44%, die noch keine Maßnahmen ergriffen haben. Diese setzen sich wie folgt zusammen: 16% haben zwar einen konkreten Plan, wie sie die DSGVO in ihrem Unternehmen umsetzen wollen. Begonnen haben sie damit aber noch nicht. 25% kennen die neuen Anforderungen, verharren jedoch in einer abwartenden Haltung. Erfreulich ist, dass die Zahl der Unternehmen, die sich mit der Thematik noch überhaupt nicht auseinandergesetzt haben, mit 3% marginal ist. Laut der IDC würden sich vor allem mittelständische Unternehmen schwertun. In diesem Segment gaben 40% der Befragten an, dass sie skeptisch sind, die Anforderungen fristgerecht umsetzen zu können.

Befragung offenbart: Unternehmen haben kaum Datenschutzbeauftragte

Interessante Einblicke gewährt die Befragung, wenn man etwas ins Detail geht. Eine Schlüsselposition für ein erfolgreiches Datenschutzmanagement im Unternehmen ist bei den meisten wohl unbesetzt: 83% haben keinen Datenschutzbeauftragten. Höhere Sanktionen in der DSGVO, wenn kein Datenschutzbeauftragter im Unternehmen ist, sind sehr wahrscheinlich der Grund, warum 50% zumindest in den nächsten Monaten einen Datenschutzbeauftragten einsetzen möchten. Auch der Branchenverband bitkom sieht diesen Zustand, mit Blick auf die Umsetzung des DSGVO und die aktuelle Rechtslage, kritisch.

Es ist zu begrüßen, dass viele Unternehmen jetzt einen solchen Datenschutzbeauftragten bestellen möchten. Allerdings kostet diese Versäumnis nun wichtige Ressourcen und relevantes Know-how bei der Umsetzung der DSGVO. Ein schon eingearbeiteter und erfahrener betrieblicher bzw. externer Datenschutzbeauftragter könnte die Umsetzung erheblich erleichtern.

Wer macht was mit welchen Daten? Vielen Unternehmen fehlt noch der Überblick

Hinzu kommt, dass noch viele Unternehmen keinen umfassenden Überblick über die Datenverarbeitungen in ihrem Unternehmen haben. Für einen rechtskonformen und effizienten Datenschutz ist gerade dies aber ein zentraler Aspekt. Wer nicht weiß, welche Daten wo verarbeitet werden und wer darauf Zugriff hat, kann sich schnell mit Beschwerden, den Datenschutzbehörden und Imageschäden konfrontiert sehen.

Die IDC-Umfrage hat nun ergeben, dass 23% nicht wissen, wo ihre Daten gespeichert werden. 27% sind nicht in der Lage anzugeben, wer Zugriff auf personenbezogene Daten hat. Mit hoher Wahrscheinlichkeit bedeutet dies auch, dass es keine wirksamen Zugangs- und Zugriffskontrollen zu den Daten gibt. 37% räumten zudem ein, dass ihre Daten unkontrolliert und dem Zugriff durch Mitarbeiter ausgesetzt auf den Servern zugänglich sind.

Fatal könnte sich auch auswirken, dass etliche Unternehmen besonders Anforderungen als weniger relevant zu betrachten scheinen, die auf die Benachrichtigung Dritter ausgelegt sind: 53% planen keine Einführung von Prozessen zur Benachrichtigung der durch die Datenverarbeitung betroffenen Personen, 47% wollen keine Prozesse zur, unter bestimmten Umständen allerdings gesetzlich verpflichtenden, Benachrichtigung der zuständigen Datenschutzbehörden etablieren. Alles in allem ein Bild, das — mit Blick auf die hohen Anforderungen der DSGVO — den noch enormen Handlungsbedarf bei deutschen Unternehmen unterstreicht.

Unternehmen müssen jetzt handeln

Unternehmen, die einen derartigen Handlungsbedarf wie den oben skizzierten aufweisen, sollten jetzt handeln. Bis zum Inkrafttreten der DSGVO bleibt nicht mehr viel Zeit und die Einführung eines rechtskonformen und effizienten Datenschutzmanagements, das sowohl dem Unternehmen als auch den Betroffenen nützt, braucht Zeit: ein geeigneter Datenschutzbeauftragter muss gefunden und geschult werden. Sämtliche Mitarbeiter müssen datenschutzrechtlich auf den aktuellen Stand gebracht werden. Insbesondere die unternehmensinternen Arbeitsprozesse bedürfen einer datenschutzrechtlichen Optimierung, um einen Datenschutz „on the job“ gewährleisten zu können. Unternehmen, die bis zum 25. Mai 2018 nicht compliant sind, drohen deutlich höhere Geldbußen als sie bislang im BDSG vorgesehen sind. Die Strafe kann bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe betragen.

EU-Kommission hält BDSG-neu für rechtswidrig

Die EU-Kommission hält das deutsche Umsetzungsgesetz für die Datenschutzgrundverordnung (DSGVO) für rechtswidrig. Grund sind vermeintliche Öffnungsklauseln, die die Bundesregierung nutzen will.

Die beschlossene DSGVO soll für einen höheren Standard im europäischen Datenschutzrecht sorgen und ist bereits beschlossen. 2018 tritt sie in Kraft. Das geplante deutsche Umsetzungsgesetz BDSG-neu hat jetzt die EU-Kommission auf den Plan gerufen.

Keine Öffnungsklausel vorgesehen

Grund hierfür ist ein Streit um Öffnungsklauseln in der DSGVO, die eigene nationale Regelungen erlauben würden. Die Bundesregierung ist der Auffassung, dass die DSGVO solche Klauseln vorsieht. Dem widerspricht die EU-Kommission: es gebe lediglich Raum für nationale Spezifizierungen.Konkret kritisiert die Kommission den geplanten § 23 BDSG-neu, der nach Ansicht der EU zu weitreichende Ausnahmen für öffentliche Stellen vorsieht, personenbezogene Daten für „andere Zwecke“ verarbeiten zu dürfen. Die Formulierung sei zu ungenau. Auch die Betroffenenrechte würden zu stark eingeschränkt: der Entwurf unterlaufe die vorgesehen Möglichkeiten zur Einsichtnahme in gespeicherte Daten und deren Recht auf Korrektur bzw. Löschung.

Ist die geplante Nachjustierung ausreichend?

Mittlerweile liegt ein Änderungsantrag vor, der Abhilfe schaffen soll. Insbesondere bei den Betroffenenrechten soll nachgebessert werden. Ob die beantragten Änderungen ausreichen, ist nicht sicher. Kritik kommt weiterhin von deutschen Datenschutzbeauftragten der Länder. In der aktuellen Fassung des BDSG-neu wurde die beantragte Änderung angenommen.

Datenschutzbehörden müssen aufrüsten

Die Datenschutz-Grundverordnung bringt einen deutlichen Mehraufwand für die deutschen Datenschutzbehörden mit sich. Diese benötigen deutlich mehr Manpower, um der neuen Auftragslage gerecht zu werden.

Mit der Datenschutz-Grundverordnung kommen auf die deutschen Datenschutzbehörden neue Aufgaben zu. Ein von den deutschen Datenschutzbehörden in Auftrag gegebenes Gutachten kam nun zu dem Ergebnis, dass jede Behörde 24 bis 33 Stellen mehr benötige. Andernfalls sei es den Behörden nicht möglich, die DSGVO praktisch umzusetzen. Als mögliche Folge käme deshalb ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland in Betracht.

Aufwand der Datenschutzbehörden steigt

Die DSGVO bringe neue unbestimmte Rechtsbegriffe und teils widersprüchliche Regelungen mit sich, so die Position der Behörden. In der Folge würde der Aufwand für die Interpretation und rechtliche Bewertung von datenschutzrechtlichen Fragestellungen zunehmen. Zudem erhalten Betroffene die Möglichkeit eine schnelle Bearbeitung ihrer Anliegen gerichtlich zu erzwingen.

Die DSGVO sieht zudem die Möglichkeit vor, dass Datenschutzbehörden erstmalig auch bei anderen Behörden eingreifen können, wenn diese gegen das Datenschutzrecht verstoßen. Bisher konnten andere Behörden nur öffentlich abgemahnt werden. Damit kommt in der öffentlichen Verwaltung ein kompletter neuer Aufgabenbereich hinzu, der personell bislang nicht gedeckt werden musste.

Nach Ansicht des Gutachters Prof. Dr. Alexander Roßnagel erhöht sich zudem der Mehraufwand im Bereich der Präventionsarbeit, bspw. bei der Beratung von Unternehmen. Anders als die aktuelle Rechtslage überträgt die DSGVO den Datenschutzbehörden ferner einen expliziten Bildungs- und Sensibilisierungsauftrag und eine erweiterte Öffentlichkeitsarbeit.

Zahl der gerichtlichen Bußgeldverfahren soll steigen

Das Gutachten nimmt an, dass durch die DS-GVO auch die Zahl der Bußgeldverfahren vor den Gerichten steigen wird. Zwar steht den Behörden bei der Verhängung von Bußgeldern ein gewisser Ermessensspielraum zu. Allerdings konkretisiert die DSGVO die Anforderungen an dieses. So müssen Bußgelder gemäß Art. 83 Abs. 1 DSGVO im „Interesse einer konsequenteren Durchsetzung der Vorschriften“ eingesetzt werden und wirksam, verhältnismäßig und abschreckend ein. Die neuen Obergrenzen für Bußgelder sind um ca. das 100-fache gestiegen. In besonders gravierenden Fällen ist eine Strafe von 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes vorgesehen, Art. 83 Abs. 5 DSGVO.

Nachdem die Landesbehörden nach dem aktuellen Stand teilweise noch überhaupt keine Aufstockung erhalten und andere Bundesländer bisher neue Stellen im einstelligen Bereich geschaffen haben, ist eine Entspannung der Situation momentan nicht zu erwarten.