Seit genau zwei Jahren sind die Maßgaben der europäischen Datenschutz-Grundverordnung (DSGVO) verbindlich von allen Unternehmen anzuwenden, die Daten europäischer Bürger erheben oder verarbeiten – und noch immer ist sie nicht flächendeckend umgesetzt. [...]
In Wirtschafts- und Technologiekreisen gilt der 25. Mai 2018 als wichtiger Meilenstein im Umgang mit personenbezogenen Daten. Das Ziel: Die Rechte des Einzelnen zu stärken und einen Best-Practice-Rahmen für das nachhaltige Wachstum der digitalen Wirtschaft zu schaffen. Doch wie ist der aktuelle Stand? Haben Unternehmen in zwei Jahren alles umgesetzt, was sie sich an Compliance-Maßnahmen vorgenommen hatten?
Kurz und knapp: nein. Seit Beginn 2018 versuchten Unternehmen, Mitarbeiter, Pressevertreter und externe Beratungsunternehmen, kurzfristig die neuen Richtlinien umzusetzen – mit mäßigem Erfolg. Zwei Jahre später setzt die erwartete Welle von Geldbußen langsam ein, nachdem sie im ersten Jahr nach Wirksamwerden der DSGVO noch weitestgehend ausgeblieben war.
Ende vergangenen Jahres beispielsweise traf es mit einem nie dagewesenen Strafmaß den größten Immobilienvermieter in Berlin: Die „Deutsche Wohnen“ wurde zu einer Strafe von 14,5 Millionen Euro verdonnert, da sie Mieterdaten unsachgemäß gespeichert hatte. Die Berliner Datenschutzbehörde hatte bei Prüfungen bemerkt, dass Daten zu persönlichen und finanziellen Verhältnissen von Mietern archiviert worden waren, obwohl dies gemäß Datenschutzverordnung verboten ist. In Österreich wurde über die Post eine Strafe von 18 Millionen Euro verhängt, sie hatte unerlaubterweise Daten zur Parteiaffinität ihrer Kunden gespeichert.
Umfragen belegen: Compliance ist und bleibt ein Stiefkind
Dass dies keine Einzelfälle sind (und bleiben werden) und längst nicht alle Unternehmen die Vorgaben der DSGVO erfüllt haben, bezeugt auch eine bitkom-Umfrage in Deutschland: Firmen klagten unter anderem über Rechtsunsicherheit (68 Prozent), mangelnde personelle Ressourcen (37 Prozent) und Schwierigkeiten bei der technischen Umsetzung (34 Prozent). Hier kommt die Relevanz technologischer Unterstützung für Unternehmen zum Vorschein.
Auch das Institut der deutschen Wirtschaft hat zu Beginn des Jahres Unternehmen befragt. Ganze 86 Prozent der Befragten verneinten die Frage danach, ob die DSGVO ihnen zu Vorteilen im Wettbewerb verhelfe, insbesondere Unternehmen aus der Industrie. Am ehesten sahen Sie noch einen Vorteil darin, durch ein hohes Datenschutzniveau bei Kunden und Partnern zu punkten.
Bei einer Deloitte-Umfrage in Österreich kam zum Vorschein: Hinsichtlich der Implementierung ist ein Großteil der in Österreich ansässigen Unternehmen im Rückstand, 54 Prozent der befragten Firmen gaben an, „auf der Zielgerade“ zu sein – ganze zwölf Prozent befinden sich gar noch „mitten in der Umsetzung“. Der Grund hierfür ist jedoch weniger die falsche Herangehensweise des Unternehmens als solches als vielmehr der falsche Umgang mit Daten seitens der Mitarbeiter. Neun von zehn der befragten Unternehmen beziehen zwar die DSGVO in unternehmensweite Entscheidungen sowie Projekte mit ein, rund ein Drittel stellte jedoch fest, dass Mitarbeiter unsicher im Umgang mit Daten sind.
„Es gibt keine einfache Lösung“
Olaf Dünnweller, Area Vice President Territory Sales EMEA bei Commvault: „Bemerkenswert ist, dass die Befragten neben personellen auch wirtschaftliche Gründe für Verfehlungen beim Einhalten der DSGVO hatten: Die DSGVO zwingt Unternehmen, sich abteilungsübergreifend einen Überblick über ihre Daten zu verschaffen, Daten zu hinterfragen und zu bereinigen und letztendlich deren Wert zu ermitteln. In den letzten zweieinhalb Jahren wurde der Markt von einer Reihe neuer Angebote überschwemmt, die alle für sich behaupteten, die Königsklasse im Bereich der DSGVO zu sein. Tatsache ist jedoch, dass es keine einheitliche oder einfache Lösung gibt, die alle regulatorischen Anforderungen im Zusammenhang mit der DSGVO löst.”
Unternehmen tun sich leichter, die ständig wechselnden und steigenden Compliance-Anforderungen zu erfüllen, wenn sie über möglichst wenige Zugangspunkte sensible Daten verwalten und sie bei Bedarf auch anonymisiert aufrufen können. Indexierung, Automatisierung und Konsolidierung schaffen Transparenz. So lassen sich Verstöße gegen den Datenschutz rechtzeitig erkennen und effizient beheben oder verhindern.
Unabhängig von Unternehmensstruktur und -größe sollten Organisationen überprüfen, wie weit sie bei der Umsetzung ihrer Compliance-Ziele gekommen sind – und welche Maßnahmen zurück auf die Agenda gehören.
Be the first to comment