Spätestens im Mai 2018, wenn die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, müssen Unternehmen alle dort vorgesehenen Datenschutzmaßnahmen umgesetzt haben, um sich nicht dem Risiko hoher Geldstrafen auszusetzen. [...]
Die Geldstrafen können durchaus hoch ausfallen, nämlich bis zu vier Prozent des jährlichen Gesamtumsatzes im Falle mancher Verstöße. Die DSGVO erfordert beispielsweise die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines Verfahrensverzeichnisses. Diese datenschutzrechtlichen Compliance-Maßnahmen setzen aber zunächst eine umfassende Kenntnis über den Status Quo der verarbeiteten Daten und über die exakten Strukturen und Datenflüsse innerhalb des Unternehmens voraus.
Vor allem Unternehmen sind daher bereits jetzt gefordert, mit der Evaluierung ihrer verarbeiteten Daten zu beginnen und das damit verbundene Risiko abzuschätzen. Rechtzeitiger Start mit der Evaluierungstätigkeit erleichtert und beschleunigt die rechtzeitige Umsetzung der Anforderungen nach der Datenschutz-Grundverordnung.
DLA Piper hat anlässlich der bevorstehenden Herausforderungen durch die Datenschutz-Grundverordnung ein Umfragetool, die sogenannte „Privacy Scorebox“ gelauncht. Die Privacy Scorebox bietet Unternehmen die Möglichkeit ihren Status quo hinsichtlich der Umsetzung von Datenschutzvorschriften im Vergleich zum Branchendurchschnitt zu ermitteln. Die Privacy Scorebox ist ein Online-Tool, in welchen eine Reihe von Fragen zu zwölf Bereichen des Datenschutzes gestellt werden, wie etwa zu Privacy Policies, Verwendung von Daten, Sicherheitsmaßnahmen und Betroffenenrechte. Die Teilnehmer an der Umfrage können im Wege eines Multiple Choice Verfahrens die für sie jeweils passendste Antwort anklicken.
Allein im ersten Jahr nach dem Launch der Privacy Scorebox haben über 250 Unternehmen diese Selbstevaluierung durchgeführt. Sie stellt somit derzeit eine der umfassendsten Quellen zum Stand der Datenschutz-Compliance dar. Allgemein wissen wir nun, dass nahezu in allen Geschäftsbereichen Datenschutz ein Thema ist und den regulatorischen Anforderungen der Datenschutz-Grundverordnung entsprochen werden muss. Allein der bereits erzielte Umsetzungsgrad ist gering. Nahezu alle Unternehmen gaben an, dass ihnen noch umfassende Umsetzungsarbeiten bevorstehen.
Die Herausforderungen der Umsetzung der Datenschutz-Grundverordnung bestehen in einer strategischen Herangehensweise anstelle von ad hoc Lösungen sowie vorausschauenden Planung. Schwachstellen sind herauszuarbeiten, Lücken sind zu finden, zu überprüfen und zu schließen. Vor allem in innovativeren Geschäftsfeldern oder in global tätigen Unternehmen sind Risiken aus der Verwendung von personenbezogenen Daten sorgfältig zu evaluieren, um sie rechtzeitig zu identifizieren und zu bewältigen.
Aktueller Umsetzungsgrad
Anhand der Privacy Scorebox wurden Ergebnisse anhand verschiedener Branchen, Größe (Jahresumsatz) der Unternehmen und der geografische Wirkungsbereich ermittelt. Die Studie belegt recht eindeutig, dass der geografische Wirkungsbereich von Unternehmen nur sehr geringen Einfluss auf den Umsetzungsstand von Datenschutzvorschriften hat. Der Umsetzungsgrad von national (72 Unternehmen), regional (40 Unternehmen) und global tätigen Unternehmen (136 Unternehmen) liegt bei 36,6, 32,2 beziehungsweise 37,3 Prozent, sohin recht knapp beieinander.
Bezogen auf die Größe des Unternehmens (Jahresumsatz) zeigen sich jedoch signifikante Unterschiede im Umsetzungsgrad mit einer Schwankungsbreite von etwa zehn Prozent. Jene Unternehmen mit einem Jahresumsatz zwischen 500 Millionen und einer Milliarde Dollar zeigen sich mit einem Umsetzungsgrad von durchschnittlich 42,4 Prozent am fortschrittlichsten während Unternehmen mit einem Jahresumsatz zwischen 150 und 500 Millionen Dollar gerade einmal einen Umsetzungsgrad von 32,5 Prozent haben und somit das Schlusslicht im Umsetzungsgrad bilden.
Unternehmen mit einem Jahresumsatz von weniger als fünf Millionen Dollar haben den gleichen Umsetzungsgrad wie Unternehmen mit einem Jahresumsatz von über einer Milliarde Dollar, nämlich 39,5 Prozent. Diese Ergebnisse lassen sich damit erklären, dass kleine Unternehmen zumeist einen besseren Überblick über die innerhalb ihres Unternehmens stattfindenden Datenverarbeitungen haben, als dies in vielen großen Unternehmen der Fall ist.
Der Branchenvergleich zeigt die deutlichsten Unterschiede mit einer Schwankungsbreite von etwa 18 Prozent. Unerwartet schlecht schneidet hier die Gesundheits- und Life Sciences-Sparte mit einem Umsetzungsgrad von gerade einmal 33,6 Prozent ab. Die besten Ergebnisse erzielen die Tourismus- und Freizeitsparte mit 48,8 Prozent und die Finanzdienstleistungsbranche mit 42,6 beziehungsweise die Versicherungsbranche mit 40,3 Prozent. Im Mittelfeld befinden sich – überraschend – die Technologie- und Telekommunikationsbranche mit 37,5 Prozent, die Immobilienbranche mit 34,8 und die Produktionsunternehmen mit 34,7 Prozent.
In der sensiblen Gesundheits- und Life Sciences-Sparte unterscheiden 45 Prozent der Unternehmen nicht nach dem Grad der Sensibilität der Daten, sondern behandeln alle Datenarten gleich. Desgleichen haben nur 15 Prozent Verfahren, um Anfragen von Betroffenen zu ihren Daten zu beantworten, bzw. Verfahren über die Dauer der Datenspeicherung.
Großer Aufholbedarf
Auch der Finanzdienstleistungssektor hat noch viel aufzuarbeiten. 19 Prozent überprüfen nicht regelmäßig die Richtigkeit und Vollständigkeit ihrer Daten und 50 Prozent machen Updates auf einer ad-hoc Basis. Letztendlich haben nur 19 Prozent solide Verfahren, um die Daten richtig zu halten; ganze 11 Prozent wissen gar nicht, ob hinsichtlich ihrer Daten regelmäßige Updates erfolgen. Nur 44 Prozent der Finanzdienstleister haben vollständig implementierte Verfahren für Fälle von Datenlecks.
Im Technologiesektor war der Rückfluss an Informationen am größten. Vollkommen überraschend haben derzeit aber nur ein Drittel der Technologieunternehmen ein hohes Level in der Umsetzung der Datenschutz-Grundverordnung erreicht. Als Risiko im Technologiebereich wurde insbesondere die Cloud Technologie identifiziert. Das durch die Datenschutz-Grundverordnung ins Leben gerufene „Privacy by Design“ wird zudem in allen Entwicklungsstadien neuer Produkte und Dienstleistungen die Berücksichtigung datenschutzrechtlicher Vorgaben erfordern.
Wenngleich im Technologiesektor bereits ein hohes Bewusstsein für Datenschutz besteht, fehlt es nach wie vor in der Umsetzung. Nur 33 Prozent haben vollständig implementierte Verfahren für Fälle von Datenlecks. Nur etwa die Hälfte der Technologieunternehmen führen Datenschutzschulungen für Mitarbeiter durch, sodass unter den Mitarbeitern keine umfassende Sensibilisierung für Datenschutz stattfinden kann und somit auch die Einhaltung der Datenschutzstandards nicht gewährleistet werden kann. Bedenklich ist, dass ein Viertel der Technologieunternehmen die Entscheidung über die Art und Weise der Datenaufbewahrung auf Basis von wirtschaftlichen Faktoren (insbesondere Kosten) trifft. Dies führt durchaus zu einer Speicherung der verarbeiteten Daten auf einem Server und/oder in einem Land mit einem geringen Datenschutzniveau.
Zusammenfassend ist eine vollkommene Umsetzung der Datenschutz-Grundverordnung noch weit. Sollten Unternehmen ihren Umsetzungsgrad der Datenschutzgrundverordnung wissen wollen, finden Sie die Data Privacy Scorebox hier.
*Die Autorin Sabine Fehringer ist Rechtsanwältin und Partnerin, Co-Autorin Carolina Arnezeder ist Rechtsanwaltsanwärterin, beide bei DLA Piper Weiss-Tessbach Rechtsanwälte.
Be the first to comment