Viele Unternehmen kennen neue Datenschutzgrundverordnung noch nicht

Einer Mehrheit der Unternehmen in Deutschland drohen in wenigen Monaten Millionen-Bußgelder. Am 25. Mai 2018 ist die zweijährige Übergangsfrist abgelaufen und somit müssen die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) umgesetzt sein. Doch nur eine Minderheit wird diesen Termin einhalten können. Selbst von den Unternehmen, die sich aktuell mit der DSGVO beschäftigen, gehen nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zu diesem Datum vollständig umgesetzt haben. Weitere 20 Prozent erwarten, dass sie die Anforderungen zum größten Teil erfüllen werden. Mehr als jedes zweite dieser Unternehmen (55 Prozent) sagt, in acht Monaten werde die Umsetzung nur teilweise erfolgt sein. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen.

„Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, fordert Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom. Wer den Kopf in den Sand stecke, verstoße demnächst gegen geltendes Recht und riskiere empfindliche Bußgelder zu Lasten seines Unternehmens. Nach Berechnungen von Bitkom haben erst 13 Prozent der Unternehmen erste Maßnahmen zur Umsetzung der DS-GVO begonnen oder abgeschlossen. 49 Prozent beschäftigen sich derzeit mit dem Thema. Jedes dritte Unternehmen (33 Prozent) gibt an, sich bislang noch überhaupt nicht mit den Vorgaben der Verordnung beschäftigt zu haben. Von den Unternehmen, die sich bereits mit der DS-GVO beschäftigt haben, ist rund die Hälfte (47 Prozent) davon überzeugt, dass bisher höchstens 10 Prozent aller notwendigen Arbeiten erledigt zu haben.

Nur 3 Prozent gehen davon aus, dass sie mehr als die Hälfte der Aufgaben abgearbeitet haben. Schlimmer noch: Selbst grundlegende organisatorische Voraussetzungen für den Datenschutz im Unternehmen fehlen gegenwärtig häufig. So geben 42 Prozent der Unternehmen an, dass sie kein sogenanntes Verfahrensverzeichnis haben, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DS-GVO schwierig. „Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich“, weiß Susanne Dehmel. Die neue Verordnung verlange von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation werde beispielsweise in Streitfällen eine wichtige Rolle spielen.

Daten bestimmen das Geschäftsmodell

Die Bitkom-Umfrage zeigt auch: Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes Dritte (32 Prozent) setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen (42 Prozent) geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. Für Susanne Dehmel ist es „angesichts der Bedeutung von personenbezogenen Daten für die Geschäftstätigkeit der Unternehmen“ schwer nachzuvollziehen, „warum so viele die Übergangsfrist bei der Datenschutzgrundverordnung bislang untätig verstreichen ließen“.

Die Unternehmen, die sich mit der DS_GVO beschäftigt haben oder dies noch tun wollen, nennen als größte Herausforderungen bei der Umsetzung den schwer abzuschätzenden Aufwand (52 Prozent), Rechtsunsicherheit (43 Prozent) und mangelnde praktische Umsetzungshilfen (32 Prozent). Entsprechend wünschen sich 28 Prozent Auslegungshilfen der Verordnung durch die EU-Kommission, 27 Prozent hätten gerne Praxisleitfäden und 16 Prozent Handreichungen von den Aufsichtsbehörden. „Das Gesetz ist an vielen Stellen vage und den Unternehmen fehlen Vorgaben, wie sie damit umgehen sollen“, kritisiert auch Dehmel. Konkrete Vorgaben wären daher in der Tat hilfreich. Allerdings dürften auch die rechtlichen Unsicherheiten kein Grund dafür sein die Hände in den Schoß zu legen. Künftig rechnen 35 Prozent mit Mehraufwand im Unternehmen durch die DS-GVO. Jedes fünfte Unternehmen (20 Prozent) erwartet dabei sogar deutlich mehr Aufwand. Nur 3 Prozent rechnen dauerhaft mit weniger Aufwand.

Rechtsunsicherheit wird befürchtet

Dennoch halten sich bei der grundsätzlichen Bewertung der Datenschutzgrundverordnung Zuversicht und Skepsis die Waage. So rechnen 6 von 10 Unternehmen (60 Prozent) damit, dass die DSG-VO langfristig zu mehr Rechtssicherheit führt, fast ebenso viele (57 Prozent) erwarten einheitlichere Wettbewerbsbedingungen in der EU. 4 von 10 Unternehmen sagen sogar, dass ihr eigenes Unternehmen durch die DS-GVO Vorteile hat (39 Prozent) und dass sie ein Wettbewerbsvorteil für europäische Unternehmen ist (38 Prozent). Allerdings gibt es auch kritische Einschätzungen. So befürchten 57 Prozent kurzfristig mehr Rechtsunsicherheit, 42 Prozent glauben, dass Geschäftsprozesse komplizierter werden. Mehr als jeder dritte Befragte (36 Prozent) sagt zudem, die DS-GVO bremst Innovationen in Europa, jeder Vierte (23 Prozent) sieht einen Wettbewerbsnachteil für europäische Unternehmen. Und 14 Prozent gehen sogar so weit zu sagen, die Datenschutzverordnung stelle eine Gefahr für die eigene Geschäftstätigkeit dar.

Für den Einstieg in das Thema hat Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht, die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben. Außerdem hat Bitkom vier Praxisleitfäden erstellt, wie verschiedene Verpflichtungen aus der Verordnung im Unternehmen umgesetzt werden können: „Datenübermittlung in Drittstaaten“, „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie die „Mustervertragsanlage zur Auftragsverarbeitung“.  Eine Themen-Microsite zur EU-DSGVO bietet zudem die Plattform www.line-of.biz an. (ig)