Deutsche Unternehmen schlecht auf DSGVO vorbereitet

48 Prozent der deutschen Unternehmen sehen sich schlecht auf die neue Datenschutzverordnung vorbereitet, die in knapp einem Jahr in Kraft tritt. Im Vergleich mit anderen europäischen Ländern liegt Deutschland damit auf dem letzten Platz, wie eine Studie des Information-Management-Spezialisten Veritas hervorgeht.

Die EU-Datenschutzgrundverordnung, kurz DSGVO oder englisch General Data Protection Regulation, GDPR, tritt am 25 2018 in Kraft. Damit sollen Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union harmonisiert werden. In der Praxis bedeutet das, vor allem dass bei personenbezogenen Daten Unternehmen nachweisen können müssen, wo diese gespeichert sind und wer sie auf welche Weise verarbeitet. Die Verordnung gilt jedoch auch für Organisationen, die Daten von EU-Bürgern Speichern, also auch für Google, Facebook, Amazon oder aber auch kleinere Anbieter, die innerhalb der EU Services oder Produkte anbieten.

Weltweit betrachtet bezweifeln 47 Prozent, die Deadline einhalten zu können. Unternehmen, die gegen die Vorgaben verstoßen drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes wobei die höhere Summe angesetzt wird. Für Unternehmen erwächst hier ein neues Risiko: 18 Prozent der Unternehmen befürchten im Fall einer Strafzahlung, gänzlich vom Markt zu verschwinden. 21 Prozent befürchten andere Folgen wie etwa Stellenabbau.

Auch die Außenwirkung bereitet Unternehmen Kopfzerbrechen. Das gilt vor allem für den Fall, wenn ein Compliance-Verstoß aufgrund der Verpflichtung, Datenlecks zu melden, an die Öffentlichkeit gelangt. 19 Prozent der Befragten gehen davon aus, dass negative Berichte in Medien oder sozialen Netzwerken Kunden veranlassen könnten, zur Konkurrenz zu wechseln. In Deutschland fürchten sich sogar 24 Prozent vor schlechter Presse – der globale Spitzenwert. Weitere zwölf Prozent erwarten den Wertverfall der Unternehmensmarke, in Deutschland sind es 15 Prozent.

Wo liegen die Daten?

Schon die erste Frage, die sich im Zuge der DSGVO stellt, können viele Unternehmen nicht mehr beantworten: Wo lagern Daten, was enthalten diese und inwieweit sind sie relevant? Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann.

Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen. 32 Prozent der Befragten gaben an, keine Technologie zu besitzen, mit der Daten verwaltet werden können. Was wiederum die effektive Suche nach den Daten erschwert.

Bei 42 Prozent der befragten Unternehmen weltweit sind keine Prozess definiert, nach denen Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Gemäß der DSGVO steht Unternehmen auch zu, Daten zu behalten. Das ist jedoch nur dann der Fall, wenn die betroffene Person über die Gründe informiert wurde. Sind diese jedoch erfüllt, müssen die fraglichen Informationen sofort gelöscht werden.

Noch gut ein Jahr haben Organisationen Zeit, sich auf die DSGVO vorzubereiten. Deutsche Unternehmen sehen sich zu 36 Prozent vorbereitet. Im Vereinigten Königreich, den USA und Frankreich seien etwa 60 Prozent der Befragten laut eigenen Angaben in der Lage, rechtzeitig alle Regelungen erfüllen zu können. Für alle anderen werden in den nächsten Monaten noch Investitionen zukommen. Im Schnitt gehen Unternehmen von 1,3 Millionen Euro Mehrkosten durch die DSGVO aus. Deutsche Unternehmen veranschlagen im Schnitt 820.000 Euro. Allerdings könnte diese Zahl noch steigen.

“Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen”, erklärt Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.
Laut Kranig seien es vor allem größere Unternehmen, die bereits geeignete Prozesse etwa für das Löschen von nicht mehr erforderlichen Daten installiert haben.

“Viel problematischer ist die Situation bei kleinen und mittelständischen Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen”, warnt Kranig.

Jedoch mache es für einen Betroffenen es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Die Verbraucher werden durch die DSGVO gestärkt die Betroffenenrechte gegenüber allen Verantwortlichen geltend machen. “Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant”, warnt der Datenschutzexperte.

“Wenn geschäftliche Beziehungen zur Region existieren, gilt die DSGVO”, erklärt Andreas Bechter, Senior Product Manager bei Veritas. Ein Verdrängen der Anforderungen mache keinen Sinn. “Jetzt wäre es an der Zeit, einen Berater einzubeziehen, der den aktuellen Stand evaluiert und dem Unternehmen hilft eine Compliance-Strategie zu entwickeln. Den Kopf in den Sand zu stecken ist keine Alternative – es geht um Arbeitsplätze, Reputation und das Wohlergehen des Unternehmens.”

Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Unternehmen mit mindestens 1000 Mitarbeitern in Europa, Asien und den USA befragt.