Defizite bei Umsetzung der DSGVO in deutschen Unternehmen  

Rund eineinhalb Jahr nach Geltungsbeginn der DSGVO gibt es bei der Umsetzung der neuen Datenschutzvorgaben in deutschen Unternehmen weiter Probleme. Nach einer neuen Umfrage hat nur jedes vierte Unternehmen alle Vorgaben umgesetzt, 67 Prozent immerhin große Teile. Erhoben wurde auch, wo die DSGVO-Vorgaben besonders hinderlich und aufwändig sind. 

Ein eher gemischtes Bild zur Umsetzung und Akzeptanz der im Mai letzten Jahres eingeführten Datenschutzgrundverordnung zeichnet eine aktuelle Studie des Branchenverbands Bitkom.

Befragung zur DSGVO-Umsetzung in 500 Firmen 

Für die repräsentative Studie wurden die Datenschutzverantwortlichen in rund 500 Firmen mit mindestens 20 Mitarbeitern befragt. Demnach hat

  • erst ein Viertel der Unternehmen die neuen Vorgaben umgesetzt,
  • ein knappes weiteres Viertel (24 Prozent) hat immerhin wesentliche Teile umgesetzt.
  • Bei insgesamt 67 Prozent der Unternehmen sollen die neuen Vorgaben „in großen Teilen“ umgesetzt worden sein.
  • 6 Prozent der Unternehmen sehen sich dagegen erst ganz am Anfang dieses Prozesses,
  • weitere 24 Prozent sind noch nicht besonders weit gekommen.

Umsetzung unmöglich? Vielfältige Schwierigkeiten 

Eine vollständige Umsetzung wird in vielen Unternehmen allerdings als unmöglich angesehen. Die größten Herausforderungen sehen die Verantwortlichen in der immer noch herrschenden Rechtsunsicherheit und dem schwer abzuschätzenden Aufwand für die Umsetzung der Maßnahmen. Als weitere Hindernisse verweisen die Befragten auf

  • fehlende Umsetzungshilfen
  • und fehlendes Fachpersonal.

Besonders hoher Aufwand durch Informations- und Dokumentationspflichten

Den größten Aufwand bei der Umsetzung sehen nahezu alle befragten Unternehmen (97 Prozent) in den neuen Informations- und Dokumentationspflichten, aber auch die Katalogisierung der Prozesse (93 Prozent) oder das Vertragsmanagement (86 Prozent) werden als besonders aufwändig genannt. Auch die notwendige Anpassung der Websites (→ Abmahnrisiko für nicht verschlüsselte Websites steigt) führt in vielen Betrieben (82 Prozent) zu einem hohen Aufwand.

Behinderung von Innovationen

Bei nicht wenigen Betrieben sieht man die verschärften Datenschutzanforderungen zudem als Innovationsbremse: Bei jedem siebten Unternehmen (14 Prozent) sind demnach neue, innovative Projekte aufgrund der Datenschutzvorgaben gescheitert.

Schließlich berichtet die Mehrzahl der Unternehmen (74 Prozent) auch von genervten Kunden, die sich über die zusätzlichen Hinweise und Infoblätter zum Datenschutz ärgern.

Nachbesserungen gefordert

Nahezu alle Unternehmen (98 Prozent) fordern daher Nachbesserungen an der DSGVO, die ja auch in Arbeit sind (→ Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU von Bundesrat gebilligt). Nahezu ähnlich hoch ist der Prozentsatz derjenigen Firmen (95 Prozent), die der Meinung sind, dass die Verordnung in ihrer aktuellen Form nicht vollständig umsetzbar sei. Und in etwa jedes sechste Unternehmen (16 Prozent) hält die DSGVO sogar für ein Risiko für das Geschäft.Diesen negativen Stimmungen stehen aber auch positive Einschätzungen gegenüber.

Nicht nur Kritik seitens der Unternehmen

So sind etwa zwei von drei Unternehmen überzeugt, dass die DSGVO weltweite Maßstäbe für den Datenschutz setzen kann und 57 Prozent gehen davon aus, dass durch die Verordnung einheitlichere Wettbewerbsbedingungen in der EU geschaffen werden. Direkte Vorteile für das eigene Unternehmen erwarten sich immerhin noch 25 Prozent.

Unterstützung vom Datenschutzbeauftragten

Mit ihren Forderungen nach Nachbesserungen stoßen die Unternehmen nicht auf taube Ohren. So hat sich auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kleber, für Erleichterungen bei den Informations- und Dokumentationspflichten insbesondere für Kleinbetriebe ausgesprochen.

Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz 

Ein erster Schritt in diese Richtung wurde bereits getan, indem eine Gesetzesänderung beschlossen wurde, nach der die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten erst für Unternehmen mit mindestens 20 Mitarbeitern besteht, und nicht mehr bereits bei 10 Mitarbeitern wie zuvor (Kleine Unternehmen brauchen keinen Datenschutzbeauftragten mehr).

Schärferes Vorgehen bei Verstößen

Mittlerweile kündigte der oberste Datenschützer auch ein schärferes Vorgehen bei Verstößen gegen die neuen Vorgaben an (→Ziele des neuen Datenschutzbeauftragten. Im Visier hat er dabei allerdings vor allem größere Konzerne. So erwartet er, dass es schon in absehbarer Zeit, dass auch hierzulande bei gravierenden Verstößen Bußgelder in Millionenhöhe verhängt werden. 

Unzufrieden zeigte er sich auch, dass es trotz offensichtlicher Datenschutzverstöße von Konzernen wie Facebook oder Google noch keine Urteile gefällt wurden (→ Unzulänglichkeiten beim Datenschutz in Sozialen Netzwerken). Zuständig für die meisten der großen US-Konzerne ist allerdings die irische Datenschutzbehörde, da diese Unternehmen ihren europäischen Firmensitz üblicherweise in Irland haben.

Weitere News zum Thema: 

EuGH: Website-Betreiber müssen für eingebundene Like-Buttons Nutzer-Einwilligung einholen

Datenschutzkonferenz macht strenge Vorgaben zu Cook-Hinweisen

Hintergrund: DSGVO-Informationspflichten

Nach Art. 13 DSGVO müssen die Betroffenen ausführlich über ihre Rechte im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten informiert werden. Hierzu gehören beispielsweise Angaben zu:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Datenverarbeitung und die Rechtsgrundlage
  • Weitere Empfänger der personenbezogenen Daten, sofern diese weitergegeben werden
  • Dauer der Speicherung
  • Auskunftsrechte, Recht auf Löschung, Widerspruchsrecht etc.

Eine genaue Auflistung aller Informationspflichten finden Sie auf der Website des Unabhängigen Landeszentrums für Datenschutz (ULD) in Schleswig-Holstein.