DSGVO-wer? Viele deutsche Unternehmen setzen den neuen europäischen Datenschutz nur unzureichend um!

Eine Bilanz, wie sie ernüchternder nicht sein könnte: Rund fünf Monate nach Inkrafttreten der DSGVO sind viele deutsche Unternehmen keineswegs auf eine Umsetzung der neuen europäischen Datenschutzregeln eingestellt.

Nach einer aktuellen Studie des Digitalverbands Bitkom agiert lediglich ein Viertel der hiesigen Firmen DSGVO-konform. Dabei sind die angedrohten Strafen bei Verstößen nur allzu bekannt.

Kein echter Fortschritt erkennbar

Vielleicht hat der in den Medien öffentlichkeitswirksam verbreitete Aktionismus mancher Unternehmen darüber hinweggetäuscht, dass die DSGVO wohl doch weniger ernst genommen wird, als man angesichts des Hypes um ihre Einführung im Mai hätte meinen können. Da wird beispielsweise aktuell berichtet, wie ein Immobilien-Eigentümerverband seinen 900.000 Mitgliedern dringend empfiehlt, statt Namen nur noch Nummern auf die Klingelschilder zu schreiben – weil es datenschutzrechtliche Vorbehalte gäbe. Meldungen wie diese heizen die öffentliche Hysterie an und wecken den Verdacht, man könne künftig kaum noch aus dem Haus gehen, ohne gegen den Datenschutz zu verstoßen.

Aber hat die Furcht vor Konsequenzen tatsächlich zu einem Umdenken bei der Durchsetzung des betrieblichen Datenschutzes gesorgt? Der Branchenverband Bitkom kommt zu einem anderen Ergebnis: Laut einer repräsentativen Umfrage unter 500 deutschen Unternehmen haben offenbar nur 25 Prozent von ihnen die DSGVO-Normen vollständig umgesetzt. Acht von zehn Unternehmen klagen über den deutlich gestiegenen Aufwand für die Anpassung des Regelwerks an die betrieblichen Abläufe. Bitkom resümiert frustriert, dass bereits bei einer Studie vor einem Jahr ein Viertel der Unternehmen DSGVO-Bereitschaft signalisiert habe, also kein wirklicher Fortschritt erkennbar sei.

Spürbarer Mangel an Datenschutzkenntnissen

Die Akzeptanz der DSGVO ist hingegen geschwunden: 2017 hatten noch 39 Prozent der Befragten Bitkom mitgeteilt, dass der neue europäische Datenschutz dem Unternehmen Vorteile bringe – inzwischen sind es nur noch 30 Prozent. Hingegen hatten vor einem Jahr 42 Prozent der Unternehmen eine Verkomplizierung von Geschäftsprozessen befürchtet – heute glauben das 63 Prozent.

Somit hat sich das Stimmungsbild in der Wirtschaft bemerkenswert verschlechtert. Ganz offensichtlich ist vielen Unternehmen erst im Sommer 2018 bewusst geworden, in welch geringem Umfang sie auf die neuen Erfordernisse vorbereitet waren und wie sehr es noch immer an zeitgemäßen Datenschutzkenntnissen mangelt.

Fehleinschätzungen beim Aufwand

Weiter stellt die neue Bitkom-Studie fest, dass rund 40 Prozent der befragten Unternehmen die DSGVO-Regeln zumindest zum größeren Teil umsetzen. 30 Prozent halten sich für teilweise gerüstet. Hingegen beginnen fünf Prozent erst damit, sich ernsthaft mit der Realisierung der DSGVO auseinanderzusetzen. Diese Zahlen sollte man vor dem Hintergrund sehen, dass der Gesetzgeber den Unternehmen dafür immerhin eine komfortable, von Bußgeldern befreite Übergangsfrist von zwei Jahren eingeräumt hat, die am 25.05.2018 endete. Bitkom-Vertreter vermuten nun, dass sich viele Unternehmen schlicht beim Aufwand verschätzt haben. Für andere sei eine Realisierung des neuen Datenschutzes keine Frage der Zeit, sondern „ein Ideal, das gar nicht zu erreichen ist".

Überforderte Behörden

Wie in unserem Portal mitgeteilt, stieg in den letzten Monaten die Zahl der gemeldeten Verstöße gegen den Datenschutz sprunghaft an. In Anbetracht der erhellenden Umfrage dürfte dies nun keinen mehr überraschen. Für die zuständigen Behörden führt diese Entwicklung indes zu einem Kampf „David gegen Goliath“, wie es die niedersächsische Datenschutzbeauftrage Barbara Thiel beschreibt.

Sie selbst verfügt über 50 Mitarbeiter, die für rund 300.000 Unternehmen und 5.500 öffentliche Stellen zuständig sind – denkbar schlechte Voraussetzungen, um die staatliche Kontrollpflicht zufriedenstellend wahrzunehmen. Wenn die überlastete Behörde jedoch erst einmal die Untersuchung eines gemeldeten Verstoßes einleitet und sich dieser bestätigt, kann sie schmerzhafte Sanktionen verhängen. Gut möglich aber, dass nach der ersten Aufregung um mögliche Strafmaßnahmen inzwischen in einigen Firmen eine gewisse Bequemlichkeit Einzug gehalten hat, die sich aus Nachrichten von Datenschutzbehörden am Rand ihrer Kapazitäten speist.

Erste Strafen noch 2018

Schon alarmierender dürfte da die Ankündigung des EU-Datenschutzbeauftragten Giovanni Buttarelli Mitte Oktober gewirkt haben. Dieser versprach, noch vor Ablauf des Jahres erste Sanktionen gegen Datenschutzverstöße einzuleiten, worunter Geldstrafen, aber auch Rügen, Ultimaten und sogar vorübergehende Firmenverbote zu verstehen sind. Die Geldbußen können bis zu vier Prozent des Jahresumsatzes eines Unternehmens betragen, was viele Firmen existenziell treffen würde. So will es auch Buttarelli verstanden wissen, der betont, dass eine Strafe sowohl für das Unternehmen relevant als auch wichtig für die öffentliche Meinung und das Vertrauen der Verbraucher sei.