Datenschutz-Grundverordnung – Fehlende Pläne zur Umsetzung

Kürzlich veröffentlichte Studien zur Bereitschaft von Unternehmen die Herausforderungen der neuen Datenschutz-Grundverordnung zu bewältigen, zeichnen ein alarmierendes Bild. Dell hat eine internationale Studie zum Thema EU-Datenschutz-Grundverordnung (DSGVO) vorgestellt. Die wichtigsten Ergebnisse: Kleinen, mittleren und großen Unternehmen fehlt das Verständnis dafür, wie man sich auf die Anforderungen der DSGVO vorbereitet und welche Strafen bei Nichteinhaltung drohen.

Keine Pläne zur Umsetzung der Datenschutz-Grundverordnung

In der von Dell beauftragten internationalen Studie zur Datenschutz-Grundverordnung (DSGVO), welche sich mit dem Kenntnisstand über die DSGVO von kleinen, mittleren und großen Unternehmen auseinandersetzt, geben 70% der Befragten an, nicht zu wissen, ob sie den Anforderungen der Datenschutz-Grundverordnung gerecht werden können. Nur 3 Prozent aller befragten Unternehmen haben laut eigener Aussage bereits einen Plan, wie sie die Konformität mit der ab Mai 2018 geltenden DSGVO herstellen können.

Das ist verwunderlich, wenn man bedenkt, dass die Datenschutz-Grundverordnung nicht nur die datenschutzrechtlichen Anforderungen an die Unternehmen erhöht, sondern auch ein deutlich höheres Sanktionsrisiko mit sich bringt. So drohen bei Verletzungen der DSGVO ab Mai 2018 maximale Geldbußen von 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr.

In Hinblick auf die Schaffung von Konformität zur DSGVO ist für einzelne Unternehmen von einem mindestens halb- bis einjährigen Zeitaufwand auszugehen. Der tatsächliche Zeitaufwand zur Analyse, Planung und Umsetzung der DSGVO-Konformität ist von mehreren Faktoren abhängig. Eine wesentliche Rolle bei der Bestimmung des Zeitaufwands spielen dabei ua der Umfang an Datenanwendungen, die Schutzbedürftigkeit der verarbeitenden, personenbezogenen Daten und die zu ergreifenden, technischen und organsiatorischen Maßnahmen für Datensicherheit im Unternehmen.

Ausmaß der Strafen bei Nichteinhaltung wird unterschätzt

Die Ergebnisse der Dell-Studie zeigen auch: Unternehmen wissen zwar, dass sich die Nichteinhaltung auf die Datensicherheit und die Geschäftsergebnisse auswirkt, aber über das Ausmaß der nötigen Veränderungen sowie über die Schwere der Strafen sind sie sich nicht im Klaren:

  • von den 21% der Befragten, die angaben, mit einer Strafe zu rechnen, wenn die DSGVO bereits jetzt gelte, dachten 36%, es würde nur einfacher Nachbesserungen bedürfen oder kannten die Höhe der Strafe nicht;
  • knapp 50% glaubten, dass sie mit einer moderaten Geldstrafe oder überschaubaren Nachbesserungsarbeiten davon kommen würden;
  • fast 25% erwarteten bedeutende Veränderungen bei den aktuellen Datenschutzpraktiken und -technologien.

Neben der Strafandrohungen verschärft sich auch die Gefahr eines durch eine Datenpanne verursachten Imageschadens beträchtlich. Künftig muss der zuständigen Aufsichtsbehörde grundsätzlich jede Verletzung des Schutzes personenbezogener Daten mitgeteilt werden, sofern nicht eine in der DSGVO geregelte Ausnahme besteht, nach der es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Außerdem sind unter gesetzlich festgelegten Umständen die Betroffenen auch noch persönlich zu informieren. Das auf Grund der verschärften Regelungen steigende Risiko, dass die Öffentlichkeit über eine erlittene Datenpanne zu informieren ist, erhöht den potentiellen Schaden für das Image eines Unternehmens nachvollziehbar.

Best-Practice: Datenschutzbeauftragter und verbesserte Datensicherheitsmassnahmen

Dell empfiehlt zur Vermeidung potenzieller Strafen bzw Imageschäden die Bestellung eines Datenschutzbeauftragten sowie die Verbesserung von technischen und organisatorischen Massnahmen bei der Zugriffskontrolle auf personenbezogene Daten, den Einsatz von Next Generation Firewalls zur Senkung des Risikos von Datenlecks, und ein besonderes Augenmerk auf Datensicherheit bei mobilen Datenanwendungen und E-Mails.

In Hinblick auf den zeitlichen Aufwand zur Anpassung bestehender Datenschutzstandards auf die steigenden Anforderungen durch die Datenschutz-Grundverordnung ist den Unternehmen eine rasche, aktive Auseinandersetzung zu empfehlen. Eine professionelle Planung der Einführung der Datenschutz-Grundverordnung im Rahmen eines firmenspezifischen Datenschutzkonzeptes mit gesetzeskonformen Datenschutz- und Datensicherheitsrichtlinien sowie begleitenden Schulungsmassnahmen für Mitarbeiterinnen und Mitarbeiter sollte eine weitgehend reibungsfreie Umsetzung der DSGVO im Unternehmen bis 2018 ermöglichen.

Links

Management Summary der Dell-Studie zum Thema „Dell General Data Protection Regulation Global Survey“: https://software.dell.com/docs/executive-summary-gdpr-global-survey-white-paper-23601.pdf.