Mehr Regeln, mehr Aufwand
Der Countdown läuft: Ab dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung in Kraft. Sie sorgt dafür, dass alle datenverarbeitenden Unternehmen mit sensiblen Informationen EU-weit einheitlich umgehen müssen.
- In allen EU-Ländern gilt ab dem 25. Mai die Datenschutzgrundverordnung (DSGVO). Doch viele deutsche Unternehmen haben die nötigen Änderungen noch nicht oder nur teilweise vollzogen.
- Künftig müssen sich Unternehmen, Behörden und sogar Schulen die Einwilligung zur Datenverarbeitung von den Kunden, Eltern und Schülern einholen.
- Besonders kleinen Unternehmen und Selbstständigen bereitet die DSGVO Kopfzerbrechen, da die Prüfung und Umsetzung sehr arbeitsintensiv und kostspielig sein kann.
In einigen Betrieben herrscht Torschlusspanik: In allen EU-Ländern gilt ab dem 25. Mai die Datenschutzgrundverordnung (DSGVO). Mit ihr regelt die Europäische Union die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden – und zwar einheitlich für alle Mitgliedsstaaten. Angesichts der jüngsten Skandale um den Missbrauch von Facebook-Daten erscheint das besonders dringend.
Überraschend kommt die Verordnung allerdings nicht. Die DSGVO ist schon seit zwei Jahren gültig. Nun läuft lediglich die Umstellungsfrist ab.
Trotzdem hatten im März 2018 lediglich 13 Prozent der deutschen Unternehmen, die in einer Studie des Beratungsunternehmens absolit befragt wurden, ihre Prozesse bereits an die neuen Regularien angepasst. Am besten vorbereitet sind noch die Software-Unternehmen– in dieser Branche hat jeder fünfte Betrieb die DSGVO-Vorbereitungen abgeschlossen. Viele Betriebe haben die neuen Regeln allerdings überhaupt nicht auf dem Schirm (Grafik):
Rund ein Viertel der Unternehmen in Deutschland hat noch nicht einmal angefangen, sich mit der Verordnung zu beschäftigen.
Das könnte sie teuer zu stehen kommen. Verstöße gegen die Verordnung können mit Geldbußen von bis zu 4 Prozent des Jahresumsatzes – und zwar des weltweiten - bestraft werden.
Einwilligung zur Datenverarbeitung
Kern der DSGVO ist das Recht auf individuelle Selbstbestimmung im Umgang mit den eigenen Daten. Das bedeutet eine Reihe neuer Dokumentations-, Transparenz- und Auskunftspflichten für die Unternehmen – und damit einen erheblichen bürokratischen Aufwand. Unternehmen, Behörden und sogar Schulen müssen von ihren Kunden respektive Schülern und Eltern die Einwilligungen zur Datenverarbeitung einholen und dabei stets einen konkreten Verwendungszweck angeben. Außerdem müssen die Daten verarbeitenden Organisationen ihre Klienten besser über die Verarbeitung informieren und ihre Prozesse in der Produktentwicklung anpassen, um Privacy by Design, also Datenschutz durch Technikgestaltung, umzusetzen.
Viele deutsche Unternehmen haben die europäische Datenschutzgrundverordnung bislang noch nicht oder nur teilweise umgesetzt.
Viele Unternehmen müssen dazu erst einmal ein Verarbeitungsverzeichnis für personenbezogene Daten erstellen. Das hätten sie eigentlich schon nach alter Rechtslage haben müssen.
Auf jeden Fall kostet die Umsetzung der neuen Richtlinien viel Geld:
Laut einer Studie des amerikanischen Softwareunternehmens Veritas rechnen deutsche Unternehmen im Schnitt mit 820.000 Euro Kosten für die Erfüllung der DSGVO.
Probleme für kleine Unternehmen
Die neuen Vorgaben bereiten vor allem kleinen Unternehmen und Selbstständigen Kopfzerbrechen, denn sie haben oft nicht die notwendigen Ressourcen, um sich mit einer EU-Verordnung und deren Umsetzung zu beschäftigen. Die Stärke der DSGVO, ihre Allgemeingültigkeit, ist damit gleichzeitig auch ihre Schwäche. Allein die Beratungskosten für betroffene Unternehmen liegen schnell im vierstelligen Bereich.
Andererseits macht die DSGVO das Thema Datenschutz zu einem wichtigen Wirtschafts- und Wettbewerbsfaktor, vor allem im grenzüberschreitenden Handel. Denn Unternehmen, die EU-weit tätig sind, müssen ihre Geschäftsmodelle nun nicht mehr an die unterschiedlichen nationalen Datenschutzgesetze anpassen. Das hilft insbesondere jungen Unternehmen dabei, ihre Geschäfte über die Landesgrenzen hinweg auszuweiten.
Außerdem zwingt die DSGVO die Unternehmen, ihre Geschäftsprozesse auf den Prüfstand zu stellen, zu überarbeiten und gegebenenfalls neu zu gestalten. Betriebe, die Datenschutz und Datensicherheit nun ganz oben auf ihre Agenda setzen, könnten für Kunden attraktiver werden. Denn die Verbraucher werden mit jedem Datenskandal mehr für das Thema sensibilisiert und beziehen deshalb Datenschutzaspekte stärker in ihre Kaufentscheidungen ein. Auf der Verliererseite stehen dagegen Unternehmen, die sich bisher mit einem niedrigen Datenschutzniveau zufriedengegeben haben. Insbesondere amerikanische Internetunternehmen müssen ihre Richtlinien stark anpassen, um EU-Bürger weiterhin zu ihren Kunden zählen zu können.