Ernüchternd ist das Fazit nach dem ersten Jahr der Datenschutzgrundverordnung (DSGVO) in der Praxis: Nur 28 Prozent der Unternehmen sind überzeugt, die Richtlinie zum Datenschutz korrekt umzusetzen. Wie das Beratungsunternehmen Capgemini in einer aktuellen Studie offenbart, haben die meisten Führungskräfte unter anderem aus den Branchen Versicherung, Banken, Konsumgüter und Einzelhandel die Umsetzung in ihren Unternehmen 16 Monate nach Inkrafttreten noch immer nicht abgeschlossen. Noch vor Einführung der DSGVO im vergangenen Jahr waren ganze 78 Prozent von ihnen der Überzeugung, die Anforderungen zeitnah zu erfüllen.
Unter den Befragten aus Deutschland, Frankreich, Italien, den Niederlanden, Norwegen, Spanien, Schweden, Großbritannien, Indien und den USA geben nun am häufigsten Unternehmen aus den USA an, vollständig DSGVO-konform zu agieren. Sie erreichen immerhin einen Anteil von 35 Prozent. Deutschland und Großbritannien folgen dahinter mit 33 Prozent, Spanien und Italien jeweils mit 21 Prozent und Schweden mit 18 Prozent.
Wahlloses Datensammeln gehört der Vergangenheit an
"Vor der DSGVO-Novelle war zu beobachten, dass Organisationen eher dazu tendierten, möglichst viele Daten zu sammeln. Ein Ziel war, so schien es, möglichst viele Informationen über Kunden und Endverbraucher zu horten. Oft ohne eine Idee, was mit diesem Wissen anzufangen ist.", schreibt Michael Sudahl in der Juli-Ausgabe von Versicherungsmagazin.
Erst Unternehmen wie Amazon, Facebook und Google hätten der Finanzwelt gezeigt, wie Daten zu Geld und wie viele Daten zu viel Geld werden. "Diesem Verhalten versucht die DSGVO, einen Riegel vorzuschieben. Zumindest liefert sie Werkzeuge, um bei Missbrauch hohe Strafen zu verhängen", schreibt der Autor.
"Bei vielen Finanzgeschäften sind mehrere Partner beteiligt: Vertriebe, Banken, Schufa, Gutachter oder Versicherungsunternehmen. Für den Verbraucher geht schnell der Überblick verloren, wer denn nun seine Daten hat. Ein wichtiges Gebot der DSGVO ist Transparenz", erläutert Sudahl. Sobald Daten weitergegeben werden, seien neue Datenschutzhinweise mit im Spiel. "Wer alle notwendigen Hinweise automatisiert zur Verfügung stellen kann, spart Zeit und Arbeit", rät Sudahl.
Anpassung der IT-Systeme ist problematisch
Doch gerade die Automatisierung macht den Unternehmen offenbar Probleme: Als Bremse auf dem Weg zur kompletten Erfüllung der Datenschutzrichtlinie sehen die Teilnehmer der Capgemini-Studie in erster Linie die Anpassung bestehender IT-Systeme, aber auch die Komplexität der Regulierungsanforderungen sowie hohe Kosten bei der Umstellung. Für einen erheblichen Anpassungs- und Umsetzungsaufwand sorgt das Recht auf Löschung sowie das Recht auf Datenübertragbarkeit auch in der Versicherungsbranche.
"Weiterhin wurde erstmalig ein Recht auf Datenübertragbarkeit eingeführt. Dieses Recht ist bedeutsam nicht nur für Unternehmen des Social Media Bereichs, sondern für alle Unternehmen mit Massengeschäft, wie Banken, Versicherungen, Energieversorger, Internetversender", fasst Springer-Autor Jürgen Monhemius im Buchkapitel "Das neue Datenschutzrecht und die Organhaftung bei Datenschutzverletzungen" zusammen. Der Kunde habe das Recht, die ihn betreffenden personenbezogenen Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" zu erhalten und zu erwirken, dass die Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen, zum Beispiel ein neuer Vertragspartner des Kunden, übermittelt werden. " Kann das Unternehmen die Daten nicht rechtzeitig in einem datenschutzkonformen Format liefern/übertragen und erleidet der Kunde deswegen einen Schaden, muss das Unternehmen mit Schadensersatzansprüchen rechnen", bringt es Monhemius auf den Punkt.
Richtlinien-konforme Unternehmen gewinnen
Während in der aktuellen Studie inzwischen 92 Prozent der DSGVO-konformen Unternehmen angeben, durch die Umsetzung der Verordnung einen Wettbewerbsvorteil erlangt zu haben, erwarteten 2018 lediglich 28 Prozent diesen positiven Effekt. Von einem Umsatzwachstum berichten 76 Prozent, von steigendem Kundenvertrauen 84 Prozent, und auf das Markenimage hat die Umsetzung der DSGVO bei 81 Prozent der konformen Unternehmen eingezahlt. Wessen Unternehmen mit der Umstellung bereits abgeschlossen hat, berichtet von weiteren indirekten Vorteilen wie verbesserten IT-Systemen (87 Prozent), durchgeführten Maßnahmen zur Cybersicherheit (91 Prozent) und optimierten Transformationsprozessen (89 Prozent).
Jene Unternehmen, die noch nicht gemäß geltender DSGVO-Richtlinien agieren, riskieren viel. Laut des Rechtsportals "eRecht24" drohen säumigen Firmen saftige Strafen. Trotz der Höhe der drohenden Strafen kommentiert Christian Kaupa, Leiter Insights & Data bei Capgemini, den noch anhaltenden Umsetzungsprozess verblüffend positiv: "Im letzten Jahr waren anscheinend einige Führungskräfte etwas zu ambitioniert und haben unterschätzt, wie viele Investitionen und organisatorischen Veränderungen nötig sind, um der DSGVO zu entsprechen. Die Ergebnisse aus diesem Jahr zeigen, dass Unternehmen den Bedarf erkannt haben und zunehmend verstehen, welche Vorteile die Erfüllung der der DSGVO auch in unternehmerischer Hinsicht bringt. Entsprechend sehen wir eine zunehmende Investitionsbereitschaft und den Willen, die notwendigen Änderungen planvoll anzugehen."
Erleichterungen für Kleinbetriebe
Erst kürzlich hatte der Bundesrat diversen Anpassungen nationaler Vorschriften an die Europäische Datenschutzgrundverordnung zugestimmt, die der Bundestag Ende Juni verabschiedet hatte. Das "Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU" greift in 154 Fachgesetze ein und regelt den so genannten bereichsspezifischen Datenschutz.
Das Ziel der Änderungen: Kleine Betriebe und ehrenamtliche Vereine sollen entlastet werden. Die Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen, greift künftig erst ab einer Personenzahl von 20. Bisher musste schon bei zehn Mitarbeitern eine mit dem Datenschutz beauftragte Person bestimmt werden. Und: Die Einwilligung von Beschäftigten zur Datenverarbeitung wird vereinfacht. Sie muss nicht mehr zwingend schriftlich erfolgen, künftig reicht auch eine E-Mail.
Autor(en): Swantje Francke
