Auch ein Jahr nach Ende der Übergangsfrist erfüllen nicht alle deutschen Unternehmen die Anforderungen der Datenschutz-Grundverordnung. Laut TÜV SÜD hat ein Drittel die erforderlichen Maßnahmen nur teilweise umgesetzt, 6 Prozent gar nicht.
Die Strafzahlungen werden wohl steigen: „Trotz erster Bußgelder ist die anfangs befürchtete breite Abmahnwelle bisher ausgeblieben. Doch inzwischen haben die Aufsichtsbehörden einzelner Bundesländer wie Baden-Württemberg verschärfte Kontrollen angekündigt“, warnt Andreas Rübsam, Director Data Protection der TÜV SÜD Sec-IT GmbH. „Die gute Nachricht: Auch wenn man in seinem Unternehmen beim Datenschutz noch zu wenig oder gar nichts getan hat, ist es nie zu spät, damit anzufangen. Man sollte sich zumindest einen externen Berater holen.“ Genau das haben laut Umfrage bereits einige Unternehmen ganz (34%) oder teilweise (24%) getan, um sich fit für die EU-DSGVO zu machen.
Die Daten beruhen auf einer Online-Umfrage der YouGov Deutschland GmbH, an der von 6. bis 10 Mai dieses Jahres 531 Unternehmensentscheider zwischen teilgenommen haben. Die Ergebnisse wurden gewichtet und setzen sich repräsentativ nach Beschäftigtenanteil pro Unternehmensgröße zusammen.
In mehr als der Hälfte der Unternehmen (58 Prozent) sind die Verantwortlichen umfassend über die nötigen datenschutzmaßnahmen informiert. Externe nutzen in dieser Frage lediglich 34 Prozent. Quelle: TÜV-SÜD
Mitarbeiter sind oft nicht ausreichend geschult
Nur etwas mehr als die Hälfte der befragten Entscheider gab an, dass ihr Unternehmen bisher einen Datenschutzbeauftragten benannt hat. „Das ist zwar erst ab zehn Mitarbeitern Pflicht, viele wissen aber nicht, dass die Umsetzungsverantwortung für die EU-DSGVO dann komplett bei der Firmenleitung liegt“, berichtet Rübsam. Großen Nachholbedarf gibt es auch bei der Mitarbeiterschulung. Lediglich 44 Prozent der Befragten berichtet, dass die Belegschaft in ihrem Unternehmen ausreichend zum Thema EU-DSGVO geschult ist.
Nur für 20 Prozent der befragten Unternehmen waren die für den Datenschutz nötigen Maßnahmen ohne spürbaren Zusatzaufwand machbar. Quelle: TÜV-SÜD
Zehn Schritte auf dem Weg zum Datenschutz
Zehn Punkte decken laut Rübsam die wichtigsten Bereiche beim Datenschutz ab: Die Schulung der eigenen Mitarbeiter, die Information der Kunden, eine Datenschutzerklärung auf der Website sowie die Überprüfung der Sicherheit der eigenen Website, ein Verzeichnis der Datenverarbeitungstätigkeiten, regelmäßige Datensicherungen, Beachten von Betroffenenrechten (Auskunft, Löschung) Verträge zur Auftragsverarbeitung, Kennzeichnung von Videoüberwachung sowie das Melden von Datenpannen.
Nach Ablauf einer zweijährigen Übergangsfrist ist die Datenschutz-Grundverordnung vor einem Jahr am 25. Mai 2018 in Kraft getreten. Sie regelt EU-weit die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch öffentliche Stellen und private Firmen durch Informationspflichten und Auskunftsrechte der betroffenen Personen. Bei Verstößen riskieren Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent ihres weltweiten Jahresumsatzes.
Umfassende Informationen zum Thema EU-Datenschutz, externer Datenschutzbeauftragter, geprüfte Auftragsverarbeitung und zertifizierte Datenträgervernichtung sowie Schulungen zu diesem Thema bietet der TÜV SÜD in einem Datenschutz-Fachportal. Jürgen Frisch
