Skip to main content
main-content

08.10.2019 | Datenschutz | Im Fokus | Onlineartikel

DSGVO bleibt ein Risikofaktor

Autor:
Swantje Francke

Die Umsetzung der DSGVO in Unternehmen stockt auch mehr als ein Jahr nach ihrer Einführung. Zwar ist die befürchtete Klagewelle gegen säumige Unternehmen ausgeblieben, doch die Gefahr hoher Geldstrafen bleibt akut.

Ernüchternd ist das Fazit nach dem ersten Jahr der Datenschutzgrundverordnung (DSGVO) in der Praxis: Nur 28 Prozent der Unternehmen sind überzeugt, die Richtlinie zum Datenschutz korrekt umzusetzen. Wie das Beratungsunternehmen Capgemini in seiner aktuellen Studie offenbart, haben die meisten Führungskräfte unter anderem aus den Branchen Versicherung, Banken, Konsumgüter und Einzelhandel die Umsetzung in ihren Unternehmen 16 Monate nach Inkrafttreten noch immer nicht abgeschlossen. Noch vor Einführung der DSGVO im vergangenen Jahr waren ganze 78 Prozent von ihnen der Überzeugung, die Anforderungen zeitnah zu erfüllen.

Empfehlung der Redaktion

01.11.2019 | Schwerpunkt | Ausgabe 11/2019

Die DSGVO als internationales Vorbild?

Im Fahrwasser der EU-Datenschutzgrundverordnung (DSGVO) entstehen derzeit in mehreren Ländern neue Datenschutzgesetze, die sich teilweise an Konzepten der DSGVO orientieren. 

Unter den Befragten aus Deutschland, Frankreich, Italien, den Niederlanden, Norwegen, Spanien, Schweden, Großbritannien, Indien und den USA geben nun am häufigsten Unternehmen aus den USA an, vollständig DSGVO-konform zu agieren. Sie erreichen immerhin einen Anteil von 35 Prozent. Deutschland und Großbritannien folgen dahinter mit 33 Prozent, Spanien und Italien jeweils mit 21 Prozent und Schweden mit 18 Prozent.

Vor der DSGVO-Novelle war zu beobachten, dass Organisationen eher dazu tendierten, möglichst viele Daten zu sammeln. Ein Ziel war, so schien es, möglichst viele Informationen über Kunden und Endverbraucher zu horten. Oft ohne eine Idee, was mit diesem Wissen anzufangen ist.", schreibt Michael Sudahl in der Juli-Ausgabe von Versicherungsmagazin. 

Erst Unternehmen wie Amazon, Facebook und Google hätten der Finanzwelt gezeigt, wie Daten zu Geld und wie viele Daten zu viel Geld werden. "Diesem Verhalten versucht die DSGVO, einen Riegel vorzuschieben. Zumindest liefert sie Werkzeuge, um bei Missbrauch hohe Strafen zu verhängen", schreibt der Autor. 

"Bei vielen Finanzgeschäften sind mehrere Partner beteiligt: Vertriebe, Banken, Schufa, Gutachter oder Versicherungsunternehmen. Für den Verbraucher geht schnell der Überblick verloren, wer denn nun seine Daten hat. Ein wichtiges Gebot der DSGVO ist Transparenz", erläutert Sudahl. Sobald Daten weitergegeben werden, seien neue Datenschutzhinweise mit im Spiel. "Wer alle notwendigen Hinweise automatisiert zur Verfügung stellen kann, spart Zeit und Arbeit", rät der Versicherungsmagazin-Autor.

Anpassung der IT-Systeme holpert

Doch gerade die Automatisierung macht den Unternehmen offenbar Probleme: Als Bremse auf dem Weg zur kompletten Erfüllung der Datenschutzrichtlinie sehen die Teilnehmer der Capgemini-Studie in erster Linie die Anpassung bestehender IT-Systeme, aber auch die Komplexität der Regulierungsanforderungen sowie hohe Kosten bei der Umstellung. Für einen erheblichen Anpassungs- und Umsetzungsaufwand sorgt das Recht auf Löschung sowie das Recht auf Datenübertragbarkeit auch in der Versicherungsbranche. 

"Weiterhin wurde erstmalig ein Recht auf Datenübertragbarkeit eingeführt. Dieses Recht ist bedeutsam nicht nur für Unternehmen des Social Media Bereichs, sondern für alle Unternehmen mit Massengeschäft, wie Banken, Versicherungen, Energieversorger, Internetversender", fasst Springer-Autor Jürgen Monhemius im Buchkapitel "Das neue Datenschutzrecht und die Organhaftung bei Datenschutzverletzungen" auf Seite 42 zusammen. Der Kunde habe das Recht, die ihn betreffenden personenbezogenen Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" zu erhalten und zu erwirken, dass die Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen, zum Beispiel ein neuer Vertragspartner des Kunden, übermittelt werden. "Kann das Unternehmen die Daten nicht rechtzeitig in einem datenschutzkonformen Format liefern/übertragen und erleidet der Kunde deswegen einen Schaden, muss das Unternehmen mit Schadensersatzansprüchen rechnen", bringt es Monhemius auf den Punkt.

Richtlinien-konforme Unternehmen gewinnen

Während in der aktuellen Studie inzwischen 92 Prozent der DSGVO-konformen Unternehmen angeben, durch die Umsetzung der Verordnung einen Wettbewerbsvorteil erlangt zu haben, erwarteten 2018 lediglich 28 Prozent diesen positiven Effekt. Von einem Umsatzwachstum berichten 76 Prozent, von steigendem Kundenvertrauen 84 Prozent, und auf das Markenimage hat die Umsetzung der DSGVO bei 81 Prozent der konformen Unternehmen eingezahlt. Wessen Unternehmen mit der Umstellung bereits abgeschlossen hat, berichtet von weiteren indirekten Vorteilen wie verbesserten IT-Systemen (87 Prozent), durchgeführten Maßnahmen zur Cybersicherheit (91 Prozent) und optimierten Transformationsprozessen (89 Prozent).

Jene Unternehmen, die noch nicht gemäß geltender DSGVO-Richtlinien agieren, riskieren viel. Laut des Rechtsportals "eRecht24" drohen säumigen Firmen saftige Strafen:

Wie hoch ein DSGVO Bußgeld ist, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall. Der Bußgeldrahmen ist schwindelerregend hoch und in Art. 83 DSGVO festgehalten. Der Art. 83 DSGVO berücksichtigt bei der Höhe von Geldbußen, was für eine Datenschutzverletzung vorliegt.
Verletzt ein Unternehmen seine Zertifizierungs- oder Überwachungspflichten oder bestimmte Vorschriften der DSGVO, ist ein Bußgeld von bis zu 10 Millionen Euro möglich. Die Aufsichtsbehörden verhängen alternativ ein Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes. Sie verhängen immer den höheren Betrag. Missachtet ein Unternehmen eine Anweisung einer Aufsichtsbehörde, sind die Geldbußen doppelt so hoch.“

Trotz der Höhe der drohenden Strafen kommentiert Christian Kaupa, Leiter Insights & Data bei Capgemini, den noch anhaltenden Umsetzungsprozess verblüffend positiv: "Im letzten Jahr waren anscheinend einige Führungskräfte etwas zu ambitioniert und haben unterschätzt, wie viele Investitionen und organisatorischen Veränderungen nötig sind, um der DSGVO zu entsprechen. Die Ergebnisse aus diesem Jahr zeigen, dass Unternehmen den Bedarf erkannt haben und zunehmend verstehen, welche Vorteile die Erfüllung der der DSGVO auch in unternehmerischer Hinsicht bringt. Entsprechend sehen wir eine zunehmende Investitionsbereitschaft und den Willen, die notwendigen Änderungen planvoll anzugehen."

Erleichterungen für Kleinbetriebe

Erst kürzlich hatte der Bundesrat diversen Anpassungen nationaler Vorschriften an die Europäische Datenschutzgrundverordnung zugestimmt, die der Bundestag Ende Juni verabschiedet hatte. Das "Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU" greift in 154 Fachgesetze ein und regelt den so genannten bereichsspezifischen Datenschutz. 

Das Ziel der Änderungen: Kleine Betriebe und ehrenamtliche Vereine sollen entlastet werden. Die Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen, greift künftig erst ab einer Personenzahl von 20. Bisher musste schon bei zehn Mitarbeitern eine mit dem Datenschutz beauftragte Person bestimmt werden. Und: Die Einwilligung von Beschäftigten zur Datenverarbeitung wird vereinfacht. Sie muss nicht mehr zwingend schriftlich erfolgen, künftig reicht auch eine E-Mail.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

06.06.2019 | DSGVO | Im Fokus | Onlineartikel

Schonfrist bei DSGVO-Verstößen ist vorbei

20.08.2018 | Compliance | Im Fokus | Onlineartikel

Umsatzeinbußen durch die DSGVO

07.05.2018 | Risikomanagement | Im Fokus | Onlineartikel

DSGVO-Wissen kurz vor knapp