21.06.2017

IT-Unternehmen drohen Millionen-Bußgelder

Umsetzung Datenschutzgrundverordnung lässt zu wünschen übrig. Nur noch knapp ein Jahr, dann wird es eng für Datenschutzmuffel. IT-Unternehmen müssen sich auf Millionen-Bußgelder gefasst machen, wenn sie nächsten Mai die EU-DSGVO nicht umgesetzt haben. Die Chefs wissen das. Nur an der Umsetzung hapert es teilweise noch gewaltig.

Datenschutz, Schloss vor vitueller Datenwelt

Unternehmen hinken hinterher

Die europäische Datenschutz-Grundverordnung (DSGVO) tritt Ende Mai 2018 in Kraft. Ein Jahr ist schneller um, als so mancher denken mag. Doch mehrheitlich hinken die Unternehmen in Deutschland beim Datenschutz hinterher. Einer Umfrage des Branchenverbandes Bitkom unter mehr als 200 IT- und Digitalunternehmen zufolge hat immer noch jedes fünfte IT- und Digitalunternehmen (19 Prozent) sich noch gar nicht mit dem Thema beschäftigt. Im vergangenen Herbst waren es laut einer damaligen Bitkom-Umfrage noch 32 Prozent der Unternehmen mit mehr als 20 Mitarbeitern.

Noch keine Maßnahmen begonnen

Nur jedes Dritte (34 Prozent) hat jetzt zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt. Vier von zehn Unternehmen (42 Prozent) beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen begonnen, und fünf Prozent wollten oder konnten keine Angaben machen. Im Herbst war das Thema zwölf Prozent der befragten Unternehmen überhaupt nicht bekannt. Von den IT- und Digitalunternehmen, die bereits erste Maßnahmen begonnen haben, hat jedes Dritte (31 Prozent) nach eigener Einschätzung gerade einmal höchstens 20 Prozent der notwendigen Arbeiten erledigt.

Neue Informations- und Dokumentationspflichten

Mit der Verordnung will die Kommission IT-Unternehmen eine Reihe neuer Informations- und Dokumentationspflichten auferlegen. Neu sind dabei gesetzliche Vorgaben wie:

  • Datenschutz bei der Produktentwicklung (Privacy by Design),
  • Datenschutz-Folgenabschätzung.

„Allmählich wird die Zeit knapp“, drängt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit beim Bitkom. Die IT-Unternehmen sollten die Vorgaben der Datenschutz-Grundverordnung vordringlich umsetzen. Die Übergangsfrist bis Mai 2018 sei dafür gedacht, dass die IT-Unternehmen noch die teilweise aufwendigen Vorarbeiten leisten können. Dehmel: „Dies setzt aber eine aktive Beschäftigung mit dem Thema voraus.“ Sie empfiehlt IT-Unternehmen, die bis jetzt die Vorgaben der DSGVO ignoriert haben, sich dringend zu überlegen, wie sie das Thema schnellstmöglich aufarbeiten können.

Zwei Jahre Frist bald um

Die Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 offiziell in Kraft getreten. Die Frist bis zur tatsächlichen Anwendung der Verordnung wurde mit zwei Jahren festgelegt, Stichtag ist somit der 25. Mai 2018.

  • Die IT-Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben.
  • Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu vier Prozent des weltweiten Umsatzes verhängen.

Verspäteter Projektstart, fehlende Ressourcen

Hauptgrund sind nach einer Befragung von über 300 Vorständen und Geschäftsführern durch das Beratungshaus Carmao ein verspäteter Projektstart und fehlende Ressourcen. Manche Unternehmen hätten aber auch den regulativen Erfordernissen bisher keine große Bedeutung beigemessen. Danach bestehen im Topmanagement der Firmen überwiegend durchaus ausgeprägte Kenntnisse zu der künftig geltenden EU-Datenschutzverordnung. Zumindest liegen in fast zwei Drittel der Fälle umfangreiche Kenntnisse zu den Konsequenzen zukünftiger Verstöße gegen den Datenschutz vor. Lediglich sieben Prozent der Manager geben an, dass sie damit gegenwärtig nicht richtig vertraut sind.

Termingerechte Umsetzung der datenrechtlichen Anforderungen

Insofern sollte man eigentlich annehmen, dass sie sich um eine termingerechte Umsetzung der datenrechtlichen Anforderungen bemühen. Doch weit gefehlt. Tatsächlich scheinen es die Firmen nicht eilig zu haben. Nur jeder zehnte befragte Topmanager erwartet, dass sein Unternehmen mit seiner Datenschutzorganisation den Ansprüchen der DSGVO bis Ende dieses Jahres und damit schon vor der Frist im Mai 2018 entsprechen werde. Bis dahin wird es aber nach den Bekenntnissen der Befragten nur ein weiteres Drittel auch wirklich sein. Mit anderen Worten: 57 Prozent der Unternehmen nehmen in Kauf, sich noch eine gewisse Zeit datenschutzrechtlich auf unsicherem Boden zu bewegen. Fast jeder fünfte Firmenchef gibt sogar an, dass erst 2019 oder später die Pflichten der EU-DSGVO ausreichend erfüllt werden können.

Zu spät, zu leicht genommen

Als Gründe für die Verzögerungen geben die Chefs zu 44 Prozent an, dass sie schlichtweg zu spät mit den Umstellungsmaßnahmen begonnen haben. 28 Prozent messen der europäischen Datenschutzverordnung keine hohe strategische Bedeutung bei. Bei fast einem Drittel standen bisher andere Investitionsprioritäten auf der Agenda. Weitere Gründe für die Versäumnisse sind für 41 Prozent unterschätzter Aufwand und für 35 Prozent fehlende fachliche Ressourcen.

Für den Einstieg hat Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht. Weitere Leitfäden stehen auf der Bitkom Webseite zum kostenlosen Download bereit.

Autor*in: Franz Höllriegel