Viele deutsche Unternehmen haben noch große Schwierigkeiten, die neuen DSGVO-Regeln vollständig umzusetzen

Die Bilanz ist ernüchternd: Etwa fünf Monate nach Inkrafttreten der DSGVO tun sich noch etliche deutsche Unternehmen schwer, die neuen europäischen Datenschutzregeln umzusetzen.

Einer aktuellen Studie des Digitalverbandes Bitkom zufolge agiert nur ein Viertel der Firmen DSGVO-konform – obgleich die angedrohten Strafen bei Verstößen nur allzu bekannt sind.

Viel Aufwand, viel Frust – und nur wenige komplett umgesetzte DSGVO-Normen

Womöglich lag es am Aktionismus mancher Unternehmen, der in den Medien öffentlichkeitswirksam verbreitet wurde und darüber hinwegtäuschte, dass die DSGVO wohl doch nicht ganz so eng gesehen wird, wie es während des großen Hypes im Mai schien. So wird derzeit beispielsweise davon berichtet, wie ein Immobilien-Eigentümerverband seinen 900.000 Mitgliedern dringend dazu rät, statt Namen nur noch Nummern auf die Klingelschilder zu schreiben – aufgrund datenschutzrechtlicher Vorbehalte. Meldungen wie diese mehren sich, schüren die öffentliche Angespanntheit und wecken den Verdacht, man könne künftig kaum noch aus dem Haus gehen, ohne gegen den Datenschutz zu verstoßen. Aber hat die Furcht vor Konsequenzen tatsächlich zu einem Umdenken bei der Durchsetzung des betrieblichen Datenschutzes gesorgt?

Der Branchenverband Bitkom kommt zu folgendem Ergebnis: Laut einer repräsentativen Umfrage unter 500 deutschen Unternehmen haben offenbar nur 25 Prozent von ihnen die DSGVO-Normen vollständig umgesetzt. Acht von zehn Unternehmen klagen über den deutlich gestiegenen Aufwand für die Anpassung des Regelwerks an die betrieblichen Abläufe. Bitkom resümiert frustriert, dass bereits bei einer Studie vor einem Jahr ein Viertel der Unternehmen DSGVO-Bereitschaft signalisiert habe, also kein wirklicher Fortschritt erkennbar sei.

Sinkende Akzeptanz und komplexere Prozesse im Vergleich zu 2017

Auch die Akzeptanz gegenüber der DSGVO sinkt: Im Jahr 2017 hatten noch 39 Prozent der Befragten Bitkom mitgeteilt, der neue europäische Datenschutz bringe dem Unternehmen Vorteile – mittlerweile sind es nur noch 30 Prozent. Obendrein hatten vor einem Jahr 42 Prozent der Unternehmen Befürchtungen angesichts sich verkomplizierender Geschäftsprozesse geäußert; heute liegt der Wert bei 63 Prozent. Somit hat sich das Stimmungsbild in der Wirtschaft bemerkenswert verschlechtert. Ganz offensichtlich ist vielen Unternehmen erst im Sommer 2018 bewusst geworden, in welch geringem Umfang sie auf die neuen Erfordernisse vorbereitet waren und wie sehr es noch immer an zeitgemäßen Datenschutzkenntnissen mangelt.

Der Aufwand war für viele einfach zu groß

Ferner deutet die neue Bitkom-Studie darauf hin, dass rund 40 Prozent der befragten Unternehmen die DSGVO-Regeln zumindest zum größeren Teil umsetzen. Für teilweise gerüstet halten sich 30 Prozent. Hingegen fangen fünf Prozent erst damit an, sich ernsthaft mit der Umsetzung der DSGVO zu befassen.

Diese Zahlen sollte man vor dem Hintergrund betrachten, dass der Gesetzgeber den Unternehmen dafür immerhin eine angenehme, von Bußgeldern befreite Übergangsfrist von zwei Jahren eingeräumt hat. Diese Frist endete am 25. Mai 2018. Bitkom-Vertreter vermuten nun, dass sich viele Unternehmen schlicht beim Aufwand verschätzt haben. Für andere sei eine Realisierung des neuen Datenschutzes keine Frage der Zeit, sondern „ein Ideal, das gar nicht zu erreichen ist."

Behörden an ihrer Kapazitätsgrenze

Wie in unserem Portal geschildert, stiegen in den letzten Monaten die gemeldeten Datenschutzverstöße rapide an. Eingedenk der erhellenden Umfrage dürfte dies nun nicht mehr verwunderlich sein. Die zuständigen Behörden stellt diese Entwicklung indes vor einen Kampf à la „David gegen Goliath“, wie es die niedersächsische Datenschutzbeauftrage Barbara Thiel erklärt. Sie selbst verfügt über 50 Mitarbeiter, deren Zuständigkeit auf rund 300.000 Unternehmen und 5.500 öffentliche Stellen fällt – widrige Voraussetzungen, um die staatliche Kontrollpflicht ausreichend wahrzunehmen.

Wenn die überlastete Behörde jedoch erst einmal die Untersuchung eines gemeldeten Verstoßes einleitet und sich dieser bestätigt, kann sie schmerzhafte Sanktionen verhängen. Gut möglich aber, dass nach der ersten Aufregung um mögliche Strafmaßnahmen inzwischen in einigen Firmen eine gewisse Bequemlichkeit Einzug gehalten hat, die sich aus Nachrichten von Datenschutzbehörden am Rand ihrer Kapazitäten speist.

Proklamierte Sanktionen noch bis Ende des Jahres

Die Ansage des EU-Datenschutzbeauftragten Giovanni Buttarelli dürfte Mitte Oktober wohl alarmierender gewirkt haben. Buttarelli kündigte an, noch vor Ablauf des Jahres 2018 erste Datenschutzverstöße zu sanktionieren – die Rede war von Geldstrafen, Rügen, Ultimaten und sogar vorübergehenden Firmenverboten.

Die Geldbußen können bis zu vier Prozent des Jahresumsatzes eines Unternehmens betragen, was viele Firmen existenziell treffen würde. So will es auch Buttarelli verstanden wissen, der betont, dass eine Strafe sowohl relevant für das Unternehmen als auch wichtig für die öffentliche Meinung und das Vertrauen der Verbraucher sei.