DSGVO: Viel Lärm um (fast) nichts?

Am 25.5.2018 wurde nach zweijähriger Übergangsfrist die europäische Datenschutzgrundverordnung (EU-DSGVO) unmittelbar rechtsverbindlich für alle Unternehmen, die Daten von EU-Bürgern verarbeiten. Massive Auswirkungen wurden prognostiziert. So gaben in einer von Veritas Technologies veröffentlichen Studie im Mai 2018 zwei von fünf der deutschen Umfrageteilnehmer an, innerhalb der ersten sechs Monate nach Inkrafttreten der Novelle von ihren neuen Datenschutzrechten Gebrauch machen zu wollen, mehr als 60% sogar Datenschutzverstöße den Behörden melden zu wollen. Neben möglichen Nachteilen durch die Ausübung von Betroffenenrechten, befürchteten Firmen weiterhin massive Abmahnversuche findiger Anwälte aufgrund von nicht korrekten Datenschutzerklärungen auf ihrer Webseite.

Trotz dieser Ängste verläuft die Umsetzung der DSGVO in deutschen Unternehmen immer noch schleppend. Schon kurz vor Inkrafttreten der neuen Regelung hatte eine Bitkom-Umfrage ergeben, dass nur 24 Prozent der Unternehmen vollständig DSGVOkonform sind – vier Monate später hat sich daran nichts geändert. 40 Prozent haben danach die Regeln größtenteils umgesetzt, drei von zehn (30 Prozent) teilweise. Gerade erst begonnen mit den Anpassungen haben fünf Prozent der Unternehmen. Vor allem kleinen und mittleren Unternehmen fehlt schlicht ausreichend qualifiziertes Personal. Dass die weitere Umsetzung nicht an Fahrt gewonnen hat, liegt vielleicht auch daran, dass mit dem Stichtag 25.5.2018 bislang der große Knall ausgeblieben ist: keine Abmahnwelle und keine Flut von Auskunftsanfragen. Also viel Lärm um (fast) nichts?

Grundsätzlich ist die Wirtschaft über die EU-Vorschriften sehr unzufrieden, wie eine weitere Bitkom-Umfrage zeigt. Danach hat sich das Stimmungsbild bei der generellen Bewertung der Datenschutz-Grundverordnung innerhalb eines Jahres deutlich verschlechtert. Fast zwei Drittel der Unternehmen (63 Prozent) konstatieren, dass die DSGVO ihre Geschäftsprozesse deutlich komplizierter macht, im September 2017 waren nur 42 Prozent dieser Meinung. Kritisiert werden vor allem die erweiterten Dokumentations- und Informationsplichten. So hat für 96 Prozent der Aufwand für die Erfüllung der Dokumentationspflichten zugenommen, 87 Prozent bestätigen dies für die Erfüllung der Informationspflichten. Welchen finanziellen Aufwand die Umsetzung bedeutet, zeigt sich in einer aktuellen Umfrage des Branchenvereins Handelsverband Deutschland (HDE) bei 483 Unternehmen. Danach hat der mittelständische Handel
dafür rund 630 Millionen Euro investiert und 40 Prozent der befragten Firmen haben sogar ihre digitalen Aktivitäten eingeschränkt.

Die Auswirkungen der DSGVO auf die Unternehmen sind sicherlich stark unterschiedlich, je nach Größe und Präsenz und Geschäftsmodell. Für die eigentliche Zielgruppe, die großen Internetkonzerne, hätte ein Verstoß gegen die DSGVO sicherlich massive Auswirkungen und so haben diese Unternehmen schon vor Jahren mit der Umsetzung begonnen. Der Datenschutz-Experte Florian Glatzner vom Bundesverband Verbraucherzentrale (vzbv) berichtete dann auch kurz nach Inkrafttreten der neuen Grundverordnung von ersten Beschwerden bei den Aufsichtsbehörden gegen Google, Facebook, Instagram und WhatsApp. Und aus unserem Kundenkreis bearbeitet eine große Spedition bereits über 150 Löschanfragen
seit dem 25. Mai. Viele Unternehmen der Logistikbranche dachten ursprünglich, dass im eigenen Unternehmen nur die Personalabteilung von der DSGVO betroffen sei. Ein Irrtum, denn betroffen ist jeder Fall von Verarbeitung personenbezogener Daten. Hat nicht auch ein Disponent tagtäglich mit persönlichen Daten von Kunden, Partnern und vor allem „seinen“ Fahrern zu tun? Kennt er nicht auch Details über sensible Themen, wie Krankheiten oder gar Alkoholkonsum? Ist es nicht der Disponent, der als verlängerter Arm der Personalabteilung alle Personaldaten und Verträge der Fahrer kennt? Die Beispiele sind zahlreich und die Antwort ist klar: Jeder Logistikdienstleister verarbeitet personenbezogene Daten und muss entsprechend handeln. Dazu kommt, dass die DSGVO bei Firmen und Verbrauchern zu einer wesentlich höheren Sensibilität für das Thema geführt hat. Wer Kunden bedienen möchte, die ihrerseits Wert auf den Schutz personenbezogener Daten legen, der ist also gut beraten, sich rechtskonform aufzustellen. Und so wird DSGVO-Compliance auf einmal zum Wettbewerbsvorteil.

Auch wenn die Effekte aktuell noch überschaubar scheinen, halte ich es für unverantwortlich, die Datenschutzvorschriften nicht ernst zu nehmen – das Risiko von Datenschutzverletzungen steigt mit jedem Tag. Der EU-Datenschutzbeauftragte Giovanni Buttarelli hat bereits angekündigt, dass Unternehmen bei Verstößen gegen die verschärften europäischen Datenschutzregeln bis Jahresende mit den ersten Sanktionen rechnen müssen. Und selbst wenn es nach Meinung der Fachjuristen noch jahrelang dauern kann, bis die neuen Regelungen durch Präzedenzfälle interpretiert und präzisiert sind und Sie, noch „vermeintlich“ Zeit zu haben: Fangen Sie an oder führen Sie den Prozess fort.

Ich rate Ihnen, Prioritäten zu setzen. Die Überprüfung und Aktualisierung der Datenschutzerklärung auf ihrer Webseite war für viele Unternehmen die erste Maßnahme, weil sie nach außen hin gut sichtbar ist. Konkrete Auswirkung könnten in jedem Unternehmen außerdem die bereits zitierten Betroffenenrechte haben. Machen Sie sich also Gedanken, wie Sie einem Anliegen nach Datenauskunft oder Datenlöschung begegnen würden. Und wenn Sie sich bisher noch nicht an das Thema herangewagt haben, dann empfiehlt es sich, einen externen Datenschutzbeauftragten zu verpflichten, der Ihnen bei dieser Aufgabe zur Seite steht.

Abschließend möchte ich betonen, dass bei allem Misstrauen gegenüber den neuen Regelungen die DSGVO doch auch große Chancen bietet. Vielleicht verhindern die drakonischen Strafen ja zukünftig große Datenskandale wie z. B. den millionenfachen Missbrauch von Facebook-Nutzerdaten. Ganz gewiss aber schaffen Sie in Ihrem eigenen Unternehmen mit einem reflektierten Umgang mit dem Thema Sicherheit und Schutz personenbezogener Daten nicht nur Vertrauen bei Ihren Kunden und Mitarbeitern, sondern können gleichzeitig auch ganz andere Schäden aus Datenmissbrauch vermeiden – weit über den Datenschutz im engen Sinne hinaus.