DSGVO-Studie: 97% schlecht vorbereitet trotz Sanktionsrisiko

daten 02
News

Wenn man sagt: „Datenschutz ist längst nicht in den Köpfen aller Mitarbeiter oder Geschäftsführer angekommen“ liegt man nicht unbedingt falsch. Eine neue Studie der Marktforscher Dimensional Research im Auftrag von Dell zeigt, dass Unternehmen schlecht auf die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) vorbereitet und sich der drohenden Konsequenzen nicht bewusst sind.

Dell-Studie zur DSGVO

Dell hat die internationale Studie zum Thema DSGVO vorgestellt, die sich mit dem Kenntnisstand über die Datenschutz-Grundverordnung von kleinen, mittelständischen und großen Unternehmen auseinandersetzt. Außerdem wurden die teilnehmenden 821 IT- und Business-Professionals gefragt, wie ihr Unternehmen auf die kommenden Änderungen vorbereitet ist und wie sie das Risiko bei Nichteinhaltung der Vorschriften einschätzen. An der Befragung nahmen u.a. Unternehmen aus Deutschland, Frankreich, Großbritannien, Hongkong, Kanada, Singapur, Spanien und den USA teil.

82% der Befragten: rudimentäre bis schwache Kenntnisse

Erstaunlicherweise stellte die Studie im Ergebnis fest, dass den meisten Unternehmen weltweit das Verständnis für die Umsetzung der Datenschutz-Grundverordnung fehlt. 80% gaben dabei an, sich bisher nur rudimentär mit der Thematik auseinandergesetzt zu haben und die Details nicht genau zu kennen. Bemerkenswert ist, dass laut der aktuellen Studie 70% der Beteiligten anführten, den gesetzlichen Anforderungen der DSGVO an ein Unternehmen nicht gerecht zu werden bzw. nicht zu wissen, ob sie diesen überhaupt gerecht werden können.

Beachtenswert aus deutscher Sicht ist, dass laut der Studie 44% der befragten Unternehmen in Deutschland angeben, sehr gut auf die DSGVO vorbereitet zu sein. Allerdings ist auch festzuhalten, dass noch 2010 in einer von PwC durchgeführten Studie, bei der der Stand des Datenschutzes in deutschen Großunternehmen auf den Prüfstand gestellt wurde, nur 16% der Befragten angaben, eine Datenschutz-Strategie festgelegt zu haben. 15% der befragten Unternehmen gaben gegenüber PwC sogar an, keinerlei Schulungen für die Mitarbeiter durchzuführen.

97% keinen Plan zur Umsetzung der DSGVO

Wenn man bedenkt, dass 70% der Befragten angeben, nicht zu wissen, ob sie den Anforderungen der Datenschutz-Grundverordnung gerecht werden können, ist es jedoch erstaunlich, dass  nach der Studie von Dell bis dato nur 3% aller befragten Unternehmen angeben, bereits einen Plan zu haben, wie sie die Konformität mit der ab Mai 2018 geltenden DSGVO herstellen wollen. Sage und schreibe 97% haben derzeit keinen Plan, um 2018 bereit für die Datenschutz-Grundverordnung zu sein.

Abschreckung durch hohe Bußgelder?

Eigentlich ist das verwunderlich, wenn man bedenkt, dass die Datenschutz-Grundverordnung nicht nur die datenschutzrechtlichen Anforderungen an ein Unternehmen erhöht, sondern auch ein höheres Sanktionsrisiko mit sich bringt, wenn man nicht datenschutzkonform handelt.

Wie in unserem Artikel „Datenschutz-Grundverordnung: Bußgelder und Sanktionen“ dargestellt, drohen ab Mai 2018 maximale Geldbußen von 20 Million Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr; je nachdem, welcher Wert höher ist (Art. 83 DSGVO).

Laut der Studie von Dell gehen 21% der Befragten davon aus, nicht datenschutzkonform zu handeln und mit einem Bußgeld belastet zu werden, wenn die DSGVO bereits jetzt gelten würde, wobei 1/3 davon ausgehen, nur einfache Nachbesserungen machen zu müssen. Insgesamt gehen 50% davon aus, nur mit einer moderaten Geldbuße, oder überschaubaren Nachbesserungsarbeiten rechnen zu müssen.

Es scheint fast so, als wenn die erheblichen Bußgelder der Datenschutz-Grundverordnung, Unternehmen nicht schocken würden. Aber woran liegt das? Sind Unternehmen bereits so abgestumpft auf Grund des mangelnden Durchgreifens seitens der Aufsichtsbehörden?

Imageschaden höher als reines Bußgeld

Teilweise kann man diese Ansicht verstehen. Es lässt sich jedoch darüber sicherlich diskutieren, ob Aufsichtsbehörden in Zukunft härter durchgreifen werden als sie es bis dato tun. Unternehmen sollten allerdings nicht vergessen, dass es zukünftig noch eine andere Möglichkeit gibt, um einen nicht geldwerten „Schaden“ für ein Unternehmen zu verursachen.

Stichwort: Imageschaden! Nach dem derzeitig geltenden Recht, ist das Risiko eines Imageschadens noch nicht all zu hoch, da nur unter bestimmten Voraussetzungen eine etwaige Datenpanne meldepflichtig ist (§ 42 a BDSG). Die Anzahl meldepflichtiger Vorfälle ist bislang nicht sehr groß.

Anders sieht es hingegen ab Mai 2018 aus. Die Mitteilung von etwaigen Datenpannen im Unternehmen verschärft sich drastisch. Künftig muss der zuständigen Aufsichtsbehörde grundsätzlich jede Verletzung des Schutzes personenbezogener Daten mitgeteilt werden (Art. 33 DSGVO), sofern nicht eine nach Absatz 1 geregelte Ausnahme besteht, nach der es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Außerdem sind unter Umständen die Betroffenen nach Vorliegen der Voraussetzungen des Art. 34 DSGVO zusätzlich zu informieren.

Das Risiko, dass eine Datenpanne an die Öffentlichkeit gelangt, erhöht sich auf Grund der verschärften Regelungen daher exponentiell, da zukünftig eine Meldepflicht von Datenpannen unabhängig von der Art der personenbezogenen Daten besteht. Der potentielle Schaden für das Image eines Unternehmens ist daher höher einzustufen, als etwaige Bußgelder, wobei dies für Großunternehmen natürlich wesentlich erheblicher ist.

Schattendasein des Datenschutzes Ade!

Trotz der zahlreichen Skandale fristet der Datenschutz derzeit ein gewisses Schattendasein, was Großteiles durch die Studie von Dell bestätigt wird, und muss mit dem Stigma leben oftmals eine Alibi-Funktion zu erfüllen. Datenschutz wird teilweise als „unsexy“ und als Last gesehen, da er für das Unternehmen zunächst erst einmal keinen Mehrwert bringt. Das stimmt so jedoch nicht! Datenschutz ist ein Zeichen nach außen und gerade auf Grund der zahlreichen Datenschutzskandale in den letzten Jahren ist die Öffentlichkeit entsprechend sensibilisiert und legt mehr Wert darauf; der Skandal um WhatsApp, das Seitensprungportal Ashley Madison, der Angriff auf den Bundestag und der fremdgesteuerte Jeep sind dabei nur einige prominente Beispiele.

Ziel der Datenschutz-Grundverordnung ist es, den Schutz personenbezogener Daten für alle EU-Bürger zu stärken. Nicht zuletzt jedoch befreit sie den Datenschutz aus seinem Schattendasein, da Unternehmen sich gezwungener Maßen dem Thema annehmen müssen. Datenschutz spielt eine wesentlich wichtigere Rolle und Unternehmen müssen dies verstehen, um einem möglichen Imageschaden und nicht zuletzt ein potentielles Bußgeld entgegen wirken zu können.

Wollen Sie zu den 97% der Unternehmen gehören, die keinen Plan zur Umsetzung der Datenschutz-Grundverordnung haben? Kümmern Sie sich jetzt um die Umsetzung der DSGVO in ihrem Unternehmen und seien sie startklar für Mai 2018. Einen guten Einstiegspunkt bietet unsere Beitragsreihe zur Datenschutz-Grundverordnung.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

17 Kommentare zu diesem Beitrag

  1. Guter Artikel! Weiter so. Um ehrlich zu sein, wundern mich die Ergebnisse der Studie überhaupt nicht. Datenschutz wird oft sehr stiefmütterlich behandelt und die Geschäftsleitung kann auch das Argument der möglichen persönlichen Haftung selten überzeugen. Bin gespannt, ob sich daran in Zukunft etwas ändert. Es wäre zu wünschen!

  2. Ihr Reihe zur Datenschutz-Grundverordnung gibt hier schon mal den ersten Einblick in die neuen Regelungen. Kann ich nur empfehlen! Von den Aufsichtsbehörden gibt es ja bis dato fast keinerlei Handreichungen, Informationen o.ä., was sicherlich aber auch daran liegt, dass die Datenschutz-Grundverordnung für alle neu ist. Trotzdem finde ich es verwunderlich, dass selbst jetzt nicht mehr gibt – noch nicht mal einen Hinweis, wann man mit etwas rechnen kann. Gut gemacht Dr. D!

  3. Dem kann ich nur zustimmen. Manchmal ist es sehr schwer etwas umzusetzen bzw. anzuregen, da das Verständnis für den Datenschutz fehlt – wenn nicht gar die Kenntnis an sich.

  4. Guten Morgen,
    wenn ich mir die Zahlen so durchlesen, 20 Mio oder 4% des weltweiten Umsatzes, geht das schon in Richtung kartellrechtlicher Geldbuße. Ich hoffe dadurch, dass das Gespür für Datenschutz wächst!
    Liebes Datenschutzbeauftragter-info-Team,
    was ist Ihre Einschätzung, wird es zu einer so hohen Buße je kommen bei bisher bekannten Datenskandalen?
    Die Aufsichtsbehörde hält sich bis dato sehr bedeckt.
    VG

    • Der kartellrechtliche Einschlag in der DSGVO lässt sich gerade bei den Bußgeldern nicht wirklich verneinen. Hierzu haben wir bereits in unserer Reihe über die DSGVO berichtet. Es ist trotz der Unverbindlichkeit der Erwägungsgründe im Rahmen des Art. 83 DSGVO nicht auszuschließen, dass der kartellrechtliche Unternehmensbegriff zugrunde gelegt wird. Abschließend dürfte diese jedoch erst mit einer dahingehenden Entscheidung des EuGH geklärt werden können. Die Rechtsentwicklung sollte daher beobachtet werden.

      Grundsätzlich verfügt die Aufsichtsbehörde allerdings weiterhin über einen gewissen Ermessensspielraum hinsichtlich der Höhe des Bußgeldes, da neben den in Art. 83 Abs. 2 lit a-j festgelegten Umständen gemäß lit. K auch „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ berücksichtigt werden sollen. Wir werden daher sehen, wie sich dies in Zukunft darstellt. Vergessen werden sollte auch nicht, dass Art. 84 DSGVO in dem Zusammenhang eine wichtige Öffnungsklausel für die EU Mitgliedstaaten enthält.

  5. Das Unternehmen schlecht vorbereitet sind liegt sicher auch daran, dass die Verordnung von unklaren Rechtsbegriffen wimmelt und der Gesetzgeber in den nationalen Öffnungsklauseln und die Aufsichtsbehörden bisher keine sinnvollen Stellungnahmen zu den Themen wie Vertragsgestaltung zur ADV, Dokumentationspflicht, Informationspflicht etc. gegeben haben
    Ich bin seit 27 Jahren auf dem Sektor tätig, betreue viele Unternehmen als externer DSB und werde sicher nicht anfangen irgendetwas umzustellen, nach meinem Verständnis, wenn dann später die Aufsichtsbehörden kommen und andere Muster für verschiedene Sachverhalte herausgeben.
    Also für mich ist abwarten erst einmal ein gutes Mittel.

    • Vielen Dank für Ihren Kommentar.

      Zum Teil können wir Ihnen hier zustimmen. Allerdings beinhaltet die DSGVO nicht überall Öffnungsklauseln für die nationale Regelungen und gewisse Bereiche sind klar geregelt. Natürlich müssen wir gerade in Deutschland teilweise abwarten bis es ein ABDSG gibt, allerdings kann man die Unternehmen bereits zu diesem frühen Zeitpunkt auf die DSGVO vorbereiten. Zwingend zu empfehlen ist es, dass Unternehmen nicht einfach nur abwarten sollten bis es etwaige Muster oder Handreichungen gibt (bspw. ist ein Muster-ADV für Mitte 2017 angekündigt). Stattdessen sollten Unternehmen analysieren welche Daten sie haben, wie die vertraglichen Regelungen sind, welche Policies vorliegen, interne Verfahrensverzeichnisse anlegen (sofern nicht vorhanden; hier gibt es nur wenige Änderungen) etc.. Informationen sammeln ist das Wichtigste zu diesem Zeitpunkt!

  6. Ich bin betrieblicher Datenschützer und befasse mich schon seit einigen Monaten mit der DSGVO, bin allerdings noch etwas verunsichert, weil ich nicht abschätzen kann, was davon tatsächlich im ABDSG landen wird, oder ob es sich noch lohnt abzuwarten bis eine finale Version feststeht. Wie würden Sie das momentan einschätzen?

    • Vielen Dank für Ihren Kommentar.

      Hinsichtlich eines ABDSG bleibt abzuwarten, wann es eine neue Fassung gibt. Der bisherige Entwurf ist stark umstritten, wie Sie sicherlich in unseren Beiträgen verfolgt haben. Grundsätzlich darf man aber auch nicht vergessen, dass die DSGVO die größte Reform seit langem ist. Die DSGVO ist durchaus verständlich und nachvollziehbar geschrieben und aufgebaut. Sicherlich bedarf es hier weiterer Handreichungen/Vorgaben durch Gerichte und Aufsichtsbehörden, die Klarheit verschaffen. Ob und wieviel der deutsche Gesetzgeber von den Öffnungsklauseln im Rahmen des ABDSG Gebrauch macht, bleibt daher abzuwarten. Wir behalten die Angelegenheit im Blick.

      Abwarten sollten Unternehmen keinesfalls mehr. Sicherlich bedarf es noch etwaiger Handreichungen/Muster ebenso wie nationale Regelungen, sofern die EU Mitgliedstaaten hiervon Gebrauch machen. Unternehmen sollten daher jedoch derzeit analysieren welche Daten sie haben, wie die vertraglichen Regelungen sind, welche Policies vorliegen, interne Verfahrensverzeichnisse anlegen (sofern nicht vorhanden; hier gibt es nur wenige Änderungen) etc.. Informationen sammeln ist das Wichtigste zu diesem Zeitpunkt!

  7. Mittelständisch ;-) Nicht „dig“ –> mittelständigen Unternehmen –> mittelständische Unternehmen

    Ansonsten Danke für alle super Artikel.

  8. Endlich mal wieder ein Artikel, der von Aktualität geprägt ist und zur Diskussion anreget! Es ist sehr schade, dass Ihr Blog mittlerweile zum Großteil fast ausschließlich aus Fachartikeln besteht. Gerade die Mischung aus Fachartikeln – Urteilen – News machten diesen Blog aus.

    • Von den letzten 14 Artikeln waren 8 Fachbeiträge, 5 News und ein Urteil.
      Wir haben auch schon Rückmeldungen bekommen, dass mehr Fachartikel gewünscht werden.
      Ich stimme Ihnen zu, dass die Mischung wichtig ist und wir darauf achten müssen.

  9. Hallo,
    erst einmal Danke für diesen Bericht und die vielen weiteren Themen.

    Die EU-DSGVO muss selbstverständlich umgesetzt werden und viele Unternehmen sollten sich im Vorfeld damit beschäftigen. Doch bevor die EU-DSGVO greift, gelten nicht die landesspezifischen Datenschutzgesetze, dann das Bundesdatenschutzgesetz und zum Schluss die EU-DSGVO?

    So wäre mein Verständnis. Also müssten sich zuvor die Landes- und das Bundesdatenschutzgesetz einmal an die EU-DSGVO angepasst werden und schließlich können sich die Unternehmen an diese wiederum richten. Deswegen warte ich noch ab und beschäftige mich zurzeit nicht mit der EU-DSGVO, oder sehe ich es so verkehrt?

    Über eine Stellungnahme würde ich mich freuen.

    • Grundsätzlich muss man sagen, dass gemäß Art. 99 DSGVO die DSGVO seit dem 25. Mai 2016 in Kraft getreten ist. Nach einer Übergangzeit von 2 Jahren, gilt diese ab dem 25. Mai 2018. Mit Geltung 2018 ist die DSGVO das maßgebliche Gesetz in Europa. Ob und in wieweit ein EU-Mitgliedstaat von den in der DSGVO geregelten Öffnungsklauseln Gebrauch macht, bleibt diesen überlassen.

      In der Zwischenzeit ist zwar das BDSG etc. weiterhin anwendbar. Unternehmen sollten jedoch ihren Blick nach vorne gerichtet haben und bereits jetzt mit der Umsetzung der DSGVO beginnen, damit sie am Stichtag: 25. Mai 2018 gewappnet sind. Sollten Unternehmen erst ab Mai 2018 handelt, erhöht sich das datenschutzrechtliche Risiko für sie exponentiell.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.