© dotshock, 123RF

Wenn die von der EU beschlossene Datenschutz-Grundverordnung Mitte 2018 in Kraft tritt, sind Firmen in Deutschland und anderen Industrieländern bislang noch schlecht darauf vorbereitet, das belegt eine Studie. Einige Kritiker finden die Datenschutzverordnung zu lasch.

Die im April 2016 beschlossene Datenschutz-Grundverordnung (EU-DSGVO, [1]) soll 2018 in Kraft treten. Die EU will damit einen einheitlichen Datenschutz innerhalb der EU-Länder erreichen. Die Verordnung löst dann die alte EU-Datenschutzrichtlinie aus dem Jahr 1995 ab.

Pflichtaufgaben

Ziel dieser Grundverordnung ist es nach dem Willen ihrer Schöpfer, die Datenschutzrechte natürlicher Personen zu stärken und den freien Verkehr personenbezogener Daten im digitalen Binnenmarkt, auch durch eine Reduzierung des Verwaltungsaufwands, zu erleichtern. Alle Unternehmen in der EU, den USA und anderen Ländern, die personenbezogene Daten von EU-Bürgern erfassen, müssen diese Bestimmungen bis zum Mai 2018 umsetzen, dann tritt die EU-DSGVO verbindlich in Kraft. Andernfalls drohen Geldbußen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des jährlichen Gesamtumsatzes eines Unternehmens.

Den nationalen Aufsichtsbehörden ist laut der Verordnung eine überzeugende Dokumentation der Mechanismen vorzulegen, die das Unternehmen einsetzt, um personenbezogene Daten über alle Systeme und Plattformen hinweg zu verfolgen und angemessen zu kontrollieren. EU-Bürger erhalten das “Recht auf Vergessenwerden”. Ein Unternehmen muss nachweislich in der Lage sein, jede Instanz von personenbezogenen Kundendaten auf dessen Wunsch aus allen Systemen und Plattformen zu entfernen.

Auswirkungen

Personenbezogene Daten umfassen laut Definition alles – von der E-Mail-Adresse und Steuernummer des Kunden bis hin zu Beiträgen in sozialen Netzen. Unternehmen müssen die eindeutige und ausdrückliche Einwilligung zur Nutzung der Daten einholen. Jan Oetjen, Vorstandsmitglied beim Internetdienstleister United Internet AG, warnte Anfang des Jahres vor dem Bundestagsausschuss zur digitalen Agenda [2] vor einer Flut von Einwilligungserklärungen via Opt-in. Insbesondere kleinere Firmen und Plattformen dürften sich damit schwertun, glaubt er, für große Anbieter sei es einfacher Opt-ins einzukassieren.

Vorbereitungsphase

Doch wie sieht es mit der Vorbereitung der Unternehmen aus, die – wenn auch noch mit einigem Vorlauf – von der Grundverordnung und ihren Pflichten betroffen sind? Eine vom Software-Unternehmen Compuware in Auftrag gegebene Studie [3] versucht die Frage nach dem Vorbereitungsstand von Unternehmen zu klären. Für die vom unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführte Studie wurden im Juni diesen Jahres 400 CIOs von großen Unternehmen aus Deutschland, Frankreich, Italien, Spanien, Großbritannien und den USA befragt. Die Ergebnisse sind alarmierend

Risikobereit

Zwei Drittel der befragten Unternehmen gaben an, dass ihr Unternehmen derzeit nicht mit der EU-DSGVO im Einklang sei und sie nicht sicher seien, ob es entsprechende Pläne dafür gäbe. Gründe hierfür sind die zunehmenden Datensammlungen, wachsende Komplexität der IT sowie die Trends zu immer mehr Apps, Outsourcing und mobilen Anwendungen. Hinzu kommen laxe Regeln bei der Datenmaskierung und dem Einholen der expliziten, datenbezogenen Einwilligung ihrer Kunden.

Die Studie belegt ein grundsätzliches Problem für die Einhaltung der Grundverordnung. Fast alle Unternehmen (97 Prozent) sind laut der Befragung bestrebt, immer mehr Kundendaten zu sammeln. Fast ebenso viele (89 Prozent) sind der Ansicht, dass diese Daten entscheidend sind für ihren Geschäftserfolg. Auf der anderen Seite falle es mit der wachsenden Menge an Daten schwerer, die Übersicht zu behalten.

Dass neben zentralen Servern immer mehr Cloud-basierte Plattformen zum Einsatz kommen, trägt dazu seinen Teil bei. Zumindest was die Übersicht betrifft, birgt die Nutzung verschiedener Plattformen und Services Gefahren. 68 Prozent der Befragten gaben an, dass sie aufgrund der Komplexität ihrer IT-Services nicht problemlos nachvollziehen können, wo genau sich die Kundendaten gerade befinden. Dabei ist das Recht auf Vergessenwerden ein zentraler Bestandteil der Grundverordnung.

Bei der Befragung war nur die Hälfte der Unternehmen davon überzeugt, dass ein Auffinden aller Instanzen von personenbezogenen Daten eines Kunden schnell und einfach möglich sei (Abbildung 1).

Abbildung 1: Das Recht auf Vergessenwerden können nicht alle befragten Firmen garantieren.

Gefährliche Testumgebung

Einen weiteren Risikofaktor im Umgang mit personenbezogenen Daten bilden Testumgebungen für Anwendungen, die inzwischen zum Alltag moderner IT gehören. Testdaten aber sind laut der Studie eine weitverbreitete Schwachstelle. 43 Prozent der Studienteilnehmer gaben an, nicht sicher zu sein, ob Kundendaten ausreichend anonymisiert seien, bevor sie in Testumgebungen zum Einsatz kommen. Solche unmaskierten Daten machen es erheblich schwieriger, dem Recht auf Vergessenwerden nachzukommen, wenn etwa personenbezogene Testdaten beim Outsourcing-Dienstleister liegen.

US-Unternehmen

US-Unternehmen sind sich der EU-DSGVO noch etwas weniger bewusst (43 Prozent). Dieser Mangel könnte für viele amerikanische Unternehmen problematisch werden, da 52 Prozent der befragten US-Unternehmen angaben, dass sie EU-Kundendaten besitzen. Daraus erwächst die Pflicht, die Vorgaben der EU-DSGVO einzuhalten, auch wenn der Firmensitz in den USA liegt.

Kritik uneins

Kritiker bemängelten im Vorfeld, dass die neue Verordnung in Deutschland den Datenschutz eher senke. Der Leiter des Fachgebiets Öffentliches Recht an der Universität Kassel, Jura-Professor Alexander Roßnagel, äußerte sich entsprechend vor dem Bundestagsausschuss zur digitalen Agenda [2]. Roßnagel kritisierte, dass das Ziel, einen einheitlichen Datenschutz auf EU-Ebene einzuführen, verfehlt werde. Er führt dies auf die Regelung zurück, dass nur bei Abweichungen zwischen nationalen Datenschutzregeln und der Verordnung die Letztere Vorrang habe. Das führe zu einem unübersichtlichen Gemenge von EU- und nationalem Recht und damit zu einer unsicheren Rechtslage.

Roßnagel sieht auch in der seiner Meinung nach übertriebenen Technikneutralität Defizite. Es dürfe nicht sein, dass die gleichen Regeln wie für die Datenverarbeitung beim Bäcker um die Ecke auch für risikoreiche Datenverarbeitungsformen wie Big Data oder Cloud Computing gelten sollen, sagte Roßnagel.

Fazit

Ungeachtet der kritisierten unsicheren Rechtslage: Firmen, die von der EU-DSGVO betroffen sind, sollten die verbleibende Zeit nutzen, um sich auf die Verordnung vorzubereiten, schließt die Studie. Nur so sei mit einem Abschluss der Maßnahmen zu rechnen, bis die Aufsichtsbehörden mit der Prüfung starten und die Kunden beginnen eine bessere Kontrolle über ihre personenbezogenen Daten zu fordern.