Erst jedes vierte Unternehmen in Deutschland hat einer Studie zufolge die Datenschutz-Grundverordnung (DSGVO) voll umgesetzt. Damit hat sich der Anteil der Firmen, die die neuen Datenschutzvorgaben erfüllen, seit Inkrafttreten der DSGVO im vergangenen Mai nicht erhöht.
Die schleppende Einführung geht aus einer Umfrage unter 500 deutschen Unternehmen hervor [1], die der IT-Branchenverband Bitkom veröffentlicht hat. Deutlich erhöht habe sich aber der Arbeitsaufwand für die Datenschützer, sagte die niedersächsische Datenschutzbeauftragte Barbara Thiel bei einer Veranstaltung des Bitkom.
Nach Ansicht der Bitkom-Rechtsexpertin Susanne Dehmel (Abbildung 1) fällt die bisherige Bilanz “ernüchternd” aus. “Bei der Umsetzung der DSGVO haben sich viele Unternehmen klar verschätzt. Für andere ist die komplette Umsetzung wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist”, sagte Dehmel und fügte hinzu: “Vielen ist offenbar auch erst im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben.” Begonnen haben allerdings die meisten Unternehmen mit der Umsetzung, davon haben sie 32 Prozent größtenteils und 33 Prozent teilweise abgeschlossen, 2 Prozent haben noch gar nicht angefangen.

Abbildung 1: Susanne Dehmel, Rechtsexpertin des Bitkom, zieht eine ernüchternde Bilanz. Quelle: Bitkom
Dreimal so viele Anfragen
Nicht nur Unternehmen – laut Umfrage 78 Prozent – beklagen mehr Aufwand (Abbildung 2), auch die Datenschutzbehörden haben durch die DSGVO deutlich mehr zu tun. Nach Angaben von Thiel sind die Anfragen um den 25. Mai 2018 herum regelrecht “explodiert”.
Während die 44 Sachbearbeiter ihrer Behörde im ersten Quartal 2018 rund 1300 Eingaben bearbeiten mussten, seien es im zweiten Quartal rund 4300 gewesen. Im Bereich Unternehmen hätten sich die Anfragen sogar versechsfacht. Besonders hohen Beratungsbedarf habe es bei Apotheken, Ärzten, Vereinen und kleinen bis mittleren Unternehmen gegeben. Verdoppelt habe sich im Quartalsvergleich zudem die Zahl der Beschwerden auf mehr als 500. Hier hat sich der Druck auf eine schnelle Erledigung durch die Datenschützer erhöht, weil Betroffene nun bei Untätigkeit eine Klage erheben können.
Auch Thiel (Abbildung 3) warf den Unternehmen vor, sich zu spät auf die Anforderungen der DSGVO eingestellt zu haben. “Da wurde zunächst aber eigentlich immer abgewunken”, sagte die Datenschützerin. Erst Ende 2017 hätten sich die angebotenen Informationskurse gefüllt.

Abbildung 3: Datenschützerin Barbara Thiel sieht den Aufwand nicht nur bei Unternehmen. Quelle: lfd niedersachsen
Datenschützerin warnt vor Sanktionen
Man hätte das Thema viel stärker bewerben müssen, sagte Thiel. Anders als im früheren Bundesdatenschutzgesetz seien die Datenschutzbehörden nun aber nicht mehr zur individuellen Beratung verpflichtet. Stattdessen setzten sie auf ihre Multiplikatorenfunktion sowie FAQ und Informationsbroschüren auf ihren Internetseiten.
Für umfassende Kontrollen der Unternehmen sei ihre Behörde personell nicht ausgestattet, räumte Thiel ein. An 50 größere Firmen sei bereits ein Fragenkatalog verschickt worden. Wegen der Fristen habe die Bearbeitung der Beschwerden “absolute Priorität”. Sie warnte die Unternehmen, die Gefahr durch Verstöße zu unterschätzen. Das Prinzip “Einmal ist keinmal”, wie es etwa die österreichische Regierung vertrete, sei nicht rechtens und nicht in der DSGVO vorgesehen, meint Thiel. Zwar werde die Behörde die maximale Bußgeldhöhe von 20 Millionen Euro nicht gleich ausschöpfen, doch im Vergleich zu früheren Strafen werde man “deutlich höher rangehen”.
Dabei setzt sie darauf, durch Beschwerden von Betroffenen auf Datenschutzverstöße aufmerksam gemacht zu werden. Das ließe sich durch Kontrollen oft gar nicht herausfinden. Ebenfalls hinzugekommen sei die Aufgabe, maßgebliche Entwicklungen in der IT-Technik zu verfolgen. Das sei angesichts der Personalausstattung ein Kampf wie David gegen Goliath, sagte Thiel.
Zeitfressende Pflichten
Der Bitkom-Umfrage zufolge haben fast alle befragten Firmen mehr Aufwand durch die Erfüllung von Dokumentationspflichten (96 Prozent). Ebenso müssen fast neun von zehn Firmen mehr Informationspflichten erfüllen (85 Prozent). 82 Prozent haben mehr Aufwand beim Vertragsmanagement und 78 Prozent beim Schulungsbedarf fürs Personal.
Kein Wunder, dass 96 Prozent der Firmen eine Nachbesserung oder Vereinfachung der DSGVO fordern. Dazu zählen grundsätzliche Erleichterungen für kleine Betriebe oder eine praxisnähere Gestaltung der Informationspflichten.
Rechtsunsicherheit bleibt noch bestehen
Vor dem Hintergrund der Kritik erstaunt es, dass 30 Prozent der Befragten durch die Datenschutz-Grundverordnung sogar einen Vorteil für ihr Unternehmen und 46 Prozent einen Wettbewerbsvorteil für Europa sehen. Im Gegenzug erkennen 37 Prozent der Firmen in der DSGVO ein Innovationshemmnis und 12 Prozent eine Gefahr für ihr Geschäft.
Zu den größten Herausforderungen für die Firmen im Zusammenhang mit der DSGVO gehören die Rechtsunsicherheit (65 Prozent) und der schwer abzuschätzende Aufwand für deren Umsetzung (63 Prozent).
Bis zumindest eine gewisse Rechtssicherheit herrscht, dürfte es aber noch einige Zeit dauern. Thiel rechnet dafür großzügig mit einer Zeitdauer von drei bis fünf Jahren. Daher will sie bei ihren Kontrollen so pragmatisch und moderat wie möglich vorgehen. (uba)







