MenüZurück
Wird geladen.

30.10.2018

18:17 Uhr

DSGVO

Unternehmen lassen gefährliche Lücken beim Datenschutz klaffen

VonCatrin Bialek, Christof Kerkmann, Dietmar Neuerer

Viele Firmen setzen noch immer nicht die seit Mai geltende DSGVO um. Teure Präzedenzfälle blieben zwar bisher aus, das Risiko ist dennoch hoch.

Unternehmen müssen genau nachvollziehen, wie sie Daten verarbeiten. picture alliance/Ikon Images via AP

Immer alles im Blick

Unternehmen müssen genau nachvollziehen, wie sie Daten verarbeiten.

Düsseldorf, BerlinAls der Stichtag näher rückte, breitete sich Panik aus. Mittelständler wie Konzerne fürchteten, die Regeln nicht rechtzeitig umsetzen zu können – heftige Bußgelder inklusive. Auch Vermieter und Vereine, Handwerksbetriebe und Selbstständige reagierten verunsichert. Die Datenschutzgrundverordnung (DSGVO) führe zu einer „Überforderung“, meinte selbst Bundeskanzlerin Angela Merkel.

Inzwischen hat sich die Aufregung gelegt. Seit das Regelwerk am 25. Mai Geltung erlangt hat, sind teure Strafen und Abmahnungen weitgehend ausgeblieben. Auch viele Legenden um das komplexe Regelwerk sind ausgeräumt. Die Ruhe ist allerdings trügerisch: Denn viele Unternehmen halten die Regeln noch nicht ein.

Sie gehen dabei ein beträchtliches Risiko ein: Die Datenschutzbehörden beschäftigen sich mit zahlreichen Beschwerden und haben erste Verfahren eingeleitet. Noch in diesem Jahr würden Bußgelder „in erheblichem Umfang anfallen“, warnt beispielsweise der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink.

Die DSGVO vereinheitlicht die Rechtslage: Unternehmen in allen Mitgliedstaaten der Europäischen Union müssen nunmehr noch sorgsamer mit den Informationen ihrer Kunden, Mitarbeiter und Geschäftspartner umgehen, sie umfassend informieren und Einwilligungen einholen. Außerdem haben Nutzer das Recht, ihre Daten löschen zu lassen oder diese zu einem anderen Anbieter zu übertragen.

Das gibt den Menschen in Europa deutlich mehr Kontrolle über ihre Daten. Apple-Chef Tim Cook sieht deswegen in dem Gesetzeswerk sogar ein Vorbild, wie er jüngst bei einem Besuch in Berlin betonte. „Wir würden es gerne sehen, wenn nicht nur die USA, sondern auch viele andere Länder der Führungsrolle Europas folgen und vielleicht sogar darüber hinausgehen würden“, sagte er.

Neue Regeln

Einheitlich

Mit der Datenschutzgrundverordnung (DSGVO) hat die Europäische Union einen einheitlichen Rechtsrahmen geschaffen – ein Novum.

Streng

Das Regelwerk sieht bei Verstößen hohe Bußgelder vor, die bis zu vier Prozent des Umsatzes eines Konzerns betragen können – auch für kleine Firmen besteht also ein Risiko.

Diese Begeisterung scheint jedoch nicht verbreitet zu sein. Mehrere Studien zeigen, dass die Wirtschaft bei der Umsetzung der DSGVO nachlässig ist. Der Softwareanbieter Usercentrics hat untersucht, wie die 30 Dax-Konzerne mit den Daten der Website-Besucher umgehen. Das Fazit der Studie, die dem Handelsblatt vorliegt: „So gut wie jedes Unternehmen hat noch Nachholbedarf.“

So fragen einige Konzerne nicht, ob sie die Daten der Nutzer verarbeiten dürfen, etwa mit einem Banner, das auf den Einsatz von Cookies hinweist. Und bei der Hälfte der Dax-Vertreter werden bereits Werbetechnologien geladen, bevor die Nutzer sich dazu äußern können – die Anbieter erhalten somit automatisch Informationen, aus denen sie mitunter Profile der Nutzer anlegen können.

Viertel der Firmen hat alles umgesetzt

Das ist keine Lappalie: Der Verwaltungsgerichtshof (VGH) München bestätigte im September ein erstinstanzliches Urteil, nach dem Firmen eine Rechtsgrundlage brauchen, wenn sie das System „Facebook Custom Audiences“ verwenden – also eine Zustimmung der Nutzer.

Die Probleme mit der DSGVO reichen weiter. Nach einer Umfrage des Hightech-Verbands Bitkom von Ende September hat erst jede vierte Firma (24 Prozent) die Regeln vollständig umgesetzt. Weitere 40 Prozent wollen es größtenteils geschafft haben, weitere 30 Prozent teilweise.

Das heißt auch: Fünf Prozent haben gerade erst angefangen, sich mit den neuen Datenschutzregeln zu befassen, wie die Befragung von 500 repräsentativ ausgewählten Unternehmen ergeben hat. Für einige sei die komplette Umsetzung der DSGVO „wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist“, meinte Bitkom-Geschäftsführerin Susanne Dehmel. Die Verordnung bleibe auch langfristig ein „Kraftakt“.

Exklusive Analyse: Viele Apps halten sich nicht an die neuen Datenschutzregeln

Exklusive Analyse

Viele Apps halten sich nicht an die neuen Datenschutzregeln

Defizite gibt es bei der Kontaktaufnahme, zudem sind viele Datenschutzerklärungen unverständlich. Verbraucherschützer fordern ein konsequenteres Vorgehen gegen Verstöße.

In der Kritik stehen auch die populären sozialen Netzwerke: Die Verbraucherzentrale NRW hat festgestellt, dass Nutzer nach wie vor kaum nachvollziehen können, wie ihre Daten verarbeitet werden. Zudem seien viele Einstellungen nicht datenschutzfreundlich, obwohl das Gesetz das nun verlange. Und die Praxis, die Nutzer zum Hochladen des Adressbuchs aufzufordern, sei weiter gang und gäbe. Die meisten Anbieter seien „noch immer Datenkraken“, lautet das harte Fazit.

Dass so viele Firmen die DSGVO noch immer nicht einhalten, überrascht die Rechtsanwältin Nina Diercks nicht: „Viele haben den Aufwand für die Umsetzung grob unterschätzt.“ Zumal Datenschutz jahrzehntelang als eine Anforderung gegolten habe, die man nur theoretisch einhalten müsse. Erst als der Stichtag näher rückte, wuchs die Angst vor Bußgeldern und Abmahnungen.

Als die Verordnung dann nach dem Ablauf der Übergangsfrist Geltung erlangte, war es schwierig, kompetente Unterstützung zu finden – „viele Kollegen waren so ausgelastet, dass sie Anfragen ablehnen mussten“, berichtet die Juristin. In ihrer Hamburger Kanzlei werden teilweise immer noch Mandate abgearbeitet, die im März und April eingingen.

Zentralerfassung überfordert Unternehmen

Schnelle Hilfe ist also nicht so einfach zu bekommen, zumal die Aufgabe komplex ist. Die meisten Firmen sind mit der DSGVO verpflichtet, alle Tätigkeiten, bei denen sie personenbezogene Daten verarbeiten, zentral nachzuhalten. „Das erfordert am Anfang viel Arbeit, erleichtert es aber später, die Pflichten zu erfüllen“, berichtet Diercks. Ein Beispiel: Wer einen Überblick hat, kann Bewerbern, Website-Besuchern oder Kunden schnell und einfach Auskunft geben.

Dafür muss das Management den Prozess aber zentral steuern. Daran hakt es vielfach – der Datenschutzbeauftragte oder die Compliance-Abteilung weiß nicht, was der Vertrieb oder die Personalabteilung tun. „In vielen Abteilungen herrscht das Gefühl: Das ist Arbeit, bringt aber keine Vorteile“, berichtet Diercks aus ihrer Beratungspraxis. Teils hört sie sogar Sätze wie: „Die Datenschützer machen uns alles kaputt.“

Dabei ist die Einhaltung der DSGVO doppelt wichtig. Nach einer exklusiven Umfrage des Marktforschungsunternehmens Innofact hat fast jeder Deutsche (93,1 Prozent) von der Datenschutzgrundverordnung gehört – und immerhin knapp zwölf Prozent der Befragten planen, von ihrem Recht auf Auskunft gegenüber Firmen Gebrauch zu machen. „Das wird für die Unternehmen kein Vergnügen, selbst wenn sich die Zahl noch mal halbiert, weil der eine oder andere von seinem Plan abkommt“, meint Christian Thunig, Managing Partner bei Innofact.

Datenschutz-Grundverordnung: Unternehmen drohen Bußgelder in „erheblichem Umfang“

Datenschutz-Grundverordnung

Unternehmen drohen Bußgelder in „erheblichem Umfang“

Viele Unternehmen halten immer noch nicht die neue EU-Datenschutzregeln ein. Die Aufsichtsbehörden haben bereits etliche Bußgeldverfahren eingeleitet.

Bei Verstößen gegen die Verordnung kann es teuer werden. Das Regelwerk sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des globalen Umsatzes vor. Das ist eine Höchstgrenze – etwaige Strafen müssen immer verhältnismäßig sein. In vielen Anwendungsfällen, etwa in kleinen Firmen, bei Vereinen oder auch Vermietern, herrscht allerdings vielfach Unsicherheit über die tatsächliche Auslegung.

In den nächsten Wochen und Monaten dürften mehr Details bekannt werden: Etliche Datenschutzbehörden haben inzwischen Verfahren wegen Ordnungswidrigkeiten eingeleitet. In Berlin und Baden-Württemberg stehen erste Strafen kurz bevor, wie die Stellen mitteilen. Die Behörde in Nordrhein-Westfalen hat bereits erste Bußgeldbescheide verschickt. Der Trend dürfte sich im nächsten Jahr fortsetzen: Die Behörden verzeichnen überall einen drastischen Anstieg an Beschwerden – in Hamburg hat sich die Zahl beispielsweise verdoppelt, in Baden-Württemberg verdreifacht.

Datenschützer Brink kritisiert, dass die zweijährige Frist zur Umsetzung der DSGVO-Vorgaben „tatsächlich nicht überall effektiv genutzt“ worden sei. „In der Zwischenzeit“, glaubt er, „haben sich die Unternehmen aber auf die DSGVO eingestellt.“ Rechtsanwältin Diercks sieht es angesichts ihrer Erfahrungen nicht so optimistisch: Viele Unternehmen würden sich noch in falscher Sicherheit wiegen. „Wenn bald die ganzen Bußgelder publik werden, kommt die nächste Panikwelle.“

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×