Zum Europäischen Datenschutztag: Wie steht’s um die Umsetzung der DSGVO?
Am 28. Januar ist Europäischer Datenschutztag. Ein guter Anlass für uns, mal auf den Stand der Umsetzung der DSGVO, also der Europäischen Datenschutz-Grundverordnung, in Deutschland zu schauen und Rechtliche Unsicherheiten oder technisch-organisatorische Herausforderungen zu beleuchten.
Europäischer Datenschutztag
Der Europäische Datenschutztag wurde bereits 2006 auf Initiative des Europarats ins Leben gerufen und jährlich am 28. Januar begangen. Dieser Tag geht bereits auf das Jahr 1981 zurück, an dem die Europaratskonvention 108 zum Datenschutz unterzeichnet wurde. Darin verpflichteten sich die Unterzeichner, die Achtung der Rechte und Grundfreiheiten, vor allem des Persönlichkeitsbereichs, bei der automatisierten Datenverarbeitung zu gewährleisten. Mit dem Europäischen Datenschutztag, soll das Bewusstsein über den Datenschutz bei der Bevölkerung erhöht werden. Auch die USA und Kanada haben 2009 den 28. Januar zum „Data Privacy Day“ erklärt, der seit dem parallel existiert.
Studie zum Datenschutz bei Onlinediensten
Ende des vergangenen Jahres rappelte es im Datenschutzkarton. Das Bundesjustizministerium hat Onlinediensten in Sachen DSGVO-Umsetzung auf den Zahn gefühlt und musste dabei feststellen, dass bei den großen Internetanbietern noch einiges an Nacharbeiten fällig ist. Doch wie sieht es in den Branchen jenseits von Web-Shopping, Social Media und News-Portalen aus? Welche Herausforderungen stellen sich den deutschen Unternehmen, wenn es um den datenschutzkonformen Umgang mit persönlichen Daten geht?
Im Mai 2020 ist sie bereits seit zwei Jahren in Kraft: Die europäische Datenschutzgrundverordnung. Längst auch als DSGVO ein gängiger Begriff, hält sie Unternehmen und Organisationen dazu an, personenbezogene Daten nachvollziehbar und gesetzeskonform zu verarbeiten. Ob Konzern, Mittelstand oder Kleinunternehmen, gemeinnütziger Verein oder mildtätige Stiftung, Größe und Rechtsform einer Organisation spielen dabei keine Rolle. Im Zentrum stehen die Rechte von Verbrauchern und natürlichen Personen und damit der Schutz von personenbezogenen Daten.
DSGVO-Umsetzung in vollem Gange
Laut einer Studie der RSM Group, einer international agierenden Prüfungs- und Beratungsgesellschaft, hat Mitte 2019 fast ein Drittel der europäischen Unternehmen die DSGVO noch gar nicht in Angriff genommen. Eine Umfrage des deutschen Branchenverbands Bitkom zeichnet für Deutschland ein etwas milderes Bild. Im Herbst 2019 – eineinhalb Jahre nach Inkrafttreten der neuen Verordnung – haben 67 Prozent der deutschen Unternehmen die Datenschutzregeln „mindestens zu großen Teilen“ umgesetzt. Knapp ein Viertel hat bis dato immerhin Teile der Verordnung umgesetzt. Lediglich 6 Prozent sehen sich noch „ganz am Anfang“ der Realisierung. Optimistisch lässt sich damit sagen, dass der DSGVO-Stein inzwischen in nahezu jedem deutschen Unternehmen ins Rollen gekommen ist. Bei der vollständigen Umsetzung hapert es allerdings noch massiv. Wo liegen die Gründe für diese Verzögerung?
Auch eine Frage der Möglichkeiten
Gerade für kleinere Unternehmen steht und fällt die Etablierung von Datenschutzmaßnahmen mit der Verfügbarkeit von Mitteln. Es ist sowohl ein Kostenpunkt – oft ist neue Software oder zumindest ein kostspieliges Update erforderlich – als auch eine Frage von Zeit und Personal. Schließlich muss jemand für die notwendigen Maßnahmen verantwortlich zeichnen und als Ansprechpartner zur Verfügung stehen. Ein Datenschutzbeauftragter muss im Unternehmen seit Sommer 2019 zwar nur noch ab 20 Mitarbeitern bestimmt werden, die DSGVO muss allerdings trotzdem komplett umgesetzt werden. Unterm Strich bleibt also die Notwendigkeit bestehen, dass eine Person im Unternehmen ihre Zeit dem Thema Datenschutz und all seinen bürokratischen Nebenbedingungen widmet. Eine Aufgabe, die im stressigen Tagesgeschäft schnell untergeht.
Rechtliche Unsicherheiten zeigen sich hartnäckig
Ein Stolperstein, der die Einhaltung der DSGVO für Unternehmen zur Belastungsprobe werden lassen kann, ist die Rechtsunsicherheit bei spezifischen Fragestellungen. So besteht sowohl auf Seiten der Verbraucher als auch bei den datenverarbeitenden Organisationen immer wieder Unklarheit. Beispielsweise wenn es um Aspekte wie das Recht auf Löschung oder auch auf Auskunftserteilung geht. Vor diesem Hintergrund ist datenschutzkonformes Marketing für viele Unternehmen in den vergangenen zwei Jahren zu einer Zerreißprobe geworden. Oft geraten das „berechtigte Interesse“ eines Unternehmens, personenbezogene Daten verarbeiten zu dürfen, mit den umfassenden Rechten der Verbraucher auf Auskunft, Berichtigung, Kopie, Löschung oder Datenmitnahmen aneinander. Selbst bei rechtmäßigen Anfragen einer Einzelperson schaffen es einer Umfrage des IT-Beraters Talend zufolge 58 Prozent der befragten Unternehmen nicht, die Kopie des personenbezogenen Datensatzes innerhalb der Frist von einem Monat auszuhändigen.
Technisch-organisatorische Herausforderungen
Mit den Schwierigkeiten bei der Einhaltung von Prozessen und Fristen zeigt sich eine weitere große Hürde bei der Umsetzung der DSGVO. Sie liegt in der Anpassung der technisch-organisatorischen Rahmenbedingungen. Neben den personellen Aufwänden, die eine vollständige Umsetzung der DSGVO-Leitlinien mit sich bringen kann, führen Mittelständler mitunter auch die mangelnde Unterstützung seitens der Software-Hersteller an. Diese stellten sich teilweise quer, wenn es um die Anpassung von IT-Systemen an die Anforderungen einer gesetzeskonformen Datenverarbeitung geht. Aus Angst vor Strafen behelfen sich viele Unternehmen deshalb selbst. Das Ergebnis sind zum Teil Flickschustereien und ein zusätzlicher Personalaufwand.
Fokus auf DSGVO-unterstützende Lösungen
Während die Aufrüstung bestehender Systeme in einigen Unternehmen als Belastung gesehen wird, nutzen viele IT-Entscheider die derzeitige Situation inzwischen jedoch als Argument für eine Investition in DSGVO-freundliche Lösungen. So leisten zum Beispiel Dokumentenmanagementsysteme (DMS) wirkungsvolle Unterstützung beim rechtskonformen Umgang mit Verträgen, Personalunterlagen, Kundendaten und ähnlich sensiblen Informationen. Vor allem die Wahrung der Betroffenenrechte wie beispielsweise des Auskunftsrechts können mit einem durchdachten Dokumentenmanagement deutlich effizienter in die Tat umgesetzt werden. Ähnliches gilt für die digitale Personalakte: Experten betonen die Vorteile auch für Einzelpersonen. Diese begründen sich vor allem in der hohen Transparenz und Nachvollziehbarkeit und der Option, die eigenen Daten selbst in der Akte bearbeiten zu können. Eine nicht nachvollziehbare Manipulation wird so – auch und gerade im Interesse der Mitarbeiter – unmöglich.
Wettbewerbsvorteil rückt ins Bewusstsein
Was trotz oder vielleicht gerade aufgrund der bestehenden Herausforderungen gewachsen ist, ist die Überzeugung, dass DSGVO-Konformität auch Wettbewerbsvorteile mit sich bringen kann. Unternehmen, welche die Verordnung vollständig umsetzen, zeigen nicht nur ein hohes Maß an Verantwortungsbewusstsein, sie stehen zugleich für moderne Prozesse und Strukturen und demonstrieren so ihre Anpassungsfähigkeit an die Herausforderungen einer digital getriebenen Wirtschaft.
DSGVO-Spezial: Hier finden Sie nützliche Beiträge
Zum Inkrafttreten der Europäischen Datenschutz-Grundverordnung haben wir viele wissenswerte Beiträge hier auf Sage Advice für Sie erstellt. Eine Auffrischung lohnt sich, z.B.:
- In unserer DSGVO-FAQ: Was ist PIA? Mit welchen Bußgeldern bei Verstößen ist zu rechnen? Was ist mit Daten in der Cloud? Und vieles mehr…
- DSGVO: Was muss die Finanzbuchhaltung beachten?
- DSGVO: Was muss die Personalabteilung beachten?
- DSGVO: Was müssen Unternehmer beachten?
- Checkliste DSGVO für Marketingverantwortliche
Viele weitere Beiträge finden Sie hier.