Datenschutzgrundverordnung Die neuen EU-Datenschutzregeln werden für viele Unternehmen zur Millionen-Falle

Ab Mai gelten neuen EU-Datenschutz-Regeln. Viele Unternehmen könnten dann in die Bredouille kommen, wie eine Umfrage zeigt.

Damit Daten in Zukunft besser geschützt sind, tritt ab dem 25. Mai die neue Datenschutzgrundverordnung in Kraft. Doch viele EU-Staaten und Unternehmen haben die Vorschriften noch nicht umgesetzt. Quelle: dpa

BerlinSehr oft, wenn die EU etwas einheitlich regelt, wird Kritik laut: Muss das jetzt sein? Regelt Brüssel nicht schon jetzt zu viel und kann man darauf nicht einfach verzichten, hört man dann von Bedenkenträgern. Das gilt auch für die ab Ende Mai europaweit geltende Datenschutz-Grundverordnung (DSGVO).

Selbst die staatlichen Aufsichtsbehörden sagen: Das neue Regelwerk verlangt nicht nur öffentlichen Stellen, sondern auch und vor allem privaten Unternehmen einiges ab.

Viele werden es nicht schaffen, die Vorgaben der DSGVO rechtzeitig zu erfüllen. Das zeigt eine aktuelle Umfrage des Eco-Verbands der Internetwirtschaft und Absolit Consulting unter 600 Marketing-Entscheidern, die repräsentativ ist für größere Unternehmen in Deutschland. Nur zehn Prozent haben demnach ihre Prozesse entsprechend der neuen Datenschutzregeln überprüft und angepasst, die meisten Unternehmen (56 Prozent) sind zurzeit noch damit beschäftigt.

„Viele Unternehmen haben die Vorgaben der DSGVO offenbar bislang erst halbherzig umgesetzt“, sagte Torsten Schwarz, Leiter der Kompetenzgruppe Online-Marketing im Eco-Verband. „Angesichts der kurzen Zeit, die bis zum 25. Mai noch verbleibt, gehört das Thema in der Agenda nun ganz nach oben.“

Dann endet eine zweijährige Übergangsfrist für die Umsetzung der EU-Vorgaben. Dann sind die bislang in Europa geltenden 28 unterschiedlichen nationalen Regelungen zum Datenschutz hinfällig, und es gilt nur noch ein Regelwerk für die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch private Unternehmen und öffentliche Stellen.

Auch für alle Unternehmen, die Dienstleistungen in der EU anbieten, gelten dann künftig die gleichen Regeln – unabhängig davon, ob sie ihren Sitz innerhalb oder außerhalb der EU haben. Das macht vielen zu schaffen. Dass es die Mehrheit der Unternehmen bis zum Stichtag nicht schaffen wird, alle Anforderungen umzusetzen, hatte kürzlich auch der Präsident des Branchenverbands Bitkom, Achim Berg, dem Handelsblatt gesagt.

Diesen Unternehmen drohen dann empfindliche Geldstrafen. 81 Prozent der von Eco befragten Firmen wissen um die Rechtsfolgen eines Verstoßes gegen die Vorschriften der DSGVO – seien es Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahres-Umsatzes.

Die Unternehmen versuchen vor allem mit betrieblichen Datenschutzbeauftragten das Schlimmste abzuwenden. Diese Rolle übernimmt in 57 Prozent der Unternehmen ein interner Mitarbeiter, 35 Prozent engagieren einen externen Dienstleister – vier Prozent der Firme arbeiten ohne Datenschutzbeauftragten.

Genug zu tun gibt es jetzt, wie die Umfrage zeigt: Eine sicher nachweisbare Einwilligung für den Empfang von Werbemails, etwa ein Double Opt-In, liegt nur für jede zweite E-Mail Adresse vor. Zu knapp einem Viertel (22 Prozent) der E-Mail Adressen, die regelmäßig angeschrieben werden, gibt es keine oder nur eine rechtlich unzureichende Einwilligung.

Was ab dem 25. Mai mit diesen E-Mail-Adressen passiert, das wissen viele der Verantwortlichen noch nicht. 47 Prozent wollen sich noch eine geeignete Vorgehensweise überlegen.

Weiter fortgeschritten sind die Unternehmen beim Thema Transparenzpflichten. Nach eigener Einschätzung erfüllen bereits 73 Prozent die Vorgaben und informieren ihre Kunden umfassend darüber, was mit ihren Daten passiert. 68 Prozent beachten die Grundsätze der Datensparsamkeit wenn es darum geht, neue Adressen fürs E-Mail-Marketing zu generieren. 61 Prozent haben bereits mit allen Dienstleistern die erforderliche Vereinbarung zur Auftragsverarbeitung geschlossen.

Die DSGVO sieht viele neue Dokumentationspflichten vor, was viele Unternehmen bislang sträflich vernachlässigen. Erst 6 Prozent haben die von der DSGVO vorgeschriebenen schriftlichen Prozessdokumentationen implementiert.

Prozesse zur Auskunftserteilung, Löschung und Berichtigung von Daten müssen noch 30 Prozent der Firmen implementieren und auch beim Profiling gibt es noch Luft nach oben: 29 Prozent müssen ihre Prozesse für die automatisierte Verarbeitung personenbezogener Daten noch überprüfen.

Auch die staatlichen Aufsichtsbehörden stehen angesichts der neuen Regeln unter Handlungsdruck. „Besonders herausfordernd ist dabei schon jetzt die starke Beratungsnachfrage von Behörden und Unternehmen hinsichtlich der Umsetzung des neuen Rechts“, sagte kürzlich die Bundesdatenschutz-Beauftragte Andrea Voßhoff dem Handelsblatt.

Für Marit Hansen, Datenschutzbeauftragte von Schleswig-Holstein, birgt dieser Aspekt sogar ein nicht kalkulierbares Risiko. „Die große Unbekannte ist das wohl deutlich steigende Aufkommen von Beschwerden, Beratungsersuchen und Gerichtsprozessen“, sagte Hansen dem Handelsblatt. „Hier kann es sein, dass schon nach kurzer Zeit Aufsichtsbehörden Alarm schlagen müssen, weil ihre Ausstattung nicht ausreicht und im Haushalt des Landes nachgelegt werden muss.“

Schwierigkeiten bei der Umsetzung der neuen Datenschutzregeln räumte jüngst auch die EU-Justizkommissarin Vera Jourova ein. Die Vorbereitungen in den Mitgliedstaaten liefen „unterschiedlich schnell“ konstatierte sie. Nur zwei der 28 Länder hätten bereits die nötigen Gesetze beschlossen – Deutschland und Österreich.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%