Titelbild-DSGVO-Akte-Schloss-Sicherheit-iStock-947955802-Stadtratte

09.11.2018 – Lesezeit: 3 Minuten

Prozesse / Human Resources

DSGVO: Firmen fehlen Fachkräfte

Die Datenschutzgrundverordnung (DSGVO) versetzte viele Mittelständler spätestens ab Mai 2018 in Aufruhr. Knapp ein halbes Jahr nach dieser Frist wurden die Verordnungen vielerorts allerdings immer noch nicht vollständig umgesetzt. Ein Grund: Oft fehlt es an geeignetem Fachpersonal.

Aktuelle Schlagzeigen zeigen: Die DSGVO ist auch bei größeren Unternehmen nach wie vor ein wichtiges Thema. So hat der US-amerikanische Browser-Hersteller Brave vor kurzem laut Heise bei britischen und irischen Datenschutzbehörden Beschwerde gegen seinen größten Konkurrenten Google und die gesamte Werbebranche eingelegt. Es geht um das sogenannte „Programmatic Advertising“ mit nicht mehr fest gebuchten Websites oder Medien, sondern mit offenen Werbeplätzen, die in Echtzeit-Auktionen noch während des Ladevorgangs offeriert werden, um Kunden personalisierte Anzeigen auszuliefern. 

Jedes Mal, wenn so eine personalisierte Anzeige erscheint, würden persönliche Daten über den Nutzer an Dutzende oder Hunderte von Unternehmen versandt, so die Beschwerde von Brave-Manager Jonny Ryan. Er sieht darin unter anderem eine Verletzung von Artikel 5 der DSGVO bezüglich der Sorgfaltspflicht und Artikel 22 der DSGVO als Hürde gegen die automatisierte Verarbeitung persönlicher Daten.

DSGVO-Antworten meist Fehlanzeige

Das Beispiel zeigt, dass die DSGVO auch Monate nach Eintreten der Rechtsverbindlichkeit – in Kraft getreten ist sie ja eigentlich zwei Jahre zuvor – immer noch zu spärlich umgesetzt wird. Manche kleinere Firmen wiegen sich immer noch in der Hoffnung, dass es nur die Großen treffen wird. Nicht nur Bußgelder von bis zu 20 Millionen Euro suggerieren es, sondern auch die Experten und Medien haben dazu beigetragen. Dabei kann ein Bußgeld von bis zu vier Prozent des weltweiten Vorjahresumsatzes ein kleines Unternehmen mitunter sehr viel empfindlicher treffen als die großen Player wie Google und Co. 

Rund 70 Prozent von 103 befragten, global agierenden Unternehmen sind laut einer Studie von Talend, Anbieter von Cloud- und Datenintegration, nicht in der Lage, DSGVO-Anfragen innerhalb eines Monats zu bearbeiten. Dazu wurden im Zeitraum zwischen dem 1. Juni und dem 3. September 2018 entsprechende Antworten auf Anträge nach Artikel 15 der DSGVO (betreffs „Auskunftsrecht der betroffenen Personen“) und Artikel 20 der DSGVO („Recht auf Datenübertragbarkeit“) ausgewertet. Wie it-daily.net berichtet, konnten erstaunlicherweise nur 35 Prozent der europäischen, aber 50 Prozent der nichteuropäischen Unternehmen die entsprechenden Daten fristgerecht zur Verfügung stellen. Besorgniserregend findet das Online-Magazin, dass Handelsunternehmen zu 76 Prozent nicht auf Anfragen für die Talend-Studie reagierten. Finanzdienstleister schnitten zwar am besten ab, erreichten aber auch nur eine Erfolgsquote von 50 Prozent. 

Fehlt es an Fachkräften oder Planstellen?

Ein Problem ist, dass es an ausreichend Fachkräften zur Umsetzung der DSGVO fehlt. Ein Grund ist sicherlich, dass diese rar sind, ein anderer könnte auch sein, dass gar nicht ausreichend Stellen geschaffen wurden. Das suggeriert zumindest eine Bitkom-Studie. Demnach hat Anfang des Jahres jedes zweite Unternehmen (56 Prozent) in Deutschland weniger als eine Vollzeitstelle für das Datenschutzthema eingeplant. Nur etwas mehr als ein Viertel der Unternehmen (27 Prozent) gönnten sich dafür eine volle Stelle, nur 14 Prozent mehr als eine Vollzeitstelle. Dabei hätte vielen Firmen eigentlich klar sein müssen, dass die Umsetzung der DSGVO, für die sie ja eigentlich ausreichend Zeit hatten, nicht „en passant“ zu bewältigen ist. Ungeachtet dessen wird Susanne Dehmel, für Recht und Sicherheit zuständiges Mitglied der Bitkom-Geschäftsführung, mit den Worten zitiert: „Der Arbeitsaufwand für die Umsetzung ist enorm, gleichzeitig suchen Arbeitsgeber händeringend nach den richtigen Fachkräften.“ 

Datenschutzexperten tun Not

Unabhängig davon, ob es an Experten mangelt oder die DSGVO bisher zu wenig ernst genommen wurde und das Thema daher dementsprechend personell unterbesetzt ist, gibt es eine Reihe von ersten Warnschüssen – auch gegen kleinere Unternehmen, die zum Handeln zwingen. Wie kleine und mittelständische Unternehmen dem personellen Notstand im Datenschutz begegnen können, weiß Datenschutzexperte Götz Blechschmidt von msecure, einem Beratungsunternehmen mit Schwerpunkt auf Datenschutz und IT-Sicherheit: „Wichtig ist, dass Datenschutz im täglichen Geschäft funktioniert. Dies wiederum erfordert pragmatisch umsetzbares Grundwissen zum Datenschutz in der Organisation.“ 

Statt auf externe Fachkräfte zu setzen, die aktuell schwierig zu finden sind, empfiehlt Blechschmidt eine interne Lösung. Demnach können sich einzelne Personen des Unternehmens in Seminaren zu EU-Datenschutzkoordinatoren ausbilden lassen. „Diese können Problemstellungen schnell identifizieren, für Fragen zur Verfügung stehen und im Team das Bewusstsein für Datenschutz schärfen. Ebenso können sie bei der Aufdeckung und Behebung von Pannen mitwirken, Auftragsverarbeitungen als solche erkennen und prüfen, ob Datenschutzmaßnahmen wirksam sind.“ In Zusammenarbeit mit einem Datenschutzbeauftragten und der Geschäftsleitung kann der EU-Datenschutzkoordinator somit gerade im Mittelstand einen wichtigen Beitrag für eine reibungslose Umsetzung der DSGVO innerhalb des Unternehmens leisten.

Welche Auswirkungen die Datenschutzgrundverordnung für Personaler hat, erfahren Sie in diesem Artikel.