01.07.2020 – Lesezeit: 3 Minuten

Prozesse / Geschäftsführung

Zwei Jahre DSGVO: Warum es immer noch nicht rund läuft

Am 25. Mai 2018 trat die Datenschutzgrundverordnung in Kraft. Doch auch zwei Jahren danach ist die DSGVO noch längst nicht in jedem Unternehmen angekommen. Das zeigen auch die jüngsten Datenschutz-GAUs beim Autovermieter Buchbinder und der Modekette H&M.

Viele Unternehmen sind anfangs bei der Umsetzung der Richtlinie lasch vorgegangen – in der Hoffnung, dass es trotz der Androhung keine Strafen geben werde. Das hat sich nicht bewahrheitet. Dennoch hinken auch heute noch viele Unternehmen den Anforderungen hinterher. Dabei ist die DSGVO bereits 2016 in Kraft getreten, gefolgt von einer zweijährigen Übergangsfrist. Sei es aus Unsicherheit oder Übereifer, vieles läuft noch nicht rund. Das zeigen auch die Einwilligungsexzesse für Cookies auf unzähligen Websites. Eines hat die DSGVO jedenfalls erreicht: Das Bewusstsein für Datenschutz ist deutlich gestiegen.

Anfänge der DSGVO

Die Anfangsphase war geprägt von Unsicherheit, sowohl bei Unternehmen als auch in der Bevölkerung. Dabei hat sich inhaltlich gar nicht so viel geändert. Das bestehende Bundesdatenschutzgesetz war bereits recht streng. Begriffe wie Datensparsamkeit oder Zweckbindung waren also kein Neuland. Eine Folge der Unsicherheit war, dass nahezu jede Form der Datenerhebung und -verarbeitung hinterfragt wurde – bis hin zum sogenannten „Klingelschild-Skandal“. Eine Wiener Wohnungsbaugesellschaft wollte allen Ernstes aus Gründen des Datenschutzes alle Klingelschilder an den Haustüren entfernen lassen. Inzwischen haben sich Pragmatismus und gesunder Menschenverstand weitgehend durchgesetzt. Bei der Weitergabe von Visitenkarten etwa hat niemand mehr ein schlechtes Gewissen.

Hürden und Herausforderungen

Für viele Unternehmen stellt es eine Herkules-Aufgabe dar, zu dokumentieren, welche Daten sie zu welchem Zweck erheben und wie Weiterverarbeitung und Speicherung erfolgen. Insbesondere kleine Unternehmen sehen sich nach wie vor mit bürokratischen Herausforderungen konfrontiert. Erste Erleichterungen gibt es immerhin bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten. Die Grenze liegt nun bei 20 Mitarbeitern statt wie bisher bei 10. Ist diese Hürde aber erstmal übersprungen, so belohnt ein umfassender Überblick über die Datenschätze des Unternehmens die angefallene Arbeit und Mühe.

Eine Datenschutz-Falle, in die Unternehmen immer wieder tappen, stellt die fristgerechte Löschung personenbezogener Daten dar. Hier sind die Hürden häufig technischer Natur. Zum einen liegt die Kategorisierung der Daten im Argen, zum anderen mangelt es an geeigneter Software, die den Löschvorgang automatisch durchführt.

Strafe muss sein

Was von Anfang an Schrecken verbreitete, waren die drakonischen Strafen, die die DSGVO bei Vergehen vorsieht: bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes. Dass es sich nicht um einen zahnlosen Tiger handelt, lässt sich leicht belegen. Seit Mai 2018 gab es in Deutschland mehr als 21.000 Vorfälle. Rund 250 Unternehmen haben massiv gegen die DSGVO verstoßen, so dass Bußgelder in Höhe von mehr als 450 Millionen Euro flossen. Spitzenreiter in Deutschland ist der Immobilienriese Deutsche Wohnen. Er musste 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro bezahlen. Auch in der gegenwärtigen Corona-Krise gibt es eben keine Rabatte.

Die DSGVO wirkt

Nach zwei Jahren lässt sich das Fazit ziehen, dass viele Unternehmen etwas getan haben. Das neue Bewusstsein für Datenschutz, egal ob aus Überzeugung oder Angst, hat für angemessene Strukturen und Automatismen in Sachen Datenschutz gesorgt. Personenbezogene Daten sind schützenswert. Das sehen heute auch die Entscheider in den Unternehmen so.

Freilich ist noch nicht alles in Butter. Es ist bisher nicht gelungen, die großen Datensammler wie Google und Facebook zu bändigen. Auch die Cloud und Bestimmungen in den USA wie der CLOUD-Act laufen dem Geist der DSGVO zuwider. Die nationalen Datenschutzbehörden sind wegen Personalmangels noch nicht voll einsatzfähig. Und dennoch: In den vergangenen zwei Jahren haben die neuen Datenschutzregeln nicht nur den Umgang mit personenbezogenen Daten revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt.

All for One Group sorgt für Compliance

Die regulatorischen Anforderungen für Unternehmen wachsen permanent. Datenschutz und IT-Sicherheit binden immer mehr Ressourcen. Die Experten der All for One Group stehen ihren Kunden dabei stets hilfreich zur Seite. Das E-Book „Governance, Risk, Compliance: Risiken minimieren, Kosten sparen, Effizienz steigern“ verschafft Ihnen einen Überblick über die wichtigsten Grundzüge des Dreigespanns Governance, Risikomanagement und Compliance – damit Sie Cyberrisiken vorbeugen, Haftungsfallen vermeiden und DSGVO-konform handeln.

Mit der neuen Corona-Warn-App möchte die Bundesregierung der aktuellen Krise Herr werden. Doch wie kann das datenschutzkonform gelingen?

Quelle: Titelbild iStock, Stadtratte