Was für uns alle den Beginn einer neuen, besseren Datenschutz-Ära bedeutet, versetzt viele Unternehmen zusehends in Panik. Die am Freitag in Kraft tretende Datenschutzgrundverordnung der EU verunsichert vor allem kleinere bzw. mittlere Betriebe sehr, die nicht ganz einfach eine interne Rechtsabteilung mit der Umsetzung beauftragen können. Das bestätigen auch Experten wie der Datenschutzrechtexperte von der Beratungsgesellschaft Ecovis in der „Welt“: „Die Umsetzung der DSGVO birgt insbesondere für kleine Firmen, die bislang oftmals gar keinen formalen Datenschutz betrieben haben, gewaltige Herausforderungen“. So ist es auch nicht verwunderlich, dass viele Unternehmen noch nicht wirklich bereit sind …
Inhaltsverzeichnis
Nur 9 % der deutschen Startups sind für die DSGVO gerüstet
Dieses Bild bestätigt auch eine Bitkon-Umfrage unter deutschen Neugründern vor etwa einem Monat: Gerade Startups haben es als „Neulinge“ in der Wirtschaft besonders schwer. Und das ist auch bei der DSGVO nicht anders. Nur 9 % der Startups haben die Umsetzung abgeschlossen! 41 % haben immerhin begonnen, Maßnahmen zu setzen und 32 % denken über Maßnahmen nach. Was bleibt sind 11 %, die noch gar nichts unternommen haben, aber zumindest wissen, dass es die DSGVO gibt. 3 % wissen nichts davon und 1 % will nichts davon wissen. „Viele werden es nicht schaffen, die Vorgaben bis zum Stichtag vollständig zu erfüllen, auch weil in den jungen Unternehmen häufig nur wenige Mitarbeiter und geringe Ressourcen zur Verfügung stehen“, sagte Bitkom-Präsident Achim Berg. „Wichtig ist auf jeden Fall, die Umsetzung konsequent voranzutreiben und nicht weiter auf die lange Bank zu schieben. Es ist allemal besser vorweisen zu können, dass man mitten in der Umsetzung ist, als einer Aufsichtsbehörde mit leeren Händen gegenüberzustehen.“
Aber nicht nur die Startups haben Aufholbedarf: Eine der „Welt“ vorliegende, noch nicht publizierte Studie der Unternehmensberatung Oliver Wyman, zeigt, dass 42 % der Geschäfte im Einzelhandel am Stichtag wohl ohne entsprechendes Rüstzeug für die DSVGO dastehen. Das liegt natürlich vor allem daran, dass die Voraussetzungen für die neuen Regeln kein Klacks und mit großem Aufwand verbunden sind. Sowohl finanzieller als auch zeitlicher Art. Tja, und auskennen muss man sich natürlich auch.
Sisyphos-Arbeit Verarbeitungsverzeichnis
Das heißt, es kann nicht einfach irgendein Mitarbeiter schnell mal die DSGVO-Grundlagen schaffen. Meinen auch die Datenschutzbehörden, welche bereits seit längerem „Datenschutz ist Chefsache“ propagieren. Allen voran ein Problem ist das Verarbeitungsverzeichnis, das jedes datenverarbeitende Unternehmen erstellen muss. Darin ist festgehalten, wer intern und extern mit welchen Daten in Berührung kommt und was mit den Daten passiert (wohin werden sie weitergeleitet, wozu benötigt sie das Unternehmen etc.). Du kannst dir vorstellen, dass das nicht gerade wenig Arbeit macht … Heute erst damit zu beginnen, ist ein wenig verspätet. Aber ab 25. Mai müssen Unternehmen das Verzeichnis jedenfalls bei Bedarf hervorzaubern können.
Datendienstleister bauen Druck auf
Eine Möglichkeit ist natürlich, den Datenschutz auszulagern. Externe Datenschutzbeauftragte übernehmen die Verantwortung für die Umsetzung der DSGVO, erstellen das Verarbeitungsverzeichnis etc. Alles eine Frage des Geldes. Jedenfalls wurden entsprechende Anwälte mit Anfragen überrannt. Klar, dass da auch die Geschäftemacherei nicht weit ist, nach dem Motto, Angst schüren und kassieren. So sagt Holger Schwannecke vom Zentralverband des Deutschen Handwerks in der „Welt“: „Betriebe werden von überzogenen Darstellungen und Anforderungen von einigen Datendienstleistern verunsichert.“
Racheakte und Abmahnungspotenzial
Umgekehrt sind aber nicht nur gewisse Datendienstleister die Bösen: Ab 25. Mai ist auch damit zu rechnen, dass verärgerte Kunden oder Mitarbeiter sowie der neidische Konkurrent die DSGVO vielleicht für Rachefeldzüge ausnutzen. Erhält die Datenschutzbehörde eine entsprechende Meldung, muss sie aktiv werden und zur Prüfung schreiten. Wenn dann die Unterlagen nicht passen, drohen eben Strafen von bis zu 4 % des Jahresumsatzes. Und dann hat das betroffene Unternehmen einen Verlust hinzunehmen und der „Rächer“ lacht sich ins Fäustchen. Ebenfalls ein Thema, wie du es sicher vom Streamen nur zu gut kennst, sind Abmahnungen. Auch dazu eignet sich die DSGVO ideal. Unseriöse Anwälte könnten mit dem Versand von derartigen Abmahnungsbriefen und entsprechendem Druck leicht Geld verdienen.
Aufwand pro Datensatz für kleine Firmen ungleich höher
Anlass für die EU war eigentlich, durch die DSGVO vor allem bei Datenverarbeitungs-Riesen wie Facebook für Ordnung zu sorgen. Schade natürlich, dass jetzt vor allem kleine Firmen zittern. Dass dies so kommen wird, hat auch Professor Avi Goldfarb in einer Studie über „Datenschutz und Marktstrukturen“ bereits vor Jahren vorausgesagt. Denn wenn man sich die Kosten für DSGVO-Maßnahmen umgerechnet auf Datensätze ansieht, sind große Unternehmen natürlich weit im Vorteil. Außerdem: Wem vertraust du deine Daten lieber an? Einem bekannten Unternehmen oder einem unbekannten kleinen Betrieb, von dem du noch nie gehört hast? Die meiste Kunden werden da eher auf den Großkonzern setzen. Und schon haben die KMU mit der DSGVO wieder den Schwarzen Peter.
Aber noch wissen wir nicht, wie streng die DSGVO tatsächlich ab 25. Mai geahndet wird. Wir bleiben dran!
Quelle: Welt
Erstellt am: 22. Mai 2018
