1 Jahr danach: So wird die DSGVO umgesetzt

0 Kommentare  
8482 Aufrufe  

Seit Ende Mai 2018 ist die viel diskutierte Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Was sich seitdem getan hat, was an Bußgeldern verhängt wurde und was in diesem Kontext bei der Finanzbuchhaltung zu beachten ist, lesen Sie hier.

Kurz zur Erinnerung: Von der DSGVO sind alle Organisationen betroffen, die personenbezogene Daten von EU-Bürgern verarbeiten. Da jeder Betrieb auf irgendeine Art Kontakt mit seinen Kunden hat, greift die DSGVO praktisch bei allen unternehmerisch tätigen Akteuren. Egal ob Selbstständiger, Start-up, Freiberufler, Kleinstbetrieb, Mittelständler oder Großkonzern – sie alle sind durch die Verordnung gezwungen, die persönlichen Daten von EU-Bürgern zu schützen.

Das ist mit einigem Aufwand verbunden: Um die Verarbeitung der Kundendaten DSVGO-konform zu gewährleisten, müssen Unternehmen organisatorische und technische Maßnahmen umsetzen, die den zu schützenden Daten und Risiken gerecht werden. Dafür müssen Unternehmen ihre Prozesse und Technologien nicht nur an die Erfordernisse der DSGVO anpassen, sondern auch permanent aufrechterhalten.

Wer sich nicht daran hält, muss mit harten Strafen rechnen: Bei Verstößen drohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Die Strafen werden bereits erhoben, wenn Unternehmen die Richtlinien nicht einhalten – auch wenn es noch zu keinem konkreten Sicherheitsvorfall gekommen ist. In Extremfällen kann ein endgültiges Verbot der Datenverarbeitung ausgesprochen werden.

 

Umsetzung mangelhaft

Das gilt nun seit über einem Jahr. Doch wie sieht es nach Inkrafttreten der DSGVO mit der Praxis aus? Mehrere Studien haben sich mit der aktuellen Lage beschäftigt – und die ist nicht zu 100 Prozent rosig. Schon bei einer ersten Bestandsaufnahme ein halbes Jahr nach der DSGVO-Einführung musste der Branchenverband Bitkom in einer Umfrage feststellen, dass nur etwa ein Viertel der Unternehmen alle Vorgaben vollständig umgesetzt haben, weitere 40 Prozent nur größtenteils - und fünf Prozent überhaupt nicht.

Und nun, ein ganzes Jahr später, ist die Situation nicht viel anders. Laut einer aktuellen Umfrage der Brabbler AG haben derzeit lediglich 38 Prozent der Unternehmen alle erforderlichen DSGVO-Maßnahmen realisiert, 5 Prozent müssen mit der Umsetzung überhaupt erst beginnen. Und noch erstaunlicher: Ein Drittel der Führungskräfte weiß nicht einmal, worum es in der DSGVO geht.

 

Laut der aktuellen Brabbler-Studie gibt es bei der DSGVO-Umsetzung noch erheblichen Nachholbedarf. (Quelle: Brabbler AG)

Speziell mittelständischen Betrieben hat sich eine Studie des Hamburger Sicherheitsunternehmens Team Drive gewidmet. Hier scheint die Situation noch kritischer zu sein. Für die befragten 100 mittelständischen Firmen kommt die Studie zum Ergebnis, dass über 80 Prozent die DSGVO „nur mangelhaft oder unvollständig umgesetzt“ haben. Lediglich 20 Prozent der Betriebe erfüllen die DSGVO-Vorgaben demnach vollständig.

 

Bußgelder halten sich im Rahmen

Warum aber sind Firmen angesichts der Bußgelder, die wie ein Damoklesschwert über ihnen schweben, so nachlässig? Zwar wurden in den vergangenen zwölf Monaten tatsächlich erste Strafgelder verhängt. Eine Bußgeldwelle hat es bisher allerdings nicht gegeben. Die Welt am Sonntag hat recherchiert, dass es in Deutschland bislang lediglich zu 75 Fällen von DSGVO-Bußgeldern mit einem Gesamtvolumen von rund 450.000 Euro gekommen ist, was durchschnittlich 6.000 Euro pro Vergehen ausmacht. Das höchste Bußgeld (80.000 Euro) wurde in Baden-Württemberg verhängt, die meisten Sanktionen (36) gab es in Nordrhein-Westfalen.

Das ist nicht so viel. Es scheint, die Aufsichtsbehörden halten sich derzeit noch zurück, vermutet das Online-Portal it-daily.net. In der Tat wurde bislang noch in keinem einzigen deutschen Unternehmen die Compliance systematisch untersucht. Dafür gibt es mehrere Gründe: „Eine mögliche Ursache für die teils sehr zögerliche Umsetzung der DSGVO ist die Annahme der Unternehmen, dass eine Compliance-Prüfung durch eine Aufsichtsbehörde unwahrscheinlich ist, weil die zuständige Behörde nicht über ausreichend Kapazitäten verfügt“, heißt es in der IDC-Studie „DSGVO-Compliance 2019“.

Ein zweiter Grund dürfte sein, dass die Regulierungsbehörden angesichts der strengen Auflagen noch im „Schon“-Modus agieren. Die dahinterstehende Philosophie scheint zu sein, den Unternehmen noch Zeit zu geben, die Vorgaben umzusetzen. Den Behörden schlägt auch die Reaktion von Unternehmensverbänden entgegen, die Anpassungen der Gesetzgebung und einen konkreten Maßnahmenkatalog fordern.