Handelsblatt Studie: DSGVO – Unternehmen lassen gefährliche Lücken beim Datenschutz klaffen

31. Okt 2018

handelsblatt.de: Viele Firmen setzen noch immer nicht die seit Mai geltende DSGVO um. Teure Präzedenzfälle blieben zwar bisher aus, das Risiko ist dennoch hoch.

Als der Stichtag näher rückte, breitete sich Panik aus. Mittelständler wie Konzerne fürchteten, die Regeln nicht rechtzeitig umsetzen zu können – heftige Bußgelder inklusive. Auch Vermieter und Vereine, Handwerksbetriebe und Selbstständige reagierten verunsichert. Die Datenschutzgrundverordnung (DSGVO) führe zu einer „Überforderung“, meinte selbst Bundeskanzlerin Angela Merkel.

Inzwischen hat sich die Aufregung gelegt. Seit das Regelwerk am 25. Mai Geltung erlangt hat, sind teure Strafen und Abmahnungen weitgehend ausgeblieben. Auch viele Legenden um das komplexe Regelwerk sind ausgeräumt. Die Ruhe ist allerdings trügerisch: Denn viele Unternehmen halten die Regeln noch nicht ein.

Sie gehen dabei ein beträchtliches Risiko ein: Die Datenschutzbehörden beschäftigen sich mit zahlreichen Beschwerden und haben erste Verfahren eingeleitet. Noch in diesem Jahr würden Bußgelder „in erheblichem Umfang anfallen“, warnt beispielsweise der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink.

Die DSGVO vereinheitlicht die Rechtslage: Unternehmen in allen Mitgliedstaaten der Europäischen Union müssen nunmehr noch sorgsamer mit den Informationen ihrer Kunden, Mitarbeiter und Geschäftspartner umgehen, sie umfassend informieren und Einwilligungen einholen. Außerdem haben Nutzer das Recht, ihre Daten löschen zu lassen oder diese zu einem anderen Anbieter zu übertragen.

Das gibt den Menschen in Europa deutlich mehr Kontrolle über ihre Daten. Apple-Chef Tim Cook sieht deswegen in dem Gesetzeswerk sogar ein Vorbild, wie er jüngst bei einem Besuch in Berlin betonte. „Wir würden es gerne sehen, wenn nicht nur die USA, sondern auch viele andere Länder der Führungsrolle Europas folgen und vielleicht sogar darüber hinausgehen würden“, sagte er.

Diese Begeisterung scheint jedoch nicht verbreitet zu sein. Mehrere Studien zeigen, dass die Wirtschaft bei der Umsetzung der DSGVO nachlässig ist. Der Softwareanbieter Usercentric hat untersucht, wie die 30 Dax-Konzerne mit den Daten der Website-Besucher umgehen. Das Fazit der Studie, die dem Handelsblatt vorliegt: „So gut wie jedes Unternehmen hat noch Nachholbedarf.“

So fragen einige Konzerne nicht, ob sie die Daten der Nutzer verarbeiten dürfen, etwa mit einem Banner, das auf den Einsatz von Cookies hinweist. Und bei der Hälfte der Dax-Vertreter werden bereits Werbetechnologien geladen, bevor die Nutzer sich dazu äußern können – die Anbieter erhalten somit automatisch Informationen, aus denen sie mitunter Profile der Nutzer anlegen können.

Viertel der Firmen hat alles umgesetzt

Das ist keine Lappalie: Der Verwaltungsgerichtshof (VGH) München bestätigte im September ein erstinstanzliches Urteil, nach dem Firmen eine Rechtsgrundlage brauchen, wenn sie das System „Facebook Custom Audiences“ verwenden – also eine Zustimmung der Nutzer.

Die Probleme mit der DSGVO reichen weiter. Nach einer Umfrage des Hightech-Verbands Bitkom von Ende September hat erst jede vierte Firma (24 Prozent) die Regeln vollständig umgesetzt. Weitere 40 Prozent wollen es größtenteils geschafft haben, weitere 30 Prozent teilweise.

Das heißt auch: Fünf Prozent haben gerade erst angefangen, sich mit den neuen Datenschutzregeln zu befassen, wie die Befragung von 500 repräsentativ ausgewählten Unternehmen ergeben hat. Für einige sei die komplette Umsetzung der DSGVO „wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist“, meinte Bitkom-Geschäftsführerin Susanne Dehmel. Die Verordnung bleibe auch langfristig ein „Kraftakt“.

Viele Apps halten sich nicht an die neuen Datenschutzregeln

In der Kritik stehen auch die populären sozialen Netzwerke: Die Verbraucherzentrale NRW hat festgestellt, dass Nutzer nach wie vor kaum nachvollziehen können, wie ihre Daten verarbeitet werden. Zudem seien viele Einstellungen nicht datenschutzfreundlich, obwohl das Gesetz das nun verlange. Und die Praxis, die Nutzer zum Hochladen des Adressbuchs aufzufordern, sei weiter gang und gäbe. Die meisten Anbieter seien „noch immer Datenkraken“, lautet das harte Fazit.

Dass so viele Firmen die DSGVO noch immer nicht einhalten, überrascht die Rechtsanwältin Nina Diercks nicht: „Viele haben den Aufwand für die Umsetzung grob unterschätzt.“ Zumal Datenschutz jahrzehntelang als eine Anforderung gegolten habe, die man nur theoretisch einhalten müsse. Erst als der Stichtag näher rückte, wuchs die Angst vor Bußgeldern und Abmahnungen.

Als die Verordnung dann nach dem Ablauf der Übergangsfrist Geltung erlangte, war es schwierig, kompetente Unterstützung zu finden – „viele Kollegen waren so ausgelastet, dass sie Anfragen ablehnen mussten“, berichtet die Juristin. In ihrer Hamburger Kanzlei werden teilweise immer noch Mandate abgearbeitet, die im März und April eingingen.

Zentralerfassung überfordert Unternehmen

Schnelle Hilfe ist also nicht so einfach zu bekommen, zumal die Aufgabe komplex ist. Die meisten Firmen sind mit der DSGVO verpflichtet, alle Tätigkeiten, bei denen sie personenbezogene Daten verarbeiten, zentral nachzuhalten. „Das erfordert am Anfang viel Arbeit, erleichtert es aber später, die Pflichten zu erfüllen“, berichtet Diercks. Ein Beispiel: Wer einen Überblick hat, kann Bewerbern, Website-Besuchern oder Kunden schnell und einfach Auskunft geben.

Dafür muss das Management den Prozess aber zentral steuern. Daran hakt es vielfach – der Datenschutzbeauftragte oder die Compliance-Abteilung weiß nicht, was der Vertrieb oder die Personalabteilung tun. „In vielen Abteilungen herrscht das Gefühl: Das ist Arbeit, bringt aber keine Vorteile“, berichtet Diercks aus ihrer Beratungspraxis. Teils hört sie sogar Sätze wie: „Die Datenschützer machen uns alles kaputt.“

Dabei ist die Einhaltung der DSGVO doppelt wichtig. Nach einer exklusiven Umfrage des Marktforschungsunternehmens Innofact hat fast jeder Deutsche (93,1 Prozent) von der Datenschutzgrundverordnung gehört – und immerhin knapp zwölf Prozent der Befragten planen, von ihrem Recht auf Auskunft gegenüber Firmen Gebrauch zu machen. „Das wird für die Unternehmen kein Vergnügen, selbst wenn sich die Zahl noch mal halbiert, weil der eine oder andere von seinem Plan abkommt“, meint Christian Thunig, Managing Partner bei INNOFACT.