DSGVO / GDPR
Ein Jahr EU-DSGVO – Hat die Verordnung den Datenschutz reformiert?
Immer noch Nachholbedarf in Sachen DSGVO-Compliance
Ein Kommentar von Dr. Guy Bunker, CTO von Clearswift
Vor einem Jahr, am 25. Mai 2018, trat die europäische Datenschutzgrundverordnung verbindlich in Kraft und bildet seitdem den gesetzlichen Rahmen zum Umgang und der Verarbeitung personenbezogener Daten durch private Unternehmen sowie öffentliche Stellen.
Zum einjährigen Bestehen der verpflichtenden Anwendung des Gesetzes bietet es sich an, eine erste Bilanz zu ziehen und den Blick darauf zu richten, was sich in dieser Zeit in Hinblick auf den Datenschutz verändert hat.
Fest steht, dass sich die Befürchtung nach flächendeckenden, massiven Geldstrafen für Unternehmen bisher noch nicht bewahrheitet zu haben scheint. Allerdings könnte sich dies bald ändern – erst Anfang dieses Jahres sorgte eine Sanktion gegen Google Frankreich für Schlagzeilen. Hier musste der amerikanische Technologiekonzern 50 Millionen Euro Strafe zahlen. Hintergrund war fehlende Transparenz in Hinblick auf die Nutzung der persönlichen Daten von Usern. Der Vorfall ließ andere Unternehmen aufhorchen, da er zeigte, dass die lokalen Datenschutzbehörden durchaus hart durchgreifen und keine Organisation über dem Gesetz steht.
Auch veröffentlichten die Datenschutzbehörden der Länder Mitte dieses Monats eine Bilanz der bisher verhängten Bußgelder. Insgesamt gab es in 81 Fällen finanzielle Sanktionen – die WELT AM SONNTAG berichtete unter Berufung auf eine Umfrage unter den Behörden von insgesamt 485.490 Euro Strafe in diesen Fällen. Die Durchschnittshöhe der Strafe betrug somit 6.000 Euro. Auch wenn dies zunächst nach wenig klingt, ist die Spannweite der Bußgelder sehr weit und reiche von wenigen hundert Euro bis zu mehreren 10.000 Euro. Auch wenn bisher noch keine Millionenbeträge gezahlt werden mussten, verhängte doch der Spitzenreiter der Liste Baden-Württemberg in einem Fall 80.000 Euro, nachdem sensible Gesundheitsdaten im Internet veröffentlicht wurden. Auch sei in Berlin eine Bußgeldstrafe von 50.000 Euro gegen eine Bank verhängt worden – hier wurden verbotenerweise „personenbezogene Daten ehemaliger Kundinnen und Kunden“ verarbeitet. Diese Beträge können für Unternehmen beträchtlich sein, und nur, weil das größtmögliche Strafmaß von 20 Millionen Euro oder 4% des Jahresumsatzes nicht ausgeschöpft wurde, heißt dies nicht, dass Firmen nicht davor gewappnet sein sollten.
Wie groß der Nachholbedarf in Sachen DSGVO-Compliance in Deutschland ist, offenbarte kürzlich eine Umfrage der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG). Lediglich zwölf Prozent der befragten Organisationen, die Mitglied im Verein sind, sollen bisher vollständig die Anforderungen der Verordnung erfüllen. Immerhin haben 83 Prozent der befragten Betriebe bereits einige Vorkehrungen getroffen, können allerdings noch keine komplette Konformität aufweisen – zum Vergleich: im Oktober 2017 waren es lediglich 66 Prozent.
Diese Zahlen sind in der Hinsicht beunruhigend, als dass es für Unternehmen jeglicher Größe und Branche zu jeder Zeit – unabhängig von der DSGVO – essentiell wichtig ist zu wissen, wo sich kritischen Informationen befinden und wie diese verarbeitet werden. Auch wenn die Befürchtungen vor Einführung der Verordnung groß waren, so stellte die Reformierung des Datenschutzrahmens für Betriebe vor allem eine Chance dar. Schließlich hat sie dafür gesorgt, dass Organisationen einen besseren Überblick haben, wo sich sensible Daten im Unternehmen befinden und gleichzeitig den Mitarbeitern verdeutlicht, dass Informationssicherheit und Datenschutz Themen von entscheidender Bedeutung sind. Nur wenn Firmen verstehen, wo sich kritische Informationen betriebsintern befinden und wie diese in und aus dem Netzwerk fließen, sind sie bestens gewappnet, die Daten zu verwalten und vor der Vielzahl an Bedrohungsvektoren zu schützen, die Wirtschaftsunternehmen in Zeiten der Digitalisierung umgibt.