Datenschutzgrundverordnung
25.05.2021, 12:36 Uhr
3 Jahre DSGVO: Woran die Umsetzung bei KMU häufig scheitert
Vor genau drei Jahren, am 25. Mai 2018, trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Was ist die Erfahrung von kleinen und mittleren Unternehmen (KMU) bei der Umsetzung der DSGVO? Wie weit sind sie mit der Umsetzung der rechtlichen Vorgaben?
Von Maximilian Modl, CEO bei Sendinblue Deutschland
Im Jahr 2012 schlug die EU-Kommission eine grundlegende Reform des Datenschutzrechts vor, um "die Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken". Vor genau drei Jahren, am 25. Mai 2018, trat dann die Datenschutzgrundverordnung in Kraft. Die Verordnung ist heute ein Meilenstein für den rechtlichen Schutz personenbezogener Daten von Einzelpersonen innerhalb der EU und laut der Vizepräsidentin der EU-Kommission, Věra Jourová, "ein Eckpfeiler des digitalen Wandels in Europa". Doch was ist die Erfahrung von kleinen und mittleren Unternehmen (KMU) bei der Umsetzung der DSGVO? Wie weit sind sie mit der Umsetzung der rechtlichen Vorgaben?
Obwohl viele Unternehmen bereits Fortschritte bei der Umsetzung der Verordnung zu verzeichnen haben, sehen sich KMU auch nach drei Jahren DSGVO weiterhin vor grossen Herausforderungen gestellt, diese rechtskonform einzuhalten. Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) bestätigt: Etwa 41 Prozent der 2.500 überprüften Webseiten weisen gravierende Mängel bei der Datenschutzkonformität auf.
So haben mehr als ein Drittel der Unternehmen (37 Prozent) kein sicher verschlüsseltes SSL-Zertifikat - beispielsweise für den integrierten Zahlungsverkehr. Zu den weiteren Mängeln gehören fehlende Datenschutzerklärungen, unvollständige Impressen oder fehlende Hinweise bei Cookie-Bannern. Doch warum fällt für viele KMU die Umsetzung der DSGVO weiterhin schwer?
3 Gründe für eine mangelhafte Umsetzung
Zu den drei häufigsten Gründen gehören:
1. Angst vor zu hohem Aufwand
Nach wie vor haben viele Unternehmen Sorge vor einem zu grossen administrativen Aufwand - und fühlen sich mit der Umsetzung des DSGVO-Regelwerkes zum Teil überfordert. Technische und organisatorische Massnahmen müssen jedoch vorab getroffen werden, um den Schutz der Kundendaten zu gewährleisten. So ist die Umsetzung der DSGVO durchaus mit einigem zeitlichen Aufwand verbunden und bindet im Unternehmen Kapital und Ressourcen: Der oder die für den Datenschutz im Unternehmen Beauftragte muss Datenschutzprüfungen durchführen, Mitarbeiter:innen schulen, an DSGVO-Weiterbildungen teilnehmen oder Umsetzungsberichte im Rahmen der "Rechenschaftspflicht" erstellen. Eventuelle Verstösse gegen die Verordnung müssen sofort erkennbar und lösbar gemacht werden.
Dies ist wichtig, denn die DSGVO sieht bei gravierenden Verstössen Bussgelder im zweistelligen Millionenbetrag oder vier Prozent des weltweiten Jahresumsatzes vor. Deutlich geringere Ausgaben haben KMU dagegen, wenn sie vorab externe Expertise zu Rate ziehen, um technische und organisatorische Massnahmen unabhängig überprüfen zu lassen. Wer also bei der Implementierung von entsprechenden Massnahmen einen zu hohen Aufwand scheut, könnte letztlich weitaus höhere Kosten tragen.
2. Interne Interessenkonflikte und fehlendes Wissen
Viele Unternehmen geben an, nicht genug Fachwissen über die DSGVO zu haben. Dazu gehört vor allem die Unsicherheit darüber, welche Daten gesichert und welche gelöscht werden müssen. Unterschiedliche Datenklassen, praktikable Datenklassifizierungen und eine saubere Trennung zwischen personenbezogenen Daten und Geschäftsdaten sind nur einige Bereiche, die es zu beachten gilt. Bei KMU werden häufig die IT-Leitenden zum oder zur Datenschutzbeauftragte:n (DSB) ernannt. Dies lässt aus Sicht der zuständigen Landesämter für Datenschutzaufsicht jedoch Zweifel an der Neutralität aufkommen. Denn es gilt: der oder die DSB ist für die Einhaltung der DSGVO-Bestimmungen zuständig - und gewährleistet die Sicherheit der Verarbeitung durch entsprechende organisatorische und technische Massnahmen. Dies bedeutet im Umkehrschluss, dass die zuständige Person aus der IT-Abteilung sich demnach selbst überwacht.
Ein Tipp: Neben dem oder der DSB kann eine Taskforce aus verschiedenen Abteilungen gebildet werden, die beratend zur Seite steht. Fortbildungen bieten eine sinnvolle Möglichkeit, sowohl Taskforce als auch DSB hinsichtlich der DSGVO-Bestimmungen zu schulen.
3. Keine Nutzung von (automatisierten) Tools
Es gibt mittlerweile zahlreiche hilfreiche Tools, die DSGVO-konform sind und bei der Umsetzung der Grundverordnung - etwa bei der Identifizierung der zugriffsberechtigten Nutzer:innen und der Überwachung der vom Unternehmen genutzten Daten - helfen. Angesichts der Komplexität und der Fallstricke bei der DSGVO-Compliance gilt: je mehr im Unternehmen die Prozesse für IT-Sicherheitsaudits sowie für Identity- und Access-Management (IAM), also für Zugriffsberechtigungen der Mitarbeitenden, automatisiert werden, desto effektiver und sicherer ist die Umsetzung. Da es sich um Prozesse handelt, die regelmässig wiederholt werden, ist eine Automatisierung eigentlich unerlässlich.
Bei der Auswahl von entsprechenden Tools ist zu beachten, ob diese Datenschutz-Zertifikate von unabhängigen Dritten vorweisen - um auch ohne tiefgehende Expertise ein sicheres Tool zu erhalten. Auch bei der Wahl der Tools ist es für Unternehmen ratsam, darauf zu achten, in welchen Ländern die Tool-Anbieter ihren Standort haben. Tools von ausserhalb der EU beheimateten Anbietern können mit europäischen Datenschutzregelungen inkompatibel sein. Befinden sich die Daten in Rechenzentren in Drittstaaten, müssen die Standards dort an das europäische Niveau angehoben werden. Mit der Implementierung von DSGVO-konformen Tools verschärfen KMU letztlich nicht nur ihre Sicherheitskontrollen, sondern können auch ihre Geschäftseffizienz steigern.
Chance für ein einheitliches Datenmanagement
Für kleine und mittlere Unternehmen ist es von entscheidender Bedeutung, die Bestimmungen der Datenschutzgrundverordnung unbedingt einzuhalten, denn bei Nichteinhaltung drohen empfindliche Geldbussen. Aus diesem Grund ist es unerlässlich, sich mit dem Thema DSGVO auseinanderzusetzen - auch wenn die Umsetzung für KMU anfangs komplex erscheint. DSGVO-konforme Software Tools und Automationen sorgen für eine bessere und effizientere Ordnung. Unternehmen, die ihre Prozesse für IT-Sicherheitsaudits sowie IAM automatisieren, schaffen dadurch unternehmensweite Standards, die eine effektivere und sicherere Umsetzung der DSGVO ermöglichen.
Damit profitieren vor allem auch KMU von der Verordnung, denn: Ein einheitliches Datenmanagement bildet die Basis für einen richtigen Umgang mit Unternehmensdaten und erleichtert den Unternehmen die Einhaltung des Datenschutzes. Die Datenschutzgrundverordnung sollte daher weniger als Hindernis angesehen werden, sondern mehr als Chance - sie bietet die Möglichkeit, den Schutz personenbezogener Daten klar und kohärent im Unternehmen umzusetzen und stärkt damit die individuellen Rechte der Kund:innen. Sie profitieren vom Wissen, dass ihre persönlichen Daten sicher von den Unternehmen aufbewahrt und genutzt werden.