Mit der Einhaltung der Datenschutzgrundverordnung (DSGVO) steht es nicht überall zum Besten. Wenig beachtet wird die Verordnung unter anderem in der öffentlichen Verwaltung, so eine Studie des Analystenhauses und Marktforschungsunternehmens techconsult aus Kassel.
Acht Monate nach dem Inkrafttreten der Datenschutzgrundverordnung wurde am 28. Januar 2019 der Europäische Datenschutztag begangen. Doch Grund zum Feiern haben nur die wenigsten Unternehmen – und auch nicht die öffentlichen Verwaltungen: Noch immer herrschen in vielen Branchen große Defizite bei der Umsetzung der DSGVO. Dabei hatten die bei Zuwiderhandlung hohen angedrohten Bußgelder schon im Vorfeld für viel Aufregung gesorgt. Umso erstaunlicher, dass Unternehmen und Verwaltung nun bei der Umsetzung nachlässig sind, wie eine aktuelle Studie feststellt.
Den Ergebnissen zufolge haben 18 % der befragten Unternehmen und öffentlichen Verwaltungen noch nicht einmal mit der Umsetzung begonnen. Handelsunternehmen lliegen mit 27 % und Industrieunternehmen mit 21 % sogar über dem Durchschnitt. Dies könnte u.a. daran liegen, dass die DSGVO zahlreiche Unternehmensprozesse umfasst und ihre Umsetzung erheblichen Aufwand erfordert. Möglich ist zudem, dass international tätige Handelsunternehmen Wettbewerbsnachteile durch die DSGVO befürchten.Derzeit stufen lediglich 43 % aller Befragten ihre unternehmensinternen Prozesse als DSGVO-konform ein. Bei den Banken und Versicherungen iegt der Anteil immerhin bei 74 %, was nicht zuletzt der sensiblen Natur der Daten geschuldet ist.
Die öffentliche Verwaltung und das Gesundheitswesen hinken hinterher
Der Schutz personenbezogener Daten wurde schon vor der Einführung der DSGVO im Rahmen des Bundesdatenschutzgesetzes gewährleistet, weshalb viele Bereiche und Inhalte für Unternehmen und Verwaltungen bereits bekannt sein sollten. Dennoch benötigen über ein Drittel der Befragten nach eigener Aussage noch mindestens sechs Monate zur vollständigen Anpassung. In der öffentlichen Verwaltung liegt dieser Anteil sogar bei 37 %.
Besonders gravierend ist die Lage im Gesundheitswesen. Dort werden 46 % der Unternehmen und Einrichtungen noch mindestens sechs Monate benötigen, um die datenschutzrechtlichen Vorgaben zu erfüllen – dabei sollte angesichts der sensiblen und besonders schützenswerten Gesundheitsdaten gerade diese Branche doch längst im Einklang mit der DSGVO stehen. Gründe für die Säumigkeit könnten die erhöhten Anforderungen wie das Erstellen einer Datenschutz-Folgenabschätzung sein oder die Tatsache, dass gegen Einrichtungen in öffentlicher Hand, wie etwa Krankenhäuser, unter bestimmten Bedingungen keine Bußgelder verhängt werden können.
Manchen Verwaltungen ignorieren Auskunftsersuchen
Die DSGVO stärkt die Rechte der EU-Bürger und gibt ihnen die Möglichkeit, umfassende Betroffenenrechte auszuüben. So erhielten bereits 39 % der Befragten Auskunfts-, Berichtigungs-, Sperrungs- oder Löschungsersuchen und mussten diese innerhalb eines Monats beantworten. Besonders großes Interesse haben die Betroffenen an Daten, die von Einrichtungen der öffentlichen Verwaltung gespeichert werden: Bei 56 % der Befragten aus diesem Bereich gingen bereits Auskunftsersuchen ein; 9 % von ihnen machten ihm Rahmen der Befragung deutlich, dass sie diese nicht bearbeitet hätten – obwohl sie dazu verpflichtet sind. Die datenschutzrechtlichen Defizite in der öffentlichen Verwaltung könnten den mangelnden Sanktionierungsmechanismen geschuldet sein. Denn gegen öffentliche Stellen können keine Bußgelder verhängt werden, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen.
Die vorgestellten Ergebnisse machen deutlich, dass in nahezu allen Bereichen Nachholbedarf bei der Umsetzung der DSGVO besteht und Unternehmen weiterhin hohe Bußgelder riskieren.
Nützlicher Selbstcheck für Unternehmen und Behörden
Als besonderen Service bietet die Studie einen DSGVO-Selbst-Check, der sowohl für Unternehmen als auch für öffentliche Verwaltungen anwendbar ist. Der zugrundeliegende DSGVO-Index basiert auf einer branchen- und größenklassenübergreifenden Befragung, die Angaben von 259 Unternehmen aus Deutschland umfasst und mit Unterstützung von Microsoft, Tarox, avedos, SEP und QSC durchgeführt wurde.
Autor: Ercan Hayvali, Junior Analyst, techconsult Gmbh, Baunsbergstr. 37, 34131 Kassel