Seit 18 Monaten gilt die Datenschutz-Grundverordnung (DSGVO) und fordert insbesondere kleine und mittelständische Unternehmen weiterhin heraus. Sie hat aber auch für das Thema Datenschutz sensibilisiert – viele Unternehmen unterstützen die Ziele der DSGVO. Für eine praktische Umsetzung muss jedoch noch einmal nachgearbeitet werden.
Nachgefragt: Das sagen die Unternehmen nach 18 Monate EU DSGVO
Im September 2019 veröffentlichte der Digitalverband Bitkom die Ergebnisse der Befragung unter mehr als 500 Unternehmen, in denen sie diese zu ihren Erfahrungen mit der Umsetzung der EU DSGVO interviewten. Die gibt ein gutes Stimmungsbild zur aktuellen Stimmungslage: So haben 67 Prozent der Befragten die DSGVO in großen Teilen umgesetzt, abgeschlossen wurde sie jedoch nur von einem Viertel, 24 Prozent haben die Verordnung teilweise umgesetzt.
Die Ursachen für die schleppende Umsetzung begründen die befragten Unternehmen insbesondere in der „Rechtsunsicherheit und einem schwer abzuschätzenden Umsetzungsaufwand“ (jeweils 68 Prozent), heißt es in der Auswertung. Auch fehlende Umsetzungshilfen (53 Prozent) und fehlendes Fachpersonal (37 Prozent) sind Gründe.
Die drei größten Kritikpunkte an der EU DSGVO
In den vergangenen 18 Monaten haben sich drei Schwierigkeiten in der Umsetzung der DSGVO herauskristallisiert. Sie basieren insbesondere auf der Auslegung der Verordnung, die sehr offen bzw. mehrdeutig gelesen werden kann, aber auch an den teilweise hohen Kosten für die Umsetzung.
1. Kompliziert: Verarbeitungsverzeichnis und Dokumentationspflicht
Insbesondere für KMU stellen die vielen kleinteiligen Aufgaben, die bei der Umsetzung der DSGVO anfallen, eine enorme Mehrbelastung dar. Die Dokumentationspflicht zwingt beispielsweise auch selbstständige Handwerker und Sub-Unternehmer dazu, bei jedem Auftrag einen Auftragsverarbeitungsvertrag abzuschließen – und das bei dutzenden von Kunden pro Woche.
Alle Schritte müssen dokumentiert und ordentlich abgelegt werden – ein großer Aufwand. Die sehr offenen und wenig detaillierten Bestimmungen der DSGVO haben es auch ermöglicht, dass Kfz-Werkstätten mit den Möglichkeiten zur Abgasuntersuchung als „öffentliche Stellen“ definiert werden – und die müssen einen externen – und teuren – Datenschutzbeauftragten bestellen.
2. Teuer: Datenschutzkonforme Software
Eine finanzielle und organisatorische Herausforderung stellt es für viele Unternehmen dar, ihre Software gemäß den Datenschutzrichtlinien zu sichern. Ein Neukauf von Software ist teuer, aber auch die Betreuung und die Aktualisierung verbraucht Ressourcen. Vor allem in kleinen Unternehmen ist dies mit der DSGVO ein zusätzlicher Posten geworden, wenn nicht sogar ein externer Datenschutzbeauftragter Pflicht ist.
3. Datenverantwortung: Zuständigkeiten abklären
Große Verwirrung herrscht auch immer noch, wer eigentlich ein Datenverantwortlicher oder ein Datenverarbeiter ist und wann es eine gemeinsame Verantwortung gibt.
Ein Beispiel aus der Praxis zeigt, wie sich diese Rollen unterscheiden lassen. Der Europäische Gerichtshof fällte ein Urteil, dass einen Fanpage-Betreiber auf Facebook auch in der Rolle des Datenverarbeiters sieht. Demnach kann ein Fanpage-Besitzer zwar nicht alle Daten, die Facebook generiert, einsehen.
Jedoch allein mit seiner Einwilligung, die Daten von Facebook verarbeiten zu lassen, um sie beispielsweise auch selbst als anonyme Insights zur Verfügung gestellt zu bekommen, wird als eine gemeinsame Verantwortlichkeit definiert (EuGH, 05.06.2018 – C-210/16).
In diesem Sinne bestünde für jedes Unternehmen und für jeden Selbstständigen beim Nutzen von Google Analytics eine gemeinsame Verantwortlichkeit- schließlich wird die Einwilligung zur Datenverarbeitung gegeben und als Nutzer kann man die Daten sogar auswerten. Deshalb müssten beide Parteien eine gemeinsame rechtssichere Vereinbarung schließen.
Aktuell laufen mehrere gerichtlicher Verfahren, die zeigen, dass es für Unternehmen äußerst schwierig bis unmöglich ist, Tools wie Google Analytics DSGVO-konform zu nutzen. In Unternehmen sollte es jedoch schneller gelingen, die Verantwortlichkeiten für beispielsweise Personaldaten abzuklären und genau einzugrenzen.
Fazit: Die größte Kritik an der DSGVO ist, dass sie Konzerne und KMU gleichstellt. Während große Unternehmen externe Datenschutzexperten beauftragen oder eine Datenschutzstelle einrichten, fehlen kleinen und mittleren Betrieben die Struktur und die finanziellen Mittel. Zudem wird in Frage gestellt, wie sinnvoll Dokumentationspflichten bei Tätigkeiten wie dem Auswechseln eines Wasserhahns wirklich sind.
Eine weitere starke Kritik ist, dass selbst Unternehmen, die davon ausgehen, dass sie die DSGVO komplett umgesetzt haben, sich nicht sicher sind. Die Auslegung des Schriftstücks ist stellenweise schwierig, was zu einer großen Rechtsunsicherheit führt. So steht seit jeder die Frage offen, wie mit Mediensprüngen zu verfahren ist: Wie gehe ich mit einer Visitenkarte um, die mir ein Interessent zusteckt? Wie dokumentiere ich diese eingehenden Daten und inwiefern besteht eine Informationspflicht gegenüber der Person?
EU DSGVO sensibilisiert für das Thema Datenschutz
Die DSGVO hat aber auch erreicht, dass sich Unternehmen überhaupt mit dem Thema Datenschutz beschäftigen: Welche Daten fordere ich von meinen Kunden ab? Speichere ich diese sicher ab? Und für was erhebe ich diese überhaupt? Nach 18 Monaten DSGVO sind Webseiten von Unternehmen häufig datenschutzkonform. Sie machen die Datenverarbeitung durch weitgehende Informationen transparenter und sind so nutzer- und kundenfreundlich gestaltet, auch wenn der Privacy-by-Design-Anspruch für kleine und mittlere Betriebe schwer umsetzbar ist.
Im Rahmen der Umsetzung der DSGVO wurden Mitarbeiter in Schulungen für das Thema Datenschutz sensibilisiert, in Rechtsberatungen konnten Unternehmen sich Rat einholen. Sicher lässt sich sagen, dass Arbeitgeber- und nehmer in Deutschland niemals zuvor so gut über Datenschutz informiert waren wie heute. In diesem Sinne war das Jahr 2018 auch eine gute Chance, das eigene Datenmanagement zu überarbeiten und zu verschlanken. Datenbestände wurden auf das Notwendigste reduziert und Datenverarbeitungsprozesse optimiert.
So schubste die DSGVO sicher auch das eine oder andere Unternehmen in den digitalen Wandel hinein. Die DSGVO als Chance? Das sehen – trotz Kritik an der Machbarkeit – auch die Befragten der Bitkom-Umfrage so. 64 Prozent der Befragten gaben an, dass sie davon überzeugt sind, dass die DSGVO „weltweit Maßstäbe für den Umgang mit Personendaten setzen wird“, 57 Prozent der Befragten glaubt, dass die DSGVO zu einheitlicheren Wettbewerbsbedingungen in der EU führen wird.
18 Monate EU DSGVO: Und was passiert nun?
Die Kritik an der DSGVO ist angekommen. Im Frühjahr 2020 wird die EU-Kommission eine umfassende Evaluation der DSGVO durchführen und dem Europäischen Parlament vorlegen, anschließend soll dies alle vier Jahre geschehen. Der deutsche Datenschutzbeauftragte Ulrich Kelber fordert für kleine und mittlere Unternehmen eine Vereinfachung der Umsetzung, um den Umfang und Arbeitsaufwand merklich zu reduzieren. Es bleibt abzuwarten, zu welchem Ergebnis die EU-Kommission im 2020 kommen wird.
Haben Sie Fragen zur DSGVO oder Schulungsbedarf? Dann sprechen Sie uns gern an.