DSGVO / GDPR: Wie steht es bei Ihnen um die Umsetzung?
DSGVO: Umfragen zeigen deutliche Defizite
Die Datenschutz-Grundverordnung (DSGVO oder General Data Protection Regulation, GDPR) ist seit vielen Monaten eines der zentralen Themen in den Medien.
Das merkt man auch an der Vielzahl der Studien und Umfragen, die Datenschutz-Aufsichtsbehörden, Verbände, Unternehmensberatungen und IT-Sicherheitsanbieter in der letzten Zeit veröffentlichen. Kaum eine Studie besagt, dass die Umsetzung der DSGVO nahezu abgeschlossen wäre. Stattdessen deuten die Umfragen auf zahlreiche Lücken in der Umsetzung hin, die es umgehend zu schließen gilt.
Hinter den Umsetzungslücken stecken in der Regel Probleme, die bei vielen Unternehmen bestehen, aber ihnen nicht wirklich bewusst sind.
Deshalb ist es sinnvoll, sich einen Überblick über die verschiedenen Studien zu verschaffen. Legen Sie sich dann einen eigenen Plan zurecht, wie sich der Umsetzungsstand in Ihrem Unternehmen am besten ermitteln lässt.
Überblick über aktuelle Ergebnisse
Da die Umfragen verschiedene Stichproben, Unternehmensgrößen oder Branchen betreffen, sollten Unternehmen nicht zu sehr auf die Prozentwerte achten.
Vielmehr geht es darum, generelle Schwachstellen bei der Umsetzung zu erkennen und diese intern zu überprüfen.
Generelle Schwachstellen prüfen
Die folgenden Ergebnisse zeigen dies beispielhaft.
Querschnittsprüfung der Landesbeauftragten für den Datenschutz Niedersachsen
Die Querschnittsprüfung der Landesbeauftragten für den Datenschutz Niedersachsen (https://lfd.niedersachsen.de/download/149301) brachte folgende Erkenntnisse: Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) gelingt niedersächsischen Unternehmen bisher nur teilweise.
Das ist das Ergebnis der branchenübergreifenden Prüfung von 50 Unternehmen, zu der die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, im November 2019 ihren Abschlussbericht vorgelegt hatte.
- Besonders großen Nachholbedarf haben die Unternehmen demnach im technisch-organisatorischen Datenschutz und bei der Datenschutz-Folgenabschätzung (DSFA).
- Es gab allerdings auch Bereiche, in denen die LfD überwiegend zufriedenstellende Antworten erhielt. Dazu zählen die Komplexe Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.
Hören Sie dazu auch unser Interview mit Frau Thiel im Datenschutz-PRAXIS-Podcast.
Bitkom-Umfrage
Die deutsche Wirtschaft kämpft immer noch mit der Datenschutz-Grundverordnung, so der Digitalverband Bitkom (http://www.bitkom-research.de/).
Zum Zeitpunkt der Umfrage (fast eineinhalb Jahre nach Geltungsbeginn) hatten zwar zwei Drittel der Unternehmen (67 Prozent) die neuen Datenschutzregeln mindestens zu großen Teilen umgesetzt. Dabei hat allerdings erst ein Viertel (25 Prozent) die Umsetzung der DSGVO vollständig abgeschlossen.
- Am aufwändigsten ist es für Unternehmen, die mit der Umsetzung der DSGVO zumindest begonnen haben, die Informations- und Dokumentationspflichten zu erfüllen. Fast alle Befragten (97 Prozent) bestätigen einen hohen Aufwand.
- Die Katalogisierung der Prozesse ist für 93 Prozent sehr aufwändig, 86 Prozent geben dies für ihr Vertragsmanagement an.
- Die sogenannten Privacy-by-Design-Anforderungen zu erfüllen, bedeutet für 84 Prozent viel Arbeit.
- Ähnlich viele (82 Prozent) kämpfen wegen der DSGVO mit hohen Aufwänden für den Betrieb ihrer Webseiten.
eco-Umfrage
Rund jeder fünfte Deutsche (21,2 Prozent) hat bereits ein Auskunftsersuchen nach DSGVO gestellt. Mit der Antwort zufrieden war jedoch nur jeder Dritte (35 Prozent).
Probleme gab es etwa, weil die Verantwortlichen die Auskünfte zu spät (28,3 Prozent), unvollständig (17 Prozent), unverständlich (15,6 Prozent) oder gar nicht abgaben (8,8 Prozent). Das ergab eine Umfrage des Verbands der Internetwirtschaft eco (eco.de).
Wichtig: Eigene Prioritäten finden
Nehmen Sie diese Prozentangaben nicht als alleinige Basis, um Ihre eigene Schwachstellen-Liste zu priorisieren. Die Unterschiede zwischen den Unternehmen sind zu individuell, als dass Sie die eigenen Schwerpunkte aus solchen Statistiken ableiten sollten.
Sie dienen in erster Linie als Anhaltspunkte, wo es sinnvoll sein könnte, einmal im eigenen Unternehmen den Stand der DSGVO-Umsetzung abzuklopfen.