Mit der Einhaltung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) steht es nicht überall zum Besten. Wenig beachtet wird die Verordnung unter anderem in der öffentlichen Verwaltung, so eine Studie des Analystenhauses und Marktforschungsunternehmens techconsult aus Kassel.
Acht Monate nach dem Inkrafttreten der Datenschutzgrundverordnung wurde am 28. Januar 2019 der Europäische Datenschutztag begangen. Doch Grund zum Feiern hatten nur die wenigsten Unternehmen – und auch kaum eine öffentliche Verwaltung. Noch immer gibt es in vielen Branchen große Defizite bei der DSGVO-Umsetzung. Dabei hatten die bei Zuwiderhandlung angedrohten hohen Bußgelder schon im Vorfeld für viel Aufregung gesorgt. Umso erstaunlicher, dass Unternehmen und Verwaltungen nun bei der Umsetzung nachlässig sind, wie eine aktuelle Studie feststellt: Den Ergebnissen zufolge haben 18 % der befragten Unternehmen und öffentlichen Verwaltungen noch nicht einmal mit der Umsetzung begonnen.
Der Anteil der Nachzügler ist bei Handelsunternehmen (27 %) und Industrieunternehmen (21 %) überdurchschnittlich hoch. Dies könnte u.a. daran liegen, dass die DSGVO zahlreiche Unternehmensprozesse umfasst und ihre Umsetzung erheblichen Aufwand erfordert. Möglich ist zudem, dass international tätige Handelsunternehmen Wettbewerbsnachteile befürchten. Derzeit stufen lediglich 43 % aller Befragten ihre unternehmensinternen Prozesse als DSGVO-konform ein. Bei den Banken und Versicherungen liegt der Anteil immerhin bei 74 %.
Das Gesundheitswesen hinkt hinterher
Der Schutz personenbezogener Daten wurde schon vor der Einführung der DSGVO durch das Bundesdatenschutzgesetz geregelt, weshalb viele Aufgaben und Inhalte für Unternehmen und Verwaltungen bekannt sein sollten. Dennoch benötigt über ein Drittel der Befragten nach eigenen Angaben noch mindestens sechs Monate zur vollständigen Anpassung. In der öffentlichen Verwaltung liegt dieser Anteil sogar bei 37 %.
Besonders gravierend ist die Lage im Gesundheitswesen. Dort werden 46 % der Unternehmen und Einrichtungen noch mindestens ein halbes Jahr benötigen, um die Vorgaben zu erfüllen – dabei sollte gerade diese Branche längst im Einklang mit der DSGVO stehen. Gründe für die Säumigkeit könnten die erhöhten Anforderungen sein (namentlich das Erstellen einer Datenschutz-Folgenabschätzung) oder die Tatsache, dass gegen Krankenhäuser als Einrichtungen in öffentlicher Hand unter bestimmten Bedingungen keine Bußgelder verhängt werden können.
Verwaltungen ignorieren Auskunftsersuchen
Die DSGVO stärkt die Rechte der EU-Bürger und gibt ihnen die Möglichkeit, umfassende Betroffenenrechte auszuüben. So erhielten bereits 39 % der Befragten Auskunfts-, Berichtigungs-, Sperrungs- oder Löschungsersuchen und mussten diese innerhalb eines Monats beantworten. Besonders großes Interesse haben die Betroffenen an Daten, die von Einrichtungen der öffentlichen Verwaltung gespeichert werden: Bei 56 % der Befragten aus diesem Bereich gingen bereits Auskunftsersuchen ein; 9 % von ihnen machten ihm Rahmen der Befragung deutlich, dass sie diese nicht bearbeitet hätten – obwohl sie dazu verpflichtet sind. Die datenschutzrechtlichen Defizite in der öffentlichen Verwaltung könnten den mangelnden Sanktionierungsmechanismen geschuldet sein. Denn gegen öffentliche Stellen können keine Bußgelder verhängt werden, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen.
Selbsttest für Unternehmen und Behörden
Die Ergebnisse machen deutlich, dass in nahezu allen Bereichen Nachholbedarf bei der Umsetzung der DSGVO besteht und Unternehmen weiterhin hohe Bußgelder riskieren. Als besonderen Service bietet die Studie einen DSGVO-Self-Check, der sowohl für Unternehmen als auch für öffentliche Verwaltungen anwendbar ist. Der zugrundeliegende DSGVO-Index basiert auf einer branchen- und größenklassenübergreifenden Befragung, die Angaben von 259 Unternehmen aus Deutschland umfasst und mit Unterstützung von Microsoft, Tarox, avedos (seit 2020 GBTEC), SEP und QSC (seit 2020 q.beyond) durchgeführt wurde.
Von Ercan Hayvali, Junior Analyst, techconsult GmbH, Baunsbergstr. 37, 34131 Kassel
