Aktuelles, Branche, Studien - geschrieben von am Donnerstag, September 22, 2016 19:13 - noch keine Kommentare

Bitkom-Studie: Viele Unternehmen haben Datenschutzreform nicht auf dem Schirm

44 Prozent noch nicht mit der EU-Verordnung beschäftigt

[datensicherheit.de, 22.09.2016] Viele Unternehmen sind nach aktuellen Erkenntnisse des Bitkom unzureichend auf die europäische Datenschutz-Grundverordnung vorbereitet. Dies habe eine repräsentative Umfrage im Auftrag des Digitalverbands unter 509 Datenschutzverantwortlichen in Unternehmen ab 20 Mitarbeitern ergeben. Grundlage der Angaben sei eine repräsentative Befragung durch Bitkom Research im Auftrag des bitkom. Dabei seien 509 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland befragt worden.

Zahlreiche neue Informations- und Dokumentationspflichten

Die Datenschutzverordnung sei für fast die Hälfte aller Unternehmen in Deutschland (44 Prozent) aktuell kein Thema: 32 Prozent kennen demnach zwar die Reform, haben sich aber noch nicht damit beschäftigt, weitere zwölf Prozent haben davon noch nicht einmal gehört.
Auf der anderen Seite beschäftigten sich 47 Prozent der Unternehmen mit der Reform und acht Prozent hätten bereits erste Maßnahmen eingeleitet. Unternehmen sollten frühzeitig mit der Umsetzung der Verordnung beginnen, betont Susanne Dehmel, Bitkom-Geschäftsleiterin „Datenschutz und Sicherheit“: „Nach dem Ende der Übergangsfrist im Mai 2018 drohen empfindliche Strafen, wenn sich die Unternehmen nicht an die Bestimmungen halten.“
Mit dieser Verordnung würden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den Unternehmen umgesetzt werden müssten. Völlig neu seien gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung.

Datenschutz-Grundverordnung offiziell in Kraft

Die Datenschutz-Grundverordnung ist am 25. Mai 2016 offiziell in Kraft getreten. Die Frist für die Umsetzung in den EU-Mitgliedstaaten beträgt zwei Jahre, Stichtag ist somit der 25. Mai 2018. In dieser Zeit werden die nationalen Gesetze an das EU-Recht angepasst. Die Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu vier Prozent des weltweiten Umsatzes verhängen.
Die nationale Gesetzgebung sollte zügig abgeschlossen werden, damit die Unternehmen vollständige Planungssicherheit bekämen, so Dehmel. Als besonders dringlich sähen 46 Prozent der befragten Datenschutzexperten in den Unternehmen die Einführung neuer Prozesse an, zum Beispiel für eine Datenschutz-Folgenabschätzung oder für „Privacy by Design“. 43 Prozent wollten zuerst eine Neubewertung unternehmerischer Risiken vornehmen und 40 Prozent die Überarbeitung der Verträge zur Auftragsdatenverarbeitung. 38 Prozent wollten zunächst die Datenschutzerklärungen anpassen.

Verfahrensverzeichnis anlegen!

Nach den Ergebnissen der Umfrage seien viele Unternehmen organisatorisch nicht optimal auf die Veränderungen vorbereitet: Nur jedes zweite (51 Prozent) verfüge über ein sogenanntes Verfahrensverzeichnis, in dem die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden.
Das Verfahrensverzeichnis sei die Arbeitsgrundlage der betrieblichen Datenschutzbeauftragten, sagt Dehmel. Bei einer Überprüfung durch die Aufsichtsbehörden könnten Unternehmen mit dem Verfahrensverzeichnis zeigen, dass die Prozesse korrekt ablaufen. Daher sollten alle Unternehmen ein solches anlegen.

Knapp zwei Drittel benötigen externe Hilfe

Aus Sicht des Bitkom entsteht der Wirtschaft ein hoher Aufwand für die Umsetzung der neuen Regelungen. Ein Viertel (26 Prozent) der Unternehmen, die sich bereits mit der Datenschutzverordnung beschäftigt haben, werde zusätzliches Personal für die Anpassung der internen Prozesse bereitstellen.
Immerhin 29 Prozent gingen davon aus, dass die Verordnung dauerhaft zu einem Mehraufwand im Vergleich zur aktuellen Rechtslage führe. Knapp zwei Drittel (64 Prozent) würden externe Hilfe in Anspruch nehmen, zum Beispiel für eine Rechtsberatung von Datenschutzexperten.

Datenschutzreform: gemischte Gefühle in der Wirtschaft

Insgesamt blicke die Wirtschaft zum gegenwärtigen Zeitpunkt mit gemischten Gefühlen auf die große Datenschutzreform, erläutert Dehmel.
Jedes vierte Unternehmen (25 Prozent) gehe davon aus, dass die Reform viele interne Abläufe komplizierter machen werde und jedes dritte Unternehmen (36 Prozent) sei der Ansicht, dass Innovationen in der Europäischen Union gebremst würden. Auf der anderen Seite begrüße eine Mehrheit (57 Prozent), dass die Reform zu einheitlichen Wettbewerbsbedingungen in der EU führen werde. Ein Drittel aller Unternehmen (33 Prozent) verspreche sich sogar konkrete Vorteile für sein Geschäft.

Privacy Shield – wichtige Rechtsgrundlage für Datentransfer in die USA

Das zweite wichtige Datenschutzthema für die Unternehmen ist laut Bitkom die Übermittlung von personenbezogenen Daten in die USA, nachdem der EuGH im Oktober 2015 das „Safe-Harbor-Abkommen“ für ungültig erklärt hatte.
Nach den Ergebnissen der Umfrage seien Datentransfers zwischen Unternehmen weit verbreitet. So ließen 42 Prozent der befragten Unternehmen personenbezogene Daten von einem externen Dienstleister verarbeiten. Bei Unternehmen ab 500 Mitarbeitern seien es sogar 68 Prozent. Das könne zum Beispiel der Fall sein, wenn Unternehmen das Gehalt der Mitarbeiter über einen Personal- oder Finanzdienstleister auszahlen lassen. Auch bei „Public-Cloud“-Lösungen für das Management von Kundenbeziehungen erfolge die Datenverarbeitung bei einem externen Dienstleister.
Auf der anderen Seite verarbeite ein Drittel der Unternehmen (33 Prozent) selbst Daten im Auftrag anderer Unternehmen. Bei den großen Unternehmen ab 500 Mitarbeitern seien es zwei Drittel (66 Prozent). Datentransfers zwischen Unternehmen gehörten in der digitalen Wirtschaft zum Alltag, erläutert Dehmel. Für die Gewährleistung des Datenschutzes bräuchten die Unternehmen klare und handhabbare Vorgaben vom Gesetzgeber.
Aus Sicht des Bitkom ist das „Privacy Shield“ neben den Standardvertragsklauseln der EU eine weitere wichtige Grundlage für rechtssichere Datentransfers in die USA. Allerdings sei immer noch nicht abschließend geklärt, ob diese Rechtsinstrumente mit dem Grundsatzurteil zum „Safe-Harbor-Abkommen“ vereinbar sind. Dehmel: „Die Unternehmen brauchen Rechtssicherheit für Datenübertragungen auch über Landesgrenzen hinweg.“

Austausch von Personal- oder Kundendaten

Fast alle Unternehmen (94 Prozent), die einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt haben, ließen diese innerhalb Deutschlands verarbeiten, 36 Prozent in der EU und acht Prozent außerhalb der EU (ohne die USA). Nur vier Prozent gäben an, dass Daten in den USA verarbeitet werden.
Daneben versendeten international agierende Unternehmen Daten innerhalb der eigenen Organisation an Standorte in anderen Ländern. Das könnten zum Beispiel Personal- oder Kundendaten sein, die zwischen einer Niederlassung und der Zentrale ausgetauscht werden. Laut Umfrage übermittele knapp jedes zehnte Unternehmen (neun Prozent) Daten innerhalb der eigenen Organisation in die USA, bei den Unternehmen ab 500 Mitarbeitern sei es jedes dritte (33 Prozent).

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2016
Jedes dritte Unternehmen mit mehr als einer Datenschutzerklärung

Bitkom, 20.09.2016
Leitfaden FAQ zur Datenschutzgrundverordnung

datensicherheit.de, 15.09.2016
DSGVO-Compliance: Empfehlungen für Unternehmen



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung