Bereits vor drei Jahren trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Welche Erfahrungen haben kleine und mittelständische Unternehmen (KMUs) bislang damit gemacht? Die Umsetzung ist in vielen Fällen noch mangelhaft – dafür gibt es vor allem drei Gründe.
Schon 2012 hatte die EU-Kommission eine Reform des Datenschutzrechts vorgeschlagen. Bis zur Umsetzung dauerte es noch einige Jahre, am 25. Mai 2018 trat dann jedoch die DSGVO endlich in Kraft. Sie gilt als Meilenstein für den Schutz personenbezogener Daten von Privatpersonen in der EU. Aber wie weit sind KMUs bei der Umsetzung in der Praxis?
Viele Unternehmen haben Fortschritte bei der Umsetzung der Verordnung gemacht. Trotzdem gibt es gerade bei KMUs auch nach drei Jahren noch zahlreiche Herausforderungen. Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) zeigt zum Beispiel: Etwa 40 Prozent von rund 2500 überprüften Webseiten weisen zahlreiche Mängel beim Thema Datenschutz auf.
Besonders oft fehlen verschlüsselte SSL-Zertifikate für den Zahlungsverkehr, Datenschutzerklärungen oder Cookie-Banner. Selbst das Impressum ist in vielen Fällen fehlerhaft oder nicht vollständig. Diese drei Gründe sind die wichtigsten Aspekte für die mangelhafte Umsetzung der DSGVO.
Bedenken vor dem Aufwand
Verantwortliche haben noch immer große Sorgen vor dem administrativen Aufwand, der mit der Umsetzung der Regeln in der DSGVO verbunden ist. In der Praxis ist die Umsetzung tatsächlich mit technischen und organisatorischen Maßnahmen verbunden. Allerdings sollten Geschäftsführer bedenken, dass es bei einer fehlenden Umsetzung schnell teuer werden kann. Verstöße gegen die DSGVO können nämlich mit hohen Bußgeldern geahndet werden. Wenn man diesen Aspekt bedenkt, lohnt sich der interne Aufwand durchaus.
Mangelndes Wissen und interne Konflikte
In vielen Firmen fehlt das nötige Wissen über die DSGVO. Zudem werden oft die Verantwortlichen für die IT als Datenschutzbeauftragte benannt. Die Landesämter für Datenschutz haben jedoch Zweifel an dieser Konstellation – schließlich überwacht dann im Zweifelsfall der IT-Leiter seine eigene Arbeit.
Werkzeuge werden nicht eingesetzt
Längst gibt es eine ganze Reihe von kleinen Werkzeugen, die bei der Umsetzung der DSGVO in die Praxis helfen. Oft lohnt es sich deshalb, möglichst viele Prozesse zu automatisieren und durch entsprechende Tools überwachen zu lassen. Auf diese Weise lassen sich Daten von Nutzern oder eigenen Mitarbeitern sinnvoll speichern und schützen. Bei der Auswahl sollte man vor allem darauf achten, ob die entsprechenden Anbieter aus der EU stammen oder zumindest ihre Daten in europäischen Rechenzentren speichern.
Fazit
Wer die DSGVO nicht beachtet, muss eventuell hohe Bußgelder zahlen. Das sollte jedoch nicht die einzige Motivation für die Umsetzung sein. In Verbindung mit anderen Aspekten bietet die DSGVO für Unternehmen auch die Chance, interne Abläufe zu überdenken und zu optimieren. Solch eine Umstellung kann sich schnell bezahlt machen, zudem sollte dabei von Anfang an die DSGVO mit eingeplant werden. Letzten Endes ist das auch gut für das Unternehmen selbst – schließlich wissen die Kunden, dass ihre persönlichen Daten dort gut aufgehoben sind.