News DSGVO: Deutsche Unternehmen sind besonders anfällig für Abmahnungen

[Igor Wallossek]

Igor Wallossek Neuen News-Beitrag vorschlagen

Seit dem 25. Mai 2018 wird in Europa die neue Datenschutz-Grundverordnung umgesetzt – mit bisher weniger Abmahnungen als zuvor befürchtet. Trotzdem können vor allem deutsche Unternehmen noch nicht durchatmen.

Vorübergehend abgeschaltete Webseiten, gesperrte Medienangebote sowie tausendfache Konsultationen bei Rechtsanwälten und Datenschutzbehörden – die europäische Datenschutz-Grundverordnung (EU-DSGVO) treibt Unternehmen aller Branchen um. Wenig verwunderlich: Denn mit Strafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes ist ihr Drohpotenzial gewaltig. Seit gut zwei Monaten ist die berüchtigte Verordnung nun in Kraft – und laut übereinstimmenden Medienberichten ist die allseits befürchtete Abmahnwelle bis dato ausgeblieben. Alle Aufregung also umsonst? Nicht ganz: Denn vor allem bei IT-Entscheidern in Deutschland dürfte die Verunsicherung nach wie vor nicht gewichen ein.

Deutsche Unternehmen werden DSGVO-Anforderungen am wenigsten gerecht
Dies legt eine Untersuchung des Datenmanagementspezialisten NetApp nahe, an der sich 1.106 IT-Entscheider aus Deutschland, Frankreich, Großbritannien und den USA beteiligt haben. Sie offenbart, dass deutsche Unternehmen im internationalen Vergleich am schlechtesten auf die neue Verordnung vorbereitet sind: So sahen sich kurz vor dem Stichtag lediglich 57 Prozent der deutschen Befragten in der Lage, die Verschlüsselung von persönlichen Daten gewährleisten zu können – nach den britischen (69 Prozent), US-amerikanischen (64 Prozent) und französischen (63 Prozent) Unternehmen der mit Abstand niedrigste Wert! Daran dürfte sich bis heute wenig geändert haben. Zudem sind laut Umfrage die Deutschen am wenigsten davon überzeugt, die Datenintegrität sicherstellen (55 Prozent) sowie die ergriffenen Sicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit hin überprüfen zu können (49 Prozent). Und mit 35 Prozent Zustimmung sehen sich deutsche Unternehmen ebenfalls am wenigsten imstande, Datenpannen binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Lediglich die Pseudonymisierung personenbezogener Daten glauben die IT-Entscheider hierzulande am ehesten leisten zu können (42 Prozent).

[caption id="attachment_95091" align="aligncenter" width="830"] Im internationalen Vergleich sind deutsche Unternehmen am wenigsten für wichtige DSGVO-Anforderungen gerüstet. (Quelle: NetApp)[/caption]

Mangelhafte Vorbereitung lässt deutsche Unternehmen ins Hintertreffen geraten
Doch woher rührt diese missliche Lage der deutschen Unternehmen – und das trotz zweijähriger Vorlaufzeit? Die weiteren Ergebnisse der Studie legen nahe, dass dies auf eine unzureichende Vorbereitung zurückzuführen ist: So gaben im Frühjahr 2018 nur 40 Prozent der deutschen Firmen an, in den letzten 24 Monaten externe DSGVO-Experten konsultiert und deren Empfehlungen umgesetzt zu haben – weit weniger als Unternehmen in den USA (63 Prozent) und in Frankreich (48 Prozent). Und jeweils nur gut ein Drittel der deutschen IT-Entscheider gibt zu verstehen, im gleichen Zeitraum eine DSGVO-Strategie auf Basis einer internen Überprüfung eingeführt beziehungsweise zumindest externe Experten zu Rate gezogen zu haben – länderübergreifend in beiden Fällen die geringste Zustimmung. Ebenso abgeschlagen zeigen sich deutsche Unternehmen bei Investitionen in geschultes Personal (16 Prozent), IT-Infrastrukturen und Datentechnologien (29 Prozent). Gar zwei Prozent der deutschen IT-Entscheider räumen ein, nichts für eine DSGVO-Konformität unternommen zu haben.

Trotz allem: Deutsche Unternehmen sehen ihre Agilität weniger gefährdet
Angesprochen auf mögliche negative Auswirkungen der DSGVO auf die Agilität der Unternehmen, zeigen sich deutsche IT-Entscheider indes vergleichsweise optimistisch: Während im internationalen Vergleich im Schnitt 44 Prozent aller Befragten derartige Einschränkungen befürchten, sind es in Deutschland unterdurchschnittliche 39 Prozent. Und auch die Agilität ihrer IT-Infrastruktur sehen deutsche Unternehmen weniger durch die Anforderungen der Verordnung bedroht: Gut ein Drittel teilt hierzulande diese Befürchtung. Zum Vergleich: In den USA sind es 53 Prozent! Darüber hinaus fürchten die Deutschen auch weniger Konsequenzen für ihr eigenes Personal: So glaubt nicht mal ein Drittel daran, dass sich die DSGVO negativ auf die Agilität des auf Recht und Compliance geschulten Personals auswirken werde. Nur gut ein Fünftel macht entsprechende Auswirkungen auf andere Abteilungen wie Marketing und Vertrieb aus.

Keine Frage von Pessimismus
Dass die Ergebnisse der Studie von NetApp in erster Linie dem oftmals beschworenen, ausgeprägten Pessimismus der Deutschen geschuldet sind, erscheint nur wenig überzeugend. Vielmehr zeigen sie den enormen Aufholbedarf deutscher Unternehmen in puncto DSGVO-Konformität. Angesichts der etwaigen drakonischen Sanktionsmaßnahmen ein großes Risiko. Auch wenn die Rechtmäßigkeit von Abmahnungen umstritten bleiben mag, kann es für die Unternehmen eine Fortführung ihres bisherigen Kurses nicht geben. Stattdessen müssen IT-Entscheider so schnell wie möglich ein DSGVO-konformes Datenmanagement forcieren, wollen sie nicht doch noch von einer möglichen Abmahnungswelle in den Abgrund gerissen werden.

Der Gastbeitrag stammt von Dr. Dierk Schindler, Head of EMEA Legal & Global Legal Shared Services bei NetApp.

(Bildquelle NetApp)

Den Originalbeitrag lesen

 

[Stunrise]

Bei diesem Flickenteppich von einem Gesetz ist doch völlig klar, dass dies für Abmahnanwälte ein Paradies ist. Was wollte man mit dieser DSGVO denn erreichen? Facebook und Google arbeiten exakt gleich, wie bisher, die einzig mir bekannte Änderung ist, dass man eine DSGVO Selbstauskunft relativ einfach erhalten kann, was vorher nur schwierig möglich war - das ist in der Tat sehr positiv. Ansonsten haben wir nun auf jeder Website irgendwelche Cookie-Meldungen, die man erst bestätigen darf und danach darf man gleich nochmal eine Datenschutzmeldung bestätigen, weil es so schön war. Das Gesetz betrifft kleine Betriebe hart, jetzt braucht jeder Einzelkämpfer eine Anpassung an die DSGVO, also auf der Website irgendwo unter Datenschutz 3 Seiten Fließtext über Was und Warum gespeichert wird, die ohnehin nur copy&paste von irgendeiner anderen Seite kopiert werden. Ansonsten hat man noch wunderschöne Dokumentationspflichten, die mich ein bisschen an ein Notfallhandbuch erinnern, das viele Firmen meinen haben zu müssen. Letzteres ist eine absolute Geldmacherei ohne Sinn und Verstand, weil eben dieses Notfallhandbuch im Abend der Übergabe und Abnahme schon veraltet ist und ohnehin fast keine "IT-Katastrophe" sich exakt nach irgendeiner Anleitung lösen lässt.

 

[Igor Wallossek]

Nun ja, es ist schon etwas komplexer, denn sonst hätten wir das ganze Projekt im Gegenzug ja auch nicht starten können.

Exakt die doch sehr komplexe Umbauerei hat die Amis ja dazu bewogen, bei sich den EU-Stecker komplett zu ziehen. Die kalkulierte Summe für die Migration lag damals beim billigsten Anbieter noch weit über 30K, nur fürs Anpassen ohne weitere Verbsserungen. Und wenn was mit 30K kalkuliert wird, werden schnell 50K und mehr draus. Ich weiß, wovon ich schreibe, denn die fiesen Leichen im Keller haben wir erst nach und nach gefunden. Das reichte von fehlenden Shortcodes bis hin zu bereits total verschandelten Daten. Wir mussten nicht nur migrieren, sondern auch noch reparieren.

Diese ganze Bestätigerei, die fehlenden Statistiken (weil Vieles nicht mehr statthaft ist), das Trara um Backups (die man ja gar nicht mehr so haben darf) usw... Das ist einfach nur Schrott. Dieser Murks ist gemacht von Anwälten für Anwälte. Der Rest hat Stress und Kosten. Das bisschen Persönlichkeitsrechte-Zuwachs ist fast schon zu vernachlässigen, denn das BDSG war auch vorher schon recht brauchbar diesbezüglich. Nur war die Allgemeinheit nicht so sensibilisiert

 

[TriPox]

Mir fehlt an manchen Stellen auch total das Verständnis für die DSGVO. Einem gehen ja z.B. komplett Möglichkeiten zum Diagnostizieren von Problemen o.a. am Server verloren, da ja auch Logs anonymisiert werden müssen. Ich hatte auch zwei Projekte bei dem die Umstellung mit enormen Aufwand verbunden war.
Ich finde es ja Positiv das die EU unsere Daten schützen will, aber machen wir uns nichts vor: Jeder der ein Smartphone hat gibt ständig wesentlich wichtigere Daten von sich preis, als welche Seite er wann wie besucht hat. Zumal das Gesetzt ja tatsächlich hauptsächlich von Anwälten für Anwälte geschrieben wurde.
Man kann es natürlich auch so sehen: Durch das neue Gesetzt mussten viele Unternehmen externe Berater anheuern, die wiederum mussten neue Leute einstellen um der nachfrage gerecht zu werden, also entstehen neue Arbeitsplätze. Und dann müssen ja viele Unternehmen in neue IT-Produkte investieren, das kurbelt auch die Wirtschaft an.

Einzig positives dieser ganzen Geschichte meiner Meinung nach: (Fast) Alle Unternehmen machen sich nun langsam mal Gedanken um IT-Sicherheit und Prozesse und müssen feststellen das es doch keine so doofe Idee ist klare Prozesse für Sicherheitsvorfälle zu haben (bzw. überhaupt erstmal die Möglichkeit solche Vorfälle zu entdecken). Was ich bei manchen Kunden schon so erlebt habe...

 

[MyRunner]

Einem gehen ja z.B. komplett Möglichkeiten zum Diagnostizieren von Problemen o.a. am Server verloren,

Warum gehen die verloren? Entweder geht das auch mit anymisierte oder pseudonymisierten Logs. Und auf der anderen Seite, werden doch techn. Notwendigkeiten nicht ausgeschlossen. Wenn es dokumentiert ist, dann musst da ja z.B. das Webserverlog doch nicht sofort loeschen. Du musst dann halt dokumentieren, dass es fuer techn. Prozesse bis zu 3 Tagen gespeichert wird und auswerten solltest Du es dann bei Bedarfs auf nur dafuer.

Vielleicht gibt es an vielen Stellen auch einfach ein zu restriktives Bild, was alles noetig ist?

PS.: Falls ich mich irre, lass ich mich gern belehren.

 

[amd64]

Rechtmäßigkeit der Verarbeitung: https://dsgvo-gesetz.de/art-6-dsgvo/

 

[KalleWirsch]

Naja Art 6 Abs. 1f kannst Du sehr weit auslegen oder sehr eng. Und genau das hat MyRunner doch auch gesagt.

Wenn Du es eng auslegst und von vorneherein sagst, Du hättest kein berechtigtes Interesse, dann musst Du natürlich für jeden Sch... eine Einwilligung einholen.
Das führt dann zu so Auswüchsen, dass Du dir von deiner Oma eine 30-seitige Datenschutzerklärung bestätigen lässt, bevor Du mir ihr ein Selfie machst.
Das ist dann vermutlich auch nicht im Sinne des Erfinders. In der Datenschutzerklärung würden ganz selbstverständlich umfangreiche Einwilligungen für alle Eventualitäten drinstehen, um sich rechtlich abzusichern. So sieht es doch nach Einführung der DSGVO doch tatsächlich aus.

Genau wissen wir das Alles erst wenn es konkrete Urteile zu ganz konkreten Situationen gibt.

Außerdem: Glaubt ihr es hagelt demnächst hohe Geldbußen weil Handwerker XY irgendein Backup von einem Webserver-Log zu lange aufhebt und damit unwissenderweise gegen die DSGVO verstößt?
Mag sein, dass er damit gegen geltendes Recht verstößt, aber für ein Urteil muss ihn erst mal einer verklagen.

 

[Igor Wallossek]

Und es müsste erst einmal jemand wissen. Also z.B. Brunhilde, die unbefriedigte Ehefrau des Handwerkers Gerhard M aus L, die bei Scheidungsfragen ein Druckmittelchen braucht, um mit der afrikanischen Urlaubsliebe Umbatumba X luxuriöser durchbrennen zu können.