Im Auftrag von Dell haben die US-Marktforscher von Dimensional Research eine internationale Studie zum Thema EU-Datenschutz-Grundverordnung (DSGVO/GDPR) durchgeführt. Die Studie soll beantworten wie gut Unternehmen die EU-Datenschutz-Grundverordnung kennen, wie sie sie einschätzen, wie sie darauf vorbereitet sind und wie sie die Auswirkungen bei einer Nichteinhaltung beurteilen. Befragt wurden dazu weltweit insgesamt 821 IT- und Business-Professionals, die für den Datenschutz in Unternehmen mit europäischen Kunden zuständig sind. Die Ergebnisse verdeutlichen ein ernüchterndes Bild.

DSGVO – Kann man das essen?

Sage und schreibe 97% der befragten haben derzeit keinen Plan wie sie die Konformität mit der ab Mai 2018 geltenden DSGVO herstellen wollen. 70% davon führten gar an den gesetzlichen Anforderungen der DSGVO nicht gerecht zu werden bzw. nicht zu wissen, ob sie diesen überhaupt gerecht werden können. Angesichts der Tatsache, dass sich mehr als 80% nicht mit der Thematik auseinandergesetzt haben und daher nur wenige bis keine Details kennen, nicht verwunderlich. Ein kleiner Lichtblick: Immerhin 44% der Befragten aus Deutschland fühlten sich sehr gut vorbereitet.

Unwissenheit schützt vor Strafe nicht!

Werden datenschutzrechtlcihe Anforderungen nicht eingehalten, so drohen ab Mai 2018 maximale Geldbußen von 20 Million Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr (je nachdem, was höher ausfällt). Man sollte meinen diese Summen haben eine abschreckende Wirkung, jedoch kennen 36% der Befragten die Höhe der Bußgelder erst gar nicht, oder denken es würde nur einfacher Nachbesserungen bedürfen. Bei 50% existiert der Glaube, dass sie mit einer moderaten Geldstrafe oder überschaubaren Nachbesserungsarbeiten davon kommen. Bei solchen Bußgeldern fällt das Wegignorieren der DSGVO wohl kaum in den Bereich des kalkulierbaren Risikos, aber warum ist kein Effekt zu spüren? Ist es Unwissenheit, oder sind Unternehmen bereits so abgestumpft auf Grund des mangelnden Durchgreifens seitens der Aufsichtsbehörden und der bisher vergleichsweise lachhaften Bußgelder?

Der Imageschaden ist immens

Noch höher als die Bußgelder wiegt allerdings der mögliche Imageschaden bei Bekanntwerden von Datenpannen. Nach geltendem Recht, ist das Risiko eines Imageschadens noch nicht all zu hoch, da nur unter bestimmten Voraussetzungen eine etwaige Datenpanne meldepflichtig ist. Mit Inkraftreten der DSGVO hingegen muss der zuständigen Aufsichtsbehörde grundsätzlich jede Verletzung des Schutzes personenbezogener Daten mitgeteilt werden, sofern nicht eine nach Absatz 1 geregelte Ausnahme besteht, nach der es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Das Risiko, dass eine Datenpanne publik wird, erhöht sich somit exponentiell, da zukünftig eine Meldepflicht von Datenpannen unabhängig von der Art der personenbezogenen Daten besteht.

Den Datenschutz als Chance sehen

War und ist der Datenschutz bisher doch eher das notwendige Übel, tritt das Schreckgespenst spätestens 2018 aus seinem Schattendasein heraus. Unternehmen müssen sich zwangsläufig mit der Thematik auseinandersetzen. Aber Datenschutz hat auch einen klaren Mehrwert, denn in Anbetracht der zahlreichen Datenschutzskandale in den letzten Jahren ist die Öffentlichkeit entsprechend sensibilisiert. Warum also nicht jetzt ein Zeichen setzen?!