Dr. HÖRTKORN  VERSICHERUNGSMAKLER

Detail

Über ein Jahr DSGVO – eine gemischte Bilanz

Seit über einem Jahr ist die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Experten und Umfragen zeigen dazu die positiven und negativen Folgen auf, die diese Verordnung seitdem für die Unternehmen gebracht hat.

01.10.2019 (verpd) Die Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) war und ist noch heute für viele Unternehmen ein Kraftakt, wie Umfragen belegen. Und noch lange nicht jede Firma hat die neuen Datenschutzregelungen bereits umgesetzt. Doch schon jeder 25. kleine bis mittelständische Betrieb musste gemäß den rechtlichen Vorgaben bereits Datenpannen an seine Kunden oder an Behörden melden. Zudem wurden Firmen bereits für Verstöße gegen die DSGVO hierzulande bestraft und mussten zum Teil mehrere Zehntausend Euro Geldbuße zahlen. Andererseits gibt es erstmals EU-weite einheitliche Datenschutzregelungen, die auch Einfluss auf den Datenschutz bei global tätigen Konzernen haben.

Seit Wirksamwerden der Europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gibt es für alle Firmen innerhalb der Europäischen Union (EU), die personenbezogene Daten nutzen, datenschutzrechtliche Standards, an die sich alle halten müssen. Die DSGVO gilt aber auch für Unternehmen außerhalb der EU, die Waren oder Dienstleistungen in der EU anbieten oder sonst die EU als Markt nutzen und dazu Daten von Personen in der EU verarbeiten oder auswerten.

Es gibt gemäß der DSGVO diverse einzuhaltende Grundsätze zur Verarbeitung personenbezogener Daten. Unter anderem haben die Firmen umfassende Informationspflichten gegenüber den Personen, deren Daten gespeichert werden. Wer sich nicht an die DSGVO hält, kann mit einer Geldbuße von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Firmenjahresumsatzes bestraft werden und haftet zudem für den entstandenen Schaden der betroffenen Person.

Es wurden bereits Geldbußen verhängt

Nach einem Bericht Anfang Mai diesen Jahres der Medien „Welt.de“ und „Welt am Sonntag“ auf Basis einer Umfrage bei den Datenschutzbehörden der Bundesländer wurden binnen eines Jahres hierzulande über 80 Geldstrafen von insgesamt etwa 490.000 Euro verhängt. Die Datenschutzbehörde von Mecklenburg-Vorpommern habe sich laut Welt.de nicht an der Umfrage beteiligt.

Unter anderem wurde eine Einzelstrafe in Höhe von 80.000 Euro für ein Unternehmen in Baden-Württemberg ausgesprochen. Ein Bericht der Datenschutzbehörde dieses Bundeslandes zeigt, was der Grund für dieses hohe Bußgeld war: Ein Datenverantwortlicher hatte „bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten veröffentlicht, die versehentlich personenbezogene Daten enthielten“.

Weitere Datenschutzvergehen, die auch sanktioniert wurden, sind unter anderem fehlende oder ungenügende technische und organisatorische Maßnahmen, um einen Missbrauch von Kundendaten zu verhindern, sowie der Versand unzulässiger Werbe-E-Mails. So musste in einem weiteren Fall in Baden-Württemberg ein Internetdienstleister 20.000 Euro Geldbuße zahlen, weil er User-Passwörter unverschlüsselt und unverfremdet gespeichert hatte und diese nach einem Hackerangriff eines Cyberkriminellen im Internet veröffentlicht wurden.

50 Millionen Euro Strafe

Auch die Angaben der E-Mail-Adressen von Kunden oder User in einem für Dritte lesbaren offenen Verteiler, eine unzulässige Videoüberwachung von Kunden und Mitarbeitern oder die Verarbeitung der persönlichen Daten von ehemaligen Kunden wurde bereits bestraft.

Die bisher höchste Geldbuße hat Frankreichs nationale Datenschutzbehörde, die Commission Nationale de l'Informatique et des Libertés (CNIL) Anfang des Jahres gegen Google verhängt.

Das Unternehmen soll demnach 50 Millionen Euro zahlen, da es seine Nutzer nicht ausreichend transparent über die Nutzung der persönlichen Daten informieren würde und zudem keine wirksamen Nutzereinwilligungen für die Verarbeitung dieser Daten für Werbezwecke nachweisen könne. Der Internetkonzern wehrt sich gegen die Vorwürfe. Eine juristische Entscheidung steht noch aus.

Strenge Meldepflicht und bereits zahlreiche Meldungen

Es war und ist für viele Firmen eine umfassende personelle, organisatorische und technische Anstrengung, um den Anforderungen der DSGVO gerecht zu werden: Von der eventuell notwendigen Benennung eines Datenschutzbeauftragten, dem Führen eines Verzeichnisses von Verarbeitungs-Tätigkeiten, dem Einholen der Einverständniserklärung von Betroffenen, deren Daten verwaltet werden, bis hin zum Schutz der Daten vor Missbrauch. Unter anderem gibt es auch eine strenge Mitteilungspflicht an Datenschutzbehörden.

Stellt eine Firma fest, dass es zu einer Datenschutzverletzung bezüglich der vom Unternehmen verwalteten oder benutzten personenbezogenen Daten gekommen ist, die zum Nachteil für die betroffene Person führen können, muss die Firma dies binnen 72 Stunden dieser Behörde mitteilen. Laut einer repräsentativen Befragung haben bereits vier Prozent der rund 2,4 Millionen kleinen und mittelständischen Firmen (KMUs) hierzulande Behörden oder Kunden wegen möglicher Datenschutzverletzungen informiert.

Das heißt, jedes 25. KMU musste entsprechend handeln, weil Daten eventuell abhandenkamen oder von Dritten missbraucht wurden. Ein Datenverlust ist beispielsweise durch einen Spionage- oder Hackerangriff oder auch durch einen verlorenen oder gestohlenen Laptop oder USB-Stick möglich. Die Umfrage wurde im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) vom Marktforschungsinstitut Forsa bei 300 Entscheidern kleiner und mittelständischer Firmen durchgeführt. Sie ist laut GDV repräsentativ für 2,4 Millionen KMUs.

Noch nicht jedes Unternehmen hat die DSGVO umgesetzt

Die Umfrage belegt nach Ansicht des GDV aber auch, dass sich die IT-Sicherheit in Unternehmen durch die Einführung der DSGVO verbessert hat. So haben laut der Forsa-Umfrage die Hälfte der kleinen und mittelständischen Betriebe die Sicherheit ihrer IT verbessert. Weitere 17 Prozent haben ihre IT-Sicherheit geprüft und sie für die Einhaltung der aktuellen Datenschutzregelungen für ausreichend befunden.

Es gibt aber auch diverse kleine und mittlere Firmen, die die DSGVO nach eigenen Angaben noch nicht in ihrem Unternehmen umgesetzt haben. Darunter zählen 16 Prozent der mittelständischen Betriebe. Und rund jedes neunte kleinere Unternehmen mit unter zehn Mitarbeitern, nämlich elf Prozent, gaben an, dass sie zur DSGVO-Umsetzung noch keine konkreten Pläne hätten. Dass eine Untätigkeit beim Thema DSGVO riskant ist und extrem teuer werden kann, zeigen jedoch die genannten Geldbußen, die bereits verhängt wurden.

Achim Berg, Präsident Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom), betont: „Das Bewusstsein für Datenschutz ist auf allen Seiten höher. Das ist positiv ...“ „Problematisch für die Wirtschaft ist vor allem, dass die DSGVO keinen Unterschied zwischen einem globalen Konzern und einem Kiez-Handwerker macht. Tatsächlich profitieren große Anbieter sogar stärker von dem einheitlichen Rechtsrahmen als kleinere und mittlere Unternehmen, bei denen der Verwaltungsaufwand stärker zu Buche schlägt“, so Berg weiter.

Datenschutz-Anforderungen: Eine große Hürde beim IT-Einsatz

Eine laut Bitkom für die Gesamtwirtschaft repräsentative Umfrage der Bitkom Research unter 606 Firmen mit mehr als 20 Mitarbeitern ergab, dass fast drei Viertel der Unternehmen (74 Prozent) die „Datenschutz-Anforderungen als die größte Hürde beim Einsatz neuer Technologien“ sehen. Letztes Jahr erklärten dies bei einer entsprechenden Befragung nur 63 Prozent und im Jahr zuvor sogar nur 45 Prozent.

Details zu den Vorschriften der DSGVO enthält unter anderem der Webauftritt der Europäischen Kommission. Einen ersten Kurzüberblick zur Umsetzung der DSGVO sowie hilfreiche Links enthält der Webauftritt des Bundesministeriums für Wirtschaft und Energie (BMWi). Unter anderem wird hier auf die Webportale des Bundesministeriums des Innern, für Bau und Heimat und der Stiftung Datenschutz verwiesen. Letztere enthält unter anderem diverse Praxishilfen wie Checklisten und Mustervorlagen zur Umsetzung der DSGVO.

Zudem wird vom BMWi auch auf den Webauftritt des Bayerischen Landesamtes für Datenschutzaufsicht hingewiesen. Hier sind beispielsweise diverse branchenspezifische Leitfäden und auch Musterverzeichnisse von Verarbeitungs-Tätigkeiten für kleinere Betriebe zur DSGVO-Umsetzungen kostenlos downloadbar. Übrigens, laut GDV sind „durch die komplexen Regeln und die kurze Meldefrist gerade Mittelständler oft auf externe Hilfe wie den Anbieter einer Cyberversicherung angewiesen“.

Vereinbaren Sie noch heute Ihren Beratungstermin für Fragen rund um Versicherungen, Vorsorge und Risikomanagement!

Wenden Sie sich gerne an:
Dennis Müller, CRM
Tel.: +49 7131 949 362
dennis.mueller(at)dr-hoertkorn.de

Mehr News

Lesen Sie weiter...

Unsere Partner

Gemeinsam noch stärker

www.uniba-partners.com
www.bdvm.de
Seite drucken