Datenschutz: Unternehmen unterschätzen finanzielles Risiko
Schätzungsweise 90 Prozent der deutschen Unternehmen besitzen noch kein angemessenes Datenschutz-Managementsystem. Doch der aktuelle Entwurf der EU-Datenschutzverordnung will die Effektivität der Schutzfunktion deutlich erhöhen. Das könnte für die Gesellschaften saftige Geldstrafen nach sich ziehen.
Unternehmen, die diese datenschutzrechtlichen Vorgaben nur halbherzig umsetzen, gehen jetzt ein großes Risiko ein. Denn der Entwurf sieht erstmals harte Geldstrafen in Höhe von bis zu zwei Prozent des weltweiten Umsatzes vor. Daher sollten Firmen schnellstmöglich ein Datenschutz-Management aufbauen. Das ist das Ergebnis einer Expertenanalyse von Steria Mummert Consulting.
Anzeige
Der Entwurf der EU-Kommission zur Datenschutzverordnung wurde bisher in der Öffentlichkeit überwiegend aus Sicht der Verbraucher diskutiert. Vor dem Hintergrund wachsender Bedenken gegen die Sammlung personenbezogener Daten durch soziale Netzwerke erscheint die Verordnung als notwendige politische Maßnahme, um der missbräuchlichen Nutzung dieser Daten entgegenzuwirken. Für die Mehrzahl der Unternehmen ist jedoch besonders relevant, dass die Kommission die Effektivität des Datenschutzes künftig erheblich steigern möchte. Bisher gaben sich viele Firmen damit zufrieden, eine Datenschutzerklärung in den Webauftritt zu integrieren, Passagen zum Datenschutz in Vertragstexte aufzunehmen und ab einer bestimmten Unternehmensgröße einen Datenschutzbeauftragten zu benennen. Weder Verbraucherbeschwerden noch die drohenden Sanktionen bei Verstößen ließen es wirtschaftlich erscheinen, darüber hinausgehende Maßnahmen zu ergreifen.
„Dieser eher reaktive Umgang mit dem Thema Datenschutz erweist sich mit Inkrafttreten der neuen Verordnung als riskant. Unabhängig davon, ob der Entwurf in einzelnen Punkten noch geändert wird, ist deutlich, dass die Datenschutzvorgaben künftig mittels harter Sanktionen durchgesetzt werden“, sagt Markus Katz von Steria Mummert Consulting. Der aktuelle Entwurf sieht erstmals Geldbußen vor, die proportional zum weltweiten Umsatz eines Unternehmens festgelegt werden. 0,5 Prozent werden fällig, wenn das Unternehmen den Betroffenen zum Beispiel nicht unverzüglich antwortet, ein Prozent Strafe droht zum Beispiel bei nicht rechtzeitiger Datenlöschung und zwei Prozent vom weltweiten Umsatz können verhängt werden, wenn eine Firma personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet.
„Zur Vermeidung der teilweise für die Geschäftsleitung unbekannten Risiken müssen Unternehmen ein angemessenes Datenschutz-Managementsystem betreiben“, sagt Stefan Beck, Datenschutzexperte bei Steria Mummert Consulting. „Dazu ist es erforderlich, mindestens die existierenden Vorgaben zu kennen, zu analysieren und aus ihnen geeignete Maßnahmen abzuleiten. Es bedeutet auch, Datenschutzprozesse aktiv zu gestalten. Denn lediglich reaktive Maßnahmen vorzunehmen ist unbequem und mit einem hohen Aufwand verbunden. Unternehmen, die diese Aufgabe erfolgreich umsetzen, steigern dauerhaft ihre Effizienz und gehen zugleich wesentlich weniger Risiken ein.“
Anzeige
Die im Entwurf vorliegende EU-Datenschutz-Grundverordnung wird umgehend nach ihrer Verabschiedung wirksam und gewährt dann keinerlei zeitlichen oder inhaltlichen Spielraum. Aufgrund des stetig steigenden Interesses der Öffentlichkeit an Datenschutz ist mit einem weiteren Anstieg der Beschwerden bei den Aufsichtsbehörden zu rechnen.