DSGVO: Es kann teuer werden, aber Bußgelder sind nicht alles

Inzwischen sollten es so ziemlich alle wissen: Laut EU-Datenschutz-Grundverordnung (DSGVO/GDPR), die ab 25. Mai 2018 wirksam wird, drohen bei Datenschutzverstößen hohe Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes beziehungsweise von bis zu 20 Millionen Euro.

Je nachdem, welcher Betrag höher ist. Das Datum rückt näher und auf Unternehmen wächst der Druck, die sichere Verarbeitung ihrer EU-Kundendaten zu gewährleisten. Daneben gibt es aber noch andere bedenkenswerte Aspekte. So führt die Nichteinhaltung der Verordnung potenziell zu Imageschäden, Geschäftsverlusten oder Rechtsstreitigkeiten mit Kunden. Zudem hegen Unternehmen die Befürchtung, dass die zur DSGVO nötigen Maßnahmen sich negativ auf die Geschäftsprozesse auswirken könnten. 

Anzeige

Vor diesem Hintergrund ist es umso bedenklicher, dass zum Zeitpunkt der Befragung im Durchschnitt zwei von fünf Unternehmen (39 %) davon ausgehen, die Frist für die Umsetzung der DSGVO im Mai 2018 nicht einhalten zu können. 44 % sind es unter den in Deutschland befragten Unternehmen. Hinter diesem Befund steckt möglicherweise mehr als auf den ersten Blick ersichtlich ist.

Die Strafen

Werfen wir zunächst einen Blick auf die in der EU-Datenschutz-Grundverordnung festgelegten Sanktionen wie sie in Artikel 83 und Artikel 84 beschrieben sind. In welchem Maß strafrechtliche Konsequenzen oder sogar Haft gegen Mitarbeiter, Datenschutzbeauftragte und Geschäftsführer wirksam werden, sollen die einzelnen Mitgliedsstaaten hingegen selbst festschreiben.

Bei den Bußgeldern wird zukünftig der Begriff des „Unternehmens“ zugrunde gelegt – anders als noch im Bundesdatenschutzgesetz – und zwar im Sinne der Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV): „Ein Unternehmen ist jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen i.S.e. Rechtssubjekts, sondern aus mehreren, natürlichen oder juristischen Personen bestehen.“

Anzeige

Der entscheidende Unterschied liegt also darin, dass hier nicht mehr einzelne juristische Personen in die Verantwortung genommen werden, sondern das Unternehmen als wirtschaftliche Einheit. Damit kann ein ganzer Konzern als wirtschaftliche Einheit betrachtet werden, was die teilweise astronomisch anmutenden Summen bei potenziellen Bußgeldern auf der Basis der errechneten Umsätze erklärt. Vornehmlich sollen die Sanktionen, so zumindest der Plan des Gesetzgebers, von Datenschutzverletzungen abhalten, aber auch das Unrechtsbewusstsein schärfen. Zudem sollen sie – so Artikel 84 – wirksam, verhältnismäßig und abschreckend sein.

Interessanterweise glaubt allerdings einer von fünf Befragten und 24 % der in Deutschland Befragten nicht, dass die DSGVO die Zahl der Datensicherheitsvorfälle verringern wird. Manche befürchten sogar eine Zunahme der Datenschutzvorfälle.

Und Bußgelder sind längst nicht alles

Neben den Strafen hegen Unternehmen im Wesentlichen drei weitere grundlegende Befürchtungen. Zum einen fürchten sie, dass sich der ohnehin hohe administrative Aufwand insbesondere für den Datenschutz durch die Compliance-Anforderungen der DSGVO noch erhöht. In Zeiten eines verschärften globalisierten Wettbewerbs fürchten Firmen zudem um ihre Innovationskraft, ebenso erwarten die Befragten zukünftig Schwierigkeiten, wenn sie mit internationalen Partnern zusammenarbeiten. In Zahlen ausgedrückt heißt das: Im Durchschnitt befürchten 57 % der Unternehmen, dass die Umsetzung von Maßnahmen zur Einhaltung der DSGVO den Geschäftsalltag komplexer und bürokratischer machen wird. In Deutschland denken das mit 49 % immerhin noch knapp die Hälfte der Befragten.

Und ebenfalls knapp die Hälfte der Befragten (47 %) befürchtet, dass die DSGVO Innovationen bis zu einem gewissen Grad behindern wird. In Deutschland hat sich dazu beispielsweise die Vereinigung der bayerischen Wirtschaft geäußert (vbw). Sie sieht in der Verordnung ein Innovationshemmnis und fordert im Gegenzug einen praxisorientierten Datenschutzansatz. Der Hauptgeschäftsführer der Vereinigung Bertram Brossardt ließ sich im Februar dieses Jahres auf der Tagung „Neue Entwicklungen im Datenschutzrecht“ zitieren: „Wir brauchen einen praxisgerechten und anwenderfreundlichen Datenschutz, der den Innovationsstandort Deutschland und Bayern nicht gefährdet, sondern voranbringt. (…) „Daten sind der ‚Rohstoff der Zukunft‘ in der digitalen Wirtschaft. Je digitaler unsere Welt wird, desto mehr Daten werden erhoben und verarbeitet – sie ermöglichen neue Produkte und Geschäftsmodelle“.

Auch auf dem kürzlich abgehaltenen Jahreskongress der deutschsprachigen SAP-Anwendergruppe (DSAG) konnte man ähnliche Töne vernehmen. Unternehmen fürchten bei der Umsetzung sowohl rechtliche wie auch wirtschaftliche Nachteile und sind deshalb trotz des drohenden Fristablaufs zurückhaltend die nötigen Maßnahmen umzusetzen. Ähnliche Skepsis herrscht was die potenziell negativen Auswirkungen auf die Beziehung zu internationalen Partnern angeht. Hier schwant einem von fünf Befragten nichts Gutes, 15 % der deutschen Unternehmen erwarten, dass die DSGVO sich nachteilig auf ihre internationalen Geschäftsbeziehungen auswirkt.

Die erst kürzlich bekannt gemachte Datenschutzverletzung bei Uber zieht jedenfalls schon jetzt weitreichende Konsequenzen nach sich. So hat die Artikel-29 Gruppe der EU-Datenschutzbeauftragten, als Folge der Datenschutzverletzung bei der die Daten von 57 Millionen Uber-Kunden und Mitarbeitern betroffen sind, eine eigene Projektgruppe ins Leben gerufen, die den Fall prüfen soll.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die Kosten

Stark vereinfachend gibt es hinsichtlich der DSGVO zwei grundlegende Arten von Kosten, fixe und variable. Das sind zum einen die Kosten mit denen Unternehmen beim Umsetzen der Anforderungen rechnen müssen. Dazu gehören beispielsweise die Aufwendungen eines Unternehmens für ein Audit seiner PII-Daten. Das sind alle die Daten, anhand derer man eine Person einwandfrei identifizieren kann (Persönlich identifizierbare Informationen = PII). Davon sind nicht nur sensible Daten betroffen, sondern auch solche, die unverschlüsselt übertragen werden dürfen, ohne dass der jeweiligen Person ein Schaden zugefügt wird. Solche Daten sind etwa in öffentliche Aufzeichnungen, Telefonbüchern, Verzeichnissen oder Webseiten enthalten und lassen sich entsprechend einfach in Erfahrung bringen. Sensible PII-Daten sind solche, deren Veröffentlichung bei einer Datenschutzverletzung der betroffenen Person schaden könnte. Klassische Beispiele sind finanzielle Informationen, medizinische Aufzeichnungen, biometrische Daten, Pass- und Sozialversicherungsnummern.

Zudem verursachen alle Arten von notwendig werdenden Assessments Kosten. Und das gilt nicht zuletzt für den administrativen und operationalen Aufwand, der mit der Benennung und Etablierung eines Datenschutzbeauftragten verbunden ist. Ebenso wie ein Berichtswesen, das sicherstellt, die individuellen Verbraucherrechtsanforderungen und Nachweispflichten zu gewährleisten. Alles Anforderungen, denen eine Firma im Rahmen der DSGVO Folge leisten muss.

In der Tat waren und sind es insbesondere die variablen Kosten – nämlich die eingangs erwähnten in ihrer Höhe kaum zu kalkulierenden Bußgelder, die Gegenstand einer regelrechten Panikmache geworden sind. Zu den Folgekosten gehören aber weit mehr als die direkt assoziierten Strafen. Gemeint sind Folgekosten durch entgangene Geschäfte und einen eventuell entstandenen Rufschaden. Es liegt also nahe, die Folgekosten eines Datenschutzvorfalls soweit wie möglich zu verringern, wenn wie hier die variablen Kosten derart unkalkulierbar sind.

Fazit

Die Frist für die Umsetzung der DSGVO rückt näher. Kanzleien und Organisationen intensivieren ihr Engagement für die Rechte der Verbraucher. Es ist also nicht ganz unwahrscheinlich, dass tatsächlich verschiedene juristische Probleme auf Unternehmen zukommen und die Öffentlichkeit über Datenschutzverletzungen eher Bescheid weiß als jemals zuvor. Es bleibt abzuwarten, ob die Bedenken bezüglich der erwarteten negativen Auswirkungen der DSGVO auf Geschäftsprozesse, Innovationen und internationale Beziehungen berechtigt sind.

Die EU-Datenschutz-Grundverordnung ist eine gesetzliche Neuerung, die Unternehmen in die Pflicht nimmt, aber sie ist auch eine große Chance, den Datenschutz als Wettbewerbsvorteil zu erkennen und ihn nicht nur als Kostenfaktor oder Innovationshemmnis zu betrachten. Und mehr noch, den Datenschutz anhand der DSGVO-Compliance in der eigenen Unternehmenskultur stärker als bisher zu verankern. 

Methodik:

Für die von Thales eSecurity in Auftrag gegebene Studie wurden 2.000 Verbraucher in Deutschland und im Vereinigten Königreich (jeweils 1.000 pro Land) und 1.500 Führungskräfte aus dem oberen Management in Deutschland, den USA und dem Vereinigten Königreich (jeweils 500 pro Land) befragt. Die Studie wurde im August 2017 von dem internationalen Marktforschungsunternehmen Censuswide online durchgeführt. 

Weitere Informationen:

Der vollständige Report von Thales eSecurity mit weiteren Daten steht Ihnen hier zum Herunterladen zur Verfügung. 

Kai Zobel
Kai Zobel, Regional Director Thales eSecurity

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.