Ab 25. Mai 2018 gilt in Deutschland wie in der gesamten Europäischen Union die Datenschutz-Grundverordnung (DS-GVO). Sie bringt für Unternehmen in Sachen Datenschutz einige Neuerungen mit sich. Doch längst nicht alle Unternehmen haben sich schon mit diesem Thema auseinandergesetzt. Drei von vier Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung. Nur ein Viertel (24 Prozent) der Unternehmen in Deutschland ist bis 25. Mai 2018 vollständig konform mit den neuen Regeln. Dieses Ergebnis präsentierte jetzt der IT-Branchenverband Bitkom. Es beruht auf einer repräsentativen, branchenübergreifenden Umfrage in Deutschland unter mehr als 500 Unternehmen mit mehr als 20 Mitarbeitern.
Dieses Umfrageergebnis lässt aufhorchen, bedenkt man, dass die Kleinunternehmen, wie viele Handwerksbetriebe, die in der Regel deutlich weniger Mitarbeiter beschäftigen, von dieser Umfrage gar nicht erfasst sind. Bei diesen Klein- und Kleinstunternehmen dürfte das Bild noch dramatischer ausfallen, denn vor allem im boomenden Handwerk hatten in den letzten Jahren die Betriebsinhaber nur wenig Zeit, dieses Thema auf die Tagesordnung zu setzen. Die Alltagsprobleme dieser Betriebe sind ganz andere.
Genau dieser Zeitaufwand ist auch das Problem der von Bitkom befragten Unternehmen. Zwei von drei Unternehmen (66 Prozent), die sich mit der DS-GVO auseinandergesetzt haben, sehen als größte Herausforderung bei der Umsetzung den schwer abschätzbaren Aufwand. Und sechs von zehn (58 Prozent) erwarten wegen der neuen Datenschutzregeln gar dauerhaft einen Mehraufwand, ein Drittel (32 Prozent) sogar deutlich mehr Aufwand. Aufwand, für den die meisten Betriebe bei der aktuellen Wirtschaftslage keine Zeit haben. Natürlich besteht für Betriebe auch die Möglichkeit, sich externer Datenschutzexperten zu bedienen, aber auch diese arbeiten nicht für lau. Und so entstehen den Betrieben Aufwand und Kosten, die sie zusätzlich belasten und die viele Betriebe nicht einpreisen können.
Darüber hinaus ist die Verordnung in vielen Punkten nicht eindeutig formuliert. Vage Formulierungen und unklare Bestimmungen lassen viele Betriebe ratlos zurück. Auch die juristische Sprache der Verordnung muss erst in alltagstaugliche Sprache und konkrete Handlungsweisen umgesetzt werden. Das bestätigt auch die Bitkom-Umfrage, in der mehr als die Hälfte (56 Prozent) der befragten Unternehmen Rechtsunsicherheit beklagen. Letztendlich fehlen Antworten auf einfache, aber konkrete Fragestellungen. So titelte welt.de in einem aktuell erschienen Artikel „WhatsApp wird zum teuren Risiko für Handwerker“. Doch nur wenige Handwerker sind sich dessen bewusst, wenn sie WhatsApp als betriebliches Kommunikationsmittel nutzen. Die digitale Welt ist kompliziert und kann von den Anwendern in der Regel nicht vollständig durchblickt werden. Hier zeigt sich ein grundlegendes Problem. Die Übergangsfrist von zwei Jahren wurde nicht nur von Unternehmen zu wenig genutzt, auch von behördlicher Seite oder von Berufsverbänden fehlt es an konkreten, praktischen Hilfestellungen vor allem für Klein- und Kleinstunternehmen.
Gleichzeitig hängt aber das Damoklesschwert „Sanktionen“ über den Betrieben. Verschärfte Sanktionen haben in der DS-GVO Einzug gehalten und halten die Betriebe in Atem. Laut Bitkom-Umfrage plädieren vier von zehn befragten Unternehmen (41 Prozent) für eine verlängerte Schonfrist nach dem 25. Mai, bei der mögliche Sanktionen ausgesetzt würden. Die Hälfte (49 Prozent) wünscht sich, dass die Aufsichtsbehörde bei Verstößen zunächst nur zu Nachbesserungen auffordern sollte. Hier könnte Österreich als Vorbild dienen. Wie heise.de berichtete, wurde dort quasi in letzter Minute den Sanktionen der Zahn gezogen. So soll es in Österreich dem Bericht zufolge Strafe in aller Regel nur für Wiederholungstäter geben, und selbst hiervon sind wohl Ausnahmen vorgesehen. In Deutschland ticken die Uhren aber anders. Die Bundesregierung plant „keine kurzfristigen Änderungen“, wie Regierungssprecher Steffen Seibert der Presse vor wenigen Tagen mitteilte. Die Regierung will aber genau hinschauen „wie die Vorschriften in der Praxis angewandt werden, wie die Verbraucher, die Wirtschaftsunternehmen, die Behörden und die Verbände damit zurechtkommen und welche Belastungen möglicherweise entstehen.“
Die Datenschutz-Grundverordnung will für einen einheitlichen Datenschutz in allen EU-Ländern sorgen. Das sollte natürlich die Gleichbehandlung aller Unternehmen einschließen. Bleibt zu hoffen, dass genau das am Ende auch gelingt.