365 Tage DSGVO

Ein guter Grund also, schnell auf Kundenfragen zu ihren Daten zu reagieren und auf Wunsch die Daten zu korrigieren, ganz zu löschen oder ihre Nutzung zu verändern. Weil sich derartige Anforderungen aber ohne eine gute Customer Relation Management-Software (CRM) gar nicht so leicht erfüllen lassen, war die Angst vor Abmahnwellen bei den deutschen Unternehmen riesig.

Wer seine Kundendaten mit Excel & Co. pflegt, fängt bei einer entsprechenden Anfrage nämlich hektisch an zu suchen: In welchen Listen liegen überhaupt Daten dieses Kunden? Wo sind die? Und wer hat darauf Zugriff? Je nach Umfang des Kundenstamms ist die einmonatige Auskunfts- beziehungsweise Löschfrist abgelaufen, bevor alle Dokumente zusammengesammelt sind.

cobra, ein Hersteller von CRM-Software hat bereits zweimal bei den deutschen Unternehmen nachgefragt, wie weit sie mit der Umsetzung der DSGVO sind: einmal im Frühjahr 2018 – also kurz vor dem tatsächlichen Inkrafttreten. Und einmal im Januar 2019 als eigentlich alles funktionieren müsste – rein theoretisch zumindest. Außerdem hat der Digitalverband Bitkom im September 2018 ebenfalls nachgefragt, wie es denn mit der Umsetzung aussieht und woran es hapert.

Die Ergebnisse der Bitkom-Studie vom September und der cobra-Umfrage aus dem Januar sind sich sehr ähnlich. Zusammengefasst lässt sich sagen: Auch nach einem Jahr erfüllen maximal ein Viertel der Betriebe die Anforderungen.

Laut der cobra-Erhebung sind nur 19,61 Prozent der befragten Unternehmen der Meinung, dass sie die DSGVO-Vorgaben bereits vollständig einhalten. Bei der Bitkom-Befragung gaben 24 Prozent der Unternehmen an, die Umsetzung bereits komplett abgeschlossen zu haben. cobra hat vor allem mittelständische Unternehmen befragt, was die Abweichung erklären könnte.

Zum einen hapert es an der richtigen Software: Nur 39,22 Prozent der IT-Systeme der Befragten erfüllen demnach die Pflichtanforderungen. Außerdem zeigt die cobra-Umfrage, dass es auch am notwendigen Wissen fehlt, was erlaubt ist und was nicht. Über 35 Prozent der befragten Unternehmen gaben im Januar immer noch an, „keine Erkenntnisse“ oder nur „einige Kenntnisse“ zu haben. Vier Prozent sagten, sie hätten „gar keine Kenntnisse“ zum Thema Datenschutz.

Das kann für die Unternehmen teuer werden. Denn die Betroffenen interessieren sich sehr wohl für das Thema, wie es beim Digitalverband Bitkom heißt.  "Das Bewusstsein für Datenschutz ist auf allen Seiten höher", so Verbandspräsident Achim Berg anlässlich des DSGVO-Jahrestags.

Allerdings sind die Verbraucher eher pessimistisch gestimmt, was die Umsetzung des Datenschutzes angeht. Das zeigt eine Umfrage des Meinungsforschungsinstituts Civey unter 5.094 bevölkerungsrepräsentativ ausgewählten Teilnehmern. Demnach fühlen sich nur 16,3 Prozent der Befragten besser vor Datenmissbrauch geschützt, seitdem die DSGVO umgesetzt wird. Rund 70 Prozent sagen, sie haben nicht den Eindruck, dass personenbezogenen Daten im Internet nun sicher sind. Auch das Vertrauen in Konzerne wie Google, Facebook und Apple ist gering: Etwa 80 Prozent der Deutschen halten deren Datenschutz-Versprechen für unglaubwürdig.

Bei den deutschen Unternehmen schauen die Verbraucher jedoch genauer hin, wie Jan Morgenstern, Fachanwalt für IT-Recht, sagt: „Ich beobachte, dass die Auskunftsansprüche und auch die Löschbegehren zunehmen.“

Ganze 37.148 Beschwerden wegen DSGVO-Verstößen haben die Deutschen im vergangenen Jahr bei den zuständigen Behörden eingelegt. Das geht aus dem Tätigkeitsbericht des Bundesdatenschutzbeauftragten Ulrich Kelber hervor. Geldstrafen verhängten die Behörden allerdings bisher nur in 75 Fällen. Die meisten Verfahren leitete Nordrhein-Westfalen ein: Unter anderem für den unerlaubten Einsatz von Dashcams.

Die erste richtig große Strafe auf Basis der DSGVO ist übrigens im Januar von der französischen Datenschutzbehörde gegen Google ausgesprochen wurden. Die CNIL verlangt rund 50 Millionen Euro von dem Konzern. Google ist in Berufung gegangen, das Urteil steht noch aus.

Dagegen sind die bisher in Deutschland verhängten Bußgelder Peanuts. „Hier geht es nicht um die zen bis 20 Millionen Euro Bußgeld, sondern ein paar Hundert bis ein paar Tausend Euro als Risiko für diese Verfehlung“, sagt Morgenstern. Die Fälle in NRW beispielsweise wurden mit 250 mit 600 Euro bestraft, die Betreiber des Chatportals knuddels.de mussten 20.000 Euro zahlen, weil sie Nutzerdaten unverschlüsselt abgelegt hatten. Hacker hatten diese erbeutet und veröffentlicht.

Eine Berliner Bank, die ohne Erlaubnis personenbezogene Daten verarbeitet hatte, wurde mit 50.000 Euro zur Kasse gebeten. Und als Gesundheitsdaten von Verbrauchern im Netz aufgetaucht waren, verdonnerte das Datenschutzbüro Baden-Württemberg die Verantwortlichen zu 80.000 Euro Strafe.

„Geldbußen werden von der Aufsichtsbehörde verhängt. Das ist wie eine Geldbuße, die man für zu schnelles Fahren erhält“, erklärt Anwalt Morgenstern. Das Geld bekommt letzten Endes die Staats- oder Landeskasse. „Das ist der Unterschied zu einem wettbewerbsrechtlichen Verfahren, bei dem der Wettbewerber Z grundsätzlich dazu berechtigt wäre, Unterlassungsansprüche gegen Unternehmen X geltend zu machen.“ In einem solchen Fall ginge das Geld an den Geschädigten – nämlich das Unternehmen, das sich korrekt verhalten hat und deshalb das Nachsehen hatte.

Trotzdem sollten die Unternehmen in Deutschland die DSGVO nicht auf die leichte Schulter nehmen. Schließlich leiden durch Verstöße nicht nur das Konto, sondern auch das Image.

Entsprechend alarmierend ist es, dass laut der cobra-Umfrage 20 Prozent der Unternehmen davon ausgehen, dass sie die Datenschutzrichtlinien auch Ende 2019 nicht erfüllen werden. „Der Einsatz eines gut strukturierten und datenschutzkonformen CRM-Systems, in dem man insbesondere die Auskunftsansprüche in einer zentralen Datenbank zusammenträgt, könnte hier eine große Unterstützung sein“, sagt Morgenstern. Dummerweise wollen sich mehr als 40 Prozent der Befragten, die die DSGVO noch nicht umgesetzt haben, keine Hilfe holen. Entsprechend dürfte die Zahl der Klagen und verhängten Bußgelder auch 2019 weiter steigen. Die Haushaltskassen der Länder freut’s.