The Legal 500

Twitter Logo Youtube Circle Icon LinkedIn Icon

KPMG Law Germany

THEODOR-HEUSS-STRASSE 5, 70174 STUTTGART, GERMANY
Tel:
Work +49 711 781923 400
Fax:
Fax +49 711 781923 455
Email:
Web:
www.kpmg-law.com

Mathias Oberndörfer, Geschäftsführer

DSGVO-Studie: Es gibt noch viel zu tun

Stichtag war der 25. Mai: Die DSGVO trat in Kraft und stellt nun neue Anforderungen an Transparenz und Dokumentation im Datenschutz. Deutsche Unternehmen sollten die nötigen Weichen also schon gestellt haben. Doch eine aktuelle Studie von The Legal 500 und KPMG Law zeichnet ein anderes Bild.

Gut die Hälfte der befragten 450 Leiter Recht in Unternehmen geben an, dass ihr Unternehmen noch nicht ausreichend vorbereitet ist, um den Anforderungen der DSGVO zu genügen. Dabei macht die DSGVO keine Ausnahmen: Sie gilt für alle Unternehmen unabhängig von der Größe oder Branche. Die Aufsichtsbehörden haben auch keinen Ermessensspielraum, ob sie einem möglichen Verstoß nachgehen oder ihn als Bagatellfall einstufen möchten. Wenn sie von einer Datenschutzverletzung Kenntnis erlangen, müssen sie ein Ordnungsmittelverfahren einleiten.

Die Behörden dürften darüber hinaus auch selbst aktive Nachforschungen anstellen, um die Unternehmen mit Nachdruck zur Umsetzung der DSGVO anzuhalten. Sehen die Unternehmen nämlich, dass Verstöße keine Folgen nach sich ziehen, so dürften die meisten von ihnen in ihren Datenschutzbemühungen wieder nachlassen. Dass der Gesetzgeber dies nicht mehr hinzunehmen bereit ist, hat er mit dem neuen Sanktionsregime der DSGVO mehr als deutlich gemacht.

Anforderungen für viele Unternehmen schwer zu erfüllen

Die Befragten machen in der Studie auch Angaben dazu, warum die DSGVO schwer umzusetzen ist. Die wichtigsten Gründe:

  • Viele Maßnahmen der Verordnung müssen im gesamten Unternehmen umgesetzt werden, nicht allein in einer einzelnen Abteilung, etwa der IT- oder Rechtsabteilung. Diese Kooperation zwischen den Abteilungen ist nicht in allen Unternehmen geübt und tägliche Praxis.
  • Insbesondere die Rechtsabteilung muss eng mit allen anderen Unternehmensbereichen zusammenarbeiten, will sie die Anforderungen der DSGVO erfüllen.
  • Die Vorschriften der DSGVO sind in Form von Prinzipien formuliert und lassen Spielraum für Interpretationen. Solange die Rechtsprechung diese Prinzipien noch nicht weiter konkretisiert hat, ist ihre Implementierung schwierig.
  • Die Verordnung setzt ein umfassendes Verständnis und eine komplette Kontrolle der IT-Systeme, Prozesse und Datenverarbeitungstätigkeiten im Unternehmen voraus. In vielen Unternehmen ist aber nicht bekannt, welche Prozesse gerade in den älteren Schichten der IT-Architektur ablaufen.

Kopf-in-den-Sand ist keine Option

Auch wenn die Herausforderungen groß sind, Untätigkeit ist keine Option. Die DSGVO droht mit Strafen, die Unternehmen empfindlich treffen können. Gerade in der Anfangszeit, also vor Etablierung einer konsistenten Rechtsprechung, ist schwer abzuschätzen, bis zu welchem Niveau Behörden und Gerichte diesen Rahmen ausschöpfen werden. Zu bedenken ist auch, dass nicht nur empfindliche Geldbußen Unternehmen hart treffen können. Die Behörden sind gegebenenfalls auch befugt, unrechtmäßige Verarbeitungen zu untersagen und damit ganze Prozesse im Unternehmen empfindlich zu stören.

Die Anpassung an die Anforderungen der DSGVO kann kein Unternehmen vermeiden, sondern höchstens hinauszögern, und auch das voraussichtlich nur zu einem hohen Preis. Der Aufwand dürfte vor diesem Hintergrund eine sinnvolle Investition darstellen – sowohl um dem Gesetz Genüge zu tun als auch um eine Sensibilisierung im Umgang mit Daten im Unternehmen, bei Mitarbeitern, Kunden und den Geschäftspartnern zu schaffen.

Co-Publishing weltweit

Rechtsentwicklungen und Neuigkeiten der führenden Anwälte in verschiedenen Jurisdiktionen. Für Beitrüge schicken Sie bitte eine Anfrage per Email an