Unternehmen fehlen Datenschutz-Experten

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung der EU (EU-DSGVO) in Kraft. Dennoch haben über die Hälfte (56 Prozent) der deutschen Unternehmen keine Stellen für entsprechende Fachkräfte eingeplant.

Einer Studie des Digitalverbandes Bitkom zufolge investiert lediglich jedes vierte Unternehmen (27 Prozent) in einen Experten für Datenschutz in Vollzeit. "Der Arbeitsaufwand bei der Umsetzung der Datenschutzgrundverordnung ist enorm, gleichzeitig suchen Unternehmen händeringend nach passenden Fachkräften", sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit. Eine Vollzeitstelle für gleich mehrere Datenschutz-Experten haben 14 Prozent vorgesehen.

Die zweijährige Umsetzungsfrist für die DSGVO endet bald. Verstoßen Unternehmen nach dem Stichtag gegen die vorgegebenen Grundsätze, kann es schnell teuer werden. Die Strafen können im Extremfall entweder 20 Millionen Euro oder vier Prozent des weltweiten Gesamtumsatzes ausmachen. Zwar wird die Höchststrafe vermutlich nicht in allen Fällen voll ausgeschöpft, möglich ist dies aber allemal.

Unternehmen müssen im Zusammenhang mit der DSGVO vor allem ein Verarbeitungsverzeichnis für personenbezogene Daten anlegen. Im Falle einer System-Kompromittierung ist dieses lückenlos vorzulegen. Unternehmen müssen zudem ihre Prozesse in der Produktentwicklung anzupassen. Ferner haben Kunden das Recht Informationen bezüglich der über sie gespeicherten Daten einzufordern.

Für die Studie wurden 507 für den Datenschutz verantwortliche Personen (betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland befragt.

In naher Zukunft will die EU zudem über die Neuregelung der sogenannten E-Privacy-Verordnung entscheiden. Ziel davon sei es einerseits, die Vertraulichkeit der Kommunikation zu schützen. Andererseits geht es dabei um zusätzliche Datenschutzvorschriften. Diese betreffen dann insbesondere die Verarbeitungs- und Speicherfunktion in PCs, Tablets oder Smartphones, die von der DSGVO nicht erfasst werden.

Konkret geht es um die Anwendung vom Cookies auf Webseiten sowie elektronischer Kommunikationsdienste. Außerdem betroffen sind "Over-the-top-Anbieter" wie Facebook, Skype oder WhatsApp. Bei der Verwendung von Cookies muss der Nutzer gemäß der neuen E-Privacy-Verordnung der Verarbeitung der Daten ausdrücklich zustimmen. Ausnahmen gelten nur dann, wenn ein Eingriff in die Privatsphäre der Nutzer nicht oder nur in geringem Maße zu befürchten ist. Zwar bedarf es für diese Einwilligung keiner bestimmten Form, diese ist jedoch nachweisbar zu dokumentieren. Ferner muss der Nutzer die Möglichkeit haben, seine Einwilligung jederzeit zu widerrufen.

"Künftige Innovationen werden durch die E-Privacy-Verordnung bedroht", kritisiert Dehmel. Damit würde die inzwischen geschaffene Balance zwischen dem Schutz der Privatsphäre und den neuen Technologien wieder zunichte gemacht. "Was die Datenschutzgrundverordnung erlaubt, darf die E-Privacy-Vorschrift nicht wieder zurückdrehen", so Dehmel weiter. Außerdem würde die E-Privacy-Vorschrift auch die Vorgänge erfassen, die keine Verarbeitung von personenbezogenen Daten vorsehen.

Das Problematische an der Neuregelung der E-Privacy-Verordnung ist, dass sie die größtenteils recht klar formulierten Vorschriften der DSGVO aufweichen kann. Die DSGVO etwa soll den Nutzer unter anderem vor unaufgeforderter E-Mail-Werbung schützen. Die E-Privacy-Vorschrift hingegen erlaubt diese, wenn bestimmte Voraussetzungen erfüllt werden. Konkret verabschiedet sind derzeit nur die Grundsätze der DSGVO, über die E-Privacy-Vorschriften muss erst noch entschieden werden. Vor einer endgültigen Verabschiedung sollte die EU dringend bestehende Unklarheiten und Widersprüche beseitigen.