Seit dem 25. Mai müssen Unternehmen in der Lage sein, personenbezogene Daten unverzüglich zu löschen. Dies schreibt die EU-Datenschutzgrundverordnung (DSGVO) vor. Doch ob Unternehmen dieser Pflicht fristgerecht nachkommen können, ist fraglich. Denn sie verfügen meist über vielschichtige Systemlandschaften und gewachsene Inselsysteme, in denen Verbraucherdaten liegen. So müssen fast zwei Drittel (63 Prozent) der befragten Unternehmen mehr als sechs IT-Systeme durchsuchen, um eine Auskunfts- und/oder Lo?schanforderung auf Grundlage der EU-DSGVO zu bearbeiten. Gleichzeitig erfolgt die Suche und Recherche bei mehr als jedem zweiten Teilnehmer (57 Prozent) manuell und in jedem einzelnen System. Lediglich zwei Prozent verfügen über einen automatisierten Prozess. Dies sind Ergebnisse einer aktuellen Umfrage unter mehr als 100 Entscheidern in mittleren und großen Unternehmen im deutschsprachigen Raum zur DSGVO-Readiness. Die Umfrage wurde von, einem spezialisierten Anbieter von Lösungen für das Kundendatenmanagement, durchgeführt.
Wildwuchs in der IT verhindert schnelle Beantwortung von Verbraucheranfragen
Durch die DSGVO will die EU die Rechte für Bürger an den eigenen, personenbezogenen Daten stärken. So müssen Unternehmen dem Verbraucher auf Anfrage unverzüglich, oder aber spätestens innerhalb eines Monats mitteilen, welche personenbezogenen Daten es über den Verbraucher gespeichert hat und zu welchem Zweck. Doch bei vielen Unternehmen werden personenbezogene Daten über die ganze Organisation verteilt verwaltet. Dies fängt damit an, dass Verbraucherinformationen in verschiedenen IT-Systemen gespeichert sind wie etwa Customer-Relationship- und Enterprise-Ressource-Planning-Lösungen, Helpdesk-Ticketsysteme oder Marketing-Automation-Software. So geben 44 Prozent der Befragten an, dass sie sechs bis zehn verschiedene Systeme durchsuchen müssen, in denen EU-DSGVO-relevante, personenbezogene Daten gespeichert sind. Mehr als jedes zehnte Unternehmen (zwölf Prozent) muss sogar zwischen 21 und 50 Systeme durchsuchen.
Hoher organisatorischer Aufwand: Personenbezogene Daten müssen manuell zusammengetragen werden
Gleichzeitig gibt jeder dritte Befragte an, durchschnittlich mehr als fünf Minuten zu benötigen, um in einem System alle relevanten personenbezogenen Daten zu einer Verbraucheranfrage zu identifizieren. Fast jeder vierte (23 Prozent) Befragte kann den Aufwand gar nicht erst abschätzen. Dies stellt Unternehmen vor große zeitliche und damit auch personelle Herausforderungen, rechnen sie die benötigte Suchdauer auf die Anzahl der IT-Systeme hoch. Eine Auskunft oder das Löschen „auf Knopfdruck“ ist in den meisten Unternehmen nicht möglich. Roland Pfeiffer, CEO von Uniserv, ordnet die Ergebnisse ein: „Erhält ein Unternehmen beispielsweise pro Monat 500 Anfragen auf Löschung oder Datenauskunft – und muss dazu durchschnittlich zehn Datenbanken oder Systeme durchsuchen, was pro System rund sechs Minuten in Anspruch nimmt, sprechen wir hier von einem Zeitaufwand von rund 500 Arbeitsstunden pro Monat.“
Hinzu kommt, dass bei fast der Hälfte der befragten Unternehmen (43 Prozent) die Verantwortung fu?r das Bearbeiten von EU-DSGVO-relevanten Anfragen beim Datenschutzbeauftragten liegt; bei weiteren 16 Prozent bei der Geschäftsleitung. Dies dürfte eine weitere deutliche zeitliche Verzögerung mit sich bringen. Darüber hinaus ist es bei 36 Prozent der Unternehmen weder klar noch überschneidungsfrei geregelt, wer für die Beantwortung von Auskunftsanfragen verantwortlich ist.
Keine Angst vor Strafe: Unternehmen mangelt es an Risikobewusstsein
In der Konsequenz sieht sich laut der Uniserv-Umfrage nur jedes fünfte Unternehmen umfassend gerüstet, die EU-DSGVO voll einhalten zu können. Jedes dritte Unternehmen (33 Prozent) stuft sich selbst als noch nicht „EU-DSGVO-ready“ ein. Doch seit dem 25. Mai ist die zweijährige Übergangsfrist abgelaufen und es drohen hohe Strafzahlungen. 30 Prozent der Befragten sind immer noch dabei, ihre Datenschutzprozesse und -verfahren auf EU-DSGVO-Compliance zu prüfen – und stecken somit erst in der Anfangsphase der Umsetzung. Gleichzeitig glauben 47 Prozent der Unternehmen, dass die DSGVO nur geringe oder gar keine Auswirkungen auf sie hat. Jedes zehnte Unternehmen hat nach eigenen Angaben bisher noch keinerlei Maßnahmen zur Umsetzung ergriffen.Darüber hinaus sehen drei Viertel kein oder nur ein geringes Risiko, mit einer Strafe belegt zu werden. Doch Strafzahlungen können sich bei einem Verstoß auf bis zu 20 Millionen Euro oder aber bis vier Prozent des weltweiten Konzernumsatzes summieren.
Unternehmen wollen künftig vor allem auf IT-Unterstützung setzen
Um die eigene DSGVO-Readiness doch noch zu verbessern, wollen die Befragten vor allem auf IT-Unterstützung und Mitarbeiterqualifikation setzen. So planen 35 Prozent der Entscheider, technisch organisatorische Maßnahmen (TOMs) zu ergreifen. Jedes vierte Unternehmen möchte eine systemische Lösung implementieren. Weitere 26 Prozent wollen ihre Mitarbeiter für die Anforderungen der EU-DSGVO qualifizieren. Sieben Prozent der Befragten geben sogar an, den Mehraufwand für die Datenschutzumsetzung ohne zusätzliches Personal nicht bewältigen zu können und planen Neueinstellungen. Weitere sieben Prozent wollen einen externen Datenschutzbeauftragten einsetzen.
„Die EU-DSGVO stärkt massiv die Rechte der Verbraucher auf informationelle Selbstbestimmung. Und die Verarbeitung von Daten wird unter strengere Auflagen gestellt. Unternehmen müssen ihre Kunden somit vollumfänglich über Art, Zweck und Umfang von teilweise oder vollständig automatisierten Datenverarbeitungen informieren. Darüber hinaus müssen sie in der Lage sein, dem Kunden alle über ihn gesammelten Daten in strukturierter Form mitteilen zu können“, erklärt Uniserv-CEO Roland Pfeiffer. „Doch dafür benötigen Unternehmen einen zentralen Sammel- oder Auskunftsplatz. Nur so können sie auf einen Blick sehen, ob zu der jeweiligen Person überhaupt Daten im Unternehmen gespeichert sind – und falls ja, in welchem System und aus welchem Grund. Außerdem sehen Mitarbeiter dann auch, ob dem Kundenwunsch entsprochen und eine Löschung oder Berichtigung der Daten in allen betroffenen Systemen durchgeführt wurde. “