DSGVO Zwei von drei Firmen haben neue Datenschutzregeln weitgehend umgesetzt

Laut einer Bitkom-Umfrage wünschen sich nahezu alle deutschen Unternehmen Nachbesserungen an der Datenschutz-Grundverordnung - unabhängig davon, wie weit sie selbst bei der Umsetzung der Regeln sind.

Mehr Transparenz im Umgang im Kundendaten nötig: Die Datenschutz-Grundverordnung (DSGVO) betrifft die meisten deutschen Unternehmen
Andrea Warnecke/ DPA

Mehr Transparenz im Umgang im Kundendaten nötig: Die Datenschutz-Grundverordnung (DSGVO) betrifft die meisten deutschen Unternehmen


Bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) besteht offenbar weiter Nachholbedarf. Das legt eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom nahe, bei der 503 für den Datenschutz in deutschen Unternehmen verantwortliche Personen telefonisch befragt wurden. Angefragt wurden Firmen ab 20 Mitarbeitern.

Der Studie zufolge hat ein Jahr nachdem die neuen Datenschutzregeln im Mai 2018 vollständig zur Anwendung kamen nach eigener Einschätzung erst ein Viertel der befragten Unternehmen die Umsetzung der neuen Regeln "vollständig abgeschlossen".

Zählt man auch jene Firmen hinzu, die meinen, die Regeln in großen Teilen umgesetzt zu haben, kommt man nach Bitkom-Angaben immerhin auf 67 Prozent der Firmen. "Weitere 24 Prozent haben die Verordnung teilweise umgesetzt", heißt es in einer Pressemitteilung zur Befragung, "sechs Prozent stehen noch am Anfang."

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, sagte am Dienstag bei der Vorstellung der Ergebnisse, dass es nach wie vor "große Unsicherheiten" bei der Auslegung der neuen Regeln gebe.

Vollständiges Umsetzen angeblich unmöglich

Den Angaben des Bitkom zufolge beklagten mehr als die Hälfte der Firmen in der Studie fehlende Umsetzungshilfen. 98 Prozent der Firmen fordern zudem Nachbesserungen bei der DSGVO, 95 Prozent sehen die Verordnung als nicht komplett umsetzbar an - wodurch sich die Frage stellt, was unter der "vollständigen Umsetzung", von der jedes vierte Unternehmen spricht, praktisch zu verstehen ist. 75 Prozent der befragten Datenschutz-Beauftragten gaben an, dass die Kunden der Firmen von zusätzlichen Infoblättern und Hinweisen eher genervt seien.

Der Bitkom fordert angesichts dieser Ergebnisse Nachbesserungen an der DSGVO. Die EU-Kommission sollte insbesondere kleine und mittelständische Unternehmen entlasten und die Datennutzung im Forschungsumfeld erleichtern, meint der Verband.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, sprach sich für Erleichterungen für kleine Unternehmen aus. Diese könne es beispielsweise bei den Informations- und Dokumentationspflichten geben. "Insgesamt muss es Nachsteuerungen geben", sagte Kelber. Dazu gehörten aber auch Verschärfungen - etwa beim Profiling - der Profilbildung mittels personenbezogener Daten - und im Bereich Scoring.

Als richtungweisend wird die DSGVO in den meisten Unternehmen übrigens durchaus gesehen, aller Kritik zum Trotz. Mit 64 Prozent sind der Umfrage zufolge nämlich zumindest fast zwei Drittel überzeugt, dass die DSGVO weltweit Maßstäbe für den Umgang mit Personendaten setzen wird. Mehr als die Hälfte - 57 Prozent - der Befragten glauben, dass die DSGVO zu einheitlicheren Wettbewerbsbedingungen in der EU führen wird.

mbö/dpa/Reuters



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
felisconcolor 17.09.2019
1. Vom Bürger gewünscht war
Das nicht soviele Daten gespeichert werden dürfen und das sie wenn überhaupt gespeichert ein Verfallsdatum haben sollten und auf Anfrage sofort gelöscht werden. Daraus geworden ist, es darf weiterhin alles gespeichert werden, Auf Anfrage soll eine Firma über die gespeicherten Daten Auskunft geben (ob das stimmt und im Umfang richtig ist, weiss nur Gott allein) und einem Löschantrag kann stattgegeben werden (oder wird hinter Geschäftsgeheimnissen versteckt) Ebenso die Auskunft wie Daten verarbeitet werden (siehe Schufa). Abmahner freuen sich ein drittes Loch in den Po. Große Konzerne sind wie immer aussen vor (weil die die besseren Juristen haben) und für den Bürger hat sich fast nichts geändert. Und am Schluß kommt mal wieder raus das Millionen Patientendaten offen im Netz zugänglich sind. Oder sollte das sogar der immer geforderten Datentransparenz geschuldet sein? Man sollte den Politikern ihre Gesetzestexte um die Ohren hauen bis nur noch Staub übrig ist. Von den Texten. Ach ja und bloss nicht die Kekse vergessen. Come to the dark side. We have the cookies.
muskat51 17.09.2019
2. Ein großer Schritt
in die richtige Richtung. Mit dem Verarbeitungsgrund des "berechtigten Interesses" wird noch zu viel Schindluder getrieben, da könnte die Rechtsprechung präzisieren. Und der Hinweis "Sie stimmen unseren Vorgaben zu, indem Sie auf unserer Website weiter surfen" sollte verboten werden, weil er der Freiwilligkeitsnatur einer Einwilligung widerspricht.
Ed von der Strassenecke 17.09.2019
3. Kleine Firmen dürfen keine Sonderregelungen erhalten
Wenn ich verantwortlicher Manager eines grösseren Unternehmens bin und, aus welchen Gründen auch immer, die GDPR/DSGVO-Regelungen nicht einhalten will, dann lasse ich die Geschäftsprozesse ändern und lagere kritische Teile in kleine Firmen irgendwo im Geltungsbereich der GDPR, also der EU, aus. Im Gegensatz zu produzierenden Prozessen ist so etwas mit relativ wenig Aufwand und recht kostengünstig handhabbar. Ausserdem spielen in solch einem Fall die Firmengrössen keine wesentliche Rolle, weil sich grosse Datenmengen auch von kleinen Unternehmen bearbeiten lassen. Wenn man derartige Sonderregeln einführt, kann man sich auch die ganze GDPR/DSGVO ersparen.
Nordlicht1 17.09.2019
4. Politikerbashing löst die Probleme nicht
Zitat von felisconcolorDas nicht soviele Daten gespeichert werden dürfen und das sie wenn überhaupt gespeichert ein Verfallsdatum haben sollten und auf Anfrage sofort gelöscht werden. Daraus geworden ist, es darf weiterhin alles gespeichert werden, Auf Anfrage soll eine Firma über die gespeicherten Daten Auskunft geben (ob das stimmt und im Umfang richtig ist, weiss nur Gott allein) und einem Löschantrag kann stattgegeben werden (oder wird hinter Geschäftsgeheimnissen versteckt) Ebenso die Auskunft wie Daten verarbeitet werden (siehe Schufa). Abmahner freuen sich ein drittes Loch in den Po. Große Konzerne sind wie immer aussen vor (weil die die besseren Juristen haben) und für den Bürger hat sich fast nichts geändert. Und am Schluß kommt mal wieder raus das Millionen Patientendaten offen im Netz zugänglich sind. Oder sollte das sogar der immer geforderten Datentransparenz geschuldet sein? Man sollte den Politikern ihre Gesetzestexte um die Ohren hauen bis nur noch Staub übrig ist. Von den Texten. Ach ja und bloss nicht die Kekse vergessen. Come to the dark side. We have the cookies.
Im vorliegenden Fall mit der millionenfachen unsicheren Ablage von MRT-Aufnahmen könnte folgender Sachverhalt vorliegen: ein Industrieunternehmen stellt MRTs her und verkauft diese - so weit so normal. Nun gibt es irgendwann eine neue Gerätegeneration und als neues "Feature" wird ein automatisches Bildarchivierungssystem mit verkauft, das der MRT-Hersteller möglicherweise nicht selbst programmiert sondern als fertiges Produkt eines Drittherstellers mit verkauft. Der Dritthersteller hat ein billiges, nicht EU- bzw. DSGVO-konformes Produkt geliefert und der MRT-Hersteller hat vor dem Einkauf der Software die Anforderungen nicht genauestens gerichtsfest definiert und geprüft. Dafür kann kein Politiker der Welt etwas. Ich bin aber sehr zuversichtlich, dass unsere Datenschutzbehörden das analysieren und die in der DSGVO festgelegten (hohen) Strafen verhängen wird, wenn die Analyse abgeschlossen ist...
Ed von der Strassenecke 17.09.2019
5. Alle Wünsche kannman nicht erfüllen: Anonymisierung
Zitat von felisconcolorDas nicht soviele Daten gespeichert werden dürfen und das sie wenn überhaupt gespeichert ein Verfallsdatum haben sollten und auf Anfrage sofort gelöscht werden. Daraus geworden ist, es darf weiterhin alles gespeichert werden, Auf Anfrage soll eine Firma über die gespeicherten Daten Auskunft geben (ob das stimmt und im Umfang richtig ist, weiss nur Gott allein) und einem Löschantrag kann stattgegeben werden (oder wird hinter Geschäftsgeheimnissen versteckt) Ebenso die Auskunft wie Daten verarbeitet werden (siehe Schufa). Abmahner freuen sich ein drittes Loch in den Po. Große Konzerne sind wie immer aussen vor (weil die die besseren Juristen haben) und für den Bürger hat sich fast nichts geändert. Und am Schluß kommt mal wieder raus das Millionen Patientendaten offen im Netz zugänglich sind. Oder sollte das sogar der immer geforderten Datentransparenz geschuldet sein? Man sollte den Politikern ihre Gesetzestexte um die Ohren hauen bis nur noch Staub übrig ist. Von den Texten. Ach ja und bloss nicht die Kekse vergessen. Come to the dark side. We have the cookies.
Es dreht sich letztendlich nicht um Speicherung von Daten, sondern um Anonymisierung von Daten lebender Personen (Verstorbene betrifft die GDPR/DSGVO nicht). Anders ausgedrückt: die Verwendung personengebundener Daten soll eingeschränkt werden. Nun gibt es aber einen Haken an der ganzen Sache: Man kann Daten pseudonymisieren, ob sie dann aber wirklich anonym sind, hängt von anderen Sachen ab. Beispielsweise gibt es meines Wissens einen Wahlkreis irgendwo in der norddeutschen Halligwelt, der 5 Wahlberechtigte umfasst. Dort erhielt meinen Informationen zufolge die SPD 100% aller Stimmen. Es spielt also überhaupt keine Rolle, ob ich dem dortigen Wähler ein Pseudonym zuordne, weil ich weiss, dass er, wenn er denn gewählt hat, die SPD wählte. Im Rahmen der Social Network Analysis gibt es diverse Verfahren durch Pseudonyme anonymisierte Daten zu Deanonymisieren. Solche mathematisch basierten Möglichkeiten kann ein Gesetz nicht wirklich verbieten, aber man kann Rahmenbedingungen setzten. Die DSGVO schreibt in solch einem Fall vor, dass die Wahrscheinlichkeit für die Zuordnung genau angegeben werden muss. Letztendlich sind aber den juristischen Möglichkeiten auch Grenzen gesetzt. Inkrementelle Lernverfahren speichern Daten nur kurzfristig und löschen sie nach der Verarbeitung. Es ist dann anschliessend nicht mehr ersichtlich, welchen Einfluss ein bestimmtes Datum auf den erstellten Bewertungsalgorithmus hat. Das ist zwar noch nicht weit verbreitet, aber wenn solche Verfahren in Zukunft häufiger eingesetzt werden, müssen die Gesetze diesen neuen Bedingungen angepasst werden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.