Datenschutz ist schön, macht aber viel Arbeit!

Unternehmen müssen persönliche Informationen künftig besser schützen – sonst drohen hohe Bußgelder. Zum Tag des europäischen Datenschutzes am 28. Januar nehmen wir die neue EU-Grundverordnung unter die Lupe: Welche Vorteile können Unternehmen daraus ziehen? Und was müssen sie dafür tun?

Namen und Mailadressen von Kunden und Geschäftspartnern, Krankheiten und Vorstrafen, Konto- und Kreditkartennummern – die Liste von personenbezogenen Daten ist lang. Kaum ein Unternehmen, das keine erhebt. Für rund 40 Prozent, so ein Ergebnis einer repräsentativen Umfrage des Branchenverbands Bitkom, sind sie gar die Grundlage fürs Geschäft.[1] Jeder dritte befragte Betrieb analysiert sie gezielt und verbessert so Produkte, Kundenbindung und Dienstleistungen, darunter auch immer mehr Versicherer, Energieversorger und Finanzinstitute.

Diese Daten werden künftig besser geschützt: Ab 25. Mai muss die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt werden. In allen EU-Mitgliedsstaaten sollen „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art 4 Nr. 1 DSGVO), künftig einheitlich erfasst, verarbeitet, gespeichert, verwendet und gelöscht werden. Die Richtlinie gilt für sämtliche Unternehmen, die in der EU tätig sind oder Daten von EU-Bürgern verarbeiten. Bislang wird der Datenschutz weitgehend über nationale Gesetze geregelt.

Was bedeutet das für die Unternehmen?

Die Firmen müssen dafür Prozesse im ganzen Unternehmen anpassen. Das klingt nach viel Arbeit. Und das ist es auch: Betroffen sind nicht nur Kontaktdaten von Kunden und Geschäftspartnern, Kfz-Kennzeichen oder Konto- und Kreditkartennummern, sondern auch Informationen über Mitarbeiter wie Arbeitszeiten und Personalausweisnummern, Führungs- und sonstige Zeugnisse, Krankmeldungen und vieles mehr. Die Unternehmen sind gezwungen, Routinen aufzubrechen und Software anzupassen. Aussitzen kann man das Ganze nicht (außer man hat mehrere Millionen übrig).

Wer nicht schützt, muss zahlen: Bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes

Konkret dürfen die Unternehmen Daten nur noch klar zweckgebunden verwenden. Sammeln dürfen sie nur noch so wenige Informationen wie möglich, und sie müssen sie nach Ablauf einer Frist löschen. Die Abteilungen benötigen neue Zugriffs- und Berechtigungskonzepte. Auch Sperr- und Löschroutinen und die Archivierung müssen neu gedacht werden. Um die Daten verarbeiten zu können, ist es bei vielen Prozessen empfehlenswert, sie zu pseudonymisieren – oder ganz zu anonymisieren. Darüber hinaus sind gegebenenfalls Verträge zu überarbeiten, etwa weil Einwilligungserklärungen künftig strenger formuliert werden, sowie erweiterte Informations- und Meldepflichten zu befolgen. Und das ist noch längst nicht alles.

Bleiben die Firmen untätig, müssen sie mit empfindlichen Strafen rechnen. Das Bußgeld kann bis 20 Millionen Euro betragen – oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem, was teurer wird. Das ist deutlich mehr, als die Länder bislang bei Verstößen gegen die nationalen Gesetze kassierten. Zudem steigt das Risiko, sich ein Bußgeld einzufangen; es werden schlichtweg mehr Tatbestände geahndet. Ein Beispiel: Das sogenannte Verfahrensverzeichnis, in dem die zugehörigen internen Prozesse dokumentiert sind, ist bereits heute für viele Pflicht. Wer keins hat – laut Bitkom ist das derzeit noch die Mehrheit – der kann ab Mai eine Strafe von bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes erwarten.

Die Botschaft ist klar: Datenschutz ist den Europäern wichtiger als je zuvor. Auch, weil Angriffe auf Datenbanken zunehmen. Fast zwei Drittel der Firmen aller befragten Branchen in Deutschland, Großbritannien und Frankreich haben laut einer Studie des Cybersicherheitsunternehmen Proofpoint in den vergangenen zwei Jahren mindestens einmal Datenschutzverletzungen registriert. Viele der bislang geltenden Schutzgesetze stammen noch aus einer Zeit ohne flächendeckendes Internet.

Beliebt bei Cyberkriminellen: Finanzinstitute, Versicherungen, Gesundheitsdienstleister

Im Fokus der Attacken stehen besonders Finanzinstitute: Etwa ein Viertel der befragten Unternehmen ist in den vergangenen zwei Jahren gleich mehrfach angegriffen worden. Noch höher im Kurs als Devisen stehen medizinische Daten: Auf dem cyberkriminellen Schwarzmarkt erzielen Krankengeschichten angeblich zehnmal so hohe Preise wie Kreditkartennummern. Dumm nur, dass gerade Gesundheitsdienstleister oft veraltete IT betreiben.[2]

Auch Versicherer, die ebenfalls eine Menge sensibler Daten verwalten, sind gefährdet. Sie sind auf das Vertrauen der Kunden angewiesen. Gehen sie zu lax mit ihren Daten um, kann das direkt geschäftsschädigend wirken. Versicherungs-CEOs weltweit sind sich dessen bewusst: Rund 79 Prozent begreifen Cyber-Risiken als Wachstumshürde (Quelle: PricewaterhouseCoopers).

Wer die DSGVO bis jetzt vernachlässigt hat, muss sich nun beeilen. Die Belohnung: ein Wettbewerbsvorteil

Trotz aller bekannten Fakten und Gefahren: Die Umsetzung der DSGVO verläuft branchenübergreifend schleppend. Jedes dritte Unternehmen gibt zu, die neue Verordnung bislang zu ignorieren. „Für Unternehmen, die noch gar nichts getan haben, wird allmählich die Zeit knapp“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit. „Den Kopf in den Sand zu stecken und abzuwarten kann teuer werden.“ Viele scheinen schlichtweg überfordert; mehr als die Hälfte der Befragten gibt an, den Aufwand schwer abschätzen zu können. Oft übersehen sie dabei, dass die DSGVO nicht nur Arbeit macht, sondern auch Vorteile bringt. Neben dem Effekt, dass EU-einheitliche Regelungen langfristig zu einheitlicheren Wettbewerbsbedingungen führen können, sind das ganz handfeste Dinge.

Wer seine Daten zentralisiert, kann sie leichter handhaben und Analysen leichter automatisieren. Er kann pseudonymisierte Daten künftig zum Beispiel für Tests verwerten und an Dritte weitergeben – also auch für Zwecke, denen der Kunde ursprünglich nicht zugestimmt hat. Er ist auch in der Lage, Betrugsmuster besser zu erkennen und schneller auf Kundenanfragen zu reagieren. Je weniger Daten er vorhält, desto weniger Speicherplatz benötigt er, und desto geringer ist die Wahrscheinlichkeit, Opfer einer Cyberattacke zu werden. Nicht zuletzt investiert er nachhaltig in die unbezahlbare Währung Vertrauen: Menschen rechnen es einem Unternehmen hoch an, wenn es verantwortungsvoll mit persönlichen Informationen umgeht. Wer seinen Kunden Kontrolle über ihre Daten zurückgibt und das Recht ermöglicht, auch wieder vergessen zu werden, kann sich einen gewichtigen Wettbewerbsvorteil erarbeiten.

Der Tag des europäischen Datenschutzes könnte ein willkommener Anlass sein, endlich in die Strümpfe zu kommen und die neue Verordnung umzusetzen.


Um Organisation und Technik schnell an die neue Verordnung anzupassen, zieht jedes zweite Unternehmen externe Experten hinzu. Wenn Sie wissen wollen, wie Sie Daten effizient und DSGVO-konform system- und plattformübergreifend verfremden können, dann sind wir die richtigen Ansprechpartner für Sie. Mehr Informationen finden Sie unter https://www.convista.com/eu-dsgvo.

[1] Aktuelle Umfrage im Auftrag des Bitkom; befragt wurden 507 für den Datenschutz verantwortliche Personen (betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland. Die Umfrage ist repräsentativ.

[2] Studie des Cybersicherheitsunternehmens Proofpoint, im Rahmen der von Censuswide im Zeitraum vom 22. bis 29. September 2017. Befragt wurden 1.500 IT-Entscheidungsträger von Unternehmen, die mindestens 200 Mitarbeiter und ihren Sitz in Großbritannien, Frankreich oder Deutschland haben. Dabei wurden die Daten von mindestens 500 Teilnehmern pro Land aus verschiedenen Branchen erfasst.

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*