Nur zwei Prozent der Unternehmen bilden laut einer Studie die vom Datenschutz geforderte Auskunfts- und Löschpflicht automatisiert ab. Nötig dafür ist eine zentrale Datenhaltung statt fragmentierter IT-Systeme.
Seit dem 25. Mai müssen Unternehmen in der Lage sein, personenbezogene Daten unverzüglich zu löschen. Dies schreibt die EU-Datenschutzgrundverordnung (DSGVO) vor. Ob Unternehmen dieser Pflicht aktuell nachkommen können, ist fraglich. Vielerorts liegen die Verbraucherdaten in vielschichtig gewachsenen Inselsystemen.
Für die Studie zur DSGVO-Readiness hat Grohmann Business Consulting im Auftrag von Uniserv im April und Mai dieses Jahres 104 Fach- und Führungskräften aus Unternehmen im deutschsprachigen Raum aus Unternehmen aller Branchen und Größen befragt.
Laut der Studie verwalten 74 Prozent der befragten Unternehmen derzeit mehr als 100.000 Stammdatensätze; 25 Prozent sogar mehr als 5.000.000 Datensätze. Fast zwei Drittel (63 Prozent) der befragten Unternehmen müssen mehr als sechs IT-Systeme durchsuchen, um eine Auskunfts- und/oder Löschanforderung auf Grundlage der EU-DSGVO zu bearbeiten. Bei mehr als jedem zweiten Teilnehmer (57 Prozent) erfolgt die Suche manuell. Lediglich zwei Prozent haben dafür einen automatisierten Prozess aufgesetzt.
IT-Wildwuchs verhindert schnelle Auskünfte
Laut DSGVO müssen Unternehmen auf Anfrage spätestens innerhalb eines Monats mitteilen, welche personenbezogenen Daten sie zu welchem Zweck über einen Verbraucher gespeichert haben. Vielerorts werden personenbezogene Daten über die ganze Organisation verteilt gespeichert. Dies fängt damit an, dass Verbraucherinformationen in verschiedenen IT-Systemen liegen wie etwa Customer-Relationship Management und Enterprise-Ressource-Planning, Helpdesk-Ticketsysteme oder Marketing-Automation-Software. 44 Prozent der Befragten geben an, dass sie sechs bis zehn verschiedene Systeme durchsuchen müssen, in denen EU-DSGVO-relevante, personenbezogene Daten gespeichert sind. Mehr als jedes zehnte Unternehmen (zwölf Prozent) muss sogar zwischen 21 und 50 Systeme durchsuchen.
Manuelle Datensuche erfordert hohen Aufwand
Jeder dritte Befragte benötigt nach eigener Aussage mehr als fünf Minuten, um in einem System alle relevanten personenbezogenen Daten zu einer Verbraucheranfrage zu identifizieren. Fast jeder vierte Befragte (23 Prozent) kann den Aufwand gar nicht abschätzen. Dies stellt Unternehmen vor große zeitliche und damit auch personelle Herausforderungen, wie der Uniserv-CEO Roland Pfeiffer vorrechnet: „Erhält ein Unternehmen pro Monat 500 Anfragen auf Löschung oder Datenauskunft und muss dazu durchschnittlich zehn Datenbanken oder Systeme durchsuchen, was pro System rund sechs Minuten in Anspruch nimmt, sprechen wir von einem Zeitaufwand von insgesamt 500 Arbeitsstunden.“
Hinzu kommen organisatorische Probleme. Bei fast der Hälfte der befragten Unternehmen (43 Prozent) liegt die Verantwortung für das Bearbeiten von EU-DSGVO-relevanten Anfragen beim Datenschutzbeauftragten. Bei weiteren 16 Prozent bei der Geschäftsleitung. Bei 36 Prozent der Unternehmen ist es weder klar noch überschneidungsfrei geregelt, wer für die Beantwortung von Auskunftsanfragen verantwortlich ist.
Beim Datenschutz fehlt oft das Risikobewusstsein
In der Konsequenz sieht sich laut der Uniserv-Umfrage nur jedes fünfte Unternehmen umfassend gerüstet, die EU-DSGVO einhalten zu können. Jedes dritte Unternehmen (33 Prozent) stuft sich selbst als noch nicht EU-DSGVO-ready ein. 30 Prozent der Befragten sind immer noch dabei, ihre Datenschutzprozesse und -verfahren auf EU-DSGVO-Compliance zu prüfen – und stecken somit erst in der Anfangsphase der Umsetzung. Jedes zehnte Unternehmen hat nach eigenen Angaben bisher noch keinerlei Maßnahmen zur Umsetzung ergriffen. Gleichzeitig glauben 47 Prozent der Unternehmen, dass die DSGVO nur geringe oder gar keine Auswirkungen auf sie hat. Da seit Ende Mai die Übergangsfrist abgelaufen ist, drohen hohe Strafzahlungen. Drei Viertel der Befragten sieht allerdings kein oder nur ein geringes Risiko, mit einer Strafe belegt zu werden.
Bessere IT und geschulte Mitarbeiter als Ausweg
Um die eigene DSGVO-Readiness zu verbessern, setzen die Befragten vor allem auf IT-Unterstützung und Mitarbeiterqualifikation. 35 Prozent der Entscheider wollen technisch organisatorische Maßnahmen ergreifen. Jedes vierte Unternehmen möchte eine systemische Lösung implementieren. Weitere 26 Prozent wollen ihre Mitarbeiter für die Anforderungen der EU-DSGVO qualifizieren. Sieben Prozent der Befragten planen Neueinstellungen, weil sie den Mehraufwand für die Datenschutzumsetzung ohne zusätzliches Personal nicht bewältigen können. Weitere sieben Prozent wollen einen externen Datenschutzbeauftragten einsetzen.
„Die EU-DSGVO stellt die Datenverarbeitung unter strenge Auflagen“, erklärt Pfeiffer. „Damit Unternehmen ihre Kunden schnell und umfassend über Art, Zweck und Umfang der über sie gespeicherten Daten informieren können, benötigen sie einen zentralen Sammel- und Auskunftsplatz.“
Die Zusammenfassung der DSGVO-Studie 2018 steht hier zum kostenlosen Download zur Verfügung. Jürgen Frisch
Je mehr Systeme im Einsatz sind, desto länger dauert die Datensuche. Laut der DSGVO-Studie 2018 von Uniserv haben 44 Prozent der Unternehmen 6 bis 10 Systeme, während bei 12 Prozent 21 bis 50 Systeme im Einsatz sind. (Quelle: Uniserv)