In einem unserer vorherigen Blog Artikel haben wir Ihnen bereits die Grundlagen der EU-Datenschutz-Grundverordnung näher gebracht. Heute wollen wir auf die aktuelle Lage und Umsetzbarkeit von GDPR in Unternehmen eingehen.
Das zusammenfassende Ergebnis gleich vorneweg: Während die großen Unternehmen bereits seit Jahren mit deren Anwälten und Datenschutzbeauftragten alle notwendigen Prozesse für GDPR planen und umstellen, ist besonders der Mittelstand nicht gut auf die Änderung vorbereitet.
Unsere Kundengespräche der letzten Monate zeigten uns bereits sehr schnell, dass kleine und mittlere Unternehmen oftmals sehr schlecht, in wenigen Fällen sogar gar nicht auf die Einführung von GDPR vorbereitet sind. Bei einer verbleibenden Schonfrist von etwas mehr als einem Jahr ein alarmierender Trend, denn die Strafen sind extrem hoch: Bis zu 4% des kompletten Jahresumsatzes des Unternehmen bzw. 20 Millionen Euro (der jeweils höhere Wert wird als Strafe angesetzt) werden bei Nichteinhaltung der Grundverordnung fällig.
Da wir in diesem Blog Artikel allerdings auf konkrete Studienergebnisse eingehen möchten, nehmen wir eine Dell Studie zum Thema GDPR als Grundlage. Befragt wurden insgesamt 821 IT- und Business Professionals weltweit zum Status und der Umsetzbarkeit von GDPR. Der Grund, wieso nicht nur Personen aus EU Mitgliedsstaaten zu diesem Thema befragt wurden ist ganz einfach: Die Grundverordnung gilt für alle Unternehmen in der EU und Unternehmen im Ausland, die für Unternehmen in der EU Personendaten bearbeiten oder für sich selbst Daten von Personen in der EU bearbeiten, soweit sie diese Produkte oder Dienstleistungen anbieten. Somit stehen nicht nur Unternehmen innerhalb der EU vor den hier genannten Problemen, sondern auch viele andere Firmen weltweit. Hier die wichtigsten Ergebnisse der Studie:
- Über 80 % der Befragten gaben an, dass sie keine bis wenige Details der Grundverordnung kennen
- Weniger als 30% der Unternehmen fühlen sich bereits zum jetzigen Zeitpunkt gut vorbereitet
- Annähernd 70% gaben an, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden können
- Von den Befragten aus Deutschland fühlten sich 44% sehr gut auf GDPR vorbereitet. Mit 26% der Befragten, fühlten sich die Benelux-Staaten (Belgien, Luxemburg, Niederlande) hingegen am wenigsten vorbereitet
- Über 75% der Befragten außerhalb der europäischen Union gaben an, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden
Die Ergebnisse zeigen ganz klar, dass sich sehr viele Unternehmen bewusst sind, dass GDPR in Kraft treten wird und dies einige Änderungen innerhalb der Geschäftsprozesse nach sich ziehen wird. Über das eigentliche Ausmaß und die Höhe der Strafen sind sich viele Unternehmen allerdings nicht bewusst:
- 21 % der Befragten gaben an, dass sie mit einer Strafe rechnen würde, wäre GDPR bereits jetzt aktiv. Von diesen 21% dachten 36 % wiederum, dass bei Verletzung von GDPR nur einfachere Nachbesserungen von Nöten wären und kannten zudem die Höhe der Strafen nicht
- Nur knapp 25% erwarten bedeutende Veränderungen bei den aktuellen Datenschutzpraktiken und -technologien
Diese Ergebnisse, verbunden mit den Strafen und der noch verbleibenden Zeit, ergeben ein alarmierendes Bild. Unternehmen, die sich bisher nicht oder zu wenig mit dem Thema GDPR befasst haben, sollten jetzt handeln, denn in vielen Fällen ist noch eine Menge Arbeit von Nöten. Diese beginnt bei der Erfassung, wo und welche Art von personenbezogenen Daten heute im Unternehmen erfasst sowie verarbeitet werden. Diese und viele weitere Schritte zur Einhaltung von GDPR werden Thema des nächsten Blog Beitrages sein.
Weiteres Interesse an diesem Thema? Registrieren Sie sich für unseren nächsten Webcast zum Thema: GDPR – 12 Schritte für kleine und mittlere Unternehmen.
Wir freuen uns über Ihre Teilnahme.
Robert Wortmann
Robert ist seit 2014 bei der Proact Deutschland beschäftigt, wo er sich zunächst als Senior Consultant um Kundenlösungen im Bereich Security und Virtualisierung gekümmert hat. Seit 2016 ist er hauptverantwortlich für den Bereich Security zuständig.
