Die Datenschutz-Grundverordnung, kurz DSGVO, ist am 25. Mai 2018 in Kraft getreten. Diese Verordnung, die die digitalen Rechte des Einzelnen schützen soll, führte in vielen IT-Abteilungen zu heller Aufregung, da man sich rechtzeitig vorbereiten wollte - man fühlte sich fast in die Panik zur Jahrtausendwende zurückversetzt. (Ups, habe ich gerade mein Alter preisgegeben?)
Was passiert jedoch nun, da der DSGVO-Stichtag verstrichen ist? Gehört die Verordnung der Vergangenheit an? Und falls nicht, was bedeutet das für die Zukunft?
Damit ich diese Fragen beantworten kann, werde ich Sie über die drei größten DSGVO-Mythen aufklären und - [Achtung, Spoiler!] - unwiderlegbare Beweise dafür erbringen, dass die DSGVO noch lange nicht vorbei ist …
Der DSGVO-Stichtag war im Mai - die Verordnung braucht mich nicht mehr zu interessieren
Wie aus einem kürzlich von Nuxeo und AIIM veröffentlichten Forschungsbericht, GDPR After the Deadline [“Die DSGVO nach dem Inkrafttreten”], hervorgeht, arbeiteten die meisten Organisationen (39 %) ausschließlich aufgrund ihrer gesetzlichen Pflicht auf eine DSGVO-Konformität hin. Doch obwohl das Datum des Inkrafttretens der DSGVO schon lange vorbei ist, bedeutet das noch lange nicht, dass sich Organisationen nun in Sachen Datenschutz zurücklehnen und entspannen können.
Die Verwaltung der DSGVO-Konformität ist ein kontinuierlicher Prozess, kein Projekt mit konkretem Abschlussdatum. Die Tatsache, dass lediglich 30 % aller Organisationen angaben, dass sie zum Stichtag am 25. Mai vollständig konform arbeiteten, weist darauf hin, dass es wohl noch viel zu tun gibt, bis auch nur annähernd von einer vollständigen Konformität gesprochen werden kann.
Zudem zeigten unsere Nachforschungen, dass Unternehmen innerhalb der ersten 12 Monate nach dem Inkrafttreten der DSGVO durchschnittlich 60 Anträge auf die Erteilung einer Auskunft über personenbezogene Daten erwarten, sodass die neu implementierten Prozesse schon früh auf den Prüfstand kommen. Da diese Unternehmen jedoch auch erwarten, dass jede Anfrage etwa 4.600 EUR kosten wird, zeigt sich, dass diese Prozesse wohl noch nicht so optimiert sind, wie sie es sein könnten.
Zwar mag der Rummel um die DSGVO deutlich nachgelassen haben, doch stellen im Laufe der Zeit immer mehr Unternehmen Probleme mit ihrer DSGVO-Konformität fest. Geldbußen, die weitere Senkung der Kosten für Auskunftsanträge und die DSGVO selbst sollten bei Datenkontrolle und -schutz weiterhin eine wichtige Rolle spielen.
Die DSGVO gilt nur in Europa
Da es sich bei der DSGVO um EU-Gesetzgebung handelt, gingen und gehen viele nichteuropäische Organisationen davon aus, dass sich das Gesetz nicht auf sie anwenden lässt - dies ist jedoch falsch. Die DSGVO gilt für jeden, der Daten zu in der EU ansässigen Bürgern erfasst oder Geschäftsbeziehungen zu europäischen Organisationen unterhält - und das sind viele.
Viele haben die Verordnung jedoch auch richtig interpretiert und ironischerweise fiel das durchschnittliche Budget für DSGVO-Projekte in den USA fast 60 % höher aus als auf dem europäischen Kontinent: man plante im Schnitt etwa 4,7 Mio. EUR bzw. 2,8 Mio. EUR ein (Großbritannien war hier mit durchschnittlichen Ausgaben in Höhe von 4,4 Mio. EUR eine große Ausnahme).
Damit möchten wir nicht andeuten, dass europäische Unternehmen die DSGVO auf die leichte Schulter genommen haben, sondern vielmehr weisen die Daten darauf hin, dass es hier möglicherweise bereits sehr viel strengere Datenschutzvorschriften gab als anderswo. Nur die Zukunft wird uns zeigen, welche Auswirkung die DSGVO insgesamt auf die Organisationen der EU haben wird, doch für US-amerikanische Unternehmen hingegen ist sie gerade einmal die Spitze des Eisbergs.
Laut Don Elledge von Forbes “führten 2017 mindestens 42 US-Bundesstaaten 240 Gesetze und Beschlüsse ein, die sich auf das Thema Cybersecurity bezogen - doppelt so viele wie im Vorjahr”. Ausgelöst wurde diese Welle jedoch höchstwahrscheinlich weniger durch die DSGVO, sondern vielmehr in Reaktion auf mehrere Datenpannen (Equifax, Uber usw.), die Datenschutz zur Hauptschlagzeile in den US-amerikanischen Medien machten. Aktuell weisen keinerlei Anzeichen auf eine Reduktion der Datenpannen im Jahr 2018 hin, sodass es wahrscheinlich ist, dass auch anderswo Gesetze eingeführt werden, die versuchen, wie die DSGVO in Europa das Risiko für Verbraucher zu senken.
In Bezug auf die DSGVO ist in Ihrer Organisation alles unter Kontrolle
Wie bereits oben erwähnt waren lediglich 30 % aller Organisationen der Ansicht, zum Stichtag am 25. Mai vollkommen konform zu handeln, und weitere 50 % standen kurz vor der Konformität. Das klingt positiv, ist aber leicht irreführend.
Ich möchte es noch einmal betonen: Die Umsetzung der DSGVO ist kein Projekt mit Liefertermin, sondern ein andauernder, kontinuierlicher Prozess. Selbst wenn eine Organisation also heute vollständig konform handelt, muss sie doch stetig daran arbeiten, dass ihr die Kontrolle nicht irgendwann entgleitet. Diejenigen, die noch an einer Umsetzung arbeiteten, wiesen auf verschiedene Problembereiche hin, bei denen in den Organisationen große Zweifel an der Fähigkeit entstanden, ob sie sich denn wirklich kontrollieren ließen:
- gemeinsam genutzte Netzlaufwerke (34,5 %)
- E-Mail (28 %)
- SaaS-Anwendungen von Dritten (30 %)
Bei der eingehenderen Beschäftigung mit den Untersuchungsergebnissen konnten wir Schwachstellen bei der Fähigkeit von Organisationen identifizieren, maschinenlesbare Daten bereitzustellen, auf Einwände gegen die Datenverarbeitung zu reagieren und das Recht auf Vergessenwerden umzusetzen.
Besonders Letzteres ist sehr interessant. Im Harvard Law Review des Jahres 1890 (ja, Sie haben richtig gelesen: 1890!) wurde erstmals der Ausdruck “the right to be left alone” (das Recht auf Unbehelligtsein) genannt - die Version des aktuellen “Rechts auf Vergessenwerden” aus dem nicht-digitalen Zeitalter. Es scheint, dass sich dieses Konzept auch nach fast 130 Jahren nur schwer umsetzen lässt - hoffen wir also, dass wir in 130 Jahren nicht noch über die DSGVO (und eine mangelnde Konformität) sprechen werden!