ZAP 10/2018, Anwaltsmagazin / 7 Mittelstand unzureichend auf neues Datenschutzrecht vorbereitet

Ab dem 25. Mai, also in etwa zwei Wochen, wird europaweit ein neues Datenschutzrecht wirksam. Dennoch ist derzeit jeder zweite Mittelständler in Deutschland weitgehend unvorbereitet. Das geht aus einer repräsentativen Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) hervor. Danach haben 36 % der kleinen und mittleren Unternehmen (KMU) von den neuen Regeln noch nicht einmal etwas gehört. Ein Fünftel weiß zwar davon, hat sich aber noch nicht darauf vorbereitet. Nur jeweils 22 % der KMU haben sich auf die "Scharfschaltung" der EU-Datenschutzgrundverordnung (DSGVO) vorbereitet oder wollen noch Änderungen umsetzen. "Die Mehrheit der kleinen und mittleren Unternehmen nimmt den Datenschutz immer noch auf die leichte Schulter", so Peter Graß, Cyberversicherungsexperte des GDV. Oft fehlten Regeln zum Umgang mit sensiblen Informationen, auch die IT-Technik sei i.d.R. lückenhaft. "Ohne ausreichende Schutzvorkehrungen drohen den Unternehmen hohe wirtschaftliche Schäden, etwa infolge von Cyberangriffen oder aufgrund staatlicher Bußgelder", mahnt Graß.

Viel Zeit bleibt den Unternehmen beim Datenschutz nicht mehr: Am 25. Mai läuft die zweijährige Übergangsfrist seit Inkrafttreten der DSGVO aus. Ab dann gelten für alle Unternehmen, die eine Niederlassung in der EU haben und Kunden- oder Mitarbeiterdaten verarbeiten, strengere Informationspflichten und Meldeanforderungen bei Datenpannen. Bei Verstößen drohen den Firmen zudem höhere Strafen und erweiterte Schadenersatzansprüche. In der Praxis dürfte so gut wie jeder Betrieb von der Verordnung betroffen sein.

Doch je kleiner die Firmen, desto schlechter sind sie darauf vorbereitet: 38 % der Kleinstunternehmen mit bis zu neun Beschäftigten ist nicht bekannt, dass sich das Datenschutzrecht ändert. Weitere 20 % von ihnen wissen es zwar, haben aber keine Vorkehrungen getroffen. Von den mittleren Unternehmen mit 50–249 Beschäftigten haben hingegen nur 8 % noch nichts unternommen und lediglich 13 % nichts von der DSGVO gehört. Dafür sind 58 % von ihnen vorbereitet, 19 % haben bereits Anpassungen geplant.

Als Gründe für die ausgebliebene Vorbereitung nennen die KMU vor allem mangelndes Wissen, zu wenig Zeit und geringe Relevanz des Datenschutzes. 35 % der unvorbereiteten Unternehmen gaben an, keine ausreichenden Informationen über die notwendigen Änderungen zu haben. Für 31 % hat nach eigenen Angaben bislang die Zeit gefehlt, sich mit dem Thema zu beschäftigen. 15 % der Betriebe wollen erst abwarten, wie sich andere Unternehmen auf die Datenschutzgrundverordnung vorbereiten. Für die Untersuchung wurden 300 Entscheider in kleinen und mittleren Unternehmen im März und April befragt.

Gerade bei den immer häufigeren Cyberangriffen kann sich diese schlechte Vorbereitung nach Auffassung des GDV rächen. "Haben die Unternehmen den Verdacht, dass ihre Computer angegriffen und eventuell Daten von Kunden, Auftraggebern oder Mitarbeitern abgegriffen wurden, bleiben ihnen künftig nur 72 Stunden Zeit, um die Attacke den Datenschutzbehörden zu melden", so Graß.

[Quelle: GDV]

Zu den Auswirkungen der Datenschutzgrundverordnung auf Rechtsanwälte s. die Kolumne von Kazemi, Datenschutzgrundverordnung: Sind Sie vorbereitet?, in diesem Heft.