Von Birthe Görtz, Wirtschaftsprüferin, PwC, Frankfurt am Main und
Tim Fechte, Rechtsanwalt, PwC, Düsseldorf
Wir haben 250 betriebliche Datenschutzbeauftragte der 1.000 größten deutschen Unternehmen für unsere diesjährige PwC-Datenschutzstudie befragt, die Antworten lassen keinen Zweifel zu: Den deutschen Unternehmen ist der Datenschutz noch wichtiger geworden als in den Vorjahren. Sowohl die personellen als auch die zeitlichen Ressourcen der Datenschutzbeauftragten sind gestiegen, und auch die Unternehmensführungen fordern immer häufiger die Berichterstattung durch den Datenschutzbeauftragten ein. Trotz dieser positiven Entwicklung steht der betriebliche Datenschutz weiterhin aktuellen Herausforderungen gegenüber. So meldete beispielsweise jedes vierte Großunternehmen im Jahr 2011 mindestens einen Verstoß gegen den betrieblichen Datenschutz. Des Weiteren stellt der Entwurf der EU-Datenschutzgrundverordnung neue Datenschutzregelungen in Aussicht, und informationstechnologische Entwicklungen wie Social Media und Cloud-Computing werfen neue Fragen zum Datenschutz im Unternehmen auf.
Unternehmen nehmen Fahrt auf
Rund 70% der Befragten sind nach der jüngsten Studie davon überzeugt, dass Datenschutz in ihrem Unternehmen wichtig oder sehr wichtig genommen wird. In einer Vorgängerstudie aus dem Jahr 2010 teilten diese Einschätzung lediglich 56 Prozent der Datenschutzbeauftragten. Die gewachsene Bedeutung scheint sich auch in den Ressourcen der Datenschutzbeauftragten widerzuspiegeln. Tatsächlich stellen die Unternehmen mittlerweile mehr personelle Ressourcen bereit: 2011 wurden die Datenschutzbeauftragten von durchschnittlich 1,9 Vollzeitkräften unterstützt, nunmehr sind es immerhin 2,3 Vollzeitkräfte. Dies erklärt die hohe Zufriedenheit unter den Datenschutzbeauftragten. Mehr als drei Viertel (76%) der Befragten sind mit ihrem Budget zufrieden. Auch die Personalausstattung hält eine Mehrheit von knapp zwei Dritteln der Datenschutzbeauftragten für ausreichend.
Jedes vierte Großunternehmen meldet Datenschutzverstöße
Die allgemein höhere Aufmerksamkeit und Ausstattung für den Datenschutz schlägt sich aber offenbar noch nicht ausreichend in konkreten betrieblichen Maßnahmen nieder. Im Jahr 2011 meldete immerhin mehr als ein Viertel der Unternehmen (28%) Datenschutzverstöße. Dabei bereiten den Datenschutzbeauftragten jedoch nicht gezielte Datendiebstähle und Hackerangriffe Sorgen, vielmehr sind es meist Unachtsamkeit und Unwissenheit der Mitarbeiter eines Unternehmens, die zu Verstößen gegen Datenschutzbestimmungen führen. Datendiebstahl und Hackerangriffe halten lediglich 6% der Datenschutzbeauftragten für relevant, gut 70% der Befragten halten hingegen einen fahrlässigen Umgang mit Daten für eine der häufigsten Ursachen von Datenschutzverletzungen, 60% führen die Vorfälle vor allem auf mangelnde Kenntnisse der Mitarbeiter zurück. Dabei ist vielen Mitarbeitern nicht bewusst, dass sie gegen Datenschutzrichtlinien verstoßen. Es bleibt dabei: Eine der Hauptaufgaben des Datenschutzbeauftragten ist die Sensibilisierung der Mitarbeiter – aber auch der Geschäftsleitung – für das Thema Datenschutz. Denn diese entscheidet darüber, wie ernst das Thema im Unternehmen genommen wird.
Social Media und Cloud-Computing werden nur sehr begrenzt eingesetzt
Neue Fragen ergeben sich unter anderem durch die Nutzung von Social Media und Cloud-Computing. Es vergeht selten ein Tag, an dem in den Medien nicht die neuen Möglichkeiten angepriesen werden, die sich durch diese neuen technologischen Entwicklungen ergeben. Unsere diesjährige Studie zeigt allerdings, dass diese Entwicklung von den Unternehmen nicht so angenommen wird, wie die Diskussion in der Öffentlichkeit es vermuten lässt. Lediglich 13% der Befragten gaben an, Social-Media-Dienste wie Facebook, Twitter oder Google+ für eine direkte Werbeansprache zu verwenden. Ähnlich niedrig ist noch die Nutzung von Cloud-Computing (15%). Gegen eine Auslagerung von Informationen sprechen für fast 80% der Befragten in erster Linie Sicherheitsbedenken. Für 58 bzw. 57% ist zudem die Transparenz der Angebote mangelhaft. Ferner wird die Rechtssicherheit beim Cloud-Computing vermisst. Hier gibt es noch viel Aufklärungsbedarf bzgl. der Chancen und Risiken der neuen Technologien.
Europäische Datenschutz-Grundverordnung findet Unterstützung
Die geplante EU-Verordnung zur Harmonisierung der Datenschutzgesetze, deren Entwurf die Europäische Kommission am 25.01.2012 vorstellte und die das Datenschutzrecht EU-weit reformieren wird, wird von der Mehrheit (64%) der Datenschutzbeauftragten unterstützt. Die Unterstützung der europäischen Initiative ist wahrscheinlich auf zwei Hauptgründe zurückzuführen. Zum einen glauben die Unterstützer, dass die Datenschutz-Grundverordnung zu einer allgemein stärkeren Sensibilisierung für das Thema beiträgt (54%). Grund für eine steigende Sensibilität für das Thema ist nicht zuletzt die in der Gesetzesvorlage vorgesehene Erhöhung der Bußgelder auf bis zu 2% des weltweiten Jahresumsatzes. 44% der Datenschutzbeauftragten begrüßen diese drastisch erhöhten Bußgelder. Zum anderen soll die EU-Verordnung die bislang unterschiedlichen nationalen Regeln zum Datenschutz vereinheitlichen und so den Wettbewerb stärken. Dies schätzen 41% der befragten Unternehmen.
Datenschutzbeauftragte zeigen Nachbesserungsbedarf an der Datenschutz-Grundverordnung auf
Obwohl die EU-Verordnung allgemein begrüßt wird, bestätigt unsere Umfrage jedoch auch Vorbehalte der Datenschutzbeauftragten. So befürchten immerhin 45% der Befragten einen erhöhten bürokratischen Aufwand, und 41% glauben sogar, dass die EU-Grundverordnung in Deutschland zu einem geringeren Datenschutzniveau führen könnte. Diese Befürchtung ist durch die geringeren Kriterien zur Bestellung eines Datenschutzbeauftragten zu erklären. In Zukunft sollen Unternehmen mit weniger als 250 Mitarbeitern keinen Datenschutzbeauftragten mehr berufen müssen. In der Praxis aber sind Unternehmensleitungen häufig der Ansicht, dass sie das Bundesdatenschutzgesetz nur beachten müssten, wenn ein Datenschutzbeauftragter zu bestellen sei. Sie vergessen dabei, dass die Pflicht zur Bestellung des Datenschutzbeauftragten nichts an ihrer Verantwortlichkeit (und Haftung) für das Thema Datenschutz ändert. Zudem glaubt die Mehrheit der Befragten nicht, dass das erklärte Ziel des europäischen Gesetzgebers, die Stellung der Aufsichtsbehörden zu stärken, durch die Grundverordnung erreicht wird. Dies wäre nicht nur für die Verbraucher von Nachteil, sondern auch für die Unternehmen, die den Datenschutz schon heute ernst nehmen.
Insgesamt bestätigen die Ergebnisse der diesjährigen Befragung, was wir auch in der Praxis oft feststellen: Viele Hürden auf dem Weg zum praktikablen Datenschutz haben die Datenschutzbeauftragten bereits genommen. Die Akzeptanz im Allgemeinen, und im Speziellen durch die Geschäftsleitung, ist weiter gestiegen und hat zu einer Stärkung der Position des Datenschutzbeauftragten im Unternehmen sowie der Qualität des Datenschutzes beigetragen. Wir sind sicher, dass die Unternehmen die neuen Herausforderungen, die durch Social Media, Cloud-Computing und die EU-Datenschutz-Grundverordnung entstehen, ebenso meistern werden.
Kontakt: birthe.goertz@de.pwc.com und tim.fechte@de.pwc.com