Die Datenschutz-Grundverordnung (DSGVO) der EU tritt am 25. Mai 2018 in Kraft. Doch eine Studie von IDC zeigt, dass viele Unternehmen nicht vorbereitet sind.
Die 2016 von der Europäischen Union (EU) beschlossene Datenschutz-Grundverordnung tritt nach einer Übergangszeit von zwei Jahren am 25. Mai in Kraft. Eine weitere Schonfrist soll es nicht geben, heißt es bei den zuständigen Behörden wie zum Beispiel dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).
Laut Wikipedia geht es bei den neuen Vorschriften vor allem um den Schutz persönlicher Daten: “Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.” Die Verordnung wird eine aus dem Jahr 1995 stammende Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ersetzen. Es sind alle Unternehmen betroffen, sofern sie Geschäften in der EU nachgehen, egal ob sie ihren Sitz innerhalb oder außerhalb der EU haben.
Die Umfrage von IDC hat jetzt festgestellt, dass es gerade bei mittleren und kleinen Unternehmen nicht so gut um das entsprechende Know-how über den Umgang mit der DSGVO und die praktische Vorbereitung bestellt ist. Weniger als die Hälfte der europäischen KMUs hat demnach Schritte unternommen, um sich auf die DSGVO vorzubereiten. Und dies trotz der zum Teil harten Strafen, mit denen bei Verstössen zu rechnen ist: Sie bewegen sich zwischen maximal 20 Millionen Euro oder vier Prozent des jährlichen Umsatzes, falls die Compliance nicht eingehalten wird.
IDC unterscheidet drei Ebenen der mangelnden Vorbereitung:
Ein signifikanter Anteil von kleinen Unternehmen (10 – 99 Angestellte) von etwa 20 Prozent in Deutschland und Großbritannien gibt an, noch nichts von der DSGVO gehört zu haben. Bei kleineren Unternehmen, die ihren Hauptsitz außerhalb der EU haben, sind sogar mehr als die Hälfte nicht informiert. Mittlere Unternehmen sagen, dass sie zu 80 bis 90 Prozent Bescheid wissen – egal, ob sie zur EU gehören oder nicht.
Unabhängig von der DSGVO-Wahrnehmung geben fast 44 Prozent der europäischen kleineren und 41 Prozent der mittleren Unternehmen an, dass sie etwas für diese neue Form von Appliance tun müssen. Fur nicht-europäische KMUs sind es 38 Prozent bei den kleineren und 55 Prozent bei den mittleren Unternehmen. Ein Drittel der europäischen und über die Hälfte der nicht-europäischen KMUs haben keine Pläne in dieser Richtung.
Nur 20 Prozent der europäischen kleineren und 41 Prozent der mittleren Unternehmen sagen, dass sie etwas für die Vorbereitung auf die DSGVO getan haben. Bei den nicht-europäischen kleineren Unternehmen sind es sogar nur neun Prozent und bei den mittleren erst 20 Prozent.
Diese Befragungsergebnisse entsprechen einem allgemeinen Trend in der IT: In den sogenannten “Nordic Countries” und bei größeren Unternehmen findet sich generell eine größere Bereitschaft, Neues zu erkennen und aktiv zu bewältigen. Das ist auch bei der DSGVO so.
Carla La Croce, Senior Research Analyst bei IDC, kommt zu diesem Urteil: “Westeuropäische Unternehmen tun sich insgesamt noch schwer, sich kurz- oder mittelfristig auf die neuen Bestimmungen einzulassen, und das betrifft vor allem die kleineren und mittleren Firmen. Hinzu kommt, dass es viele Missverständnisse und Fehlinterpretationen bei der DSGVO gibt. Eine zeitgerechte Compliance dürfte deshalb in vielen Fällen nicht erreicht werden.”
Aufklärende Aktivitäten von IT-Herstellern verschiedener Richtung nehmen in diesen Wochen vor dem 25. Mai stark zu. Es wird sich zeigen, ob sie ausreichen, einen bruchlosen Übergang zu der DSGVO zu erreichen.