Pressemeldungen

DSGVO-Studie von Uniserv: Jedes 3. Unternehmen ist nicht DSGVO-ready

  • Fehlende Automatisierung: Mehrheit der Teilnehmer muss bei DSGVO-Anfragen personenbezogene Daten manuell und in jedem Kundensystem einzeln suchen
  • Nur zwei Prozent der Befragten haben einen automatisierten Prozess, um der Pflicht zu Auskunft und Löschen nachzukommen
  • Mangelndes Risikobewusstsein: Mehrheit der Befragten hält Strafen für sehr unwahrscheinlich

Pforzheim, 07.08.2018 – Seit dem 25. Mai müssen Unternehmen in der Lage sein, personenbezogene Daten unverzüglich zu löschen. Dies schreibt die EU-Datenschutzgrundverordnung (DSGVO) vor. Doch ob Unternehmen dieser Pflicht fristgerecht nachkommen können, ist fraglich. Denn sie verfügen meist über vielschichtige Systemlandschaften und gewachsene Inselsysteme, in denen Verbraucherdaten liegen. So müssen fast zwei Drittel (63 Prozent) der befragten Unternehmen mehr als sechs IT-Systeme durchsuchen, um eine Auskunfts- und/oder Löschanforderung auf Grundlage der EU-DSGVO zu bearbeiten. Gleichzeitig erfolgt die Suche und Recherche bei mehr als jedem zweiten Teilnehmer (57 Prozent) manuell und in jedem einzelnen System. Lediglich zwei Prozent verfügen über einen automatisierten Prozess. Dies sind Ergebnisse einer aktuellen Umfrage unter mehr als 100 Entscheidern in mittleren und großen Unternehmen im deutschsprachigen Raum zur DSGVO-Readiness. Die Umfrage1 wurde von Uniserv, einem spezialisierten Anbieter von Lösungen für das Kundendatenmanagement, durchgeführt.

Unübersichtlich IT-Infrastrutkur erschwert schnelle Beantwortung von Anfragen

Durch die DSGVO will die EU die Rechte für Bürger an den eigenen, personenbezogenen Daten stärken. So müssen Unternehmen dem Verbraucher auf Anfrage unverzüglich, oder aber spätestens innerhalb eines Monats mitteilen, welche personenbezogenen Daten es über den Verbraucher gespeichert hat und zu welchem Zweck. Doch bei vielen Unternehmen werden personenbezogene Daten über die ganze Organisation verteilt verwaltet. Dies fängt damit an, dass Verbraucherinformationen in verschiedenen IT-Systemen gespeichert sind wie etwa Customer-Relationship- und Enterprise-Ressource-Planning-Lösungen, Helpdesk-Ticketsysteme oder Marketing-Automation-Software. So geben 44 Prozent der Befragten an, dass sie sechs bis zehn verschiedene Systeme durchsuchen müssen, in denen EU-DSGVO-relevante, personenbezogene Daten gespeichert sind. Mehr als jedes zehnte Unternehmen (zwölf Prozent) muss sogar zwischen 21 und 50 Systeme durchsuchen. 

Zeitintensiv und teuer: Personenbezogene Daten müssen manuell zusammengetragen werden

Gleichzeitig gibt jeder dritte Befragte an, durchschnittlich mehr als fünf Minuten zu benötigen, um in einem System alle relevanten personenbezogenen Daten zu einer Verbraucheranfrage zu identifizieren. Fast jeder vierte (23 Prozent) Befragte kann den Aufwand gar nicht erst abschätzen. Dies stellt Unternehmen vor große zeitliche und damit auch personelle Herausforderungen, rechnen sie die benötigte Suchdauer auf die Anzahl der IT-Systeme hoch. Eine Auskunft oder das Löschen „auf Knopfdruck“ ist in den meisten Unternehmen nicht möglich. Roland Pfeiffer, CEO von Uniserv, ordnet die Ergebnisse ein: „Erhält ein Unternehmen beispielsweise pro Monat 500 Anfragen auf Löschung oder Datenauskunft – und muss dazu durchschnittlich zehn Datenbanken oder Systeme durchsuchen, was pro System rund sechs Minuten in Anspruch nimmt, sprechen wir hier von einem Zeitaufwand von rund 500 Arbeitsstunden pro Monat.“
 

Studie EU-DSGVO-Readiness 2018

Hinzu kommt, dass bei fast der Hälfte der befragten Unternehmen (43 Prozent) die Verantwortung für das Bearbeiten von EU-DSGVO-relevanten Anfragen beim Datenschutzbeauftragten liegt; bei weiteren 16 Prozent bei der Geschäftsleitung. Dies dürfte eine weitere deutliche zeitliche Verzögerung mit sich bringen. Darüber hinaus ist es bei 36 Prozent der Unternehmen weder klar noch überschneidungsfrei geregelt, wer für die Beantwortung von Auskunftsanfragen verantwortlich ist.

Keine Angst vor Strafe: Unternehmen sind wenig risikobewusst

In der Konsequenz sieht sich laut der Uniserv-Umfrage nur jedes fünfte Unternehmen umfassend gerüstet, die EU-DSGVO voll einhalten zu können. Jedes dritte Unternehmen (33 Prozent) stuft sich selbst als noch nicht „EU-DSGVO-ready“ ein. Doch seit dem 25. Mai ist die zweijährige Übergangsfrist abgelaufen und es drohen hohe Strafzahlungen. 30 Prozent der Befragten sind immer noch dabei, ihre Datenschutzprozesse und -verfahren auf EU-DSGVO-Compliance zu prüfen – und stecken somit erst in der Anfangsphase der Umsetzung. Gleichzeitig glauben 47 Prozent der Unternehmen, dass die DSGVO nur geringe oder gar keine Auswirkungen auf sie hat. Jedes zehnte Unternehmen hat nach eigenen Angaben bisher noch keinerlei Maßnahmen zur Umsetzung ergriffen. Darüber hinaus sehen drei Viertel kein oder nur ein geringes Risiko, mit einer Strafe belegt zu werden. Doch Strafzahlungen können sich bei einem Verstoß auf bis zu 20 Millionen Euro oder aber bis vier Prozent des weltweiten Konzernumsatzes summieren. 

Unternehmen rücken künftig IT-Unterstützung in den Fokus

Um die eigene DSGVO-Readiness doch noch zu verbessern, wollen die Befragten vor allem auf IT-Unterstützung und Mitarbeiterqualifikation setzen. So planen 35 Prozent der Entscheider, technisch organisatorische Maßnahmen (TOMs) zu ergreifen. Jedes vierte Unternehmen möchte eine systemische Lösung implementieren. Weitere 26 Prozent wollen ihre Mitarbeiter für die Anforderungen der EU-DSGVO qualifizieren. Sieben Prozent der Befragten geben sogar an, den Mehraufwand für die Datenschutzumsetzung ohne zusätzliches Personal nicht bewältigen zu können und planen Neueinstellungen. Weitere sieben Prozent wollen einen externen Datenschutzbeauftragten einsetzen. 

„Die EU-DSGVO stärkt massiv die Rechte der Verbraucher auf informationelle Selbstbestimmung. Und die Verarbeitung von Daten wird unter strengere Auflagen gestellt. Unternehmen müssen ihre Kunden somit vollumfänglich über Art, Zweck und Umfang von teilweise oder vollständig automatisierten Datenverarbeitungen informieren. Darüber hinaus müssen sie in der Lage sein, dem Kunden alle über ihn gesammelten Daten in strukturierter Form mitteilen zu können“, erklärt Uniserv-CEO Roland Pfeiffer. „Doch dafür benötigen Unternehmen einen zentralen Sammel- oder Auskunftsplatz. Nur so können sie auf einen Blick sehen, ob zu der jeweiligen Person überhaupt Daten im Unternehmen gespeichert sind – und falls ja, in welchem System und aus welchem Grund. Außerdem sehen Mitarbeiter dann auch, ob dem Kundenwunsch entsprochen und eine Löschung oder Berichtigung der Daten in allen betroffenen Systemen durchgeführt wurde. “

Weitere Inhalte der Studie:

Der Ergebnisbericht der DSGVO-Studie 2018 steht ab sofort zum kostenlosen Download auf der Uniserv-Webseite zur Verfügung. Jetzt downloaden

Über die Studie:

Die DSGVO-Studie wurde von Grohmann Business Consulting im Auftrag von Uniserv unter 104 Fach- und Führungskräften aus Unternehmen im deutschsprachigen Raum aller Branchen und Größen durchgeführt. Die Online-Befragung erfolgte im Zeitraum April/Mai 2018. 

74 Prozent der befragten Unternehmen verwalten nach eigenen Angaben derzeit mehr als 100.000 Stammdatensätze; 25 Prozent sogar mehr als 5.000.000 Datensätze. 

1DSGVO-Studie 2018. Durchgeführt von Grohmann Business Consulting im Auftrag von Uniserv. Befragt wurden 104 Fach- und Führungskräften aus deutschen Unternehmen aller Branchen und Größen im Zeitraum April/Mai 2018.