Studie zu den Folgen der EU-Datenschutzverordnung

Unternehmen fürchten die Datenschutzverordnung

Juliane Waack ist Fachredakteurin für den Cloud-Marktplatz cloud world und hat sich auf die Themen Datenschutz, Marketing, KMU in Deutschland, Big Data und Industrie 4.0 spezialisiert. Sie hat einen M.A. in Anglistik/Amerikanistik und Philosophie und beschäftigt sich privat mit Popkultur und feministisch/humanistischen Fragestellungen.
Unternehmen machen sich Sorgen, dass die zukünftige europaweite Datenschutzverordnung zu viele negative Folgen haben wird.

In einer aktuellen Studie des Cloud-Anbieters Intralinks überraschen die Ergebnisse: Unternehmen sehen die zukünftige Datenschutzverordnung kritisch.

Datenschutz-Standards fehlen

Zugegeben, gerade kleine und mittelständische Unternehmen haben es nicht leicht, wenn es um Datenschutz geht. Seit Jahren sind die Verordnungen, die den Umgang mit personengebundenen Daten regeln sollen, ungenau und schwer verständlich. Anstatt konkrete Handlungsempfehlungen zu geben, wird von angemessenen Maßnahmen gesprochen, so als wäre es Allgemeinwissen, wie sensible Daten wirklich sicher gelagert werden. Im eher umstrittenen Telemediengesetz wird etwa beim Schutz von Daten erläutert: "Vorkehrungen müssen den Stand der Technik berücksichtigen." Es braucht keinen IT-Experten, um zu sehen, dass dieser Hinweis einen relativ weiten Interpretationsraum zulässt.

Stecken deutsche Unternehmen den Kopf in den Sand, wenn es um Datenschutz geht?
Stecken deutsche Unternehmen den Kopf in den Sand, wenn es um Datenschutz geht?
Foto: alphaspirit - shutterstock.com

Aber die neue Verordnung soll genau diese Probleme lösen. Sie soll für EU-Länder aber auch weltweit klare Regeln und Verantwortungen für den Umgang mit sensiblen Daten in Europa schaffen. Davon profitieren nicht nur Individuen, sondern auch die Unternehmen. Dass die geplante EU-Grundverordnung diesen Idealen noch nicht ganz entspricht, soll derweil an anderer Stelle diskutiert werden.

Angst vor Strafe und Kosten

Mehr als 50 Prozent der Befragten gehen davon aus, dass sie nach Einführung der Grundverordnung Strafe zahlen müssen. Das Fazit daraus sollte nicht sein, dass die Verordnung schlecht für Unternehmen ist. Stattdessen ist anzunehmen, dass Unternehmen schon jetzt wissen, dass ihr Datenumgang nicht den geforderten Standards entspricht. Unter Umständen werden somit bereits jetzt Rechtsbrüche begangen, da Deutschlands aktuelle Datenschutzverordnungen den geplanten EU-Reformen inhaltlich sehr nahe stehen.

Dass Unternehmen nun bangend warten, bis die Verordnung eingeführt wird, um diese Situation zu ändern, spricht nicht für sie, sondern offenbart, dass es sehr viel Nachholbedarf in Sachen Datenschutz in Unternehmen gibt. Nicht die Unternehmen, sondern die Nutzer und Angestellten, deren Daten nicht fachgemäß gelagert und verarbeitet werden, sollten sich Sorgen machen.

79 Prozent der deutschen Unternehmen befürchten darüber hinaus höhere Kosten bei der Umsetzung von Datenschutzvorkehrungen. Das ist sicher auch der Fall, vor allem dann, wenn man bislang eher nichts für den Schutz seiner Nutzer- und Personaldaten getan hat. Die Kosten ergeben sich doch aber nur, weil viele Unternehmen nicht von Anfang an Wert darauf gelegt haben, die Persönlichkeitsrechte ihrer Nutzer - durch die sich ein Unternehmen finanziert - und ihres Personals - auf das ein Unternehmen aufbaut - zu schützen. Muss man sich wirklich wundern, wenn man beim Bau eines Hauses am Fundament gespart hat, dass man später zur Stabilisierung mehr zahlen muss, damit einem nicht der Boden unter den Füßen wegbricht?

US-Unternehmen sehen sich im Nachteil

Die Sorge ist übrigens kein deutsches Phänomen. 63 Prozent der befragten US-Unternehmen befürchten, dass sie es schwerer auf dem europäischen Markt haben werden und ganze 70 Prozent fühlen sich benachteiligt, da Unternehmen mit Sitz in Europa demnächst große Vorteile allein durch ihren Standort hätten.

Es liegt nahe, dass sich die Unternehmen beschweren, die bislang erhebliche Wettbewerbsvorteile gegenüber beispielsweise deutschen Unternehmen hatten, weil sie durch Server-Sitze in Irland oder den USA insbesondere deutsche Datenschutzgesetze umgehen konnten. Sicherheitsvorkehrungen kosten, ebenso wie Rechenzentren in sicheren Ländern. Da zahlt es sich eben aus, wenn man nicht darauf achtgeben muss, und seine Dienste günstiger verkaufen kann.

Die Unternehmen, die sich im europäischen Raum an die hiesigen Datenschutzverordnungen halten mussten, hatten so bislang das Nachsehen. Nun wird das Feld geebnet. Das heißt nicht, dass die lokalen Unternehmen einen unfairen Vorteil haben. Es bedeutet vielmehr, dass die Arbeit, die bislang in den Datenschutz gegangen ist, sich endlich auszahlt, weil in Europa nicht mehr mit zweierlei Maß gemessen wird.

Sensibilisierung für personengebundene Daten fehlt

Natürlich gibt es auch US-Unternehmen, die geradezu vorbildlich die Daten ihrer Nutzer schützen und pflegen. Und gerade in Deutschland gibt es zahlreiche Anbieter, die sich darum bemühen, einen Sicherheitsstandard zu etablieren, der weit über den gesetzlichen Vorgaben steht.

Aber Studienergebnisse wie diese verdeutlichen, wie groß die Diskrepanz zwischen wirtschaftlichen und personenschutzrechtlichen Anforderungen für viele Unternehmen ist. Personenbezogene Daten sind keine Massenware, die man sich einfach so nehmen kann, um damit zu tun, was man will. Der Hype um Big Data mag es suggerieren, aber am Ende muss gesichert sein, dass diese Personen ihre Grundrechte behalten. Darüber sollte kein noch so großer wirtschaftlicher Vorteil gestellt werden.

Zusätzlich stellt sich die Frage, ob dieser Fluch nicht auch ein Segen sein kann. Wer vorbildliche Sicherheitsvorkehrungen einsetzt und sich um den Schutz der Daten kümmert, der kann transparent damit umgehen. Während Software-Anbieter beispielsweise gerne die Standorte ihrer internationalen Rechenzentren unter den Tisch fallen lassen, wird man den Standort deutscher Rechenzentren zu 100 Prozent sichtbar auf den Webseiten der Anbieter finden. Sicherheit ist ein Verkaufsargument und sollte - wenn Personenrechte schon keine Priorität haben - als Investition in die Nutzerzufriedenheit gesehen werden.

Datenschutzverordnung als Chance

Die geplante Datenschutzverordnung ist (hoffentlich) nicht in Stein gemeißelt, sorgt jedoch schon jetzt für Unruhe unter Datenschützern und Unternehmen. Doch es erscheint ignorant, sich darüber zu beschweren, dass grundlegende Personenrechte bei der Verwaltung von Nutzer- und Personaldaten eingehalten werden müssen, zumal sich dadurch gerade in Deutschland kaum etwas an der Rechtslage ändern wird - zumindest nicht zum Nachteil der Unternehmen.

Stattdessen sollte die Standardisierung als Chance gesehen werden, sich auch gegen US-Anbieter positionieren zu können, das Vertrauen der Nutzer zu gewinnen und fehlende Sicherheitsvorkehrungen nachzuziehen. Datenschutz ist kein Add-On, sondern sollte zur Infrastruktur jedes Unternehmens gehören. (bw)