Neue Datenschutzregelungen stellen Unternehmen in diesem Jahr vor große Herausforderungen. Für die Umsetzung fehlt vielen aber ausreichend qualifiziertes Personal. Mehr als jede zweite Firma (56 Prozent) in Deutschland hat laut einer aktuellen Bitkom-Studie weniger als eine Vollzeitstelle eingeplant, die sich hauptsächlich mit Datenschutzthemen befasst. In exakt eine volle Stelle investiert gut jedes vierte Unternehmen (27 Prozent). Und nur 14 Prozent der Befragten wollen oder können sich mehr als eine Vollzeitstelle leisten, die sich mit Datenschutz beschäftigt.
Mit der vom 25. Mai 2018 an verbindlichen EU-DSGVO ergeben sich viele neue Pflichten. "Der Arbeitsaufwand für die Umsetzung ist enorm, gleichzeitig suchen Arbeitgeber händeringend nach den richtigen Fachkräften", sagt Susanne Dehmel, für Recht und Sicherheit zuständiges Mitglied der Bitkom-Geschäftsführung.
Mehr Pflichten gegenüber Kunden
Die Unternehmen hatten eine zweijährige Umsetzungsfrist, in der sie sich auf die neuen Regeln einstellen konnten. Sie läuft im Mai 2018 ab. Im Mittelpunkt steht die Pflicht, ein Verarbeitungsverzeichnis für Personendaten zu erstellen. Außerdem müssen die Firmen Prozesse in der Produktentwicklung anpassen, um den neuen Anforderungen der Privacy by Design gerecht zu werden. Darüber hinaus gilt es, zusätzliche Informationspflichten gegenüber den Kunden zu berücksichtigen.
Voraussichtlich in der zweiten Jahreshälfte 2018 entscheidet die EU dann auch noch über die sogenannte E-Privacy-Verordnung. Deren Ziel ist es, die Vertraulichkeit der Kommunikation zu schützen. Darüber hinaus formuliert die E-Privacy-Verordnung zusätzliche Vorschriften, die besonders im Bereich der Verarbeitungs- und Speicherfunktion in Endgeräten wie PCs, Tablets oder Smartphones über die Datenschutz-Grundverordnung hinausgehen.
ITK-Verband sieht Innovationen gehemmt
Der ITK-Verband kritisiert daher den Gesetzentwurf zur E-Privacy-Verordnung. "Künftige Innovationen werden durch diese Regelung bedroht", fürchtet Dehmel. So werde die bereits gefundene Balance zwischen dem Schutz der Privatsphäre einerseits und neuen Technologien andererseits wieder zerschlagen: "Was die Datenschutz-Grundverordnung erlaubt, darf die E-Privacy-Verordnung nicht wieder zurückdrehen." Bisher stellt die E-Privacy-Verordnung in mehreren Bereichen eine nach DSGVO erlaubte Datenverarbeitung entweder unter den Vorbehalt einer strengeren Form der Einwilligung oder untersagt sie vollständig. Zudem erfasse der Kommissionsentwurf auch Vorgänge, bei denen keine personenbezogenen Daten verarbeitet würden.
Für den Einstieg in die DSGVO hat der Bitkom Frequently Asked Questions (FAQ) veröffentlicht, die einen Überblick über die Veränderungen zur heutigen Rechtslage geben. Außerdem hat der Verband Leitfäden erstellt, wie Verpflichtungen aus der Verordnung umgesetzt werden können: Es geht darin um die Datenübermittlung in Drittstaaten, das Verarbeitungsverzeichnis, das Risk Assessment, die Datenschutz-Folgenabschätzung sowie die Mustervertragsanlage zur Auftragsverarbeitung.