Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Lukas Blazek, Unsplash
Wie steht es aktuell um den Datenschutz? – Umfrage des SVBM
Die Datenschutz-Grundverordnung (DSGVO) hatte letztes Jahr Geburtstag – seit nun mehr drei Jahren gilt das EU-weite Datenschutzgesetz für Unternehmen, Organisationen und Institutionen. Nach den vorgeschalteten zwei Jahren Vorlaufzeit, bedeutet das auch, dass Organisationen die Vorgaben seit drei Jahren konsequent umsetzen müssen.
Vor diesem Hintergrund stellt sich die Frage, wie konsequent diese Umsetzung tatsächlich erfolgt ist und wo es eventuell hapert. Welche Herausforderungen werden gesehen? Und wie wird die DSGVO insgesamt bewertet? Unterscheiden sich die Einschätzungen der Organisationen von denen der externen Datenschutzbeauftragten? Welche Diskrepanzen tun sich hier auf?
Die Sachverständigenbüro Mülot GmbH hat den dreijährigen Geburtstag der DSGVO zum Anlass genommen, um genau diese Fragen zu klären, in die Organisationen hineinzuhorchen und mit der Betrachtung von außen durch die externen Datenschutzbeauftragten zu vergleichen.
Methode
Dazu wurde eine Online-Umfrage durchgeführt, die sich an interne wie externe Datenschutzbeauftragte, aber auch Datenschutzkoordinationen, Geschäftsführungen und weitere Datenschutz-Verantwortliche richtet.
Je nach Position der Befragten unterscheiden sich allerdings die Angaben, die sie zur Umsetzung der Datenschutzgesetze in ihrer jeweiligen Organisation oder bei Kundinnen und Kunden machen können. Externe Datenschutzbeauftragte haben beispielsweise andere Berührungspunkte mit dem Datenschutz als Führungskräfte. Daher wurden insgesamt drei verschiedene Fragebögen entworfen, um diesen perspektivischen Unterschieden in der Arbeitsweise gerecht zu werden:
- Externe Datenschutzbeauftragte (eDSB)
- Interne Datenschutzbeauftragte (iDSB)
- Datenschutzkoordinator:innen, Führungskräfte und Sonstige
Die Umfrage lief vom 20. Mai bis zum 20. Juli 2021 und wurde mit LimeSurvey erstellt, da dies – auf den eigenen Servern gehostet – datenschutzkonform betrieben werden kann. Ziel der Umfrage war es, eine Zwischenbilanz zur aktuellen Umsetzung der Datenschutzgesetze zu ziehen und herauszufinden, was Organisationen an der konsequenten Umsetzung hindert.
Externe Datenschutzbeauftragte
Wie ist die aktuelle Marktlage für externe Datenschutzbeauftragte?
Bei den 24 externen Datenschutzbeauftragten war unter anderem die aktuelle Marktlage von Interesse. Hier zeigt sich, dass die meisten externen DSB soloselbstständig sind. Einige sind aber auch angestellt oder haben eine eigene Firma mit Angestellten.
Die meisten Organisationen sind allerdings recht klein und beschäftigen maximal fünf Datenschutzbeauftragte. Zudem sind die meisten Organisationen regional tätig oder maximal deutschlandweit. Nur 14 % weisen einen internationalen Tätigkeitsbereich auf. Dies könnte unter anderem mit der Größe zusammenhängen. Die Anzahl der Benennung hingegen variiert etwas – vermutlich im Verhältnis zur Beschäftigtenzahl – zwischen bis zu fünf und bis zu 50. Mehr als 50 Bestellungen kommen in nur 15 % der Fälle vor.
Auch der durchschnittliche Tagessatz variiert stark und schwankt in den meisten Fällen zwischen maximal 600 Euro und 1.400 Euro. Die jährlichen Pauschalen unterscheiden sich ebenfalls teilweise extrem. Die häufigsten Angaben sind bis zu 1.000 Euro und mehr als 3.000 Euro.
Insgesamt sind Organisationen, die externe DSB beschäftigen, also eher klein mit maximal fünf Beauftragten, bewegen sich primär im regionalen Raum und haben maximal 50 Bestellungen. Die finanziellen Aspekte sind weniger homogen. Es lässt sich aber festhalten, dass der Tagessatz in den meisten Organisationen 1.400 Euro nicht überschreitet. Zu den Jahrespauschalen lässt sich keine allgemeingültige Aussage treffen.
Wie schätzen externe Datenschutzbeauftragte die Datenschutzumsetzung ihrer Kundinnen und Kunden ein und welche Herausforderungen werden hier gesehen?
Insgesamt sehen die externen DSB mit drei Vierteln den größten Handlungsbedarf bei der Sensibilisierung von Mitarbeitenden. Auch bei der Erstellung des VVT, dem Umgang mit Datenschutzverletzungen und der Umsetzung der technischen und organisatorischen Maßnahmen sieht mindestens die Hälfte der Beauftragten einen großen Handlungsbedarf.
Passend zum Handlungsbedarf in der Sensibilisierung sehen die externen DSB die größte Herausforderung bei ihren Kundinnen und Kunden in der mangelnden Akzeptanz. Komplexität und mangelnde Ressourcen werden zwar auch häufig genannt, spielen aber eher eine untergeordnete Rolle.
Interne Datenschutzbeauftragte
Wie ist die aktuelle Umsetzung der DSGVO?
Die aktuelle Umsetzung der Datenschutzanforderungen gestaltet sich je nach Organisation sehr unterschiedlich. Nicht zuletzt, weil sich das zur Verfügung stehende Budget stark unterscheidet. Mehr als jede zehnte Organisation beispielsweise hat kein Budget – bei 29 % der befragten Organisationen beläuft sich das Budget hingegen auf mehr als 10.000 Euro. Die meisten Organisationen bewegen sich in Bezug auf ihr Weiterbildungsbudget für die internen DSB im unteren Bereich: 56 % stehen maximal 1.000 Euro zur Verfügung.
Zudem fällt auf, dass den 36 iDSB kaum Zeit zur Verfügung steht. Knapp die Hälfte beschäftigt sich zu maximal 20 % ihrer Arbeitszeit mit dem Thema Datenschutz. Die Ressourcen dürften sich auch in der Zufriedenheit mit der Umsetzung niederschlagen. Etwas mehr als die Hälfte der Befragten ist nämlich mindestens eher unzufrieden. Hier besteht also Aufholbedarf. Erfreulich ist hingegen, dass 60 % der Befragten noch keine (meldepflichtigen) Datenschutzvorfälle hatten.
Welche Herausforderungen gibt es in der Umsetzung und wo besteht der größte Handlungsbedarf?
Ebenso wie das Budget und die zur Verfügung stehende Zeit wird auch der aktuelle Handlungsbedarf sehr unterschiedlich eingeschätzt. In keiner Organisation gibt es sehr wenig Handlungsbedarf – bei knapp zwei Drittel besteht eher bis sehr viel Bedarf. Der größte Handlungsbedarf wird bei der Erstellung des VVT gesehen; dicht gefolgt von der Sensibilisierung der Mitarbeitenden, wie zuvor auch bei den externen DSB.
Analog dazu ist neben der Komplexität des Datenschutzes auch mangelnde Akzeptanz eine der größten Herausforderungen in der Umsetzung. Diese Akzeptanz könnte durch entsprechende Sensibilisierungsmaßnahmen gefördert werden. Dass Zeit und Akzeptanz fehlen, zeigt sich auch in den gewünschten Ressourcen, die den internen DSB helfen würden, den Datenschutz besser umzusetzen. Beide Punkte werden von mindestens der Hälfte angeführt. Überraschend ist, dass finanzielle Ressourcen trotz des teilweise recht geringen Budgets weder als entscheidende Herausforderung angesehen noch bei der Frage nach den gewünschten Ressourcen angegeben werden.
Sonstige
Wie ist die aktuelle Umsetzung der DSGVO?
Die absolute Mehrheit der 21 befragten Datenschutzkoordinationen, Geschäftsführungen und Sonstigen haben mindestens eine Ansprechperson für Datenschutzfragen festgelegt und zu 71 % Datenschutzbeauftragte bestellt – davon leicht mehr externe. Die Mehrheit derjenigen, die externe DSB bestellt haben, sind zudem mit den Beauftragten zufrieden.
Knapp zwei Drittel der Befragten sind zudem mit der Umsetzung des Datenschutzes mindestens eher zufrieden. Volle Zufriedenheit (Stufen 9 und 10 der Skala) wird allerdings nicht gezeigt. In dieser Zielgruppe wurden sogar noch weniger Datenschutzvorfälle als bei den internen DSB angegeben: 71 % hatten noch keinen (meldepflichtigen) Vorfall.
Welche Herausforderungen gibt es in der Umsetzung und wo besteht der größte Handlungsbedarf?
Die Befragten schätzen den aktuellen Handlungsbedarf recht divers ein. Ein gutes Drittel sieht kaum bis geringen Handlungsbedarf. Bei den restlichen zwei Drittel besteht zumindest ein gewisser Handlungsbedarf. Ähnlich wie bei den externen und zu einem etwas geringeren Teil bei den internen DSB, zeigt sich bei der Sensibilisierung von Mitarbeitenden auch hier mit Abstand der größte Handlungsbedarf.
Genauso wie bei den internen DSB sehen auch die weiteren Befragten die größten Herausforderungen in der Komplexität und mangelnden Akzeptanz von Datenschutzthemen. Diese Herausforderungen werden zudem als noch größer eingeschätzt. Auch hier erhalten die Kosten eine maximal nachgeordnete Rolle.
Allgemeine Fragen zur DSGVO
Trotz aller wahrgenommenen Herausforderungen und den jeweiligen Handlungsbedarfen bewerten die Befragten die DSGVO insgesamt positiv. Knapp zwei Drittel sind zumindest eher zufrieden mit dem Datenschutzgesetz. Volle Zufriedenheit gab es zwar bei keiner Zielgruppe. Allerdings fällt auf, dass die externen DSB die meiste Zufriedenheit zeigen. Die Geschäftsführungen sind hingegen eher unzufrieden.
Positiv ist zudem, dass zwei Drittel der Befragten der Aussage „Die DSGVO hilft den Menschen zur Selbstbestimmung.“ zustimmen. Hier wird der DSGVO also ein gewisses Potential zugetraut. Bei dem Zusammenhang von Digitalisierung und Datenschutz sind sich die Befragten allerdings nicht so einig. „Durch die Digitalisierung kann der Datenschutz besser umgesetzt werden.“ Je die Hälfte der Befragten stimmt dieser Aussage zu variierenden Graden zu bzw. lehnt sie ab.
Ausblick
Drei Jahre DSGVO zeigen: Die absolute Mehrheit der befragten Organisationen haben die Verantwortlichkeiten rund um den Datenschutz geklärt und primär Datenschutzbeauftragte bestellt. Aber: Der Datenschutz wird nicht in jeder Organisation gleich umgesetzt, die zur Verfügung stehenden Ressourcen unterscheiden sich und die Zufriedenheit in der Umsetzung ist dementsprechend auch je nach Organisation anders.
Kurz gesagt: Es gibt Diskrepanzen und in einigen Fällen Nachholbedarf. Dieser zeigt sich vor allem bei den Themen Sensibilisierung und Akzeptanz sowie mehr Zeit für interne Datenschutzbeauftragte. Nur, wenn alle in der Organisation an einem Strang ziehen und auch die Führungskräfte hinter den Datenschutzverantwortlichen stehen, kann eine konsequente Umsetzung des Datenschutzes gelingen. Dafür muss sowohl der Führungsetage als auch den Mitarbeitenden bewusst werden, wie wichtig Datenschutz ist und vor allem auch, warum. Hier können Schulungen und Weiterbildungsangebote Abhilfe schaffen – für Führungskräfte gleichermaßen wie für Datenschutzverantwortliche und die einzelnen Mitarbeitenden.
Sie möchten die gesamte Auswertung unserer Datenschutz-Umfrage? Melden Sie sich zu unserem Newsletter an! Die Auswertung erhalten Sie dann umgehend als Download.