Viele Verwaltungen hinken bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) hinterher und riskieren sogar Datenpannen. Mit dem smarten Selbsttest der Studie „DSGVO-Index“ lässt sich nun prüfen, wie es um die DSGVO in Ihrer Verwaltung bestellt ist.

Die DSGVO gilt seit dem 25. Mai 2018 sowohl für Unternehmen und Vereine als auch für öffentliche Stellen, sobald sie personenbezogene Daten verarbeiten. Die vom Analystenhaus techconsult durchgeführte Studie „DSGVO-Index“ zeigt allerdings, dass immer noch erheblicher Nachholbedarf bei der Umsetzung besteht. Für die Studie wurden 259 Unternehmen und öffentlichen Verwaltungen in Deutschland befragt.

Starke Defizite in den Verwaltungen
Vor dem Inkrafttreten der DSGVO gab es eine Übergangsfrist von zwei Jahren, um die Anforderungen der Verordnung zu erfüllen. Dennoch gelang es weder den öffentlichen Stellen noch den Unternehmen, diese fristgerecht umzusetzen. In der Studie „DSGVO-Index“ gaben 9 % der Verwaltungen sogar an, noch gar nicht mit der Umsetzung begonnen zu haben. Knapp die Hälfte ist aktuell dabei, und nur 42 % sehen ihre internen Prozesse im Einklang mit der DSGVO. Im Vergleich zur Wirtschaft liegen die Verwaltungen knapp unter dem Durchschnitt von 43 %.
Gefahr durch ungeschulte Beschäftigte
Kleinen Gemeinden und Kommunen ohne eigene IT-Abteilungen fehlt es oft an qualifiziertem Personal, um die umfassenden und komplexen Inhalte der Verordnung mit den eigenen Prozessen abzugleichen. Weil in der öffentlichen Verwaltung aber viele personenbezogenen Daten verarbeitet werden, müssen diese Defizite unbedingt beseitigt werden. Die Kommunen können dabei auf externe Datenschutzbeauftragte oder Berater zurückgreifen, oder selbst aktiv werden. Dabei hilft der Self-Check der Studie „DSGVO-Index“: Mit ihm lässt sich der interne Umgang mit verschiedenen Datengruppen auf DSGVO-Konformität prüfen.
Die Einhaltung der GSGVO erfordert nicht nur geeignete technische Datenschutzmaßnahmen, sondern auch die Sensibilisierung der Beschäftigten, die dafür konkrete Anweisungen oder Schulungen benötigen. Das wurde der Studie zufolge bei 35 % der Beschäftigten in der öffentlichen Verwaltung versäumt; die Unternehmen stehen kaum besser da, bei ihnen wurden 33 % der Angestellten weder geschult noch erhielten sie Anweisungen.

Ohne Bußgelder entsteht kein Druck
Für Unternehmen haben die Bußgelder, die bei bei Verstößen gegen die DSGVO bis zu 20 Millionen Euro betragen können, existenzgefährdenden Charakter. Diesem Druck sind öffentliche Stellen jedoch nicht ausgesetzt, da gegen sie bei Datenschutzverstößen keine Bußgelder verhängt werden können. Durch die fehlenden Druckmittel ist auch weiterhin davon auszugehen, dass die DSGVO von öffentlichen Verwaltungen nur langsam und zögerlich umgesetzt wird. Allerdings kann es durch sorglosen Umgang mit personenbezogenen Daten zu Datenschutzpannen und in der Folge zu massiven Reputationsschäden kommen. Dagegen sollten sich öffentliche Stellen schützen.

Sorgloser Umgang mit Auskunftsersuchen
Die Datenschutz-Grundverordnung stärkt europaweit die Rechte der Betroffenen und gibt ihnen die Möglichkeit, von umfassenden Auskunfts- und Informationsrechten Gebrauch zu machen. Betroffene zeigten bislang besonders großes Interesse an den Daten, die von öffentlichen Stellen verarbeitet werden. So erhielten bereits 56 % der Verwaltungen Auskunftsersuchen, die innerhalb eines Monats bearbeiten werden müssen. Hingegen gingen nur bei 39 % der Unternehmen Auskunfts-, Berichtigungs-, Sperrungs- oder Löschungsersuchen von Betroffenen ein.
Dabei muss jedoch sichergestellt werden, dass die Antragsteller auch diejenigen sind, für die eine Auskunft gefordert wird. Wird die Identität nicht geprüft, so droht eine Datenpanne. Angesichts dieser Gefahr verhalten sich die öffentlichen Verwaltungen beim Erfüllen ihrer datenschutzrechtlichen Verpflichtungen äußerst nachlässig. So werden 26 % der Auskunftsanfragen ohne Prüfung der Identität bearbeitet, wodurch sie eine Datenschutzverletzung in Form einer unbefugten Offenlegung riskieren. Auch bei der Einhaltung der Auskunftspflicht besteht Nachholbedarf. So geben 9 % der Befragten in den öffentlichen Verwaltungen an, Auskunftsanfragen nicht zu beantworten und somit der datenschutzrechtlichen Verpflichtung nicht nachzukommen.

Selbsttest für Behörden und Unternehmen
Um die Umsetzung der DSGVO in der eigenen Verwaltung voranzutreiben, ist zunächst ein umfassender Blick auf die internen Prozesse nötig. Das ermöglicht der im Rahmen der Studie konzipierte Selbsttest. Der multidimensionale Test umfasst die Verarbeitung von sechs Datengruppen und erklärt die notwendigen Maßnahmen. Nach Beantwortung der datengruppenspezifischen Fragen erhalten Behörden und Unternehmen konkrete Vorschläge zur direkten Umsetzung der DSGVO.

Fazit
Es hakt in Deutschland bei der Umsetzung der DSGVO, speziell in den öffentlichen Verwaltungen; manche haben noch nicht einmal damit angefangen. Da den Verwaltungen keine Bußgelder drohen, gehen sie die Umsetzung oft zögerlich an. Allerdings drohen ihnen Datenpannen, die dann wiederum zu einem massiven Verlust der Reputation führen können. Die Studie „DSGVO-Index“ leistet den Kommunen nun Hilfe zur Selbsthilfe: Wie es bei ihnen um die DSGVO bestellt ist, können sie mit dem kostenlosen Selbst-Check schnell herausfinden.

Autor: Ercan Hayvali, Analyst, techconsult GmbH