Die DSGVO bleibt ein Kraftakt für kommunale Unternehmen – über das Jahr 2018 hinaus

25 Mai, 2018

Seit dem 25. Mai 2018 gelten in der EU einheitliche Datenschutzregeln, die zudem strenger sind als bisher. Für kommunale Unternehmen ist die sogenannte Datenschutz-Grundverordnung (DSGVO) ein Damoklesschwert, weil ihre Implementierung hochkomplex ist und Verstöße dagegen Millionen von Euro kosten können. Alfred Höhn, Leiter Öffentlicher Sektor bei PwC und Dr. Jan-Peter Ohrtmann, Experte für IT-Recht und Datenschutz bei PwC Legal über den Umsetzungsstand bei öffentlichen Unternehmen und die Gründe für deren Aufholbedarf.

Herr Höhn, Sie haben mehr als 200 große und kleine kommunale Unternehmen verschiedener Branchen zur neuen EU-Datenschutz-Grundverordnung befragt, bei der es vor allem um den Schutz personenbezogener Daten geht. Mit personenbezogenen Daten verbinden wir eher Facebook und Co. Sind sie für kommunale Betriebe auch so wichtig?

Alfred Höhn: Und wie. Rund 91 Prozent der befragten Unternehmen gaben an, dass personenbezogene Daten für sie „wichtig“ und „sehr wichtig“ sind. Der wesentliche Grund dafür ist, dass die Digitalisierung nur mit Prozess- und Personendaten funktioniert. Der Erfolg der Unternehmenstransformation vom analogen ins digitale Zeitalter, also der Erfolg künftig digitaler Geschäftsmodelle, hängt ganz wesentlich davon ab, wie gut die Unternehmen ihre Kunden kennen. Das gilt für kommunale und private Unternehmen gleichermaßen. Es heißt zu recht: Daten sind das neue Öl. 

Und Öl kann teuer werden, oder?

Höhn: Richtig. Es bereitet den Unternehmen mit Blick auf die DSGVO sehr große Sorgen, dass der Gesetzgeber bei Verstößen Bußgelder in Höhe von bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens verlangt.

Vier Prozent oder 20 Millionen Euro Bußgeld. Das rüttelt wach.

Höhn: So eine Summe tut den kommunalen Unternehmen schon beim Lesen weh. Diese Betriebe haben gemeinhin kaum finanzielle Reserven, weil sie mit ihren Gewinnen auch andere kommunale Aufgaben zu finanzieren haben. Und trotzdem müssen sie die Digitalisierung genauso bewältigen wie private Unternehmen. Nun kommt noch die Datenschutz-Grundverordnung hinzu.

Herr Dr. Ohrtmann, angesichts der hohen Strafen ist es erstaunlich, dass wenige Wochen vor dem ersten Geltungstag der DSGVO etliche der von Ihnen befragten Unternehmen noch nicht optimal darauf vorbereitet waren.

Jan-Peter Ohrtmann: Auf die Frage nach dem Vorbereitungsstand antworteten rund 36 Prozent, dass sie „sehr gut vorbereitet“ seien und die DSGVO-Vorgaben „zum größten Teil eingearbeitet“ hätten. 50 Prozent räumten ein, dass sie „das Meiste noch umsetzen“ müssten. Fast 10 Prozent gaben an, „noch keine Strategie erarbeitet“ zu haben. Und vier Prozent hatten sich bis Ende April 2018 noch gar nicht mit der DSGVO beschäftigt. Das ist sicher nicht optimal, aber erstaunlich ist es ebenfalls nicht.

Warum nicht?

Ohrtmann: Sehr viele Unternehmen haben die Relevanz und die Tiefe der Regulierung insbesondere für ihre Geschäftsprozesse erst nach und nach überblickt und deshalb den zeitlichen, personellen und finanziellen Aufwand unterschätzt. Daten und Datenregulierung sind ein relativ junges Thema. Und die DSGVO und ihre Folgen reichen bis an die Substanz der Unternehmen. Zumal es nicht nur um die eigenen Prozesse und Datenmanagementsysteme geht, sondern auch um die Abläufe bei Dienstleistern und anderen Geschäftspartnern. Die Veränderungen in den einzelnen Unternehmen gehen weit über den eigenen Datenschutz hinaus.

Ihre Umfrage lässt vermuten, dass das Gros der öffentlichen Unternehmen am 25. Mai 2018 längst nicht alle Anforderungen der EU-Datenschutz-Grundverordnung erfüllt hat. Ist deshalb ab diesem Tag eine Flut an Strafen zu erwarten?

Höhn: Das können wir uns kaum vorstellen, zumal wahrscheinlich eine deutliche Mehrheit der privaten und öffentlichen Unternehmen die Anforderungen auch Wochen nach dem 25. Mai noch nicht hundertprozentig erfüllt.

Wird der Gesetzgeber ihnen das durchgehen lassen?

Ohrtmann: Der Ball liegt jetzt nicht mehr beim Gesetzgeber, sondern bei den Datenschutzaufsichtsbehörden. Diese werden Beschwerden nachgehen, aber nach eigener Auskunft in der ersten Zeit nicht umfangreich proaktiv Prüfungen vornehmen. Was den Gesetzgeber angeht: In zwei Jahren erfolgt die erste Evaluation der Datenschutz-Grundverordnung. Offensichtlich unpraktikable oder unklare Regelungen werden dann gegebenenfalls angepasst.

Glauben Sie, dass die kommunalen Unternehmen ihre wesentlichen Handlungsfelder und Risiken wenigstens schon vollständig identifiziert haben?

Höhn: Auch dies wollten wir in der Befragung wissen. Erst rund 75 Prozent glauben, dass sie diesbezüglich im Bilde sind. Dass fast ein Viertel der Befragten hier Defizite einräumen musste, liegt auch daran, dass viele Unternehmen nach wie vor nur eingeschränkte Transparenz über die Verarbeitungsprozesse ihrer personenbezogenen Daten haben.

Woran liegt das?

Ohrtmann: 66 Prozent der Unternehmen gaben an, bislang „nur zum Teil“ die wesentlichen personendatenbezogenen Prozesse erfasst zu haben. Und 14 Prozent hatten sie „noch nicht“ erfasst. Daran sieht man: Die Basisarbeit, die Unternehmen für ihre Digitalisierung leisten müssen – nämlich die eigenen datenbasierten Prozesse zu verstehen – ist noch lange nicht abgeschlossen. 

Welche Herausforderungen müssen Unternehmen jetzt unter dem Damoklesschwert DSGVO schnellstmöglich meistern?

Höhn: Da passt unsere PwC-eigene Projekterfahrung ganz klar mit der Selbstreflexion der befragten Unternehmen zusammen. Die Top 3 sind – in dieser Prioritätenfolge – personelle Herausforderungen, prozessuale Herausforderungen und rechtliche Unsicherheiten. Wir unterstützen unsere Kunden hierbei mit allen Kapazitäten. Die Datenschutz-Grundverordnung bleibt für alle kommunalen Unternehmen ein Kraftakt – über das Jahr 2018 hinaus.   

Contact us

Prof. Dr. Rainer Bernnat
Partner, Leiter Öffentlicher Sektor, PwC Strategy&, PwC Germany
Tel.: +49 69 97167-414
E-Mail

Dr. Jan-Peter Ohrtmann
Partner, PwC Germany
Tel.: +49 211 981-2572
E-Mail