Wie steht es bei Unternehmen um die DSGVO? Erkenntnisse & Handlungsempfehlungen aus unserer Business-Studie

Autor: Fabio Marti
Veröffentlicht am 27. Mai 2019

Die nun seit einem Jahr gültige Datenschutz-Grundverordnung (DSGVO) hat für einigen Wirbel gesorgt – denn hier gab und gibt es noch immer einigen Nachholbedarf, um den gesetzlichen Anforderungen zu entsprechen. Aber wie sieht eigentlich der genaue Stand der Dinge bei den Unternehmen und Organisationen in Deutschland aus? Wie hat sich das Bewusstsein seit Einführung verändert? Wurden ausreichende Konsequenzen gezogen oder besteht weiterhin das Risiko hoher Geldstrafen? Eine Business-Studie, die von Ende April bis Mitte Mai im Auftrag der Brabbler AG durchgeführt wurde, gibt wertvollen Aufschluss. Außerdem haben wir aus den Ergebnissen einige konkrete Handlungsempfehlungen für Unternehmen gezogen.

Inhalt:

Rahmendaten & Aussagekraft der Business-Studie zur DSGVO

Die Business-Studie rund um digitale Kommunikation und Datenschutz wurde vom 30. April bis zum 13. Mai 2019 durchgeführt und umfasst die Antworten von insgesamt 729 Personen (nach Qualitätsausschüssen). Bei der Auswahl der Befragten stand eine ausgewogene Verteilung im Vordergrund – sowohl was Alter und Geschlecht betrifft, als auch die geschäftlichen Bereiche sowie die berufliche Stellung als Entscheider, Person mit Einfluss auf Entscheidungen oder als von wichtigen Entscheidungen ausgenommene Person. Um eine möglichst hohe Aussagekraft und damit valide Erkenntnisse für Unternehmen ziehen zu können, wurden ausschließlich Berufstätige befragt. Die Altersspanne reicht von 20 bis 60 Jahren.

Die Studie wurde zum ersten Mal 2018 kurz vor dem Inkrafttreten der DSGVO durchgeführt, nun folgt die Neuauflage. Somit stehen direkte Vergleichswerte zur Verfügung und die Ergebnisse lassen nützliche Rückschlüsse auf die Frage zu, welchen Einfluss die DSGVO auf Unternehmen und Organisationen seit Ihrer Einführung hatte und auch immer noch hat. Weiterhin lässt sich ableiten, wo für Unternehmen dringender Handlungsbedarf herrscht.

Datenschutz & Kommunikation im Jahr 2019 – die wichtigsten Erkenntnisse

Gerade im Vergleich mit den Ergebnissen aus dem Vorjahr eröffnet die Business-Studie hilfreiche Informationen, die sich direkt und indirekt aus den Antworten ablesen lassen. Neben so mancher Bestätigung des Offensichtlichen wird vor allem deutlich, wie viel Nachholbedarf noch immer besteht – gerade was das Bewusstsein des Einzelnen betrifft.

Selbstverständlich können Sie gerne einen ausführlichen Blick in den Report zur Studie werfen oder sich unserer detaillierten Auswertung widmen. Die wichtigsten Erkenntnisse finden Sie hier in aller Kürze:

  • DSGVO bringt deutlichen Mehraufwand mit sich
    Wenig verwunderlich ist, dass die DSGVO den Arbeitsalltag erschwert – was immerhin knapp 54 % der Befragten bestätigen. An vielen Stellen herrscht auch weiterhin Nachholbedarf: Denn lediglich 38 % der Befragten geben an, dass im Unternehmen alle erforderlichen Maßnahmen umgesetzt wurden, während 5 % noch nicht einmal damit angefangen haben.
  • Geschäftliche Nutzung von WhatsApp nimmt weiter zu
    Trotz der Verordnung der Europäischen Union ist der datenschutzrechtlich äußerst problematische Einsatz von WhatsApp und anderen privaten Lösungen am Arbeitsplatz nach wie vor gang und gäbe. Insgesamt geben 41 % der Studienteilnehmer an, private Dienste für geschäftliche Zwecke zu verwenden. Das sind genauso viele wie im Vorjahr. Gestiegen ist die Zahl der Beschäftigten, die WhatsApp auf ihrem geschäftlichen Smartphone installiert haben – und zwar von 49 % auf 53 %. Selbst wenn nicht alle davon den Messenger auch tatsächlich für berufliche Zwecke einsetzen, sondern nur privat nutzen, setzen sie ihren Arbeitgeber damit einem großen Risiko aus. Der Messenger liest die Adressbücher der Mitarbeiter aus, gibt sie ungefragt an die Konzernmutter Facebook weiter, die sie in den USA speichert, und verstößt damit klar gegen geltendes EU-Recht.
  • Erschreckende Wissenslücken auch und gerade in der Unternehmensführung
    Geradezu erschreckend ist der Wissensstand zur DSGVO: Zwar ist der Anteil derer, die noch nie etwas davon gehört haben, seit letztem Jahr immerhin von 17 % auf 5 % zurückgegangen. Und auch der Anteil derer, die davon gehört haben, aber nicht konkret wissen worum es geht, ist von 48 % auf 35 % gesunken. Doch stellt sich die Frage, wie diese Wissenslücken trotz der massiven Berichterstattung und der Dringlichkeit überhaupt noch möglich sind. Selbst in der Unternehmensführung wissen immerhin 31 % nichts Genaueres über die DSGVO und 3 % haben noch nie davon gehört. Was gerade in verantwortlichen Positionen schwerwiegende Folgen haben kann.
  • Trotz Bedenken: Facebook und WhatsApp weiterhin omnipräsent
    Dass allein das Wissen um bestehende Risiken nicht ausreicht, zeigt der Umgang mit den Facebook-Diensten: Obwohl 82 % jener Befragten, die mindestens einen der vier Dienste nutzen, die Ansicht vertreten, dass das Unternehmen zu sorglos mit ihren Daten umgehe, sind nur die Wenigsten konsequent: Zwar geben 40 % an, ihr Nutzungsverhalten durch die Berichterstattung rund um das Unternehmen geändert zu haben, doch einen entsprechenden Schlussstrich ziehen nur rund 21 %: Sie äußern den Entschluss, sich binnen zwei Monaten von einem oder mehreren der Facebook-Dienste abmelden zu wollen.
  • Schatten-IT – die unkalkulierbare Sicherheitslücke
    Dass diese Inkonsequenz auch für Unternehmen ein Sicherheitsrisiko darstellt, zeigt sich im Umgang mit den Diensten am Arbeitsplatz: Wie oben bereits erwähnt, haben über die Hälfte der Studienteilnehmer WhatsApp auch auf dem geschäftlich genutzten Smartphone installiert. Mehr als 57 % Prozent sind sich bewusst, dass der Zugriff auf die Kontakte durch WhatsApp ein ernstes datenschutzrechtliches Problem für das Unternehmen oder die Organisation darstellen kann – und trotzdem nutzen den Dienst immerhin noch gut 49 % dieser Gruppe. Das mag auch mit der weitverbreiteten Bring-your-own-Device-Mentalität (BYOD) zusammenhängen. Denn wie im letzten Jahr nutzt fast die Hälfte der Befragten das private Smartphone für geschäftliche Zwecke – in Unternehmen mit weniger als 25 Mitarbeitern sind es sogar 71 %. In Verbindung mit den richtigen Tools und einem verantwortungsbewussten Umgang kann ein BYOD ein äußerst sinnvolles Konzept sein. Nur scheinen die Voraussetzungen dafür an vielen Stellen einfach noch nicht gegeben: Allein bei gut 10 % der Befragten gibt es klare Regeln UND technische Limitierungen dazu, was auf dem geschäftlich genutzten Smartphone installiert werden darf.
  • Der Knackpunkt: Das Bewusstsein um die eigene Verantwortung
    Ein Grund für den erschreckend laschen Umgang mit dem Thema Datenschutz und letztendlich auch mit Geschäftsgeheimnissen liegt vermutlich im mangelnden Bewusstsein für die Bedeutung des Einzelnen. Besonders auffällig ist, dass 55 % der Befragten zustimmen, dass ihr Arbeitgeber gewissenhafter mit ihren persönlichen Daten umgehen solle – und doch nutzen sie selbst unsichere Dienste. Wenn Unternehmen sich zukünftig besser aufstellen möchten, sollten Sie also vor allem an diesem Punkt ansetzen.
    Die geringe Eigenverantwortung zeigt sich übrigens ebenso bei der Anmeldung zu Onlinediensten: Hier ist der Anteil derer, die vorab die Datenschutzhinweise einer Prüfung unterziehen, von 65 % auf 49 % Prozent gesunken. Es scheint also – im Kontrast zu unseren bisherigen Erkenntnissen – ein größeres Vertrauen zu herrschen, dass die Regelungen der DSGVO auch wirklich greifen.

Wie können Unternehmen nun reagieren?

Um die Erkenntnisse aus der Studie sinnvoll zu nutzen und Risiken zukünftig besser entgegenzuwirken, empfehlen wir vor allem zwei konkrete Schritte:

  • Stärken Sie das Bewusstsein für die Relevanz jedes einzelnen Mitarbeiters
    Je größer ein Unternehmen ist, desto einfacher scheint es, sich als Einzelner im Ganzen zu verstecken, damit aus der Verantwortung zu ziehen und dementsprechend lasch mit dem Thema Datenschutz umzugehen. Wenn Sie also Ihre Mitarbeiter über positive Stärkung in die Verantwortung ziehen und ihnen gleichzeitig bewusst machen, welchen Stellenwert sie für die Sicherheit des Unternehmens haben, können Sie mit überschaubaren Mitteln große Fortschritte erzielen. Das gilt insbesondere für Führungskräfte: Sie sollten sich stets ihrer Vorbildfunktion bewusst sein und ihren Wissensstand rund um datenschutzrechtliche Themen aktuell halten.
  • Stellen Sie proaktiv geeignete Tools zur Verfügung
    Wenn Sie nicht möchten, dass Ihre Mitarbeiter externe und damit nicht kontrollbare Tools nutzen, stellen Sie proaktiv passende Tools zur Verfügung, die den Anforderungen der Compliance entsprechen. Ein guter Ansatz ist beispielsweise die Einführung eines sicheren Business-Messengers, um die Nutzung der Facebook-Dienste für geschäftliche Zwecke überflüssig zu machen. Das Gleiche gilt fürs Filesharing: Es ist durchaus verständlich und naheliegend, wenn Mitarbeiter auf einfache Wege zurückgreifen, wenn die interne Infrastruktur keine effizienten Möglichkeiten bietet. Am besten führen Sie regelmäßig Gespräche mit den verschiedenen Teams, um ein Gefühl dafür zu bekommen, wo Nachholbedarf besteht. Ein weiterer Vorteil: Sie erhöhen damit die Produktivität im Unternehmen. 

Übrigens: Diese Empfehlungen gelten nicht nur auch, sondern insbesondere für kleine Unternehmen. Hier herrschen oft Vorbehalte, weil die Einführung neuere Tools bzw. eines Messengers zu aufwendig sei. Dabei ist häufig das Gegenteil der Fall: Denn im Gegenzug schafft ein sicherer Business Messenger wesentlich bessere Voraussetzungen, um den Anforderungen der DSGVO und der gesetzlich vorgeschriebenen Archivierung zu entsprechen.

Zum Abschluss sei noch einmal gesagt: Nutzen Sie die Erkenntnisse aus der Studie, um sich zukünftig (noch) besser aufzustellen und das Bewusstsein in Ihren Teams zu stärken. Wir sind sehr gespannt, welche Änderungen sich dann im nächsten Jahr in der Studie zeigen werden.