Hohe Strafen und Schadenersatzansprüche drohen

Gut einen Monat vor dem Start des neuen europäischen Datenschutzrechts ist jeder zweite Mittelständler in Deutschland noch völlig planlos: 36 Prozent der kleinen und mittleren Unternehmen (KMU) haben von den neuen Regeln noch nicht einmal etwas gehört. Ein Fünftel weiß zwar davon, hat sich aber noch nicht darauf vorbereitet. Das geht aus einer repräsentativen Forsa­Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) hervor.

Nur jeweils 22 Prozent der KMU haben sich auf die Scharfschaltung der EU­Datenschutzgrundverordnung (DSGVO) vorbereitet oder wollen noch Änderungen umsetzen.

„Die Mehrheit der kleinen und mittleren Unternehmen nimmt den Datenschutz immer noch auf die leichte Schulter“, sagt Peter Graß, Cyberversicherungsexperte des GDV. So fehlten oft Regeln zum Umgang mit sensiblen Informationen, auch die IT­Technik sei häufig lückenhaft. „Ohne ausreichende Schutzvorkehrungen drohen den Unternehmen hohe wirtschaftliche Schäden, etwa infolge von Cyberangriffen oder aufgrund staatlicher Bußgelder“, mahnt Graß.

Hohe Strafen und Schadenersatzansprüche drohen

Viel Zeit bleibt den Unternehmen beim Datenschutz nicht mehr: Am 25. Mai läuft die zweijährige Übergangsfrist seit Inkrafttreten der DSGVO aus. Ab dann gelten für alle Unternehmen, die eine Niederlassung in der EU haben und Kunden­ oder Mitarbeiterdaten verarbeiten, strengere Informationspflichten und Meldeanforderungen bei Datenpannen. Bei Verstößen drohen den Firmen – egal ob Handwerksbetrieb oder kalifornischer Internetgigant – zudem höhere Strafen und erweiterte Schadenersatzansprüche. In der Praxis dürfte so gut wie jeder Betrieb von der Verordnung betroffen sein.

Doch je kleiner die Firmen, desto schlechter sind sie darauf vorbereitet: So ist 38 Prozent der Kleinstunternehmen mit bis zu neun Beschäftigten nicht bekannt, dass sich das Datenschutzrecht ändert. Weitere 20 Prozent von ihnen wissen das, haben aber keine Vorkehrungen getroffen. Von den mittleren Unternehmen mit 50 bis 249 Beschäftigten haben hingegen nur acht Prozent noch nichts unternommen und lediglich 13 Prozent nichts von der EU­DSGVO gehört. Dafür sind 77 Prozent von ihnen vorbereitet (58 Prozent) oder haben bereits Anpassungen geplant (19 Prozent).

Unternehmen beklagen zu wenig Informationen und zu wenig Zeit

Als Gründe für die ausgebliebene Vorbereitung nennen die KMU vor allem mangelndes Wissen, zu wenig Zeit und geringe Relevanz des Datenschutzes. 35 Prozent der unvorbereiteten Unternehmen gaben an, keine ausreichenden Informationen über die notwendigen Änderungen zu haben. Für 31 Prozent hat nach eigenen Angaben bislang die Zeit gefehlt, sich mit dem Thema zu beschäftigen. 15 Prozent der Betriebe wollen erst abwarten, wie sich andere Unternehmen auf die Datenschutzgrundverordnung vorbereiten. Für die Untersuchung wurden insgesamt 300 Entscheider in kleinen und mittleren Unternehmen im März und April befragt.

Gerade bei den immer häufigeren Cyberangriffen kann sich diese schlechte Vorbereitung rächen. „Haben die Unternehmen den Verdacht, dass ihre Computer angegriffen und eventuell Daten von Kunden, Auftraggebern oder Mitarbeitern abgegriffen wurden, bleiben ihnen künftig nur 72 Stunden Zeit, um die Attacke den Datenschutzbehörden zu melden“, sagt Graß. „Mit Blick auf die Datenschutzgrundverordnung merken wir schon ein erhöhtes Interesse an Cyberversicherungen.“

Verantwortlich für den Inhalt:

Gesamtverband der deutschen Versicherungswirtschaft e.V. (GDV), Wilhelmstraße 43 / 43 G, ­10117 Berlin Tel.: 030­2020 5000, Fax: 030­2020 6000
www.gdv.de