Vor gut einem Jahr ist die EU-DSGVO in Kraft getreten. Die befürchtete Bußgeldwelle ist ausgeblieben. Allerdings ist Deutschland laut EY Law bei der Zahl der Bußgelder EU-weit mit Abstand vorn. Die Zukunft birgt weitere Risiken. Diese lassen sich jedoch mit einer entsprechenden IT-Aufstellung erheblich reduzieren.
42 Bußgelder und 54 Verwarnungen – das ist laut der Wirtschaftsprüfung EY Law die EU-DSGVO Bilanz in Deutschland ein Jahr, nachdem die Verordnung wirksam wurde. Auch wenn die absolute Zahl der verfolgten Fälle überschaubar ist, lässt sich feststellen: Hierzulande wurden mehr Vergehen geahndet als in allen anderen EU-Ländern. Lettland mit zwölf und Frankreich mit zehn Bußgeld-Fällen folgen bereits mit erheblichem Abstand auf den Plätzen zwei und drei. Eine Ahndung von Verstößen wird außerdem aus den Niederlanden gemeldet. Dort wurden 1018 Verwarnungen ausgesprochen. Es gab zwar lediglich einen Bußgeldbescheid – dieser war jedoch mit 600.000 Euro der höchste im gesamten EU-Raum. In neun von 16 Ländern, aus denen Daten vorliegen, gab es hingegen keinen einzigen Bußgeldfall, in sechs Ländern ist auch keine Verwarnung ausgesprochen worden.
Unter dem Strich liest sich die EU-DSGVO Bilanz nach 12 Monaten moderat. Die verhängten Sanktionen sind weit hinter den Befürchtungen gerade kleiner und mittelständischer Unternehmen (KMU) zurückgeblieben. Dies liegt sicherlich nicht zuletzt daran, dass die Anstrengungen im Hinblick auf eine Einhaltung der Verordnung innerhalb der Europäischen Union äußerst hoch waren: Zahlreiche Praktiken im Umgang mit personenbezogenen Daten wurden überprüft und bei Bedarf geändert. In wie weit auch eine Schonfrist seitens der Behörden dahinter steckt, wie EY Law annimmt, bleibt abzuwarten.
Die Schlüsselrolle für die Einhaltung der EU-DSGVO spielen aus Sicht von Matrix42 auch in Zukunft auf den jeweiligen Bedarf zugeschnittene und konfigurierte IT-Systeme. Die Investitionen, die bereits vor dem Inkrafttreten der EU-DSGVO in die Wege geleitet wurden, sind einer der Hauptgründe für die bislang niedrige Zahl der verhängten Bußgelder. So setzen Firmen verstärkt auf Software, die Vorgänge automatisiert und bei der Einhaltung der Verordnung unterstützt. Außerdem wurden beispielsweise Funktionen in Systeme integriert, um den Aufwand bei einer Offenlegung oder Löschung von Daten in Grenzen zu halten.
Aus IT-Sicht gilt es, weiterhin auf entsprechende Standards für die Einhaltung der EU-DSGVO zu achten. Dies geschieht unter Berücksichtigung der bestehenden IT-Landschaft. Auch in Zukunft sind regelmäßige Assessments und Anpassungen notwendig. Es muss Sorge getragen werden für eine zentrale Steuerung der Compliance hinsichtlich Applikationen und Ressourcen – beispielsweise beim On- und Offboarding von Mitarbeitern. Im Idealfall ist dies ein automatisierter Prozess. Auch die Gefahr der Überlizenzierung ist aus Kostengründen zu vermeiden und es sind Prozesse notwendig, mit denen Lizenzen bedarfsgerecht vergeben werden können. Auf eine Reihe von Punkten sollte die IT daher weiterhin konsequent achten:
Im Vorteil sind Unternehmen, wenn sie die Speicherung und Löschung von Daten gerade bei der Implementierung neuer Lösungen, ob on premise oder cloudbasiert, frühzeitig prüfen. Denn Governance und Compliance müssen auch weiterhin zu jeder Zeit sichergestellt werden.