Blindes Vertrauen in Microsoft und Co.? – Warum viele deutsche Unternehmen mehr Wert auf DSGVO-Konformität legen sollten

Autor/Redakteur: Matthias Bollwein, Mitgründer des IT-Startups Uniki/gg

Datenschutz-Diskussionen rütteln regelmäßig die deutsche Medien- und Unternehmenslandschaft auf, denn der Schutz des Einzelnen wird landesweit großgeschrieben – doch auch drei Jahre nach Inkrafttreten der DSGVO ist das Engagement diesbezüglich im deutschen Mittelstand mehr Schein als Sein. Ohne Folgen? Nein, das Blatt hat sich inzwischen gewendet.

Weltweit sind durch die Corona-Pandemie die Nutzerzahlen von Microsoft Teams, Google Meet oder Zoom nach oben geschnellt. Im März 2020 wuchs die täglichen Nutzerzahl von Microsoft Teams innerhalb weniger Tage von 32 Millionen auf 44 Millionen. Auch in Deutschland nutzen viele Unternehmen den amerikanischen Software-Anbieter, doch wie sicher sind sensible, personenbezogene Daten auf den amerikanischen Servern? Die meisten Firmen setzten auf blindes Vertrauen und drücken beide Augen zu, wenn es um die DSGVO-Konformität in der Firma geht. Oder sie lassen sich von fadenscheinigen, komplexen Datenschutz-Erklärungen blenden. Solche Versprechen sind oft nicht mehr als ein wohlformulierter Marketing-Gag, denn einige Hintertüren lassen sich einfach nicht schließen. Das kann fatale Folgen haben. Bundesweit gibt es, nach einer längeren Schon-Phase, inzwischen vermehrt hohe Summen an Abmahnungen, da Firmen immer noch nicht auf den Schutz von personenbezogenen Daten achten. Auf welche Stolperfallen sollte man bei diesem Thema achten und welche Gründe sprechen für eine höhere Priorisierung der DSGVO?

Datenmacht und Abhängigkeit von US-Cloud-Diensten

Das ganze Ausmaß der Versäumnisse wird in einer Studie von Bitkom Research deutlich, die im September 2020 veröffentlicht wurde: Gerade einmal 20 Prozent aller befragten Unternehmen gaben an, die DSGVO bereits vollständig umgesetzt zu haben. Die Gründe dafür sind mannigfaltig, aber wirken zusammen in eine Richtung, die als klassische „Win-Win-Lose“ Situation betitelt werden kann: Transatlantische Konzerne und Behörden teilen sich den Gewinner-Posten, die EU – die europäische Wirtschaft, jedes einzelne Unternehmen und vor allem jedes Individuum – wird auf den Verlierer-Platz geschoben.

Dennoch fährt der Mittelstand auf Sicht: ein zunächst günstiger Anbieter wird trotz Datenschutz-Bedenken vorgezogen – ein sparsamer, bequemer Weg mit Fokus auf schneller Funktionalität. Je länger man das Ziel eines datenschutzwahrenden Unternehmens herauszögert, desto mehr Hürden, Aufwand und Kosten müssen in Kauf genommen werden – ein sogenannter Lock-In-Effekt schlägt zu. Neben den Abmahnungen und Strafzahlungen werden also die wahren wirtschaftlichen, wie persönlichen Folgen erst nach und nach sichtbar werden. Denn Daten sind wertvoll, Daten bedeuten Macht und werden sowohl konzernseitig als auch von Behörden für die eigenen Zwecke herangezogen.

Kurz und knapp – der DSGVO-Verstoß

Die Datenschutzgrundverordnung trat im Mai 2018 in Kraft. Darin ist für europäische Firmen festgehalten, wie sie mit personenbezogenen Daten von Dritten umgehen dürfen. Im Fokus steht der Schutz der unabhängigen Einzelperson. Laut Gesetz dürfen nur noch Informationen gesammelt werden, denen die betroffene Person auch zugestimmt hat. Verstößt ein Unternehmen gegen die DSGVO-Richtlinien, können hohe Bußbeiträge fällig werden. Die Verstöße beziehen sich konkret auf die Missachtung der persönlichen Rechte Dritter. Dies ist der Fall, wenn im Unternehmen nicht genug Augenmerk auf die Sicherheit der Daten geachtet wird und es anschließend zu Datenlecks kommt. Ein weiteres Szenario ist das Weitergeben von sensiblen Daten an unbefugte Dritte, wie es bei der Nutzung von US-Cloud-Anbietern der Fall ist. Die Summe des Bußgeldes nach einem Verstoß kommt immer auf die Schwere, die Anzahl der Betroffenen und die zeitliche Dauer des Vorfalls an. Das Bußgeld kann bis zu einer Summe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.