Seit dem Inkrafttreten der DSVGO im Jahr 2018 wurden allein auf dem DSGVO-Portal rund 80.000 Verstöße in der EU gemeldet. Die Verarbeitung von personenbezogenen Daten bleibt auch im dritten Jahr der Rechtswirksamkeit eine Herausforderung – sowohl für kleine und mittelständische Unternehmen sowie Großkonzerne. Denn sobald in einem Unternehmen 20 Personen regelmäßig automatisiert personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter nötig. Schutz- und Auskunftspflichten sind jedoch auch für Arbeitgeber unter diesem Schwellwert obligatorisch.

Hierbei werden vor allem technische und organisatorische Maßnahmen nicht umfassend berücksichtigt. Auf vielen Webseiten finden sich noch immer technische Mängel: Viele haben keine oder nur eine unvollständige Datenschutzerklärung, keine SSL-Zertifikate oder es kommen widerrechtlich Tracker ohne Einverständnis zum Einsatz.

"Unternehmen kennen zwar die Gesetzesgrundlage, doch das bloße Wissen über die Anforderungen reicht nicht aus. Sie benötigen Erfahrungsberichte und Handlungsanweisungen, um die Regularien auch umsetzen zu können", sagt Michael Holzhüter, wissenschaftlicher Mitarbeiter am Fraunhofer FOKUS und Dozent im Lernlabor Cybersicherheit der Fraunhofer Academy.

Da vielen Unternehmen und Datenschutzbeauftragten der erste Schritt zur konkreten Umsetzung fehlt, setzt die Fraunhofer Academy im Online-Seminar "EU-Datenschutz Spezialist/in (DSGVO/GDPR)" auf Übungen mit hohem Praxisanteil. Mittels Checklisten können Unternehmen den eigenen Stand prüfen und mit den Experten die Punkte identifizieren, die als Nächstes angegangen werden müssen. Dabei vermitteln die Profis nicht nur Informationen und geben Schulungsunterlagen, Vorlagen und Beispiele an die Hand. Die Anwendung wird direkt in Gruppenarbeiten trainiert.

DSGVO organisatorisch denken
Außerdem wird im Online-Seminar die Methodik gelehrt, da die DSGVO auch organisatorisch in den Unternehmensprozessen verankert werden muss. "Um in Unternehmen DSGVO-konforme Abläufe zu etablieren, bedarf es einer Gliederung in Teilanforderungen, einer Priorisierung der Aufgaben und einer guten Zeitplanung. Die DSGVO muss von Anfang an in den Prozessen und Ressourcen berücksichtigt werden. Nur so wird Datenschutz erfolgreich", sagt Sebastian Breu, wissenschaftlicher Mitarbeiter an der HTW Berlin und Dozent im Lernlabor Cybersicherheit. Vermeintlich schnelle Teillösungen erhöhen nur das Risiko und den späteren Aufwand.

Insbesondere kleine und mittelständische Unternehmen sowie Selbstständige haben aufgrund knapper Ressourcen einen hohen Leidensdruck. "Das liegt jedoch nicht an den Anforderungen der DSGVO. Die meisten Regularien waren bereits zuvor im Bundesdatenschutzgesetz verankert. Vielmehr haben Unternehmen die Übergangsfrist einfach verstreichen lassen, ohne etwas zu tun", sagt Michael Holzhüter.

Mitarbeitende für Datenschutz sensibilisieren
Langfristig gesehen müssen nicht nur Unternehmerinnen und Unternehmer das notwendige Wissen erlangen. Auch in den Köpfen der Mitarbeitenden muss der Datenschutz verankert werden. "Die Vorstellung, dass ohne Datenschutz vieles einfacher und günstiger wäre, muss immer in Relation mit den Persönlichkeitsrechten gesetzt werden. Jeder und jede Einzelne muss sich fragen: Möchte ich für ‚einfacher und günstiger‘ meine Persönlichkeitsrechte einschränken?", so Sebastian Breu.