Die Datenschutz-Grundverordnung stellt auch US-Unternehmen vor große Herausforderungen. Denn es geht um nichts weniger, als den Zugang zum EU-Markt.
Ab 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO). Unternehmen, die gegen die DSGVO verstoßen, müssen mit hohen Strafen rechnen: Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes sind vorgesehen. Die neue EU-Verordnung stellt nicht nur kleine und große Unternehmen in der Europäischen Union vor Herausforderungen, sondern sorgt auch in den USA für Verunsicherung.
Zugang zum EU-Markt. Die International Association of Privacy Professionals (IAPP) hat sich in einer Umfrage angesehen, wie sich Unternehmen in den USA sowie in der EU auf die DSGVO vorbereiten. Auf den ersten Blick scheint man in Amerika gut gewappnet zu sein: Immerhin 84 Prozent der Befragten aus US-Unternehmen gehen davon aus, dass sie die Deadline einhalten können (in EU-Unternehmen ist man mit 72 Prozent etwas zurückhaltender). „Ich denke, das ist auch ein bisschen auf das typische amerikanische Selbstbewusstsein zurückzuführen“, sagt Sam Pfeifle, Content Director bei der IAPP. Pfeifle nimmt aber auch an, dass US-Unternehmen tatsächlich mehr Ressourcen in die Vorbereitung für die DSGVO stecken: „Für die amerikanischen Unternehmen geht es nicht nur darum, Geldbußen zu vermeiden. Es geht um den Zugang zum EU-Markt.“
Bei der internationalen Anwaltskanzlei Paul Hastings LLP sieht man die Zuversicht von Unternehmen allerdings kritisch. Zwar schätzten sich laut einer Umfrage der Kanzlei über 90 Prozent großer Unternehmen als gut vorbereitet ein. Bei konkreten Maßnahmen zeige sich allerdings ein anderes Bild. So hätten zum Beispiel weniger als 50 Prozent eine eigene DSGVO-Taskforce eingesetzt.
Angst vor Datentransfer und Datenleck. Laut der IAPP-Umfrage sehen US-Unternehmen internationalen Datentransfer als größtes Risiko, EU-Unternehmen fürchten sich vor allem vor mangelnder Vorbereitung auf ein Datenleck. Aber auch in Amerika nimmt dieser Punkt eine wichtige Rolle ein. Pfeifle führt das vor allem darauf zurück, dass mit einem Datenleck viel Aufmerksamkeit in der Öffentlichkeit verbunden ist. „Die Verordnung ist so komplex, dass große Unternehmen Prioritäten setzen müssen“, sagt Pfeifle. „Die Unternehmen wollen alles richtig machen. Aber die meisten wissen, dass es unmöglich ist, jedes Kästchen abzuhaken.“ Und so ginge es vor allem darum, schlechte Berichterstattung zu vermeiden und nicht negativ aufzufallen.
Komplexität und Budget. Unterschiede zwischen Unternehmen in der EU und solchen in den USA zeigen sich auch bei den wahrgenommenen Hürden auf dem Weg zur DSGVO: Für Amerikaner ist vor allem die Komplexität der Verordnung eine Herausforderung, für Europäer steht ungenügendes Budget an vorderster Stelle. In Amerika sei man nicht an sehr detaillierte Datenschutzgesetze gewöhnt, so Pfeifle. Damit sei auch verbunden, dass Unternehmen eher bereit sind, relativ viel Geld und Mitarbeiter bereitzustellen – denn die oft vagen Richtlinien und Gesetze müssen interpretiert, Risiken abgeschätzt und Experten sowie Rechtsanwälte konsultiert werden. „Und jetzt blicken europäische Unternehmen auf die DSGVO und denken sich: ,Wow, da kommt ja einiges auf uns zu – dafür brauchen wir mehr Leute und Geld'“, sagt Pfeifle.
Deadline verfehlt! Die meisten Befragten der IAPP-Umfrage sind zuversichtlich, dass sie bis 25. Mai auf die DSGVO vorbereitet sein werden. Aber nicht alle: 9 Prozent (USA) bzw. 24 Prozent (EU) geben an, erst nach dem 25. Mai bereit zu sein. Hier sei allerdings zu bedenken, dass die Umfrage bereits im Herbst 2017 durchgeführt wurde. In einer anderen Umfrage der IAPP vom Mai 2017 hätten noch rund 60 Prozent angegeben, nicht rechtzeitig bereit zu sein. „Wir sehen hier also einen Trend“, sagt Pfeifle. Er geht davon aus, dass große Unternehmen und solche, die viel mit Daten zu tun haben, die Deadline einhalten werden. Kleinere Unternehmen und solche, für die Daten nicht zum Kerngeschäft gehören, würden wohl auch nach dem 25. Mai vorerst eher abwarten und weitermachen wie bisher.
Autor: Lukas Plank
Sam Pfeifle, IAAP
