Datenabfragen: Unternehmen tun sich schwer mit Einhaltung von DSGVO-Fristen

58 Prozent aller global befragten Unternehmen gelingt es nicht, Anträge von Einzelpersonen, die auf Grundlage der DSGVO eine Kopie ihrer persönlichen Daten angefordert haben, innerhalb der in der Verordnung festgelegten Frist von einem Monat zu bearbeiten. Dies zeigt eine aktuelle Studie von Talend   , Dienstleister für Cloud-Integration und Datenintegrität.

Die Ergebnisse stellt Talend seiner ersten DSGVO-Vergleichsstudie   gegenüber, die im September 2018 erschien. Vor einem Jahr waren 70 Prozent der untersuchten Unternehmen nicht in der Lage, diese Frist einzuhalten. Ein Jahr später erhöhte sich zwar die Gesamtanteil derjenigen Unternehmen, die eine Einhaltung der Vorschriften vermeldeten, auf 42 Prozent, dennoch bleibt die Quote 18 Monate nach Inkrafttreten der Verordnung vergleichsweise niedrig.

"Diese neuen Ergebnisse zeigen deutlich, dass die Zugangsrechte für betroffene Personen für die meisten Unternehmen immer noch eine Achillesferse sind", sagt Jean-Michel Franco , Senior Director of Data Governance Products bei Talend. "Zur vollständigen DSGVO-Konformität ist es notwendig zu wissen, wo sich die Daten befinden und wie und von wem sie verarbeitet werden. Ferner ist sicherzustellen, dass die Daten vertrauenswürdig sind." Franco weist auf das Inkrafttreten neuer Datenschutzverordnungen in den USA (California Consumer Privacy Act, Januar 2020), im APAC-Raum (PDPA in Thailand, Mai 2020) und in Lateinamerika (LGPD in Brasilien, August 2020) hin. Er rät dazu, die Datenverarbeitung und -bereitstellung stärker zu automatisieren. Bei Nichteinhaltung der Verordnungen und infolge von Sammelklagen drohten ansonsten hohe Bußgelder.

Weitere Ergebnisse der Vergleichsstudie

• Insbesondere der öffentliche Sektor sowie die Medien- und Telekommunikationsbranche tun sich schwer mit der Antragsbearbeitung. Nur 29 Prozent der befragten staatlichen Organisationen konnten angeforderte Daten innerhalb der vorgesehenen Frist von einem Monat bereitstellen. Bei Unternehmen der Medien- und Telekommunikationsbranche schafften es lediglich 32 Prozent.
• Im Vergleich zum Vorjahr verbesserte der Handel seine Erfolgsquote: Immerhin 46 Prozent der Unternehmen aus dieser Branche konnten Anträge innerhalb der einmonatigen Frist vollständig und korrekt bearbeiten. Hier trage die stärkere Kundenzentrierung und Optimierung interner Prozesse Früchte. Ein ähnliches Bild zeige sich bei Unternehmen im Finanzdienstleistungsbereich sowie in der Reise-, Transport- und Gastronomiebranche.
• Fehlende Automation bei der Antragsbearbeitung: Einer der Hauptgründe für die mangelnde DSGVO-Konformität der Unternehmen war das Fehlen einer konsolidierten Datenansicht und eindeutiger interner Datenbesitzverhältnisse. In der Finanzdienstleistungsbranche beispielsweise schließen Kunden häufig mehrere Verträge mit demselben Unternehmen ab. Diese Verträge sind oft auf verschiedene Speicherorte verteilt, was den Abruf aller notwendigen Informationen erschwert. Die Bearbeitung der Anträge erfordert somit sehr viel manuelle Tätigkeiten und häufig sind auch fachliche Mitarbeiter einzubeziehen, beispielsweise im Falle einer Versicherung den Kundenbetreuer. Darüber hinaus kann die Bearbeitung von Datenabrufanträgen nach der DSGVO sehr kostspielig sein: Laut einer aktuellen Studie des Marktanalysten Gartner geben Unternehmen "im Schnitt mehr als 1.400 US-Dollar für die Bearbeitung eines einzigen derartigen Antrags aus".
• Viele Unternehmen vernachlässigten außerdem die Überprüfung der Identität des Antragstellers. Insgesamt fragten nur 20 Prozent der Unternehmen nach einem Identitätsnachweis. In den meisten Fällen wurden Ausweiskopien per E-Mail angefordert. Nur sehr wenige nutzen die direkte Online-Übermittlung. Das führe zu mehr Aufwand und Verzögerungen: Zu den häufig genannten Problemen gehören das Feststellen der korrekten E-Mail-Adresse für den Versand der Dokumente und das weitere Nachfragen per E-Mail, weil die Daten unvollständig sind oder Dateien nicht geöffnet werden können.