Geldverdienen durch Ignorieren des Datenschutzes?

Laut einer Rechnung einer Bewertungsgesellschaft sparen deutsche Unternehmen Milliarden durch Vernachlässigung des Datenschutzes

Das Ignorieren datenschutzrechtlicher Vorschriften spart den Unternehmen 7,5 Milliarden Euro. Das ist ein Ergebnis des Xamit- Datenschutzbarometers 2011. Die Begründung der Düsseldorfer Bewertungsgesellschaft besteht aus mehreren Teilen.

Da ist zum einen die Internetpräsenz des Unternehmens - hier können die Firmen zwei verschiedene Varianten der Web-Analyse Software Google Analytics (GA) einsetzen: eine nach Meinung der Datenschützer nicht zulässige und eine überarbeitete Fassung. Letztere anonymisiert die IP-Adressen der Webseiten-Nutzer und hält so dem kritischen Blick der Datenschützer stand. 22 Prozent der Unternehmen sparen sich nach Xamits Angaben diesen Aufwand, um von der alten auf die neue Version von Google Analytics zu wechseln. Sie sparen:

  • 500 Euro für die formelle Prüfung des Vertrags zur Auftrags- datenverarbeitung und der in § 11 BDSG vorgeschriebenen Erstkontrolle des Dienstleisters.
  • 7,50 Euro pro Webseite, um die Anonymisierung in den Quell- code einzubauen bei einem angenommenen Aufwand von 6 Minuten pro Webseite inkl. Testung und einem marktüblichen Stundensatz von 75 Euro

51 Prozent aller 3.591.265 deutschen Unternehmen betreiben eine Webpräsenz, so Xamit. In ihrer Erhebung hat die Bewertungsgesellschaft 72 Seiten pro Webseite als durchschnittliche Größe einer Webpräsenz ermittelt. Daraus ergibt sich folgende Rechnung:

3.591.265 x 51 Prozent x 22 Prozent x (72 Seiten x 7,50 Euro/Seite + 500 Euro) = 419.057.530 Euro.

Jedes Unternehmen, das die alte GA-Version verwendet, spare 1040 Euro. "Wenn schon eine so einfache Anpassung unterbleibt, wie steht es dann um die Umsetzung komplexerer Datenschutzprozesse?", fragen die Autoren der Studie.

In dieser Rechnung sei nicht berücksichtigt, daß viele Firmen einzelne Produkt-Webseiten betreiben. Ein Verzicht auf den gesetzlich vorgeschriebenen Datenschutzbeauftragten steigere den Gewinn zusätzlich:

  • Die Autoren unterstellen, ein Datenschutzbeauftragter koste über alle Unternehmensgrößen und Branchen betrachtet im Mittel pro Jahr 20.000 Euro.
  • Bundesweit existierten 306.380 Unternehmen mit mehr als neun Beschäftigten. Bestellpflichtige Unternehmen mit weni- ger als zehn Beschäftigten läßt die Studie unberücksichtigt.
  • Der Landesbeauftragte für Datenschutz und Informationsfrei- heit Nordrhein-Westfalen stellte fest, dass 10% der Unter- nehmen ihrer gesetzlichen Bestellpflicht nicht nachkommen.

Xamit nimmt an, daß diese 10 Prozent fürs Bundesgebiet sind und kommt zu dem Ergebnis, daß die Unternehmen durch die nicht bestellten Datenschutzbeauftragten jährlich 612.760.000 Euro sparen.

Hinzu komme, daß sich 90 Prozent der Firmen das vorgeschriebene Verfahrensverzeichnis sparten. In diesem Verzeichnis müssen die Firmen dokumentieren, wie sie mit personenbezogenen Daten umgehen.

Ein solches Verzeichnis zu erstellen, werde im Mittel über alle Firmen(größen) zwei Manntage kosten. Diese seien mit 1000 Euro zu kalkulieren. Daraus ergibt sich in der Studie: 3.591.265 x 90% x 2.000 Euro = 6,464 Mrd. Euro. Hinzu käme die jährliche Aktualisierung des Verzeichnisses.

In der Summe dieser drei Positionen kommt Xamit auf 7,5 Milliarden Euro, welche die datenschutz-ignoranten Unternehmer sparen. Nach Meinung der Bewertungsgesellschaft müsste die tatsächliche Einsparung noch größer sein: Der Datenschutzbeauftragte vermeide Verstöße gegen den Datenschutz. Wenn aber auf den betrieblichen Datenschützer verzichtet werde, steige die Wahrscheinlichkeit für weitere Verstöße deutlich.

Datenschutzkonforme Unternehmen, die mit kommunalen Betrieben im Wettbewerb stehen, hätten weitere Wettbewerbsnachteile zu verkraften, da die Ableger der Kommunen bei Datenschutzverstößen häufig nur mit einer Rüge anstatt mit einem Bußgeld zu rechnen hätten.

Die Datenschutzkonformen könnten sich auch nicht mit Unterlassungsklagen gegen Ignoranten wehren, denn Datenschutzrechte seien individuelle Schutzrechte und keine "den Wettbewerb regelnden Vorschriften".

"Grundrechte zu schützen und für faire Wettbewerbsbedingungen zu sorgen ist eine genuine staatliche Aufgabe. Gesetze ohne praktisch verhängte Sanktionen entfalten i. d. R. keine Wirkung. Deshalb liegt es in den Händen der Datenschutzaufsichtsbehörden, ihre gewonnene Unabhängigkeit zu nutzen, um durch verstärkte Kontrollen und Sanktionen das Vollzugsdefizit zu verringern", so die Erkenntnis.

Damit die Aufsichtsbehörden aber überhaupt tätig werden könnten, seien die Bundes- und die 16 Landesregierungen gefordert, ihre Datenschützer angemessen mit Personal auszustatten.

Kommentare lesen (9 Beiträge)
Anzeige