Das Fachmagazin für institutionelle Investoren

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:
Ad

Integration von ESG-Kriterien bei Infrastruktur-Investitionen

Charles Dupont und Claire Smith, Schroders erläutern beim Investmentforum am Beispiel des US-amerikanischen Energieversorgers Pacific Gas & Electric Corporation die Integration von ESG Kriterien in den Investmentprozess. Erfahren Sie mehr!

Anzeige
| Kommentar
twitterlinkedInXING

Kommentar: Und wie datenschutzgrundverordnet sind Sie?

Weltweit sind die Hälfte der großen Finanzdienstleister nicht auf die neuen Datenschutzrichtlinien der Europäischen Union vorbereitet. Stellt sich die Frage: Wenn es „die Großen“ schon nicht schaffen, wie soll das einem KMU gelingen?

dsvgo_194254068.jpg
Die neuen Datenschutzrichlinien stehen unmittelbar vor der Einführung. Das ist gut und richtig. Die Umsetzung verstärkt aber den Druck auf die Klein- und Mittelunternehmen.
© jd-photodesign / stock.adobe.com

Wenn dieser Artikel zum ersten Mal online geht, haben Sie noch genau 7,0 Tage Zeit. Dann, nämlich am 25. Mai 2018, tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Ziel der unionsweiten Richtlinie ist der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“, wie es im Amtsdeutsch heißt. Dass der Datenschutz von Privatpersonen garantiert und ausgebaut wird, ist natürlich ein wichtiges Projekt, spätesten das jüngste Facebookgate hat offenkundig gemacht, dass hier Handlungsbedarf besteht. Das Problem steckt mal wieder im Detail, beziehungsweise in der Umsetzung.

Diese gestaltet sich nämlich enorm komplex. Ein Beispiel gefällig? Hier eine  Passage aus dem Leitfaden einer öffentlichen Interessensvertretung:

„Verantwortliche und Auftragsverarbeiter müssen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen: Der Inhalt hat insbesondere die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien, gegebenenfalls Übermittlungen von Daten in Drittländer, wenn möglich die vorgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnah- men zu enthalten.“ Diese Vorgaben gelten fürUnternehmen mit weniger als 250 Mitarbeitern - nur - dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien bzw keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.“  

Womit wir uns mitten im juristischen Interpretationsbereich befinden. Spätesten hier beginnen – wie jeder weiß, der einmal eine Rechtsfrage lösen musste – die Probleme in all ihrer Komplexität.

Ungenügend vorbereitet
Genau diese Komplexität hat dazu geführt, dass laut einer Umfrage des US-Beraters Cordium mehr als die Hälfte der globalen Finanzdienstleister „wahrscheinlich nicht rechtzeitig auf die neuen Vorgaben eingestellt sein werden.“ Befragt wurden von dem Consulter, das sich auf Themen rund um Governance, Unternehmensrisken und Compliance spezialisiert hat, 250 global agierende Unternehmen. Im Detail kam bei der Studie, die Ende April veröffentlicht wurde, heraus, dass gerade einmal zwei Prozent der Befragten ausreichend auf die DSGVO vorbereitet seien. 59 Prozent gaben an, bezüglich der 72-Stunden-Regel unvorbereitet zu sein. Diese Regel besagt, dass ein Unternehmen im Falle einer Datenschutzverletzung innerhalb besagter 72 Stunden die Behörden zu informieren habe. Das Problem: Auf eine solche Verletzung muss man selbst erst einmal stoßen – wahrscheinlich wird einem  an dieser Stelle ausnahmsweise die Konkurrenz helfen. Allerdings wohl eher über den Umweg einer Anzeige.

Die Kosten
Garniert wird die Verordnung mit drakonischen Strafen. Im Falle einer Verletzung können bis zu 20 Millionen Euro oder vier Prozent des (global) erzielten Jahresumsatzes fällig werden. Wieso schaffen es angesichte solcher Drohungen viele Unternehmen trotzdem nicht, die Verordung umzusetzen?

Der erste Verdacht zielt auf die Implementierungskosten ab.

Auch hierzu gibt es Studien. Eine der umfassenderen hat das britische Beratungsunternehmen Sia Partners für Firmen angestellt, die im FTSE 100 notieren. Demnach kommt die Implementierung auf durchschnittliche Kosten von 340 bis 510 Euro je Mitarbeiter. Die gute Nachricht für kleinere Unternehmen: Je kleiner das Unternehmen, desto geringer nicht nur kumulierten Kosten, sondern auch die je Mitarbeiter. Dann also alles gut? Wenn man 10 Mitarbeiter hat, kommen vielleicht 3000 Euro an Kosten auf das Unternehme zu? Wer das nicht stemmen kann, sollte ohnehin besser zusperren?

Nicht ganz. Denn das wahre Problem steckt in den laufenden Kosten und dem laufenden operativen Aufwand. Genau diese Herausforderung hat das erst 2016 gegründete Datenanalyse-Startup Senzing analysiert. Das Unternehmen, das eng mit IBM kooperiert, hat die Stundenbelastung ausgerechnet, die mit der täglichen Einhaltung der Richtlinien einhergehen. Hier das Ergebnis:


Quelle: Senzing


 

Die Berechnungen beziehen sich auf den Arbeitsaufwand je Anfrage von Privatpersonen. Heruntergebrochen bedeutet das, dass KMU (zehn bis 249 Mitarbeiter) alleine durch die Anfragen bezüglich DSGVO mehr als 20 Wochenstunden an Mehrarbeit veranschlagen müssen. Der Kontakt mit den Behörden, falls eine Anfrage positiv ausfällt, oder Zweifel bestehen fließt hier noch gar nicht ein. Das bedeutet, dass ein Kleinunternehmen mit 20 Mitarbeitern, wahrscheinlich eine zusätzliche Arbeitskraft einstellen muss, denn die Arbeitszeit-Daten beziehen sich auf Laborbedingungen – in der realen Welt stellt sich ab und an dann doch der eine oder andere Effizienzverlust ein. Es wird in der Praxis also länger dauern.

Dass Senzing wahrscheinlich zu eng kalkuliert hat, zeigt sich bei Unternehmen, die in die Micro-Kategorie von 0 – 9 Mitarbeitern fallen – also auch Einzeluntenehmer. Auch dies müssen sich mit Anfragen herumschlagen. Die Studie geht von sieben pro Monat aus. Dass dies in neun Minuten zu lösen ist, darf als optimistisch bezeichnet werden.

KMU in der Bredouille
Insgesamt muss gesagt werden, dass die Reform eine von vielen ist, die genau das Rückgrat der europäischen Wirtschaft am stärksten belasten – nämlich die Klein- und Mittelbetriebe. Ob ein Großunternehmen jetzt zehn Mitarbeiter für die neuen Richtlinien anstellen muss oder nicht, ist relativ irrelevant. Ob ein 20-Personen-Betrieb den Personalstand um fünf Prozent aufstocken muss, nur um die laufenden Anfragen abzuarbeiten, fällt ungleich schwerer ins Gewicht. Kosten und Aufwand für rechtliche Beratung sind hier noch gar nicht eingerechnet. (hw)

twitterlinkedInXING

News

 Schliessen