Nach fünf Jahren stellen die deutschen Unternehmen der europäischen Datenschutz-Grundverordnung kein gutes Zeugnis aus: Die DSGVO, die seit Mai 2018 gilt, bekommt nur die Note „ausreichend“ (3,9). Obwohl inzwischen zwei Drittel (65 Prozent) der Unternehmen die Regelungen vollständig oder größtenteils umgesetzt haben, sind die Herausforderungen nach wie vor groß. Beklagt wird vor allem, dass die DSGVO Geschäftsprozesse komplizierter macht (78 Prozent) und zu praxisfern ist (77 Prozent).
Das zeigt eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 503 Unternehmen ab 20 Beschäftigten in Deutschland. 56 Prozent erleben, dass durch die DSGVO die Entwicklung neuer Produkte und Dienstleistungen verzögert wird und rund die Hälfte (48 Prozent) stellt fest, dass Innovationen aus anderen Regionen wegen der DSGVO in der EU nicht genutzt werden können. 59 Prozent haben den Eindruck, dass die Aufsichtsbehörden die DSGVO nutzen, um ihr Weltbild durchzusetzen.
Zugleich heben die Unternehmen in der Fünf-Jahres-Rückschau auch Vorteile der Datenschutzregeln hervor: Die Datensicherheit im Unternehmen habe sich verbessert und die DSGVO setze weltweit Maßstäbe (jeweils 61 Prozent), zudem sei das Vertrauen in digitale Prozesse gestärkt worden (51 Prozent) und die Wettbewerbsbedingungen in der EU seien nun einheitlicher (45 Prozent). 12 Prozent meinen, dass die DSGVO verschärft werden solle, um Bürgerinnen und Bürger besser zu schützen.
„Auch nach fünf Jahren gibt es bei der DSGVO leider mehr Schatten als Licht. Das Ziel, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Doch Umsetzung und Auslegung in der Praxis führen dazu, dass dieses Ziel noch nicht erreicht wurde. Die Unternehmen haben mit der Daueraufgabe Datenschutz zu kämpfen“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
Jedes zweite Unternehmen (50 Prozent) hat seit der DSGVO-Einführung höheren Aufwand für den Datenschutz und geht davon aus, dass dies auch so bleiben wird (2022: 47 Prozent). Jedes Dritte (33 Prozent) hat einen höheren Aufwand und erwartet, dass dieser weiter zunehmen wird (2022: 30 Prozent). 86 Prozent der Datenschutz-Verantwortlichen in den Unternehmen schaffen es kaum, allen aktuellen Entwicklungen beim Datenschutz in der Rechtsprechung zu folgen (2022: 81 Prozent). Drei Viertel (74 Prozent, 2022: 64 Prozent) stellen fest, dass Datenschutz in Deutschland so kompliziert geworden ist, dass es ihnen schwerfällt, Mitarbeiterinnen und Mitarbeiter über Datenschutz aufzuklären. 58 Prozent sagen, dass sie im Unternehmen vor allem als Bedenkenträger wahrgenommen werden (2022: 50 Prozent).
Eine deutliche Mehrheit von 7 von 10 Unternehmen (69 Prozent) sieht in der DSGVO einen Nachteil im internationalen Wettbewerb gegenüber anderen Unternehmen, die nicht der DSGVO unterliegen. „Datenschutz ist in Deutschland so kompliziert geworden, dass selbst die Profis kaum noch hinterherkommen. Zugleich betrifft Datenschutz immer mehr Bereiche unserer Wirtschaft, aber auch unseres Alltags in einer digitalen Welt“, so Dehmel. „Wir brauchen einen Datenschutz, der verständlich und praxistauglich ist.“
Als größte Herausforderung bei der Umsetzung der DSGVO nennen 92 Prozent, dass die Umsetzung nie vollständig abgeschlossen ist. 86 Prozent stellen fest, dass das Ausrollen neuer digitaler Tools die Prüfung immer neu in Gang setzt. 82 Prozent beklagen eine Rechtsunsicherheit zu genauen Vorgaben der DSGVO, 56 Prozent mangelnde Beratung durch die Aufsichtsbehörden und 54 Prozent die grundsätzlich zu hohen Anforderungen. 48 Prozent sehen in der uneinheitlichen Auslegung der DSGVO in Europa eine der größten Herausforderungen, 35 Prozent in der uneinheitlichen Auslegung in Deutschland. Aber auch unternehmensinterne Gründe spielen eine Rolle: 50 Prozent sagen, die erforderlichen IT-Umstellungen kosten viel Zeit, 41 Prozent werden durch fehlende finanzielle Ressourcen gehemmt, 26 Prozent durch den Mangel an qualifizierten Beschäftigten. Nur 15 Prozent sehen ein Hemmnis in der mangelnden Einbindung der Datenschutzbeauftragten, 10 Prozent in der grundsätzlich mangelnden Unterstützung im Unternehmen. „Es fehlt nicht am Willen der Unternehmen, die DSGVO umzusetzen, aber es wird ihnen durch Politik und Behörden nicht leicht gemacht“, sagt Dehmel.
In allen Unternehmen (100 Prozent) hat die DSGVO in den vergangenen zwölf Monaten dazu geführt, dass innovative Projekte gescheitert sind oder gar nicht erst angegangen wurden. In 86 Prozent der Unternehmen waren dabei konkrete Vorgaben der DSGVO die Ursache, in 92 Prozent Unklarheiten in ihrer Anwendung. Betroffen sind vor allem Innovationsprojekte zum Aufbau von Datenpools (59 Prozent, plus 7 Prozentpunkte) und zur Prozessoptimierung in der Kundenbetreuung (47 Prozent, plus 2 Prozentpunkte). In rund jedem dritten Unternehmen ging es um den Einsatz neuer Datenanalysetools (37 Prozent, minus 1 Prozentpunkt), die Digitalisierung von Geschäftsprozessen durch neue Software (37 Prozent, plus 3 Prozentpunkte), der Einsatz von Künstlicher Intelligenz (34 Prozent, erstmals abgefragt), der Einsatz von Cloud-Diensten (32 Prozent, minus 5 Prozentpunkte), sowie der Einsatz von Software globaler Anbieter und Plattformen (32 Prozent, plus 6 Prozentpunkte). 26 Prozent berichten von Problemen bei der Einbindung zusätzlicher digitaler Tools (minus 2 Prozentpunkte). „Datenschutz darf in diesem Ausmaß digitale Innovationen nicht bremsen“, so Dehmel. „Wenn man sich anschaut, welche Dynamik es gerade rund um KI gibt, dann bedeuten monatelange Verzögerungen einen gravierenden Wettbewerbsnachteil für Deutschland.“
Deutsche Unternehmen sind stark abhängig von internationalen Datentransfers in Länder außerhalb der EU. Nur 36 Prozent der Unternehmen kommen ohne einen solchen Datenaustausch aus. 44 Prozent der Unternehmen übermitteln Daten an externe Dienstleister, 29 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 17 Prozent an Konzerntöchter oder andere Konzerneinheiten. Wichtigstes Zielland für internationale Datentransfers bleiben die USA. 64 Prozent der Unternehmen, die Daten international transferieren, lassen Daten in den USA verarbeiten. Dahinter folgen Großbritannien (39 Prozent), Indien (17 Prozent), China (9 Prozent), Japan (6 Prozent), die Ukraine (5 Prozent) und Südkorea (3 Prozent). Nach Russland transferiert wie bereits im Vorjahr kein Unternehmen mehr Daten.
94 Prozent nutzen Cloud-Angebote von Anbietern außerhalb der EU, 83 Prozent nutzen entsprechende Kommunikations- oder Videokonferenzsysteme. 56 Prozent setzen Dienstleister weltweit ein, etwa um rund um die Uhr einen Security-Support aufrecht zu erhalten. 32 Prozent nutzen Dienste in Nicht-EU-Ländern, etwa für Abrechnungen oder Datenbankmanagement. Und 27 Prozent haben Unternehmensstandorte außerhalb der EU, 20 Prozent arbeiten mit Nicht-EU-Partnern zusammen, etwa bei Forschung und Entwicklung. „Es gibt nicht den einen Grund für internationale Datentransfers - und es geht dabei auch nicht um Nice to have, sondern zwingend notwendige Aufgaben, die sich auch nicht beliebig innerhalb der EU-Grenzen abbilden lassen, wie oft in der Debatte behauptet wird“, so Dehmel.
Entsprechend würde ein mögliches Verbot von internationalen Datentransfers alle Unternehmen (100 Prozent) treffen. 68 Prozent erwarten für diesen Fall Wettbewerbsnachteile, 58 Prozent höhere Kosten und 56 Prozent, dass internationaler Lieferketten nicht mehr funktionieren. Rund die Hälfte (je 52 Prozent) könnte den globalen Security-Support nicht mehr aufrechterhalten bzw. bestimmte Produkte oder Dienstleistungen nicht mehr anbieten. 31 Prozent müssten in einem solchen Fall ihre Konzerndatenverarbeitung umbauen, 23 Prozent befürchten schlechtere Produkte und Dienstleistungen und 21 Prozent ein Zurückfallen im Innovationswettbewerb. „Internationale Datentransfers betreffen nicht einige wenige Unternehmen oder nur große, globale Konzerne, sondern die deutsche Wirtschaft ist in ihrer Breite von ihnen abhängig“, sagt Dehmel. „Es ist gut, dass sich die EU und die USA auf ein Nachfolge-Abkommen für das Privacy Shield geeinigt haben. Wichtig ist, dass es nicht zu neuen Verunsicherungen und Rechtsunsicherheiten kommt.“
Gut fünf Jahre nach Inkrafttreten der DSGVO wächst in den Unternehmen der Wunsch nach einem Handeln der Politik. 95 Prozent wollen, dass die vielen Sonder- und Spezialvorschriften zum Datenschutz zusammengeführt werden (2022: 94 Prozent). 87 Prozent plädieren für eine Anpassung der DSGVO (2022: 84 Prozent), 79 Prozent für eine Vereinheitlichung der Datenschutzvorgaben innerhalb der EU (74 Prozent). Mit Blick auf Deutschland fordern 67 Prozent, dass die föderalen Gesetze beim Datenschutz angeglichen werden (2022: 67 Prozent) und 66 Prozent wünschen sich eine Vereinheitlichung der Datenschutzaufsicht in Deutschland (2022: 51 Prozent). 71 Prozent wollen, dass der Zugang zu Daten der öffentlichen Hand für Unternehmen verbessert wird (2022: 62 Prozent). „Mit der zunehmenden Digitalisierung berühren Datenschutz-Fragen den Kern der allermeisten Unternehmen. Entsprechend müssen die Bedeutung von Daten und ihre verantwortliche Nutzung noch stärker in den Fokus der Politik rücken und sollten nicht alleine Aufgabe der Datenschützerinnen und Datenschützer sein“, so Dehmel.
News vom: 05.10.2023
Grafik: MasterTux/Pixabay
