Die europäische Datenschutz-Grundverordnung ist von ihrem Ziel, einheitliche Datenschutzregeln in Europa zu schaffen, noch ein gutes Stück entfernt. Und das, obwohl die große Mehrheit der Unternehmen die Vorgaben der DS-GVO inzwischen umgesetzt hat.
Das zeigt eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 503 Unternehmen ab 20 Beschäftigten in Deutschland. So loben 67 Prozent, dass die DS-GVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. Und jedes zweite Unternehmen (50 Prozent) glaubt, dass die DS-GVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt. Aber 70 Prozent sehen aufgrund der unterschiedlichen Auslegung der DS-GVO in den Mitgliedsstaaten noch keinen EU-weiten einheitlichen Datenschutz. Und auch die Bewertung mit Blick auf das eigene Unternehmen fällt überwiegend kritisch aus. So können 40 Prozent keinen Wettbewerbsvorteil durch die DS-GVO auf dem internationalen Markt für das eigene Unternehmen erkennen – und 30 Prozent sehen sogar Wettbewerbsnachteile. Dem stehen 16 bzw. 13 Prozent gegenüber, die die DS-GVO als geringen oder großen Wettbewerbsvorteil bezeichnen „Die Idee der DS-GVO, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Bislang ist aber nicht gelungen, daraus den oft behaupteten Wettbewerbsvorteil zu ziehen“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Datenschutz-Aufwand wird für die DS-GVO hochgefahren
Dabei hat die große Mehrheit die DS-GVO inzwischen umgesetzt, entweder vollständig (22 Prozent) oder größtenteils (40 Prozent). Ein Drittel (33 Prozent) sieht sich erst teilweise am Ziel, nur 2 Prozent haben erst mit der Umsetzung begonnen – und kein Unternehmen hat bisher nichts getan. Praktisch alle Unternehmen haben seit Einführung der Datenschutz-Grundverordnung (DS-GVO) ihren Aufwand für Datenschutz hochgefahren. 16 Prozent stellen fest, dass dieser langsam wieder abnimmt, aber 47 Prozent gehen von einem gleichbleibend höheren Aufwand aus, 30 Prozent erwarten sogar, dass der bereits gestiegene Aufwand noch weiter zunimmt. Nur 6 Prozent sehen keinen Mehraufwand, für kein Unternehmen ist der Aufwand gesunken. „Die DS-GVO ist kein Punkteplan, den man sich vornimmt und dann einmalig umsetzt“, so Rohleder. „Sie erfordert dauerhafte Anstrengungen, insbesondere bei der Einführung neuer Geschäftsprozesse und digitaler Technologien, und die ständige Reaktion auf neue Auslegungen, etwa durch Gerichtsurteile oder Hinweise der zahlreichen Aufsichtsbehörden“, so Rohleder.
DS-GVO: Vor allem externe Faktoren bremsen
Dass die Umsetzung der DS-GVO noch nicht weiter ist, liegt nach Ansicht der Unternehmen überwiegend an Gründen, die sie nicht selbst zu verantworten haben. Sie sehen sich vor allem mit Rechtsunsicherheit und einer widersprüchlichen Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern konfrontiert. So geben 88 Prozent an, die Umsetzung der DS-GVO sei nie vollständig abgeschlossen, etwa weil es neue Guidelines gibt. 78 Prozent sehen bestehende Rechtsunsicherheiten zu den Vorgaben der DS-GVO als Hemmnis. 77 Prozent haben festgestellt, dass durch das Ausrollen neuer Tools immer wieder eine neue Prüfung in Gang gesetzt wird. 57 Prozent sehen in der uneinheitlichen Auslegung der DS-GVO innerhalb der EU ein Hemmnis, 40 Prozent in der uneinheitlichen Auslegung in Deutschland. Und 52 Prozent beklagen eine mangelnde Beratung durch Aufsichtsbehörden. Aber auch unternehmensinterne Gründe bremsen die DS-GVO-Umsetzung. 45 Prozent sagen, die erforderliche IT- und Systemumstellungen kosten viel Zeit, 32 Prozent fehlt es an finanziellen Mitteln, 24 Prozent an qualifizierten Beschäftigten. Rund jedes vierte Unternehmen (23 Prozent) bindet die Datenschutzbeauftragten nur mangelhaft ein, 15 Prozent sehen ganz allgemein eine mangelnde Unterstützung im Unternehmen.
Entsprechend kritisch beurteilen die Unternehmen aktuell die Umsetzung des Datenschutzes in Deutschland. Zwei Drittel stellen fest, dass der strenge Datenschutz in Deutschland die Digitalisierung erschwert (68 Prozent), für fast ebenso viele hemmt der uneinheitliche Datenschutz die Digitalisierung (65 Prozent). Und 61 Prozent sagen, Deutschland übertreibe es mit dem Datenschutz – vor einem Jahr lag der Anteil noch bei 50 Prozent. „Datenschutz darf nicht zum Selbstzweck werden“, sagt Rohleder. „Aus Sicht der Unternehmen ist es der DS-GVO bislang nicht gelungen, den Datenschutz zu vereinheitlichen, weder innerhalb der EU noch innerhalb Deutschlands. Deutschland kann sich auf Dauer nicht 18 verschiedene Datenschutz-Auslegungen leisten. Ob in München oder Hamburg, in Köln oder Schwerin: zumindest innerhalb Deutschlands müssen die gleichen Datenschutzregeln gelten.“
Unternehmen sind häufiger gezwungen, Innovationsprojekte zu stoppen
Häufiger als noch im Vorjahr berichten die Unternehmen davon, dass mindestens ein Innovationsprojekt in den vergangenen zwölf Monaten aufgrund des Datenschutzes gescheitert ist oder gar nicht in Angriff genommen wurde. In 82 Prozent der Unternehmen lag das an konkreten DS-GVO-Vorgaben (2021: 75 Prozent), in 93 Prozent an Unklarheiten im Umgang mit den Vorgaben (2021: 86 Prozent). Konkret betrifft das in jedem zweiten Unternehmen den Aufbau von Datenpools (52 Prozent, -2 Prozentpunkte verglichen mit 2021), in 45 Prozent die Prozessoptimierung im Bereich der Kundenbetreuung (+8 %P), in 38 Prozent den Einsatz neuer Datenanalysetools (+8 %P) und in 37 Prozent den Einsatz von Clouddiensten (+4 %P). Rund jedes dritte Unternehmen (34 Prozent) wurde bei Innovationen zur Digitalisierung von Geschäftsprozessen durch neue Software zurückgeworfen (+11 %P), 33 Prozent beim Einsatz neuer Technologien wie KI (-3 %P), 28 Prozent bei der Einbindung zusätzlicher digitaler Tools (+12 %P) und 26 Prozent beim Einsatz von Software globaler Anbieter und Plattformen (+9 %P). „Digitalisierung ist entscheidend für die Wettbewerbsfähigkeit der deutschen Unternehmen und für ihre Krisenresilienz. Digitale Technologien sind zudem die wichtigsten Innovationstreiber für alle Branchen.“, so Rohleder. „Wir brauchen eine Balance zwischen Datennutzung und Datenschutz. Datenschutz darf nicht regelmäßig dazu führen, dass Dinge nicht gemacht werden, Datenschutz muss vielmehr unterstützen, dass sie richtig gemacht werden und letztlich den Menschen dienen.“
Datenschutz-Aufsicht muss an ihrem Ruf arbeiten
Dabei kommt den Datenschutz-Aufsichtsbehörden in den Ländern und im Bund eine besondere Rolle zu. Von ihnen hat rund die Hälfte der Unternehmen (54 Prozent) schon einmal Hilfestellungen bei der Umsetzung von Datenschutzvorgaben erhalten. 32 Prozent hatten dabei persönlichen Kontakt, 22 Prozent haben nur bestehendes Informationsmaterial genutzt. 16 Prozent haben allerdings keine Hilfe erfragt – und 27 Prozent haben zwar angefragt, aber keine Antwort erhalten. Und auch die Qualität der Hilfestellung variiert offenbar stark. Von den Unternehmen, die Hilfestellungen genutzt haben, sind 12 Prozent sehr zufrieden und 28 Prozent eher zufrieden, aber 34 Prozent sind eher nicht zufrieden und 22 Prozent überhaupt nicht zufrieden. „Dem Datenschutz in Deutschland wäre gedient, wenn die Aufsicht bei der praktischen Umsetzung der Datenschutzvorgaben viel stärker unterstützen würde“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Dazu gehören praxisnahe Empfehlungen ebenso wie konkrete Auskünfte. Es muss gemeinsam darum gehen, Datenschutzvorgaben in gelebte Prozesse und Geschäftsmodelle zu übersetzen.“
Die Unternehmen, die persönliche Hilfestellungen erhalten haben, loben überwiegend (65 Prozent) die freundliche Beratung. 46 Prozent sagen zudem, dass der Ansprechpartner kompetent gewesen sei. 40 Prozent loben die schnelle Bearbeitung der Anfrage, ebenso viele konnten mit Unterstützung der Aufsichtsbehörden innovative, datengetriebene Projekte schneller umsetzen. Umgekehrt haben aber 44 Prozent den Eindruck, dass die Aufsicht ihnen vor allem Steine in den Weg gelegt hat.
Bei den Unternehmen, die bislang noch nicht bei der Aufsicht nach Hilfe gefragt haben, gibt keines an, dass keine Hilfestellungen gebraucht werden. Ein Viertel (27 Prozent) hatte keine Zeit, 20 Prozent wussten nicht, dass die Aufsicht auch berät. Häufig liegt der fehlende Kontakt aber auch am schlechten Ruf der Aufsicht. 33 Prozent meinen, die Qualität der Hilfestellung sei nicht gut, 30 Prozent haben von schlechten Erfahrungen anderer Unternehmen gehört. 16 Prozent haben Sorge, dass die Aufsicht durch Fragen erst auf Probleme aufmerksam wird, 13 Prozent befürchten, die Aufsicht sei nicht an Problemlösungen interessiert. Und 1 Prozent ist der Meinung, die Aufsicht sei gar nicht für Hilfen zuständig, sondern lediglich für Strafen.
Internationale Datentransfers sind für Deutschland unverzichtbar
Von unverändert hoher Bedeutung für die deutsche Wirtschaft sind Datentransfers in das Nicht-EU-Ausland. So geben nur 40 Prozent (2021: 44 Prozent) an, keine personenbezogenen Daten in Länder außerhalb der EU zu übermitteln. 47 Prozent transferieren solche Daten an externe Dienstleister, 22 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 16 Prozent an andere Konzerneinheiten oder Töchter. Für die Unternehmen, die internationale Datentransfers ins Nicht-EU-Ausland nutzen, sind die USA das wichtigste Zielland (59 Prozent) vor Großbritannien (32 Prozent), Indien (13 Prozent), Japan (9 Prozent) und Südkorea (5 Prozent). 4 Prozent transferieren Daten nach China, ebenso viele in die Ukraine. Bedeutungslos ist dagegen Russland geworden, in das praktisch kein Unternehmen (0 Prozent) mehr personenbezogene Daten übermittelt. Vor dem Angriffskrieg auf die Ukraine lag der Anteil im Jahr 2021 noch bei 18 Prozent.
Der Wegfall des Privacy Shields hat viele Unternehmen, die Daten mit den USA austauschen, vor massive Probleme gestellt. 59 Prozent von ihnen haben in der Vergangenheit auf Basis des Privacy Shields Daten in die USA transferiert. Heute greift die große Mehrheit auf Standardvertragsklauseln zurück (91 Prozent). Jeweils ein Viertel verwendet Einwilligungen (27 Prozent) oder sogenannte Binding Corporate Rules (26 Prozent).
Die Gründe für internationale Datentransfers sind vielfältig. Am häufigsten wird die Nutzung von Cloud-Angeboten (89 Prozent) genannt, dahinter folgen die Nutzung von Kommunikationssystemen, die Daten dorthin übermitteln (67 Prozent), sowie der Einsatz von weltweiten Dienstleistern, etwa für 24/7-Support (61 Prozent). Mit deutlichem Abstand folgen die Nutzung von Services wie Abrechnung oder Datenbankmanagement (29 Prozent), eigene Unternehmensstandorte außerhalb der EU (25 Prozent) oder die Zusammenarbeit mit Partnern außerhalb der EU (16 Prozent). „Weil die Gründe für Datentransfers in Länder so vielfältig sind, lassen sie sich nicht einfach durch die Nutzung alternativer Dienste abstellen, wie häufig in der Debatte suggeriert wird“, sagt Dehmel.
Für die deutsche Wirtschaft wären die Folgen bei einem Wegfall des internationalen Datenaustauschs mit Ländern außerhalb der EU gravierend. 60 Prozent der Unternehmen, die aktuell Daten außerhalb der EU verarbeiten, könnten dann keinen globalen Security-Support mehr aufrecht erhalten, 57 Prozent könnten bestimmte Produkte und Dienstleistungen nicht mehr anbieten und 55 Prozent hätten Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern. Rund jedes zweite Unternehmen erwartet, dass dann globale Lieferketten nicht mehr funktionieren (48 Prozent) und höhere Kosten entstehen (47 Prozent). 37 Prozent müssten ihre Konzernstruktur komplett verändern, 30 Prozent befürchten eine schlechtere Qualität ihrer Produkte und Dienstleistungen und 20 Prozent würden im Innovationswettbewerb zurückfallen. „Datentransfers in Nicht-EU-Länder haben für die Unternehmen dieselbe Bedeutung wie der internationale Warenaustausch und globale Lieferketten. Die Politik muss zügig einen Rahmen schaffen, der zugleich Rechtssicherheit für die Unternehmen schafft und wirklich praxistauglich ist“, so Dehmel.
Was Unternehmen beim Datenschutz von der Politik erwarten
Von der Politik erwarten daher 4 von 10 Unternehmen (39 Prozent) die Durchsetzung einer politischen Lösung für internationale Datentransfers, 55 Prozent fordern eine harte Linie gegenüber den USA bei Verhandlungen für internationale Datentransfers. Ganz oben auf der Agenda für die Politik stehen nach Ansicht der Wirtschaft aber Maßnahmen für mehr Einheitlichkeit und Rechtssicherheit beim Datenschutz. So wollen 94 Prozent der Unternehmen, dass die vielen Sonder- und Spezialvorschriften zu Datenschutz und Datennutzung zusammengeführt werden. 84 Prozent sprechen sich für eine Anpassung der DS-GVO aus, 74 Prozent für eine weitere europäische Vereinheitlichung der Datenschutzvorgaben. 67 Prozent wollen, dass die föderalen Gesetze in Deutschland im Datenschutz angeglichen werden und 51 Prozent sprechen sich für eine Vereinheitlichung der Datenschutzaufsicht in Deutschland aus. 62 Prozent plädieren für einen besseren Zugang zu Daten der öffentlichen Hand für Unternehmen. „Es geht nicht um weniger Datenschutz, es geht um besseren Datenschutz“, fasst Dehmel die Position der Unternehmen zusammen. „Wir brauchen Regeln, die Unternehmen im Alltag umsetzen können und vor allem eine einheitliche Auslegung der Vorschriften, in Deutschland und in Europa. Damit lässt sich die Digitalisierung der deutschen Wirtschaft erfolgreich gestalten und damit unsere globale Wettbewerbsfähigkeit sichern, aber auch unsere Fähigkeit, globale Herausforderungen wie Klimaschutz oder gesellschaftliche Resilienz in Krisenzeiten zu meistern.“
Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden 503 Unternehmen mit 20 und mehr Beschäftigen in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft.
www.bitkom.org