Die jährliche Bitkom-Umfrage übt auch 2022 viel Kritik an der DSGVO: Die unklare und uneinheitliche Auslegung müsse abgestellt werden. Einen Wettbewerbsvorteil sehen die Wenigsten, vielmehr sei die DSGVO ein Digitalisierungs-Verhinderer. Oft fehlt es aber schlicht an den richtigen Informationen.
Deutsche Firmen sehen die Datenschutz-Grundverordnung (DSGVO) weiterhin größtenteils als Hindernis. Dies ist das, wenig überraschende, Ergebnis der alljährlichen Bitkom-Befragung. Bemängelt werden aber auch unklare Regelungen und eine uneinheitliche Auslegung der DSGVO macht der Wirtschaft zu schaffen. Allerdings, und dies ist die gute Nachricht, 93 Prozent der Unternehmen haben Investitionen in Datenschutz hochgefahren.
Auch loben 67 Prozent, dass die DSGVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. »Und jedes zweite Unternehmen (50 Prozent) glaubt, dass die DSGVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt«, erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. »Aber 70 Prozent sehen aufgrund der unterschiedlichen Auslegung der DSGVO in den Mitgliedsstaaten noch keinen EU-weiten einheitlichen Datenschutz.«
Die Bewertung mit Blick auf das eigene Unternehmen fällt überwiegend kritisch aus: So sehen 40 Prozent keinen Wettbewerbsvorteil auf dem internationalen Markt für das eigene Unternehmen. 30 Prozent bezeichnen die DSGVO sogar als Wettbewerbsnachteil. Dem stehen 16 bzw. 13 Prozent gegenüber, die die DSGVO als geringen oder großen Wettbewerbsvorteil bezeichnen.
»Die Idee der DSGVO, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig«, sagt Rohleder. »Bislang ist aber nicht gelungen, daraus den oft behaupteten Wettbewerbsvorteil zu ziehen.«
Firmen erhöhen Datenschutz-Aufwand
Dabei hat die große Mehrheit die DSGVO inzwischen umgesetzt, entweder vollständig (22 Prozent) oder größtenteils (40 Prozent). Ein Drittel (33 Prozent) sieht sich erst teilweise am Ziel, nur zwei Prozent haben erst mit der Umsetzung begonnen – und kein Unternehmen hat bisher nichts getan. Vor drei Jahren standen noch sechs Prozent ganz am Anfang.
16 Prozent stellen fest, dass der Aufwand in den Datenschutz langsam wieder abnimmt, aber 47 Prozent gehen von einem gleichbleibend höheren Aufwand aus, 30 Prozent erwarten sogar, dass der bereits gestiegene Aufwand noch weiter zunimmt. Nur sechs Prozent sehen keinen Mehraufwand, für kein Unternehmen ist der Aufwand gesunken. »Die DSGVO ist kein Punkteplan, den man sich vornimmt und dann einmalig umsetzt«, sagt Rohleder. »Sie erfordert dauerhafte Anstrengungen, insbesondere bei der Einführung neuer Geschäftsprozesse und digitaler Technologien, und die ständige Reaktion auf neue Auslegungen, etwa durch Gerichtsurteile oder Hinweise der zahlreichen Aufsichtsbehörden.«
Ein einheitliche Auslegung der #DSGVO und des #datenschutz fordert @Bitkom-Chef Dr. Bernhard Rohleder
— speicherguide.de (@speicherguide) September 28, 2022
Zusammenfassung des Bitkom-Reports 👉 https://t.co/TvmWYoIWxo
mit Einschätzung der speicherguide.de-Redaktion pic.twitter.com/21dyCLTYTG
DSGVO: Uneinheitliche Auslegung muss sich ändern
Unternehmen, die noch nicht weiter sind mit der Umsetzung, führen dies gerne auf Gründe zurück, die sie nicht selbst zu verantworten hätten. Hier wird vor allem eine widersprüchlichen Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern genannt. Daraus resultiere eine Rechtsunsicherheit.
77 Prozent haben festgestellt, dass durch das Ausrollen neuer Tools immer wieder eine neue Prüfung in Gang gesetzt wird. Aber auch unternehmensinterne Gründe bremsen die DSGVO-Umsetzung. 45 Prozent sagen, die erforderliche IT- und Systemumstellungen kosten viel Zeit, 32 Prozent fehlt es an finanziellen Mitteln, 24 Prozent an qualifizierten Beschäftigten. Rund jedes vierte Unternehmen (23 Prozent) bindet die Datenschutzbeauftragten nur mangelhaft ein, 15 Prozent sehen ganz allgemein eine mangelnde Unterstützung im Unternehmen.
Entsprechend kritisch beurteilen die Unternehmen aktuell die Umsetzung des Datenschutzes in Deutschland. Zwei Drittel stellen fest, dass der strenge Datenschutz in Deutschland die Digitalisierung erschwert (68 Prozent), für fast ebenso viele hemmt der uneinheitliche Datenschutz die Digitalisierung (65 Prozent). Und 61 Prozent sagen, Deutschland übertreibe es mit dem Datenschutz – vor einem Jahr lag der Anteil noch bei 50 Prozent.
»Datenschutz darf nicht zum Selbstzweck werden«, mahnt Rohleder. »Aus Sicht der Unternehmen ist es der DSGVO bislang nicht gelungen, den Datenschutz zu vereinheitlichen, weder innerhalb der EU noch innerhalb Deutschlands. Deutschland kann sich auf Dauer nicht 18 verschiedene Datenschutz-Auslegungen leisten. Ob in München oder Hamburg, in Köln oder Schwerin: zumindest innerhalb Deutschlands müssen die gleichen Datenschutzregeln gelten.«
Datenschutz vs. Innovationsprojekte
»Häufiger als noch im Vorjahr berichten die Unternehmen davon, dass mindestens ein Innovationsprojekt in den vergangenen zwölf Monaten aufgrund des Datenschutzes gescheitert ist oder gar nicht in Angriff genommen wurde«, berichtet Rohleder. »In 82 Prozent der Unternehmen lag das an konkreten DSGVO-Vorgaben (2021: 75 Prozent), in 93 Prozent an Unklarheiten im Umgang mit den Vorgaben (2021: 86 Prozent).
Konkret betrifft das in jedem zweiten Unternehmen den Aufbau von Daten-Pools (52 Prozent, -2 Prozentpunkte verglichen mit 2021), in 45 Prozent die Prozessoptimierung im Bereich der Kundenbetreuung (+8 %P), in 38 Prozent den Einsatz neuer Datenanalyse-Tools (+8 %P) und in 37 Prozent den Einsatz von Cloud-Diensten (+4 %P).
Rund jedes dritte Unternehmen (34 Prozent) wurde bei Innovationen zur Digitalisierung von Geschäftsprozessen durch neue Software zurückgeworfen (+11 %P), 33 Prozent beim Einsatz neuer Technologien wie KI (-3 %P), 28 Prozent bei der Einbindung zusätzlicher digitaler Tools (+12 %P) und 26 Prozent beim Einsatz von Software globaler Anbieter und Plattformen (+9 %P).
»Digitalisierung ist entscheidend für die Wettbewerbsfähigkeit der deutschen Unternehmen und für ihre Krisenresilienz«, mahnt Rohleder. »Digitale Technologien sind zudem die wichtigsten Innovationstreiber für alle Branchen. Wir brauchen eine Balance zwischen Datennutzung und Datenschutz. Datenschutz darf nicht regelmäßig dazu führen, dass Dinge nicht gemacht werden, Datenschutz muss vielmehr unterstützen, dass sie richtig gemacht werden und letztlich den Menschen dienen.«
Datenschutz-Aufsicht muss an ihrem Ruf arbeiten
Dabei kommt den Datenschutz-Aufsichtsbehörden in den Ländern und im Bund eine besondere Rolle zu. Von ihnen hat rund die Hälfte der Unternehmen (54 Prozent) schon einmal Hilfestellungen bei der Umsetzung von Datenschutzvorgaben erhalten. 32 Prozent hatten dabei persönlichen Kontakt, 22 Prozent haben nur bestehendes Informationsmaterial genutzt. 16 Prozent haben allerdings keine Hilfe erfragt – und 27 Prozent haben zwar angefragt, aber keine Antwort erhalten. Und auch die Qualität der Hilfestellung variiert offenbar stark.
»Dem Datenschutz in Deutschland wäre gedient, wenn die Aufsicht bei der praktischen Umsetzung der Datenschutzvorgaben viel stärker unterstützen würde«, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. »Dazu gehören praxisnahe Empfehlungen ebenso wie konkrete Auskünfte. Es muss gemeinsam darum gehen, Datenschutzvorgaben in gelebte Prozesse und Geschäftsmodelle zu übersetzen.«
Die Unternehmen, die persönliche Hilfestellungen erhalten haben, loben überwiegend (65 Prozent) die freundliche Beratung. 46 Prozent sagen zudem, dass der Ansprechpartner kompetent gewesen sei. Bei den Unternehmen, die bislang noch nicht bei der Aufsicht nach Hilfe gefragt haben, gibt keines an, dass keine Hilfestellungen gebraucht werden. Ein Viertel (27 Prozent) hatte keine Zeit, 20 Prozent wussten nicht, dass die Aufsicht auch berät. Häufig liegt der fehlende Kontakt aber auch am schlechten Ruf der Aufsicht. 33 Prozent meinen, die Qualität der Hilfestellung sei nicht gut, 30 Prozent haben von schlechten Erfahrungen anderer Unternehmen gehört. 16 Prozent haben Sorge, dass die Aufsicht durch Fragen erst auf Probleme aufmerksam wird, 13 Prozent befürchten, die Aufsicht sei nicht an Problemlösungen interessiert.
DSGVO: Problemfall internationaler Datentransfer
Von unverändert hoher Bedeutung für die deutsche Wirtschaft sind Datentransfers in das Nicht-EU-Ausland. So geben nur 40 Prozent (2021: 44 Prozent) an, keine personenbezogenen Daten in Länder außerhalb der EU zu übermitteln. 47 Prozent transferieren solche Daten an externe Dienstleister, 22 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 16 Prozent an andere Konzerneinheiten oder Töchter. Für die Unternehmen, die internationale Datentransfers ins Nicht-EU-Ausland nutzen, sind die USA das wichtigste Zielland (59 Prozent) vor Großbritannien (32 Prozent), Indien (13 Prozent), Japan (9 Prozent) und Südkorea (5 Prozent).
Vier Prozent transferieren Daten nach China, ebenso viele in die Ukraine. Bedeutungslos ist dagegen Russland geworden, in das praktisch kein Unternehmen (0 Prozent) mehr personenbezogene Daten übermittelt. Vor dem Angriffskrieg auf die Ukraine lag der Anteil im Jahr 2021 noch bei 18 Prozent.
Der Wegfall des Privacy-Shields hat Dehmel zufolge viele Unternehmen, die Daten mit den USA austauschen, vor massive Probleme gestellt: »59 Prozent von ihnen haben in der Vergangenheit auf Basis des Privacy-Shields Daten in die USA transferiert. Heute greift die große Mehrheit auf Standardvertragsklauseln zurück (91 Prozent). Jeweils ein Viertel verwendet Einwilligungen (27 Prozent) oder sogenannte Binding-Corporate-Rules (26 Prozent).«
Die Gründe für internationale Datentransfers sind vielfältig. Am häufigsten wird die Nutzung von Cloud-Angeboten (89 Prozent) genannt, dahinter folgen die Nutzung von Kommunikationssystemen, die Daten dorthin übermitteln (67 Prozent), sowie der Einsatz von weltweiten Dienstleistern, etwa für 24/7-Support (61 Prozent). Mit deutlichem Abstand folgen die Nutzung von Services wie Abrechnung oder Datenbankmanagement (29 Prozent), eigene Unternehmensstandorte außerhalb der EU (25 Prozent) oder die Zusammenarbeit mit Partnern außerhalb der EU (16 Prozent).
»Weil die Gründe für Datentransfers in Länder so vielfältig sind, lassen sie sich nicht einfach durch die Nutzung alternativer Dienste abstellen, wie häufig in der Debatte suggeriert wird«, meint Dehmel. »Für die deutsche Wirtschaft wären die Folgen bei einem Wegfall des internationalen Datenaustauschs mit Ländern außerhalb der EU gravierend.«
60 Prozent der Unternehmen, die aktuell Daten außerhalb der EU verarbeiten, könnten dann keinen globalen Security-Support mehr aufrechterhalten, 57 Prozent könnten bestimmte Produkte und Dienstleistungen nicht mehr anbieten und 55 Prozent hätten Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern. Rund jedes zweite Unternehmen erwartet, dass dann globale Lieferketten nicht mehr funktionieren (48 Prozent) und höhere Kosten entstehen (47 Prozent).
»Datentransfers in Nicht-EU-Länder haben für die Unternehmen dieselbe Bedeutung wie der internationale Warenaustausch und globale Lieferketten«, erklärt Dehmel. »Die Politik muss zügig einen Rahmen schaffen, der zugleich Rechtssicherheit für die Unternehmen schafft und wirklich praxistauglich ist.«
Was Unternehmen beim Datenschutz von der Politik erwarten
Von der Politik erwarten daher vier von zehn Unternehmen (39 Prozent) die Durchsetzung einer politischen Lösung für internationale Datentransfers, 55 Prozent fordern eine harte Linie gegenüber den USA bei Verhandlungen für internationale Datentransfers. Ganz oben auf der Agenda für die Politik stehen nach Ansicht der Wirtschaft aber Maßnahmen für mehr Einheitlichkeit und Rechtssicherheit beim Datenschutz. So wollen 94 Prozent der Unternehmen, dass die vielen Sonder- und Spezialvorschriften zu Datenschutz und Datennutzung zusammengeführt werden.
84 Prozent sprechen sich für eine Anpassung der DSGVO aus, 74 Prozent für eine weitere europäische Vereinheitlichung der Datenschutzvorgaben. 51 Prozent sprechen sich für eine Vereinheitlichung der Datenschutzaufsicht in Deutschland aus.
Es geht nicht um weniger Datenschutz, es geht um besseren Datenschutz«, fasst Dehmel die Position der Unternehmen zusammen. »Wir brauchen Regeln, die Unternehmen im Alltag umsetzen können und vor allem eine einheitliche Auslegung der Vorschriften, in Deutschland und in Europa. Damit lässt sich die Digitalisierung der deutschen Wirtschaft erfolgreich gestalten und damit unsere globale Wettbewerbsfähigkeit sichern, aber auch unsere Fähigkeit, globale Herausforderungen wie Klimaschutz oder gesellschaftliche Resilienz in Krisenzeiten zu meistern.«
Anmerkung der Redaktion
Die gute Nachricht der Bitkom-Umfrage, alle sind mittlerweile mit der Umsetzung der DSGVO beschäftigt. Der überwiegende Teil der Unternehmen sieht sich bereits sehr weit bzw. als fertig. Wobei dies schon wieder einer Trugschluss ist, der Datenschutz muss ständig angepasst werden. Die Einführung neuer Tools, Prozesse und Produkte geht immer auch mit einer Überprüfung aus Sicht des Datenschutzes einher – oder sollte es zumindest.
Große Unternehmen haben damit übrigens die geringsten Probleme. Klar, da gibt es eigenen Abteilungen, inklusive hauseigener Rechtsberatung. In mittelständischen Unternehmen ist dies normalerweise nicht der Fall. Hier herrscht eher ein Mangel an Fachkräften, vor allem auch im Bereich Datenschutz. In der Studie bemängeln dies fast ein Viertel. 2021 waren es noch ein Drittel der Befragten. Immerhin.
Das Übel, warum die DSGVO oft als Verhinderer bezeichnet wird, liegt aber nicht an der Schärfe des Gesetzes, sondern meist an der Unkenntnis der Betroffenen bzw. an der mangelnden Kommunikation. Auf speicherguide.de haben wir schon mehrfach den Fachanwalt Stephan Hansen-Oest zitiert: Meist liegen die Probleme darin begründet, dass der Datenschutzbeauftragte nicht ausreichend in die Projekte einbezogen wird. Verboten sei das Wenigste, meist lasse sich die gewünschte Verarbeitung mit kleinen Anpassungen zulässig machen.
Das Gezeter der Befragten lassen ich nicht gelten. Es ist fast alles möglich, man muss sich »nur« ausreichend damit befassen und auch die richtigen Leute bei der Projektierung einbinden. Zu schreiben, suchen Sie sich externe Hilfe, ist natürlich leicht, ich weiß, die ist schwer zu finden.
Dass die uneinheitliche Auslegung hierzulande ein Hemmschuh ist, ist klar. Da werden sich die Landesfürsten bewegen müssen, ob sie wollen oder nicht. Hier werden wir uns aber noch sehr in Geduld üben müssen.
Wie läuft es in Ihrem Unternehmen mit dem Datenschutz? Wird die DSGVO eher als lästiges Übel gesehen oder bereits als sinnvolle Maßnahme gelebt? Schreiben Sie mir gerne.
Weiterführende Links: