Nach gut 5 Jahren: DS-GVO erhält nur die Note „ausreichend“
- Unternehmen halten EU-Datenschutz für zu praxisfern und zu kompliziert
- Zugleich führt DS-GVO aber zu mehr Datensicherheit und höherem Vertrauen
- In praktisch jedem Unternehmen sind Innovationsprojekte am Datenschutz gescheitert
Berlin, 05. Oktober 2023 - Nach fünf Jahren stellen die deutschen Unternehmen der europäischen Datenschutz-Grundverordnung kein gutes Zeugnis aus: Die DS-GVO, die seit Mai 2018 gilt, bekommt nur die Note „ausreichend“ (3,9). Obwohl inzwischen zwei Drittel (65 Prozent) der Unternehmen die Regelungen vollständig oder größtenteils umgesetzt haben, sind die Herausforderungen nach wie vor groß. Beklagt wird vor allem, dass die DS-GVO Geschäftsprozesse komplizierter macht (78 Prozent) und zu praxisfern ist (77 Prozent). Das zeigt eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 503 Unternehmen ab 20 Beschäftigten in Deutschland. 56 Prozent erleben, dass durch die DS-GVO die Entwicklung neuer Produkte und Dienstleistungen verzögert wird und rund die Hälfte (48 Prozent) stellt fest, dass Innovationen aus anderen Regionen wegen der DS-GVO in der EU nicht genutzt werden können. 59 Prozent haben den Eindruck, dass die Aufsichtsbehörden die DS-GVO nutzen, um ihr Weltbild durchzusetzen. Zugleich heben die Unternehmen in der Fünf-Jahres-Rückschau auch Vorteile der Datenschutzregeln hervor: Die Datensicherheit im Unternehmen habe sich verbessert und die DS-GVO setze weltweit Maßstäbe (jeweils 61 Prozent), zudem sei das Vertrauen in digitale Prozesse gestärkt worden (51 Prozent) und die Wettbewerbsbedingungen in der EU seien nun einheitlicher (45 Prozent). 12 Prozent meinen, dass die DS-GVO verschärft werden solle, um Bürgerinnen und Bürger besser zu schützen. „Auch nach fünf Jahren gibt es bei der DS-GVO leider mehr Schatten als Licht. Das Ziel, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Doch Umsetzung und Auslegung in der Praxis führen dazu, dass dieses Ziel noch nicht erreicht wurde. Die Unternehmen haben mit der Daueraufgabe Datenschutz zu kämpfen“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
DS-GVO: Aufwand ist gestiegen – und wird nicht mehr weniger
Jedes zweite Unternehmen (50 Prozent) hat seit der DS-GVO-Einführung höheren Aufwand für den Datenschutz und geht davon aus, dass dies auch so bleiben wird (2022: 47 Prozent). Jedes Dritte (33 Prozent) hat einen höheren Aufwand und erwartet, dass dieser weiter zunehmen wird (2022: 30 Prozent). 86 Prozent der Datenschutz-Verantwortlichen in den Unternehmen schaffen es kaum, allen aktuellen Entwicklungen beim Datenschutz in der Rechtsprechung zu folgen (2022: 81 Prozent). Drei Viertel (74 Prozent, 2022: 64 Prozent) stellen fest, dass Datenschutz in Deutschland so kompliziert geworden ist, dass es ihnen schwerfällt, Mitarbeiterinnen und Mitarbeiter über Datenschutz aufzuklären. 58 Prozent sagen, dass sie im Unternehmen vor allem als Bedenkenträger wahrgenommen werden (2022: 50 Prozent).
Eine deutliche Mehrheit von 7 von 10 Unternehmen (69 Prozent) sieht in der DS-GVO einen Nachteil im internationalen Wettbewerb gegenüber anderen Unternehmen, die nicht der DS-GVO unterliegen. „Datenschutz ist in Deutschland so kompliziert geworden, dass selbst die Profis kaum noch hinterherkommen. Zugleich betrifft Datenschutz immer mehr Bereiche unserer Wirtschaft, aber auch unseres Alltags in einer digitalen Welt“, so Dehmel. „Wir brauchen einen Datenschutz, der verständlich und praxistauglich ist.“
Als größte Herausforderung bei der Umsetzung der DS-GVO nennen 92 Prozent, dass die Umsetzung nie vollständig abgeschlossen ist. 86 Prozent stellen fest, dass das Ausrollen neuer digitaler Tools die Prüfung immer neu in Gang setzt. 82 Prozent beklagen eine Rechtsunsicherheit zu genauen Vorgaben der DS-GVO, 56 Prozent mangelnde Beratung durch die Aufsichtsbehörden und 54 Prozent die grundsätzlich zu hohen Anforderungen. 48 Prozent sehen in der uneinheitlichen Auslegung der DS-GVO in Europa eine der größten Herausforderungen, 35 Prozent in der uneinheitlichen Auslegung in Deutschland. Aber auch unternehmensinterne Gründe spielen eine Rolle: 50 Prozent sagen, die erforderlichen IT-Umstellungen kosten viel Zeit, 41 Prozent werden durch fehlende finanzielle Ressourcen gehemmt, 26 Prozent durch den Mangel an qualifizierten Beschäftigten. Nur 15 Prozent sehen ein Hemmnis in der mangelnden Einbindung der Datenschutzbeauftragten, 10 Prozent in der grundsätzlich mangelnden Unterstützung im Unternehmen. „Es fehlt nicht am Willen der Unternehmen, die DS-GVO umzusetzen, aber es wird ihnen durch Politik und Behörden nicht leicht gemacht“, sagt Dehmel.
Datenschutz ist eine Innovationsbremse in den Unternehmen
In allen Unternehmen (100 Prozent) hat die DS-GVO in den vergangenen zwölf Monaten dazu geführt, dass innovative Projekte gescheitert sind oder gar nicht erst angegangen wurden. In 86 Prozent der Unternehmen waren dabei konkrete Vorgaben der DS-GVO die Ursache, in 92 Prozent Unklarheiten in ihrer Anwendung. Betroffen sind vor allem Innovationsprojekte zum Aufbau von Datenpools (59 Prozent, plus 7 Prozentpunkte) und zur Prozessoptimierung in der Kundenbetreuung (47 Prozent, plus 2 Prozentpunkte). In rund jedem dritten Unternehmen ging es um den Einsatz neuer Datenanalysetools (37 Prozent, minus 1 Prozentpunkt), die Digitalisierung von Geschäftsprozessen durch neue Software (37 Prozent, plus 3 Prozentpunkte), der Einsatz von Künstlicher Intelligenz (34 Prozent, erstmals abgefragt), der Einsatz von Cloud-Diensten (32 Prozent, minus 5 Prozentpunkte), sowie der Einsatz von Software globaler Anbieter und Plattformen (32 Prozent, plus 6 Prozentpunkte). 26 Prozent berichten von Problemen bei der Einbindung zusätzlicher digitaler Tools (minus 2 Prozentpunkte). „Datenschutz darf in diesem Ausmaß digitale Innovationen nicht bremsen“, so Dehmel. „Wenn man sich anschaut, welche Dynamik es gerade rund um KI gibt, dann bedeuten monatelange Verzögerungen einen gravierenden Wettbewerbsnachteil für Deutschland.“
Bei der Frage nach dem Einfluss des Datenschutzes auf Künstliche Intelligenz gehen die Meinungen weit auseinander. 44 Prozent meinen, dass der Datenschutz Rechtssicherheit der Entwicklung von KI-Anwendungen schafft, aber 56 Prozent warnen, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibt.
Ohne internationale Datentransfers läuft in der deutschen Wirtschaft wenig
Deutsche Unternehmen sind stark abhängig von internationalen Datentransfers in Länder außerhalb der EU. Nur 36 Prozent der Unternehmen kommen ohne einen solchen Datenaustausch aus. 44 Prozent der Unternehmen übermitteln Daten an externe Dienstleister, 29 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 17 Prozent an Konzerntöchter oder andere Konzerneinheiten. Wichtigstes Zielland für internationale Datentransfers bleiben die USA. 64 Prozent der Unternehmen, die Daten international transferieren, lassen Daten in den USA verarbeiten. Dahinter folgen Großbritannien (39 Prozent), Indien (17 Prozent), China (9 Prozent), Japan (6 Prozent), die Ukraine (5 Prozent) und Südkorea (3 Prozent). Nach Russland transferiert wie bereits im Vorjahr kein Unternehmen mehr Daten.
Vor allem aus zwei Gründen transferieren Unternehmen Daten in Länder außerhalb der EU: Cloud und Kommunikation. 94 Prozent nutzen Cloud-Angebote von Anbietern außerhalb der EU, 83 Prozent nutzen entsprechende Kommunikations- oder Videokonferenzsysteme. 56 Prozent setzen Dienstleister weltweit ein, etwa um rund um die Uhr einen Security-Support aufrecht zu erhalten. 32 Prozent nutzen Dienste in Nicht-EU-Ländern, etwa für Abrechnungen oder Datenbankmanagement. Und 27 Prozent haben Unternehmensstandorte außerhalb der EU, 20 Prozent arbeiten mit Nicht-EU-Partnern zusammen, etwa bei Forschung und Entwicklung. „Es gibt nicht den einen Grund für internationale Datentransfers – und es geht dabei auch nicht um Nice to have, sondern zwingend notwendige Aufgaben, die sich auch nicht beliebig innerhalb der EU-Grenzen abbilden lassen, wie oft in der Debatte behauptet wird“, so Dehmel.
Entsprechend würde ein mögliches Verbot von internationalen Datentransfers alle Unternehmen (100 Prozent) treffen. 68 Prozent erwarten für diesen Fall Wettbewerbsnachteile, 58 Prozent höhere Kosten und 56 Prozent, dass internationaler Lieferketten nicht mehr funktionieren. Rund die Hälfte (je 52 Prozent) könnte den globalen Security-Support nicht mehr aufrechterhalten bzw. bestimmte Produkte oder Dienstleistungen nicht mehr anbieten. 31 Prozent müssten in einem solchen Fall ihre Konzerndatenverarbeitung umbauen, 23 Prozent befürchten schlechtere Produkte und Dienstleistungen und 21 Prozent ein Zurückfallen im Innovationswettbewerb. „Internationale Datentransfers betreffen nicht einige wenige Unternehmen oder nur große, globale Konzerne, sondern die deutsche Wirtschaft ist in ihrer Breite von ihnen abhängig“, sagt Dehmel. „Es ist gut, dass sich die EU und die USA auf ein Nachfolge-Abkommen für das Privacy Shield geeinigt haben. Wichtig ist, dass es nicht zu neuen Verunsicherungen und Rechtsunsicherheiten kommt.“
Gut 5 Jahre nach DS-GVO-Einführung: Wunsch nach Handeln der Politik wächst
Gut fünf Jahre nach Inkrafttreten der DS-GVO wächst in den Unternehmen der Wunsch nach einem Handeln der Politik. 95 Prozent wollen, dass die vielen Sonder- und Spezialvorschriften zum Datenschutz zusammengeführt werden (2022: 94 Prozent). 87 Prozent plädieren für eine Anpassung der DS-GVO (2022: 84 Prozent), 79 Prozent für eine Vereinheitlichung der Datenschutzvorgaben innerhalb der EU (74 Prozent). Mit Blick auf Deutschland fordern 67 Prozent, dass die föderalen Gesetze beim Datenschutz angeglichen werden (2022: 67 Prozent) und 66 Prozent wünschen sich eine Vereinheitlichung der Datenschutzaufsicht in Deutschland (2022: 51 Prozent). 71 Prozent wollen, dass der Zugang zu Daten der öffentlichen Hand für Unternehmen verbessert wird (2022: 62 Prozent). „Mit der zunehmenden Digitalisierung berühren Datenschutz-Fragen den Kern der allermeisten Unternehmen. Entsprechend müssen die Bedeutung von Daten und ihre verantwortliche Nutzung noch stärker in den Fokus der Politik rücken und sollten nicht alleine Aufgabe der Datenschützerinnen und Datenschützer sein“, so Dehmel.
Bitkom lädt zur Privacy Conference ein
Wie sich der Datenschutz in den kommenden Jahren entwickeln wird, welche Herausforderungen es heute bei internationalen Datentransfers gibt und was für die Zukunft zu beachten ist sind auch einige der Themen der Bitkom Privacy Conference 2023. Am 11. und 12. Oktober 2023 tauschen sich dort Datenschutzexpertinnen und Datenschutzexperten verschiedener Datenschutzbehörden, global agierende Unternehmen, innovativer Mittelstand und Startups aus. Unter anderem geht es um aktuelle Entwicklungen in der Regulierung und Durchsetzung, aber auch um Best Practices und datengetriebene Innovationen. Die Anmeldung ist kostenlos möglich unter www.privacy-conference.com/tickets.
Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden von KW26 bis KW34 2023 502 Unternehmen ab 20 Beschäftigen in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ.