Bitkom

Datenschutz - Unternehmen unter Dauerdruck

Berlin, September 2022 - Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz setzen Unternehmen in Deutschland unter Dauerdruck. Zugleich bekommen die Aufsichtsbehörden keine guten Noten für ihre Beratung. Die Hälfte der Unternehmen (50 Prozent) sagt, Deutschland übertreibe es mit dem Datenschutz.

Zwei Drittel (66 Prozent) sind der Auffassung, dass der strenge Datenschutz sowie die uneinheitliche Auslegung des Datenschutzes in Deutschland die Digitalisierung erschwert. Das sind Ergebnisse einer repräsentativen Befragung von 502 Unternehmen mit 20 oder mehr Beschäftigten in Deutschland im Auftrag des Digitalverbands Bitkom. "Dem Datenschutz kommt in der digitalen Wirtschaft und Gesellschaft eine besondere Bedeutung zu. Den Unternehmen fehlt es aber zunehmend an Planbarkeit und Verlässlichkeit", sagt Susanne Dehmel, Geschäftsleiterin Bitkom.
"Unternehmen stehen beim Datenschutz unter permanenten Stress. Sie wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen."

Aufwand für Datenschutz ist durch die DS-GVO dauerhaft gestiegen

4 von 10 (42 Prozent) Unternehmen geben an, dass sie seit der DS-GVO-Einführung mehr Aufwand haben – und dieser auch künftig bestehen bleiben wird. Ein weiteres Drittel (32 Prozent) geht sogar davon aus, dass der Aufwand weiter steigen wird. Nur 19 Prozent erwarten, dass ihr gestiegener Aufwand langsam wieder sinkt, 6 Prozent haben inzwischen keinen erhöhten Aufwand mehr. Zugleich hat mit zwei Drittel der Unternehmen (65 Prozent) die große Mehrheit die DS-GVO vollständig oder größtenteils umgesetzt, aber 3 von 10 (29 Prozent) haben die Umsetzung erst teilweise geschafft und gerade einmal 5 Prozent stehen damit noch ganz am Anfang. Vor allem kleinere Unternehmen kommen nur noch langsam voran.
So geben unter den Großunternehmen mit 500 oder mehr Beschäftigten nahezu unverändert nur 3 Prozent (2020: 2 Prozent) an, dass sie die DS-GVO erst teilweise umgesetzt haben, bei den Unternehmen mit 100 bis 499 Beschäftigten ist der Anteil binnen eines Jahres von 28 auf 12 Prozent zurückgegangen. Dagegen bleibt die Zahl bei den kleineren Unternehmen von 20 bis 99 Beschäftigten mit 33 Prozent auf hohem Niveau (2020: 37 Prozent).

Die Unternehmen, die die DS-GVO bislang noch nicht vollständig umgesetzt haben, nennen als Hauptgründe dafür, dass Corona andere Prioritäten erzwungen habe (82 Prozent), aber fast ebenso viele beklagen, dass sich die DS-GVO gar nicht vollständig umsetzen lasse (77 Prozent). 61 Prozent fehlt es zudem an den notwendigen personellen Ressourcen. Rund jedes zweite Unternehmen beklagt fortlaufende Anpassungen wegen neuer Urteile und Empfehlungen der Aufsicht (47 Prozent) und notwendige neue Prüfungen von Datentransfers in Länder außerhalb der EU (45 Prozent).
"Insbesondere kleinere Unternehmen brauchen bei der Umsetzung der DS-GVO mehr und bessere Unterstützung", sagt Dehmel. "Es fehlt in kleinen Unternehmen häufig an Datenschutz-Expertise, notwendig sind daher konkrete und umsetzbare Handreichungen, etwa durch die Aufsichtsbehörden."

In drei von vier Unternehmen hat Datenschutz bereits Innovationen ausgebremst

Aber die DS-GVO sorgt nicht nur für Aufwand, sie bremst auch Innovationsprojekte in der deutschen Wirtschaft. So geben drei Viertel aller Unternehmen (76 Prozent) an, dass Innovationsprojekte aufgrund konkreter Vorgaben der DS-GVO gescheitert sind. Und in 9 von 10 Unternehmen (86 Prozent) sind Projekte wegen Unklarheiten im Umgang mit der DS-GVO gestoppt worden. Am häufigsten betroffen war der Aufbau von Datenpools (54 Prozent), dahinter folgen Prozessoptimierungen im Bereich der Kundenbetreuung (37 Prozent), Projekte zur Verbesserung der Datennutzung und der Einsatz neuer Technologien wie Künstliche Intelligenz oder Big Data (je 36 Prozent). Und in jedem dritten Unternehmen (33 Prozent) war der Einsatz von Cloud-Diensten betroffen. "Digitale Technologien sind quer durch alle Branchen die wichtigsten Innovationstreiber. Wir brauchen eine bessere Balance von Datenschutz und Datennutzung", so Dehmel.

Rechtsunsicherheit ist immer größeres Problem bei der DS-GVO-Umsetzung

In den vergangenen Jahren haben die Probleme bei der DS-GVO-Umsetzung deutlich zugenommen. So sagen inzwischen mehr als drei Viertel (78 Prozent) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren waren es erst 68 Prozent. Zu viele Änderungen bzw. Anpassungen bei den Vorgaben beklagen 74 Prozent, nach 59 Prozent 2019. Die uneinheitliche Auslegung innerhalb der EU behindert 52 Prozent (2019 wurde das nicht abgefragt, 2020: 45 Prozent), fehlende finanzielle Ressourcen nennen 37 Prozent, mehr als doppelt so viele wie noch 2019 mit 18 Prozent. Herausforderungen, auf die die Unternehmen direkt Einfluss nehmen können, gewinnen dagegen nicht an Bedeutung: Eine schwierige technische Umsetzung behindert unverändert 34 Prozent, einen Mangel an qualifizierten Beschäftigten haben nur 33 Prozent (2019: 37 Prozent) und fehlende Unterstützung im Unternehmen sehen nur noch 8 Prozent (2019: 13 Prozent).

Parallel wächst die Unzufriedenheit mit den Aufsichtsbehörden. So kritisieren zwei Drittel (66 Prozent) mangelnde Umsetzungshilfen durch die Aufsicht, vor zwei Jahren lag der Anteil nur bei 53 Prozent. "Wenn Probleme wie Rechtsunsicherheit oder fehlende Umsetzungshilfen durch die Aufsicht immer stärker zunehmen, dann läuft offenkundig etwas falsch", mahnt Dehmel. "Normalerweise sind die Probleme am Anfang einer neuen Gesetzgebung groß und werden dann mit ersten Erfahrungen, Entscheidungen und zahlreicheren Hilfestellungen geringer."

Aufsicht liefert zu wenig brauchbare Unterstützung

Auch bei konkreten Fragen erhält nur eine Minderheit Unterstützung durch die Aufsicht. So hat ein Viertel (24 Prozent) dort bereits nach Hilfestellungen für die Umsetzung von Datenschutzvorgaben angefragt, aber keine Antwort erhalten. Ähnlich viele (28 Prozent) haben zwar Antwort bekommen, diese habe aber nicht geholfen. Nur 3 von 10 (29 Prozent) geben an, auf ihre Frage hin auch Hilfestellung erhalten zu haben: 64 Prozent von ihnen in Form von Leitfäden, 32 Prozent mit Einzelberatung, 27 Prozent in einer Gruppenberatung. Von den Unternehmen, die Hilfestellungen erhaltene haben, sagen 12 Prozent, dass sie sehr zufrieden damit waren, 19 Prozent waren eher zufrieden. Aber 41 Prozent waren eher nicht zufrieden und 25 Prozent überhaupt nicht zufrieden.
"Um den Datenschutz in den Unternehmen nachhaltig zu befördern, reicht es nicht Beschwerden abzuarbeiten und bei nachgewiesenen Verstößen Bußgelder zu verhängen", so Dehmel. "Für den gelebten Datenschutz könnte viel mehr erreicht werden, wenn die Aufsichtsbehörden präventiv tätig würden und Unternehmen bei der praktischen Umsetzung der Datenschutzvorgaben unterstützten, indem sie konkrete Auskünfte erteilen und praxisnahe Empfehlungen geben."

Hauptgründe für die Unternehmen, nicht nach Hilfe zu fragen, war dabei nicht der fehlende Bedarf an Unterstützung. Nur 1 Prozent gibt an, keine Hilfe zu benötigen. Aber jedes Dritte (34 Prozent) hat von Anfragen abgesehen, weil andere Unternehmen von schlechten Erfahrungen berichtet haben. Jedes Vierte weiß gar nicht, dass die Aufsicht Hilfe anbietet (26 Prozent) oder geht davon aus, dass die Qualität der Hilfe dort nicht gut ist (25 Prozent). Rund jedes Fünfte (18 Prozent) hat Angst, dass die Aufsicht so von den eigenen Problemen erfährt. Und 16 Prozent meinen, die Aufsicht sei gar nicht an Problemlösung interessiert.