28.09.2022 — Online-Redaktion Verlag Dashöfer. Quelle: BITKOM - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V..
So loben 67 %, dass die DS-GVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. Und jedes zweite Unternehmen (50 %) glaubt, dass die DS-GVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt. Aber 70 % sehen aufgrund der unterschiedlichen Auslegung der DS-GVO in den Mitgliedsstaaten noch keinen EU-weiten einheitlichen Datenschutz. Und auch die Bewertung mit Blick auf das eigene Unternehmen fällt überwiegend kritisch aus. So können 40 % keinen Wettbewerbsvorteil durch die DS-GVO auf dem internationalen Markt für das eigene Unternehmen erkennen – und 30 % sehen sogar Wettbewerbsnachteile. Dem stehen 16 bzw. 13 % gegenüber, die die DS-GVO als geringen oder großen Wettbewerbsvorteil bezeichnen „Die Idee der DS-GVO, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Bislang ist aber nicht gelungen, daraus den oft behaupteten Wettbewerbsvorteil zu ziehen“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Dabei hat die große Mehrheit die DS-GVO inzwischen umgesetzt, entweder vollständig (22 %) oder größtenteils (40 %). Ein Drittel (33 %) sieht sich erst teilweise am Ziel, nur 2 % haben erst mit der Umsetzung begonnen – und kein Unternehmen hat bisher nichts getan. Praktisch alle Unternehmen haben seit Einführung der Datenschutz-Grundverordnung (DS-GVO) ihren Aufwand für Datenschutz hochgefahren. 16 % stellen fest, dass dieser langsam wieder abnimmt, aber 47 % gehen von einem gleichbleibend höheren Aufwand aus, 30 % erwarten sogar, dass der bereits gestiegene Aufwand noch weiter zunimmt. Nur 6 % sehen keinen Mehraufwand, für kein Unternehmen ist der Aufwand gesunken. „Die DS-GVO ist kein Punkteplan, den man sich vornimmt und dann einmalig umsetzt“, so Rohleder. „Sie erfordert dauerhafte Anstrengungen, insbesondere bei der Einführung neuer Geschäftsprozesse und digitaler Technologien, und die ständige Reaktion auf neue Auslegungen, etwa durch Gerichtsurteile oder Hinweise der zahlreichen Aufsichtsbehörden“, so Rohleder.
Dass die Umsetzung der DS-GVO noch nicht weiter ist, liegt nach Ansicht der Unternehmen überwiegend an Gründen, die sie nicht selbst zu verantworten haben. Sie sehen sich vor allem mit Rechtsunsicherheit und einer widersprüchlichen Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern konfrontiert. So geben 88 % an, die Umsetzung der DS-GVO sei nie vollständig abgeschlossen, etwa weil es neue Guidelines gibt. 78 % sehen bestehende Rechtsunsicherheiten zu den Vorgaben der DS-GVO als Hemmnis. 77 % haben festgestellt, dass durch das Ausrollen neuer Tools immer wieder eine neue Prüfung in Gang gesetzt wird. 57 % sehen in der uneinheitlichen Auslegung der DS-GVO innerhalb der EU ein Hemmnis, 40 % in der uneinheitlichen Auslegung in Deutschland. Und 52 % beklagen eine mangelnde Beratung durch Aufsichtsbehörden. Aber auch unternehmensinterne Gründe bremsen die DS-GVO-Umsetzung. 45 % sagen, die erforderliche IT- und Systemumstellungen kosten viel Zeit, 32 % fehlt es an finanziellen Mitteln, 24 % an qualifizierten Beschäftigten. Rund jedes vierte Unternehmen (23 %) bindet die Datenschutzbeauftragten nur mangelhaft ein, 15 % sehen ganz allgemein eine mangelnde Unterstützung im Unternehmen.
Entsprechend kritisch beurteilen die Unternehmen aktuell die Umsetzung des Datenschutzes in Deutschland. Zwei Drittel stellen fest, dass der strenge Datenschutz in Deutschland die Digitalisierung erschwert (68 %), für fast ebenso viele hemmt der uneinheitliche Datenschutz die Digitalisierung (65 %). Und 61 % sagen, Deutschland übertreibe es mit dem Datenschutz – vor einem Jahr lag der Anteil noch bei 50 %. „Datenschutz darf nicht zum Selbstzweck werden“, sagt Rohleder. „Aus Sicht der Unternehmen ist es der DS-GVO bislang nicht gelungen, den Datenschutz zu vereinheitlichen, weder innerhalb der EU noch innerhalb Deutschlands. Deutschland kann sich auf Dauer nicht 18 verschiedene Datenschutz-Auslegungen leisten. Ob in München oder Hamburg, in Köln oder Schwerin: zumindest innerhalb Deutschlands müssen die gleichen Datenschutzregeln gelten.“
Häufiger als noch im Vorjahr berichten die Unternehmen davon, dass mindestens ein Innovationsprojekt in den vergangenen zwölf Monaten aufgrund des Datenschutzes gescheitert ist oder gar nicht in Angriff genommen wurde. In 82 % der Unternehmen lag das an konkreten DS-GVO-Vorgaben (2021: 75 %), in 93 % an Unklarheiten im Umgang mit den Vorgaben (2021: 86 %). Konkret betrifft das in jedem zweiten Unternehmen den Aufbau von Datenpools (52 %, -2 %punkte verglichen mit 2021), in 45 % die Prozessoptimierung im Bereich der Kundenbetreuung (+8 %P), in 38 % den Einsatz neuer Datenanalysetools (+8 %P) und in 37 % den Einsatz von Clouddiensten (+4 %P). Rund jedes dritte Unternehmen (34 %) wurde bei Innovationen zur Digitalisierung von Geschäftsprozessen durch neue Software zurückgeworfen (+11 %P), 33 % beim Einsatz neuer Technologien wie KI (-3 %P), 28 % bei der Einbindung zusätzlicher digitaler Tools (+12 %P) und 26 % beim Einsatz von Software globaler Anbieter und Plattformen (+9 %P). „Digitalisierung ist entscheidend für die Wettbewerbsfähigkeit der deutschen Unternehmen und für ihre Krisenresilienz. Digitale Technologien sind zudem die wichtigsten Innovationstreiber für alle Branchen.“, so Rohleder. „Wir brauchen eine Balance zwischen Datennutzung und Datenschutz. Datenschutz darf nicht regelmäßig dazu führen, dass Dinge nicht gemacht werden, Datenschutz muss vielmehr unterstützen, dass sie richtig gemacht werden und letztlich den Menschen dienen. “
Dabei kommt den Datenschutz-Aufsichtsbehörden in den Ländern und im Bund eine besondere Rolle zu. Von ihnen hat rund die Hälfte der Unternehmen (54 %) schon einmal Hilfestellungen bei der Umsetzung von Datenschutzvorgaben erhalten. 32 % hatten dabei persönlichen Kontakt, 22 % haben nur bestehendes Informationsmaterial genutzt. 16 % haben allerdings keine Hilfe erfragt – und 27 % haben zwar angefragt, aber keine Antwort erhalten. Und auch die Qualität der Hilfestellung variiert offenbar stark. Von den Unternehmen, die Hilfestellungen genutzt haben, sind 12 % sehr zufrieden und 28 % eher zufrieden, aber 34 % sind eher nicht zufrieden und 22 % überhaupt nicht zufrieden. „Dem Datenschutz in Deutschland wäre gedient, wenn die Aufsicht bei der praktischen Umsetzung der Datenschutzvorgaben viel stärker unterstützen würde“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Dazu gehören praxisnahe Empfehlungen ebenso wie konkrete Auskünfte. Es muss gemeinsam darum gehen, Datenschutzvorgaben in gelebte Prozesse und Geschäftsmodelle zu übersetzen.“
Die Unternehmen, die persönliche Hilfestellungen erhalten haben, loben überwiegend (65 %) die freundliche Beratung. 46 % sagen zudem, dass der Ansprechpartner kompetent gewesen sei. 40 % loben die schnelle Bearbeitung der Anfrage, ebenso viele konnten mit Unterstützung der Aufsichtsbehörden innovative, datengetriebene Projekte schneller umsetzen. Umgekehrt haben aber 44 % den Eindruck, dass die Aufsicht ihnen vor allem Steine in den Weg gelegt hat.
Bei den Unternehmen, die bislang noch nicht bei der Aufsicht nach Hilfe gefragt haben, gibt keines an, dass keine Hilfestellungen gebraucht werden. Ein Viertel (27 %) hatte keine Zeit, 20 % wussten nicht, dass die Aufsicht auch berät. Häufig liegt der fehlende Kontakt aber auch am schlechten Ruf der Aufsicht. 33 % meinen, die Qualität der Hilfestellung sei nicht gut, 30 % haben von schlechten Erfahrungen anderer Unternehmen gehört. 16 % haben Sorge, dass die Aufsicht durch Fragen erst auf Probleme aufmerksam wird, 13 % befürchten, die Aufsicht sei nicht an Problemlösungen interessiert. Und 1 % ist der Meinung, die Aufsicht sei gar nicht für Hilfen zuständig, sondern lediglich für Strafen.
Von unverändert hoher Bedeutung für die deutsche Wirtschaft sind Datentransfers in das Nicht-EU-Ausland. So geben nur 40 % (2021: 44 %) an, keine personenbezogenen Daten in Länder außerhalb der EU zu übermitteln. 47 % transferieren solche Daten an externe Dienstleister, 22 % an Geschäftspartner zu gemeinsamen Zwecken und 16 % an andere Konzerneinheiten oder Töchter. Für die Unternehmen, die internationale Datentransfers ins Nicht-EU-Ausland nutzen, sind die USA das wichtigste Zielland (59 %) vor Großbritannien (32 %), Indien (13 %), Japan (9 %) und Südkorea (5 %). 4 % transferieren Daten nach China, ebenso viele in die Ukraine. Bedeutungslos ist dagegen Russland geworden, in das praktisch kein Unternehmen (0 %) mehr personenbezogene Daten übermittelt. Vor dem Angriffskrieg auf die Ukraine lag der Anteil im Jahr 2021 noch bei 18 %.
Der Wegfall des Privacy Shields hat viele Unternehmen, die Daten mit den USA austauschen, vor massive Probleme gestellt. 59 % von ihnen haben in der Vergangenheit auf Basis des Privacy Shields Daten in die USA transferiert. Heute greift die große Mehrheit auf Standardvertragsklauseln zurück (91 %). Jeweils ein Viertel verwendet Einwilligungen (27 %) oder sogenannte Binding Corporate Rules (26 %).
Die Gründe für internationale Datentransfers sind vielfältig. Am häufigsten wird die Nutzung von Cloud-Angeboten (89 %) genannt, dahinter folgen die Nutzung von Kommunikationssystemen, die Daten dorthin übermitteln (67 %), sowie der Einsatz von weltweiten Dienstleistern, etwa für 24/7-Support (61 %). Mit deutlichem Abstand folgen die Nutzung von Services wie Abrechnung oder Datenbankmanagement (29 %), eigene Unternehmensstandorte außerhalb der EU (25 %) oder die Zusammenarbeit mit Partnern außerhalb der EU (16 %). „Weil die Gründe für Datentransfers in Länder so vielfältig sind, lassen sie sich nicht einfach durch die Nutzung alternativer Dienste abstellen, wie häufig in der Debatte suggeriert wird“, sagt Dehmel.
Für die deutsche Wirtschaft wären die Folgen bei einem Wegfall des internationalen Datenaustauschs mit Ländern außerhalb der EU gravierend. 60 % der Unternehmen, die aktuell Daten außerhalb der EU verarbeiten, könnten dann keinen globalen Security-Support mehr aufrecht erhalten, 57 % könnten bestimmte Produkte und Dienstleistungen nicht mehr anbieten und 55 % hätten Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern. Rund jedes zweite Unternehmen erwartet, dass dann globale Lieferketten nicht mehr funktionieren (48 %) und höhere Kosten entstehen (47 %). 37 % müssten ihre Konzernstruktur komplett verändern, 30 % befürchten eine schlechtere Qualität ihrer Produkte und Dienstleistungen und 20 % würden im Innovationswettbewerb zurückfallen. „Datentransfers in Nicht-EU-Länder haben für die Unternehmen dieselbe Bedeutung wie der internationale Warenaustausch und globale Lieferketten. Die Politik muss zügig einen Rahmen schaffen, der zugleich Rechtssicherheit für die Unternehmen schafft und wirklich praxistauglich ist“, so Dehmel.
Von der Politik erwarten daher 4 von 10 Unternehmen (39 %) die Durchsetzung einer politischen Lösung für internationale Datentransfers, 55 % fordern eine harte Linie gegenüber den USA bei Verhandlungen für internationale Datentransfers. Ganz oben auf der Agenda für die Politik stehen nach Ansicht der Wirtschaft aber Maßnahmen für mehr Einheitlichkeit und Rechtssicherheit beim Datenschutz. So wollen 94 % der Unternehmen, dass die vielen Sonder- und Spezialvorschriften zu Datenschutz und Datennutzung zusammengeführt werden. 84 % sprechen sich für eine Anpassung der DS-GVO aus, 74 % für eine weitere europäische Vereinheitlichung der Datenschutzvorgaben. 67 % wollen, dass die föderalen Gesetze in Deutschland im Datenschutz angeglichen werden und 51 % sprechen sich für eine Vereinheitlichung der Datenschutzaufsicht in Deutschland aus. 62 % plädieren für einen besseren Zugang zu Daten der öffentlichen Hand für Unternehmen. „Es geht nicht um weniger Datenschutz, es geht um besseren Datenschutz“, fasst Dehmel die Position der Unternehmen zusammen. „Wir brauchen Regeln, die Unternehmen im Alltag umsetzen können und vor allem eine einheitliche Auslegung der Vorschriften, in Deutschland und in Europa. Damit lässt sich die Digitalisierung der deutschen Wirtschaft erfolgreich gestalten und damit unsere globale Wettbewerbsfähigkeit sichern, aber auch unsere Fähigkeit, globale Herausforderungen wie Klimaschutz oder gesellschaftliche Resilienz in Krisenzeiten zu meistern.“
Bild: Pixabay (Pexels, Pexels Lizenz)