Seit gut fünf Jahren ist die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Doch noch immer halten sich nicht alle Unternehmen an die Regeln. Erst zwei Drittel (65 Prozent) der deutschen Betriebe haben die Bestimmungen der DSGVO vollständig oder größtenteils umgesetzt. Das ergab eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter gut 500 Unternehmen ab 20 Beschäftigten in Deutschland.

Viele Unternehmen beklagen, dass die DSGVO Geschäftsprozesse komplizierter mache (78 Prozent) und zu praxisfern sei (77 Prozent). 56 Prozent der Befragten geben an, dass die strengen Datenschutzvorgaben die Entwicklung neuer Produkte und Dienstleistungen verzögerten, und knapp die Hälfte (48 Prozent) konstatiert, dass Innovationen aus anderen Regionen wegen der DSGVO in der EU nicht genutzt werden könnten.

Beim Bitkom sieht man deshalb Nachbesserungsbedarf. "Auch nach fünf Jahren gibt es bei der DSGVO leider mehr Schatten als Licht", moniert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Das Ziel, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, hält Dehmel zwar nach wie vor für richtig. Doch die fehlende Praxisnähe der Vorschriften habe dazu geführt, dass dieses Ziel noch nicht erreicht worden sei. "Die Unternehmen haben mit der Daueraufgabe Datenschutz zu kämpfen."

Datenschutzregeln sind zu kompliziert

Jeder zweite Betrieb muss laut Umfrage seit der Einführung der DSGVO einen höheren Aufwand für den Datenschutz treiben. Dazu komme eine wachsende Komplexität. 86 Prozent der Datenschutz-Verantwortlichen in den Unternehmen räumen ein, dass sie es kaum schafften, allen rechtlichen Entwicklungen beim Datenschutz zu folgen. Drei Viertel geben an, dass der Datenschutz in Deutschland so kompliziert geworden sei, dass es ihnen schwerfalle, die eigenen Mitarbeiterinnen und Mitarbeiter über die geltenden Regeln richtig aufzuklären. 58 Prozent beklagen zudem, dass sie in ihren Unternehmen vor allem als Bedenkenträger wahrgenommen würden.

Die Top 10 der europäischen DSGVO-Sünder

"Datenschutz ist in Deutschland so kompliziert geworden, dass selbst die Profis kaum noch hinterherkommen", konstatiert Bitkom-Sprecherin Dehmel. Hinzu komme, dass der Datenschutz immer mehr Bereiche betreffe - von der Wirtschaft bis in den privaten Alltag. "Wir brauchen einen Datenschutz, der verständlich und praxistauglich ist."

Als größte Herausforderung bei der Umsetzung der DSGVO nennen 92 Prozent der deutschen Unternehmen, dass die Arbeiten nie vollständig abgeschlossen seien. Wenn neue digitale Tools ausgerollt würden, müsse jedes Mal eine neue Prüfung in Gang gesetzt werden. 82 Prozent klagen über eine hohe Rechtsunsicherheit, was die DSGVO-Vorgaben im Detail angeht. Gut die Hälfte der Betriebe kritisiert die Beratung durch die Aufsichtsbehörden als mangelhaft und bezeichnet die aus den Regeln resultierenden Anforderungen als zu hoch.

Problem: DSGVO wird unterschiedlich ausgelegt

Eigentlich sollte die DSGVO die Datenschutzregeln in der EU vereinheitlichen. Doch das scheint aus Sicht vieler Unternehmen nicht gelungen zu sein. Knapp die Hälfte der Betriebe bezeichnet die uneinheitlichen Auslegungen des Regelwerks in Europa als eine der größten Herausforderungen. Zudem würden die Datenschutzregeln auch innerhalb Deutschlands unterschiedlich interpretiert, monieren 35 Prozent der Befragten.

Die Aufsichtslandschaft über Datenschutz und Informationsfreiheit in Deutschland sei föderal strukturiert, heißt es auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BFDI). Sofern es in den Bundesländern ein Informationsfreiheits- beziehungsweise Transparenzgesetz gebe, seien die Landesbeauftragten zuständig. Doch es gibt etliche Sonderfälle. Beispielsweise unterhalten Rundfunkanstalten und Kirchen eigene Datenschutzbeauftragte.

Streit um DSGVO: Datenschutz vs. Innovation

Aus Sicht vieler Unternehmen bringt die DSGVO viele nachteile mit sich. Die erforderlichen IT-Umstellungen kosteten zu viel Zeit, moniert die Hälfte der Befragten. Vielerorts fehlten finanzielle Ressourcen (41 Prozent) und qualifizierte Beschäftigte (26 Prozent). Sieben von zehn Unternehmen halten die EU-DSGVO für einen Bremsklotz im internationalen Wettbewerb mit Unternehmen, die nicht dem Datenschutzregelwerk unterliegen. An dieser Stelle ist allerdings anzumerken, dass sich jedes Unternehmen, das in der EU Geschäfte machen will, an die DSGVO halten muss.

DSGVO lässt Projekte scheitern

In allen vom Bitkom befragten Betrieben hat die DSGVO in den vergangenen zwölf Monaten dazu geführt, dass Projekte gescheitert sind oder erst gar nicht angegangen wurden. Entweder wurden sie durch Datenschutzvorgaben behindert oder es gab Unklarheiten bezüglich ihrer Anwendung. Betroffen waren vor allem Projekte zum Aufbau von Datenpools (59 Prozent) und zur Prozessoptimierung in der Kundenbetreuung (47 Prozent). In rund jedem dritten Unternehmen scheiterte der Einsatz neuer Datenanalyse-Tools (37 Prozent), die Digitalisierung von Geschäftsprozessen durch neue Software (37 Prozent), die Verwendung von Künstlicher Intelligenz (34 Prozent) beziehungsweise von Cloud-Diensten (32 Prozent), sowie die Implementierung von Software globaler Anbieter und Plattformen (32 Prozent) an den DSGVO-Regeln.

Gerade hinsichtlich der Übertragung von Daten in andere Länder, müsse Klarheit und Rechtssicherheit herrschen, fordern die Bitkom-Verantwortlichen. Deutsche Unternehmen seien stark abhängig von Datentransfers in Länder außerhalb der EU - nur gut ein Drittel der hiesigen Betriebe käme ohne einen solchen Datenaustausch aus. Diese Datentransfers haben vor allem zwei Gründe: Cloud und Kommunikation. 94 Prozent der Unternehmen nutzten Cloud-Angebote von Anbietern außerhalb der EU, 83 Prozent entsprechende Kommunikations- oder Videokonferenzsysteme.

Datenschutzabkommen mit den USA: EU billigt Data Privacy Framework

Würde der Datentransfer aufgrund von Datenschutzregeln eingeschränkt oder gar verboten, bekämen viele Unternehmen ernste Probleme. Gut zwei Drittel der Befragten erwarten für diesen Fall Wettbewerbsnachteile, 58 Prozent höhere Kosten und 56 Prozent massive Störungen in ihren internationalen Lieferketten. Rund die Hälfte könnte bestimmte Produkte oder Dienstleistungen nicht mehr anbieten, knapp ein Drittel müsste die eigene Konzerndatenverarbeitung umbauen.

Fazit: Politik soll Regelwerk neu justieren

Aus Sicht des Bitkom besteht also Handlungsbedarf. Gut fünf Jahre nach Inkrafttreten der DSGVO wünschen sich die Unternehmen von der Politik, dass das Regelwerk angepasst wird. 95 Prozent der Befragten wollen, dass die vielen Sondervorschriften zum Datenschutz zusammengeführt werden, 79 Prozent plädieren für eine Vereinheitlichung der Datenschutzvorgaben innerhalb der EU. Mit Blick auf Deutschland fordern zwei von drei Betrieben, dass die föderalen Gesetze beim Datenschutz angeglichen und die Datenschutzaufsicht in Deutschland vereinheitlicht werden.

"Mit der zunehmenden Digitalisierung berühren Datenschutz-Fragen den Kern der allermeisten Unternehmen", bilanziert Dehmel vom Bitkom. Entsprechend müssten die Bedeutung von Daten und ihre verantwortliche Nutzung noch stärker in den Fokus der Politik rücken und sollten nicht alleine Aufgabe der Datenschützerinnen und Datenschützer sein. (ba)