Breite Mehrheit fordert Nachbesserung der DS-GVO

(Berlin) - Die deutsche Wirtschaft macht Druck für eine Reform der europäischen Datenschutz-Grundverordnung (DS-GVO). 79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DS-GVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DS-GVO müsse gelockert werden. Die EU-Kommission hat mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutz-Regeln vorgeschlagen. Zugleich wächst die Belastung der Unternehmen durch den Datenschutz weiter. Bei rund zwei Dritteln (69 Prozent) hat der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichnen ihn 97 Prozent als sehr hoch oder eher hoch. Das sind Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Auftrag des Digitalverbands Bitkom. 72 Prozent beklagen, dass wir es mit dem Datenschutz in Deutschland übertreiben, vor einem Jahr waren es noch 64 Prozent. Und sogar 77 Prozent sagen, der Datenschutz hemmt die Digitalisierung in Deutschland (2024: 70 Prozent). „Diese Bewertung der Unternehmen sollten wir ernst nehmen und einen sowohl effektiven als auch praxistauglichen Datenschutz für die digitale Gesellschaft ermöglichen. Mit dem digitalen Omnibus hat die EU-Kommission wichtige Schritte angestoßen, um Alltagsprobleme im Umgang mit dem Datenschutz zu verringern. Doch die strukturellen Hürden bleiben“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „In vielen Branchen herrscht Rechtsunsicherheit, etwa bei Einwilligungen, die nicht nur dokumentiert, sondern auch rechtssicher formuliert und geprüft werden müssen. Die Vielzahl komplexer Datenschutzvorschriften schafft aufwändige und teils bürokratische Prozesse in Unternehmen. Hier braucht es dringend Klarheit und Entlastung.“

Dauerbaustelle Datenschutz

Für die Unternehmen sind die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen ist (86 Prozent) sowie die Unsicherheit zu genauen Vorgaben der DS-GVO (82 Prozent). Dazu kommen immer wiederkehrende Prüfungen beim Ausrollen neuer Tools (77 Prozent). Dahinter folgen mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69 Prozent), die uneinheitliche Auslegung innerhalb der EU (54 Prozent), mangelnde Beratung durch Aufsichtsbehörden (54 Prozent), sich widersprechende rechtliche Vorgaben (53 Prozent) und eine uneinheitliche Auslegung innerhalb Deutschlands (37 Prozent). „Die Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen“, so Dehmel.

Aber auch innerhalb der Unternehmen gibt es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50 Prozent) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46 Prozent). Dazu kommen ein Mangel an qualifizierten Beschäftigten für die Datenschutz-Umsetzung (38 Prozent), fehlende finanzielle Mittel (31 Prozent) und die unzureichende Einbindung der Datenschutzbeauftragten (25 Prozent). Am Ende rangiert mit nur 12 Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.

An welchen Stellen die Unternehmen Nachbesserungen der DS-GVO wollen

An diesen Stellen wünschen sich die Unternehmen auch Nachbesserungen der DS-GVO. Jeweils rund drei Viertel wollen, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert (76 Prozent) und das Verbot mit Erlaubnisvorbehalt abgeschafft (73 Prozent) werden. Je 6 von 10 Unternehmen plädieren für eine vereinfachte Nutzung pseudonymisierter Daten (63 Prozent), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62 Prozent), mehr Rechtssicherheit bei der Interessenabwägung (61 Prozent) und weniger Informationspflichten (60 Prozent). Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33 Prozent) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen. „Es geht den Unternehmen darum, die DS-GVO nach sieben Jahren praxistauglich zu machen“, so Dehmel. „Datenschutz muss verständlich und anwendbar sein.“

Die Wünsche spiegeln wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entsteht. Bei 73 Prozent sind das die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69 Prozent). Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57 Prozent), die Abstimmung mit externen Dienstleistern (54 Prozent) sowie die Erfüllung von Informationspflichten (53 Prozent). 43 Prozent nennen die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten. Kein Unternehmen gibt an, frei von Problemen aufgrund des Datenschutzes zu sein.

Für und Wider einer zentralen Datenschutzbehörde

Aber nicht nur bei den Datenschutzregeln wird Reformbedarf gesehen, es gibt auch Kritik an den Aufsichtsbehörden. Rund zwei Drittel (69 Prozent) der Unternehmen beklagen, dass die deutschen Datenschutzbehörden die DS-GVO zu streng anwenden. Eine Folge: Die Unternehmen überziehen beim Datenschutz aus Angst, gegen die DS-GVO zu verstoßen (62 Prozent). Die Unternehmen plädieren mit knapper Mehrheit dafür, die Datenschutzaufsicht auf Bundesebene zu zentralisieren. 53 Prozent befürworten den Vorschlag, 42 Prozent sind dagegen. „Die Diskussion über eine Reform der Datenschutzaufsicht in Deutschland ist wichtig. Angesichts der Vielzahl von Herausforderungen, vor denen die Unternehmen stehen, müssen wir die Ressourcen der Behörden bestmöglich einsetzen und insbesondere für eine gute Beratung sowie für eine einheitliche Auslegung und Durchsetzung sorgen“, sagt Dehmel.

Ein Viertel der Unternehmen berichtet von Datenschutzverstößen

Datenschutzverstöße haben in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räumt sie für die vergangenen zwölf Monate ein. Bei 19 Prozent gab es einen Verstoß, bei 6 Prozent mehrere. 59 Prozent hatten keine Datenschutzverstöße, 16 Prozent wollen oder können keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, haben diese an die Aufsicht gemeldet, 29 Prozent haben keine Meldungen gemacht und 14 Prozent wollen oder können dazu keine Angabe machen.

Rund jedes zweite Unternehmen mit Datenschutzverstößen nennt diese sehr schwerwiegend (16 Prozent) oder eher schwerwiegend (32 Prozent). Bei 23 Prozent waren sie eher nicht schwerwiegend, bei 19 Prozent überhaupt nicht schwerwiegend und jedes Zehnte (10 Prozent) kann oder will dazu keine Angaben machen. Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann nennen 93 Prozent den organisatorischen Aufwand. Mit deutlichem Abstand folgt dahinter ein Bußgeld (51 Prozent). 18 Prozent haben Kunden verloren, 7 Prozent mussten Schadenersatz zahlen und ebenfalls 7 Prozent haben Reputationsschäden verzeichnet. Bei gerade einmal 5 Prozent gab es gar keine Folgen. „Verstöße gegen den Datenschutz sind nicht folgenlos, sondern haben Konsequenzen“, sagt Dehmel.

Datenschutz bremst Künstliche Intelligenz aus

Mit Blick auf Künstliche Intelligenz wird die Rolle des Datenschutzes von den Unternehmen zunehmend kritisch gesehen. 7 von 10 Unternehmen (71 Prozent) fordern, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69 Prozent) der Unternehmen erschwert der Datenschutz das Training von KI-Modellen. Vor einem Jahr lag der Anteil erst bei 50 Prozent. Und 63 Prozent meinen, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibt (2024: 52 Prozent). 57 Prozent sagen, dass der Datenschutz generell dafür sorgt, dass die Anwendung von KI in der EU eingeschränkt wird (2024: 57 Prozent) und in 54 Prozent der Unternehmen behindert der Datenschutz den Einsatz von KI (2024: 52 Prozent). Umgekehrt meinen aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schafft (2024: 53 Prozent). „Künstliche Intelligenz ist die entscheidende Zukunftstechnologie und KI braucht Daten. Die Regelungen zum Datenschutz sollten auch mit Blick auf Deutschlands Position in der künftigen KI-Welt überprüft werden“, so Dehmel.

Wünsche an die Politik: Einfache Regeln und weniger Bürokratie

An Politik und Verwaltung haben die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgen das Vorantreiben einer DS-GVO-Reform auf europäischer Ebene (79 Prozent), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69 Prozent) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62 Prozent). 53 Prozent wollen differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagen 62 Prozent der Unternehmen, für kleinere Unternehmen ist der Datenschutz oft kaum umsetzbar.

Alle Ergebnisse der Unternehmensbefragung finden sich auch im Bitkom-Dataverse unter: www.bitkom.org/Bitkom-Dataverse/DatenschutzUnternehmen

Quelle und Kontaktadresse:
Bitkom e.V., Andreas Streim, Pressesprecher(in), Albrechtstr. 10, 10117 Berlin, Telefon: 030 27576-0