Die deutsche Wirtschaft möchte eine Reform der europäischen Datenschutzgrundverordnung (DSGVO): 79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DSGVO müsse gelockert werden. Das sind zwei zentrale Ergebnisse einer Studie im Auftrag des Bitkom.
Die EU-Kommission hat mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutzregeln vorgeschlagen. Zugleich wächst die Belastung der Unternehmen durch den Datenschutz weiter, sagt der Bitkom. Bei rund zwei Dritteln (69 Prozent) hat der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichnen ihn 97 Prozent als sehr hoch oder eher hoch. Das sind Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Auftrag des Digitalverbands Bitkom. 72 Prozent beklagen, dass wir es mit dem Datenschutz in Deutschland übertreiben, vor einem Jahr waren es noch 64 Prozent. Und sogar 77 Prozent sagen, der Datenschutz hemmt die Digitalisierung in Deutschland (2024: 70 Prozent).
Dauerbaustelle Datenschutz
Für die Unternehmen sind die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen ist (86 Prozent) sowie die Unsicherheit zu genauen Vorgaben der DSGVO (82 Prozent). Dazu kommen immer wiederkehrende Prüfungen beim Ausrollen neuer Tools (77 Prozent). Dahinter folgen mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69 Prozent), die uneinheitliche Auslegung innerhalb der EU (54 Prozent), mangelnde Beratung durch Aufsichtsbehörden (54 Prozent), sich widersprechende rechtliche Vorgaben (53 Prozent) und eine uneinheitliche Auslegung innerhalb Deutschlands (37 Prozent).
Aber auch innerhalb der Unternehmen gibt es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50 Prozent) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46 Prozent). Dazu kommen ein Mangel an qualifizierten Beschäftigten für die Datenschutzumsetzung (38 Prozent), fehlende finanzielle Mittel (31 Prozent) und die unzureichende Einbindung der Datenschutzbeauftragten (25 Prozent). Am Ende rangiert mit nur zwölf Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.
Wo die Unternehmen Nachbesserungen der DSGVO wollen
Jeweils rund drei Viertel wollen, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert und das Verbot mit Erlaubnisvorbehalt abgeschafft werden. Je sechs von zehn Unternehmen plädieren für eine vereinfachte Nutzung pseudonymisierter Daten (63 Prozent), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62 Prozent), mehr Rechtssicherheit bei der Interessenabwägung (61 Prozent) und weniger Informationspflichten (60 Prozent). Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33 Prozent) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen.
Die Wünsche spiegeln wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entsteht. Bei 73 Prozent sind das die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69 Prozent). Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57 Prozent), die Abstimmung mit externen Dienstleistern (54 Prozent) sowie die Erfüllung von Informationspflichten (53 Prozent). 43 Prozent nennen die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten. Kein Unternehmen gibt an, frei von Problemen aufgrund des Datenschutzes zu sein.
25 Prozent der Unternehmen berichten von Verstößen
Datenschutzverstöße haben in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räumt sie für die vergangenen zwölf Monate ein. Bei 19 Prozent gab es einen Verstoß, bei sechs Prozent mehrere. 59 Prozent hatten keine Datenschutzverstöße, 16 Prozent wollen oder können keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, haben diese an die Aufsicht gemeldet, 29 Prozent haben keine Meldungen gemacht und 14 Prozent wollen oder können dazu keine Angabe machen.
Rund jedes zweite Unternehmen mit Datenschutzverstößen nennt diese sehr schwerwiegend (16 Prozent) oder eher schwerwiegend (32 Prozent). Bei 23 Prozent waren sie eher nicht schwerwiegend, bei 19 Prozent überhaupt nicht schwerwiegend und jedes Zehnte (zehn Prozent) kann oder will dazu keine Angaben machen. Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann nennen 93 Prozent den organisatorischen Aufwand. Mit deutlichem Abstand folgt dahinter ein Bußgeld (51 Prozent). 18 Prozent haben Kunden verloren, sieben Prozent mussten Schadenersatz zahlen und ebenfalls sieben Prozent haben Reputationsschäden verzeichnet. Bei gerade einmal fünf Prozent gab es gar keine Folgen.
Datenschutz bremst künstliche Intelligenz aus
Sieben von zehn Unternehmen fordern, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69 Prozent) der Unternehmen erschwert der Datenschutz das Training von KI-Modellen. Vor einem Jahr lag der Anteil erst bei 50 Prozent. Und 63 Prozent meinen, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibt (2024: 52 Prozent). 57 Prozent sagen, dass der Datenschutz generell dafür sorgt, dass die Anwendung von KI in der EU eingeschränkt wird (2024: 57 Prozent) und in 54 Prozent der Unternehmen behindert der Datenschutz den Einsatz von KI (2024: 52 Prozent). Umgekehrt meinen aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schafft (2024: 53 Prozent).
Einfache Regeln und weniger Bürokratie
An Politik und Verwaltung haben die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgen das Vorantreiben einer DSGVO-Reform auf europäischer Ebene (79 Prozent), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69 Prozent) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62 Prozent). 53 Prozent wollen differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagen 62 Prozent der Unternehmen, für kleinere Unternehmen ist der Datenschutz oft kaum umsetzbar.