Cybersicherheit ist den Unternehmen wichtig, aber sie sollte möglichst unbürokratisch zu realisieren sein
© Traitov / iStock / Getty Images Plus
Auch nach sechs Jahren bleibt die Europäische Datenschutzgrundverordnung (DSGVO) einer der größten Bürokratietreiber für deutsche Betriebe. Das ist das Ergebnis einer Umfrage der Deutschen Industrie- und Handelskammer (DIHK) unter 4.900 Unternehmen aus nahezu allen Branchen.
Prof. Dr. Stephan Wernicke
© DIHK / Paul Aidan Perry
Die Umsetzung der seit Mai 2018 geltenden DSGVO im betrieblichen Alltag verursacht der DIHK-Umfrage zufolge noch immer bei mehr als drei Viertel der Betriebe einen "hohen bis extremen" Aufwand.
"Dieser Wert zieht sich über alle Unternehmensgrößen hinweg", sagt DIHK-Chefjustiziar Stephan Wernicke. Besonders kritisch: Bei den Betrieben mit bis zu 19 Beschäftigten stuft fast jeder vierte Betrieb den eigenen DSGVO-Aufwand als "extrem" ein.
© DIHK
"Hier sind aber konkrete Erleichterungen möglich", so Wernicke. "Denn in Fällen mit nur wenigen Daten oder geringem bis normalen Risiko sind umfassende Dokumentationspflichten unverhältnismäßig. Sie bringen mehr Aufwand, aber nicht mehr Datenschutz." Das Gesetz lasse "ausdrücklich Erleichterungen für kleine und mittlere Unternehmen zu", stellt er klar. "Das sollte allerdings klarer formuliert werden, damit es in der Praxis auch genutzt werden kann."
Auch weiterhin messen die Betriebe dem Datenschutz einen hohen Stellenwert bei. Mehr als 60 Prozent geben an, dass die Bedeutung des Themas etwa aufgrund drohender Cyberangriffe in den vergangenen drei Jahren für sie zugenommen habe.
Neben der Bürokratiebelastung beklagen die Betriebe vor allem Rechtsunsicherheiten und ihre Folgen. "Bemerkenswert ist: Unternehmen mit DSGVO-Erfahrungen in anderen EU-Mitgliedstaaten erleben die dortigen Datenschutzbehörden mehrheitlich als weniger streng als die deutschen Behörden", berichtet Wernicke unter Verweis auf die Umfrageergebnisse. "Rund die Hälfte der Unternehmen sieht sich auch innerhalb Deutschlands mit unterschiedlichen Rechtsauffassungen der zuständigen Datenschutzbehörden konfrontiert."
Solche Rechtsunsicherheiten bremsten die Digitalisierung und die Umstellung von Geschäftsprozessen, warnt der DIHK-Chefjustiziar. "Die mit der DSGVO angestrebte Harmonisierung muss daher stringenter verfolgt werden."
© DIHK
Mehr als zwei Drittel (69 Prozent) der Unternehmen kritisieren zudem Unklarheiten und Risiken hinsichtlich der Rechtsfolgen eventueller Verstöße gegen die DSGVO. "Insbesondere die Fragen möglichen Schadensersatzes sind immer noch ungeklärt", sagt Wernicke. "Kollektivklagen durch das neue Verbraucherrechtedurchsetzungsgesetz (VDuG) erhöhen das Risiko für Schadenersatzforderungen, die kaum kalkulierbar sind."
Für den internationalen Datenaustausch gilt: In Angemessenheitsbeschlüssen stellt die Europäische Kommission fest, dass das Datenschutzniveau in einem bestimmten Drittland mit dem der EU vergleichbar und eine Verarbeitung persönlicher Daten damit grundsätzlich möglich ist. In anderen Fällen obliegt die rechtliche Bewertung den Unternehmen selbst.
Angemessenheitsbeschlüsse gibt es aber nur für 15 Staaten weltweit. Die fehlende Anerkennung des Datenstandards in vielen Gegenden der Welt stellt die Unternehmen im internationalen Datentransfer vor enorme Probleme. So beklagen 88 Prozent der Betriebe, die datenschutzrechtliche Herausforderungen beim internationalen Datentransfer sehen, dass sie das Datenschutzniveau in Drittstaaten nicht selbstständig beurteilen können.
Dies führt zu hohen Haftungsrisiken und erheblichen Wettbewerbsnachteilen für die deutschen, aber auch für europäische Unternehmen, die bis hin zur Aufgabe von Geschäftsfeldern reichen können. "Wenn kein Angemessenheitsbeschluss vorliegt, sollten wenigstens von der EU-Kommission oder den Datenschutzbehörden einheitliche Angaben zum Datenschutzniveau von Drittstaaten zur Verfügung gestellt werden", fordert Wernicke.
Die Umfrage zeigt schließlich auch, dass die Mehrheit der Unternehmen, die Rechtsunsicherheiten bemängeln, erhebliche Unstimmigkeiten zwischen den verschiedenen EU-Regulierungen zur Datenökonomie (beispielsweise dem Data Act) und der DSGVO feststellen.
"Grundlegende Voraussetzung für die Wertschöpfung in einer innovativen Wirtschaft ist die Rechtssicherheit. Daher müssen die Rechtsunsicherheiten in der DSGVO zwingend bereinigt werden, bevor auf diese zusätzliche Regelungen aufgesetzt werden. Ansonsten verschieben sich die Probleme einfach nur", mahnt Wernicke. "Der richtige Zeitpunkt dafür ist jetzt. Für das zweite Quartal 2024 ist die in der Datenschutzgrundverordnung vorgesehene vierjährliche Evaluierung geplant. Diese sollte genutzt werden, um die Regelungen in der DSGVO praktikabel und rechtssicher zu gestalten."
Die kompletten Umfrageergebnisse gibt es hier zum Download:
DIHK-Umfrage "Datenschutz praktikabel und rechtssicher gestalten" (PDF, 860 KB)
