Die europäische Datenschutz-Grundverordnung ist von ihrem Ziel, einheitliche Datenschutzregeln in Europa zu schaffen, noch ein gutes Stück entfernt, obwohl die große Mehrheit der Unternehmen die Vorgaben der DS-GVO inzwischen umgesetzt hat. Das zeigt jetzt eine repräsentative Unternehmensumfrage im Auftrag des Digitalverbands Bitkom.
Zwar loben 67 Prozent, dass die DS-GVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt, und jedes zweite Unternehmen (50 Prozent) glaubt, dass die DS-GVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt. Aber 70 Prozent sehen aufgrund der unterschiedlichen Auslegung der DS-GVO in den Mitgliedsstaaten noch keinen EU-weiten einheitlichen Datenschutz. Auch die Bewertung mit Blick auf das eigene Unternehmen fällt überwiegend kritisch aus. So können 40 Prozent keinen Wettbewerbsvorteil durch die DS-GVO auf dem internationalen Markt für das eigene Unternehmen erkennen – und 30 Prozent sehen sogar Wettbewerbsnachteile.
Dabei hat die große Mehrheit die DS-GVO inzwischen umgesetzt, vollständig (22 Prozent) oder größtenteils (40 Prozent). Ein Drittel (33 Prozent) sieht sich erst teilweise am Ziel, 2 Prozent haben erst mit der Umsetzung begonnen. Praktisch alle Unternehmen haben seit Einführung der DDS-GVO ihren Aufwand für Datenschutz hochgefahren. 16 Prozent stellen fest, dass dieser langsam wieder abnimmt, aber 47 Prozent gehen von einem gleichbleibend höheren Aufwand aus, 30 Prozent erwarten sogar, dass der Aufwand noch weiter zunimmt. Nur 6 Prozent sehen keinen Mehraufwand.
Dass die Umsetzung der DS-GVO noch nicht weiter ist, liegt nach Ansicht der Unternehmen überwiegend an Gründen, die nicht sie zu verantworten haben. Sie sehen sich mit Rechtsunsicherheit und einer widersprüchlichen Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern konfrontiert. So geben 88 Prozent an, die Umsetzung der DS-GVO sei nie vollständig abgeschlossen, etwa weil es neue Guidelines gibt. 78 Prozent sehen bestehende Rechtsunsicherheiten zu den Vorgaben der DS-GVO als Hemmnis. 77 Prozent haben festgestellt, dass durch das Ausrollen neuer Tools immer wieder eine neue Prüfung in Gang gesetzt wird.
Auch unternehmensinterne Gründe bremsen die DS-GVO-Umsetzung. 45 Prozent sagen, die erforderliche IT- und Systemumstellungen kosten viel Zeit, 32 Prozent fehlt es an Geld, 24 Prozent an qualifizierten Beschäftigten. Rund jedes vierte Unternehmen (23 Prozent) bindet die Datenschutzbeauftragten nur mangelhaft ein, 15 Prozent sehen ganz allgemein eine mangelnde Unterstützung im Unternehmen. Entsprechend kritisch beurteilen die Unternehmen die Umsetzung des Datenschutzes in Deutschland. Zwei Drittel stellen fest, dass der strenge Datenschutz die Digitalisierung erschwert (68 Prozent), für fast ebenso viele hemmt der uneinheitliche Datenschutz die Digitalisierung (65 Prozent). Und 61 Prozent sagen, Deutschland übertreibe es mit dem Datenschutz – vor einem Jahr lag der Anteil noch bei 50 Prozent. Häufiger als noch im Vorjahr berichten die Unternehmen davon, dass mindestens ein Innovationsprojekt in den vergangenen zwölf Monaten aufgrund des Datenschutzes gescheitert ist oder gar nicht in Angriff genommen wurde.
Von unverändert hoher Bedeutung für die deutsche Wirtschaft sind Datentransfers in das Nicht-EU-Ausland. So geben nur 40 Prozent (2021: 44 Prozent) an, keine personenbezogenen Daten in Länder außerhalb der EU zu übermitteln. 47 Prozent transferieren solche Daten an externe Dienstleister, 22 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 16 Prozent an andere Konzerneinheiten oder Töchter. Für die Unternehmen, die internationale Datentransfers ins Nicht-EU-Ausland nutzen, sind die USA das wichtigste Zielland (59 Prozent) vor Großbritannien (32 Prozent), Indien (13 Prozent), Japan (9 Prozent) und Südkorea (5 Prozent). 4 Prozent transferieren Daten nach China, ebenso viele in die Ukraine.
Der Wegfall des Privacy Shields hat viele Unternehmen, die Daten mit den USA austauschen, vor massive Probleme gestellt. 59 Prozent von ihnen haben in der Vergangenheit auf Basis des Privacy Shields Daten in die USA transferiert. Heute greift die große Mehrheit auf Standardvertragsklauseln zurück (91 Prozent). Jeweils ein Viertel verwendet Einwilligungen (27 Prozent) oder sogenannte Binding Corporate Rules (26 Prozent). Von der Politik erwarten 4 von 10 Unternehmen (39 Prozent) die Durchsetzung einer politischen Lösung für internationale Datentransfers, 55 Prozent fordern eine harte Linie gegenüber den USA bei Verhandlungen für internationale Datentransfers.