Die Wirtschaft in Deutschland arbeitet sich noch immer an der Datenschutz-Grundverordnung (DS-GVO) ab. Fast 1 1/2 Jahre nach deren Start haben 2/3 der Firmen die neuen Datenschutzregeln zumindest größtenteils umgesetzt. Dabei hat jedoch erst ein Viertel die Umsetzung der DS-GVO vollständig abgeschlossen.

Hinweis zur Methodik: Zwei Drittel der Unternehmen haben DS-GVO größtenteils umgesetzt

Dies ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Firmen aus Deutschland, die der Digitalverband Bitkom im Rahmen seiner Privacy Conference vorgestellt hat. Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Bitkom durchgeführt hat. Dabei wurden 503 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ

Erst 25 Prozent melden vollständige Übernahme der neuen Regeln

Weitere 24 Prozent haben die Verordnung bislang zu Teilen umgesetzt, sechs Prozent stehen noch am Anfang. Dazu sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: „Die Datenschutz-Grundverordnung trifft vor allem kleine und mittlere Unternehmen hart. Nach wie vor bestehen große Unsicherheiten bei der Auslegung der neuen Regeln. Eine vollständige Umsetzung der DS-GVO scheint vielen Unternehmen unmöglich.“ Ein schwer abzuschätzender Umsetzungsaufwand und Rechtsunsicherheit sind für je zwei Drittel der deutschen Firmen die größten Herausforderungen. 53 Prozent beklagen mangelnde Umsetzungshilfen, 37 Prozent sehen fehlendes Fachpersonal als größtes Problem.

Schwierigkeiten bringen die Informations- und Dokumentationspflichten

Die neuen Informations- und Dokumentationspflichten zu erfüllen, sei am aufwendigsten für Firmen in Deutschland, die mit der Umsetzung der DS-GVO zumindest begonnen haben. 97 Prozent der Befragten bestätigen einen hohen Aufwand. Die Katalogisierung der Prozesse ist für 93 Prozent sehr aufwendig, 86 Prozent geben dies für ihr Vertrags-Management an. Die sogenannten „Privacy-by-Design“-Anforderungen zu erfüllen, bedeutet für 84 Prozent enormen Aufwand. 82 Prozent kämpfen wegen der DSGVO mit hohen Aufwänden für den Betrieb ihrer Internetseiten. Nicht nur der Aufwand sei hoch. Für viele deutsche Firmen haben die Regeln des Datenschutzes auch enge Grenzen für Innovationen gesetzt. Jede siebte Firma sagt: In unserem Unternehmen sind neue, innovative Projekte wegen der DSGVO gescheitert. Dazu Dehmel: „Wir müssen die Datenschutzregeln so weiterentwickeln, dass der Schutz der Privatsphäre und die Entwicklung innovativer datengetriebener Geschäftsmodelle in Einklang gebracht werden können. Datenschutz sollte kein lästiger Bremsklotz, sondern Leitplanke mit Orientierungsfunktion für datenbasierte Dienste sein.“

DS-GVO hat innovative Projekte verhindert

Nahezu alle Unternehmen (98 Prozent) fordern Nachbesserungen der DS-GVO. Drei Viertel (74 Prozent) geben an, dass ihre Kunden genervt sind von zusätzlichen Infoblättern und Hinweisen. Und jede sechste Firma (16 Prozent) sagt gar: Die DS-GVO ist eine Gefahr für unser Geschäftsmodell.

Demgegenüber stehen aber auch positiv Gestimmte. So sind fast zwei Drittel (64 Prozent) überzeugt, dass die DS-GVO weltweit Maßstäbe für den Umgang mit Personendaten setzen wird. Mehr als die Hälfte (57 Prozent) glaubt, die DS-GVO wird zu einheitlicheren Wettbewerbsbedingungen in der EU führen. Und ein Viertel (25 Prozent) sieht in der Datenschutz-Grundverordnung Vorteile für das eigene Unternehmen.

Neun von zehn Unternehmen haben von der ePrivacy-Verordnung gehört

Neben der DSGVO müssen sich Firmen bald auch auf ein weiteres Regelwerk für den Datenschutz einstellen, die sogenannte ePrivacy-Verordnung. Diese Verordnung soll die DS-GVO im Bereich der elektronischen Kommunikation ergänzen und wird aktuell auf EU-Ebene diskutiert. Den meisten Firmen ist diese Verordnung ein Begriff. So haben 90 Prozent schon von der ePrivacy-Verordnung gehört, davon haben sich wiederum acht von zehn Unternehmen schon mit der Thematik auseinandergesetzt. Doch insgesamt steht die Wirtschaft der ePrivacy-Verordnung gespalten gegenüber.

Brexit bringt Unsicherheit für Datentransfers

Darüber hinaus sehen sich Unternehmen mit Datenschutzherausforderungen durch den anstehenden Brexit konfrontiert. Mehr als die Hälfte (53 Prozent) lässt Personendaten von externen Dienstleistern im Ausland verarbeiten. Von diesen sind es wiederum 11 Prozent, die dies in Großbritannien erledigen lassen. Die Konsequenz: Die überwiegende Mehrheit (84 Prozent) derer, die derzeit Personendaten in Großbritannien verarbeiten lassen, wollen dies nach dem Brexit nicht mehr tun. Dazu Dehmel: „Nach dem Brexit dürfen personenbezogene Daten nicht mehr ohne Weiteres nach Großbritannien übermittelt werden. Ohne Brexit-Deal müssen viele betroffene Unternehmen ihre Prozesse umgehend anpassen und neu aufsetzen. Das kann sich unmittelbar auf den Geschäftserfolg auswirken und die Wirtschaft in Deutschland insgesamt empfindlich treffen.“