Home » News » Security Management » Ernüchternde Fünf-Jahres-Bilanz: DS-GVO bekommt nur ein „ausreichend“

Ernüchternde Fünf-Jahres-Bilanz: DS-GVO bekommt nur ein „ausreichend“

Nach einem fünfjährigen Realitätscheck ziehen deutsche Unternehmen Bilanz zur Europäischen Datenschutz-Grundverordnung (DS-GVO), die seit Mai 2018 in Kraft ist. Das Ergebnis ist wenig schmeichelhaft: Sie erhält lediglich die Note "ausreichend" (3,9).

6 Min. Lesezeit
Foto: ©AdobeStock/marog-pixcells

Unternehmenskreise bemängeln, dass der EU-Datenschutz zu praxisfern und kompliziert ist. In der Praxis scheitern Innovationsprojekte in nahezu jedem Unternehmen an den Hürden des Datenschutzes, was die Umsetzung und Anpassung an die DS-GVO zu einer echten Herausforderung macht.

Obwohl inzwischen zwei Drittel (65 Prozent) der Unternehmen die Regelungen der DS-GVO vollständig oder größtenteils umgesetzt haben, bleiben grundlegende Herausforderungen bestehen, wie eine repräsentative Umfrage des Digitalverbands Bitkom unter 503 Unternehmen mit mehr als 20 Beschäftigten zeigt. Kritikpunkte sind die nun als zu kompliziert empfundenen Geschäftsprozesse (78 Prozent) und ganz allgemein die Praxisferne (77 Prozent).

Rund 56 Prozent der Unternehmen erleben durch die Datenschutzregulierung Verzögerungen bei der Entwicklung neuer Produkte und Dienstleistungen, während 48 Prozent feststellen, dass Innovationen aus anderen Regionen in der EU aufgrund der DS-GVO nicht genutzt werden können. Zudem haben 59 Prozent den Eindruck, dass Aufsichtsbehörden die DS-GVO nutzen, um ihre eigene Sichtweise durchzusetzen. Trotz dieser Herausforderungen sehen Unternehmen auch positive Effekte der DS-GVO, darunter eine verbesserte Datensicherheit (61 Prozent) und weltweit gesetzte Standards (61 Prozent). Ebenso wird betont, dass das Vertrauen in digitale Prozesse gestärkt wurde (51 Prozent) und die Wettbewerbsbedingungen in der EU nun einheitlicher sind (45 Prozent).

Lediglich 12 Prozent der Unternehmen sind der Meinung, dass die DS-GVO verschärft werden sollte, um Bürgerinnen und Bürger besser zu schützen. Bitkom-Geschäftsleitungsmitglied Susanne Dehmel betont, dass trotz des richtigen Ziels, einen einheitlichen Datenschutzrahmen für Europa zu schaffen, die Umsetzung und Auslegung in der Praxis noch nicht den gewünschten Erfolg erzielt haben und Unternehmen weiterhin mit der Daueraufgabe Datenschutz kämpfen.

Mehraufwand, der bleibt

Seit der Einführung der Datenschutz-Grundverordnung (DS-GVO) hat jedes zweite Unternehmen (50 Prozent) einen höheren Aufwand für Datenschutz erlebt, und die Mehrheit erwartet, dass dies so bleibt. Ein Drittel der Unternehmen (33 Prozent) hat einen steigenden Aufwand und prognostiziert, dass dieser weiter zunimmt.

86 Prozent der Datenschutz-Verantwortlichen in Unternehmen haben Schwierigkeiten, den aktuellen Entwicklungen in der Datenschutz-Rechtsprechung zu folgen. Dreiviertel der Unternehmen (74 Prozent) empfinden den Datenschutz in Deutschland als so kompliziert, dass es schwer ist, Mitarbeiter darüber aufzuklären. Mehr als die Hälfte (58 Prozent) fühlt sich vor allem als Bedenkenträger wahrgenommen.

Die DS-GVO wird von 7 von 10 Unternehmen (69 Prozent) als Nachteil im internationalen Wettbewerb betrachtet, verglichen mit Unternehmen, die nicht den DS-GVO-Richtlinien unterliegen. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, betont, dass Datenschutz in Deutschland so komplex geworden ist, dass selbst Fachleute kaum noch Schritt halten können. Sie plädiert für einen Datenschutz, der verständlich und praxistauglich ist.

Die größten Herausforderungen bei der DS-GVO-Umsetzung sind laut der Umfrage, dass 92 Prozent der Unternehmen die Umsetzung nie als vollständig abgeschlossen betrachten. 86 Prozent geben an, dass die Einführung neuer digitaler Tools ständige Prüfungen erfordert. Weitere Herausforderungen sind Rechtsunsicherheit bezüglich genauer DS-GVO-Vorgaben (82 Prozent), mangelnde Beratung durch Aufsichtsbehörden (56 Prozent) und grundsätzlich zu hohe Anforderungen (54 Prozent).

Uneinheitliche Auslegungen der DS-GVO in Europa (48 Prozent) und Deutschland (35 Prozent) werden ebenfalls als große Hürden genannt. Interne Gründe wie zeitaufwendige IT-Umstellungen (50 Prozent), finanzielle Ressourcenmangel (41 Prozent) und Qualifikationsdefizite (26 Prozent) spielen ebenfalls eine Rolle. Dehmel betont, dass es den Unternehmen nicht am Willen zur DS-GVO-Umsetzung mangelt, sondern dass Politik und Behörden ihnen die Umsetzung erschweren.

Innovationsbremse für Unternehmen

In sämtlichen Unternehmen (100 Prozent) führte die Datenschutz-Grundverordnung (DS-GVO) in den letzten zwölf Monaten dazu, dass innovative Projekte scheiterten oder erst gar nicht angegangen wurden. In 86 Prozent der Fälle waren dabei konkrete Vorgaben der DS-GVO die Ursache, während in 92 Prozent Unklarheiten bei ihrer Anwendung die Innovationshindernisse darstellten. Besonders betroffen waren Innovationsprojekte zum Aufbau von Datenpools (59 Prozent, plus 7 Prozentpunkte) und zur Prozessoptimierung in der Kundenbetreuung (47 Prozent, plus 2 Prozentpunkte).

Etwa jedes dritte Unternehmen sah sich mit Problemen bei der Einführung neuer Datenanalysetools (37 Prozent, minus 1 Prozentpunkt), der Digitalisierung von Geschäftsprozessen durch neue Software (37 Prozent, plus 3 Prozentpunkte), dem Einsatz von Künstlicher Intelligenz (34 Prozent, erstmals abgefragt), dem Einsatz von Cloud-Diensten (32 Prozent, minus 5 Prozentpunkte) sowie dem Einsatz von Software globaler Anbieter und Plattformen (32 Prozent, plus 6 Prozentpunkte) konfrontiert. 26 Prozent berichteten von Schwierigkeiten bei der Integration zusätzlicher digitaler Tools (minus 2 Prozentpunkte).

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, betont, dass Datenschutz digitale Innovationen nicht in diesem Ausmaß bremsen dürfe. Insbesondere im Kontext der dynamischen Entwicklung im Bereich Künstliche Intelligenz bedeuten monatelange Verzögerungen einen erheblichen Wettbewerbsnachteil für Deutschland.

In Bezug auf den Einfluss des Datenschutzes auf Künstliche Intelligenz gehen die Meinungen auseinander. Während 44 Prozent der Meinung sind, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schafft, warnen 56 Prozent davor, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreiben könnte.

Deutsche Wirtschaft von internationalen Datentransfers abhängig

Deutsche Unternehmen sind in erheblichem Maße auf internationale Datentransfers außerhalb der EU angewiesen. Lediglich 36 Prozent der Unternehmen können auf einen solchen Austausch verzichten. 44 Prozent übermitteln Daten an externe Dienstleister, 29 Prozent an Geschäftspartner für gemeinsame Zwecke, und 17 Prozent an Konzerntöchter oder andere Konzerneinheiten.

Die USA bleiben das Hauptziel für internationale Datentransfers, da 64 Prozent der Unternehmen, die Daten international übermitteln, diese in den USA verarbeiten lassen. Darauf folgen Großbritannien (39 Prozent), Indien (17 Prozent), China (9 Prozent), Japan (6 Prozent), die Ukraine (5 Prozent) und Südkorea (3 Prozent). Im Vergleich zum Vorjahr übermittelt kein Unternehmen mehr Daten nach Russland.

Der Datentransfer in Länder außerhalb der EU erfolgt vor allem aus zwei Gründen: Cloud-Nutzung und Kommunikation. 94 Prozent nutzen Cloud-Angebote von Anbietern außerhalb der EU, während 83 Prozent entsprechende Kommunikations- oder Videokonferenzsysteme verwenden. 56 Prozent setzen weltweit Dienstleister ein, beispielsweise für einen durchgängigen Sicherheitssupport rund um die Uhr.

32 Prozent nutzen Dienste in Nicht-EU-Ländern für Abrechnungen oder Datenbankmanagement. Zusätzlich haben 27 Prozent der Unternehmen Standorte außerhalb der EU, und 20 Prozent arbeiten mit Nicht-EU-Partnern in Bereichen wie Forschung und Entwicklung zusammen. Bitkom-Geschäftsleitungsmitglied Susanne Dehmel betont, dass internationale Datentransfers keine „Nice to have“-Option sind, sondern notwendige Aufgaben, die sich nicht beliebig innerhalb der EU-Grenzen abbilden lassen.

Ein mögliches Verbot internationaler Datentransfers würde alle Unternehmen (100 Prozent) betreffen. 68 Prozent erwarten Wettbewerbsnachteile, 58 Prozent höhere Kosten, und 56 Prozent befürchten, dass internationale Lieferketten nicht mehr funktionieren würden. Etwa die Hälfte (52 Prozent) könnte den globalen Sicherheitssupport nicht mehr aufrechterhalten, bestimmte Produkte oder Dienstleistungen könnten nicht mehr angeboten werden.

Im Falle eines Verbots müssten 31 Prozent ihre Konzerndatenverarbeitung umgestalten, 23 Prozent befürchten schlechtere Produkte und Dienstleistungen, und 21 Prozent sehen ein Zurückfallen im Innovationswettbewerb. Dehmel unterstreicht die weitreichende Abhängigkeit der deutschen Wirtschaft von internationalen Datentransfers und betont die Bedeutung einer klaren und stabilen rechtlichen Grundlage, wie sie durch das Privacy Shield-Nachfolgeabkommen zwischen der EU und den USA erreicht wurde.

Wunsch nach Konsolidierung

Gut fünf Jahre nach Einführung der Datenschutz-Grundverordnung (DS-GVO) wächst in Unternehmen der Wunsch nach politischem Handeln. 95 Prozent möchten, dass die zahlreichen Sonder- und Spezialvorschriften zum Datenschutz zusammengeführt werden (2022: 94 Prozent). Für eine Anpassung der DS-GVO sprechen sich 87 Prozent aus (2022: 84 Prozent), während 79 Prozent eine Vereinheitlichung der Datenschutzvorgaben innerhalb der EU befürworten (74 Prozent im Jahr 2022).

Auf nationaler Ebene fordern 67 Prozent eine Angleichung der föderalen Gesetze beim Datenschutz (2022: 67 Prozent), und 66 Prozent wünschen sich eine Vereinheitlichung der Datenschutzaufsicht in Deutschland (2022: 51 Prozent). Darüber hinaus möchten 71 Prozent eine verbesserte Zugänglichkeit von Daten der öffentlichen Hand für Unternehmen sehen (2022: 62 Prozent).

Bitkom-Geschäftsleitungsmitglied Susanne Dehmel betont angesichts der fortschreitenden Digitalisierung, dass Datenschutzfragen den Kern vieler Unternehmen betreffen. Sie fordert, dass die Bedeutung von Daten und ihre verantwortungsvolle Nutzung verstärkt in den Fokus der Politik gerückt werden sollten und nicht alleinige Aufgabe der Datenschutzbeauftragten sein dürfen.

5 Jahre DS-GVO: Umfrage

Quelle: Bitkom

Andere interessante News

Cyberabwehr

Abwehr und Wiederherstellung als Grundpfeiler der Cyber-Resilienz

Unternehmen sollten bei ihrer Cyber-Resilienz-Strategie genau wissen, welche Gefahren drohen, welche Schritte sie zur Abwehr priorisieren müssen und wie sie eine schnelle Wiederherstellung von Daten organisieren. Das bedeutet, dass neben dem Schutz vor Angriffen auch die Möglichkeit zur zuverlässigen Datenwiederherstellung entscheidend ist, um eine umfassende Cyber-Resilienz zu gewährleisten.

Datensicherheit in der Cloud

Best Practices für den Schutz von Daten als Service

Heutzutage müssen Unternehmen ihre Kosten senken, Prozesse verbessern und sich vor Cyber-Bedrohungen schützen. Um das zu schaffen, brauchen sie kluge Strategien für die Stabilität von SaaS-Diensten und um in Cloud-Umgebungen vollständige Kontrolle und Sicherheit zu erlangen.

Deepfake-Anrufe

Deepfake-Phishing braucht verstärkte Sensibilisierungsmaßnahmen

Ein Mitarbeiter eines Passwortmanager-Unternehmens wurde kürzlich Ziel eines Deepfake-Phishing-Angriffs, bei dem sich der Angreifer als CEO ausgab. Durch seine Schulung konnte der Mitarbeiter den Betrug rechtzeitig erkennen. Dies verdeutlicht das Risiko solcher Angriffe und die Bedeutung der Mitarbeiterschulung für die Verteidigung von Unternehmen.