Umfrage: DSGVO bleibt einer der größten Bürokratietreibe

Unternehmen erleben deutsche Datenschutzbehörden als besonders streng

DSGVO

Die seit Mai 2018 geltende Europäische Datenschutzgrundverordnung (DSGVO) bleibt auch nach sechs Jahren einer der größten Bürokratietreiber für deutsche Betriebe. Das ist das Ergebnis einer Umfrage der Deutschen Industrie- und Handelskammer (DIHK) unter 4.900 Unternehmen aus nahezu allen Branchen. Danach berichten noch immer mehr als drei Viertel der Unternehmen von einem „hohen bis extremen“ Aufwand bei der Umsetzung der DSGVO im betrieblichen Alltag. „Dieser Wert zieht sich über alle Unternehmensgrößen hinweg“, sagt DIHK-Chefjustiziar Stephan Wernicke. Besonders kritisch: Bei den Unternehmen mit bis zu 19 Beschäftigten stuft sogar fast jeder vierte Betrieb den eigenen DSGVO-Aufwand als „extrem“ ein. “Hier sind aber konkrete Erleichterungen möglich. Denn in Fällen mit nur wenigen Daten oder geringem bis normalem Risiko sind umfassende Dokumentationspflichten unverhältnismäßig. Sie bringen mehr Aufwand aber nicht mehr Datenschutz. Das Gesetz lässt ausdrücklich Erleichterungen für kleine und mittlere Unternehmen zu. Das sollte allerdings klarer formuliert werden, damit es in der Praxis auch genutzt werden kann.”

Auch weiterhin messen die Unternehmen dem Thema Datenschutz einen hohen Stellenwert bei. Mehr als 60 Prozent der Betriebe geben an, dass die Bedeutung des Themas etwa aufgrund drohender Cyberangriffe in den vergangenen drei Jahren für sie zugenommen hat. Neben der Bürokratiebelastung klagen die Unternehmen vor allem über Rechtsunsicherheiten und ihre Folgen. „Bemerkenswert ist: Unternehmen mit DSGVO-Erfahrungen in anderen EU-Mitgliedstaaten erleben die dortigen Datenschutzbehörden mehrheitlich als weniger streng als die deutschen Behörden“, so Wernicke mit Verweis auf die Umfrageergebnisse.“ Rund die Hälfte der Unternehmen sieht sich auch innerhalb Deutschlands mit unterschiedlichen Rechtsauffassungen der zuständigen Datenschutzbehörden konfrontiert. Solche Rechtsunsicherheiten bremsen die Digitalisierung und die Umstellung von Geschäftsprozessen.“ Die mit der DSGVO angestrebte Harmonisierung muss daher stringenter verfolgt werden. Mehr als zwei Drittel (69 Prozent) der Unternehmen klagen zudem über Unklarheiten und Risiken hinsichtlich der Rechtsfolgen eventueller Verstöße gegen die DSGVO. „Insbesondere die Fragen möglichen Schadensersatzes sind immer noch ungeklärt“, sagt Wernicke. „Kollektivklagen durch das neue Verbraucherrechtedurchsetzungsgesetz (VDuG) erhöhen das Risiko für Schadenersatzforderungen, die kaum kalkulierbar sind.“

Für den internationalen Datenaustausch gilt: In Angemessenheitsbeschlüssen stellt die Kommission fest, dass das Datenschutzniveau in einem bestimmten Drittland mit dem der EU vergleichbar ist und eine Verarbeitung persönlicher Daten damit grundsätzlich möglich ist, in anderen Fällen obliegt die rechtliche Bewertung den Unternehmen selbst. Angemessenheitsbeschlüsse gibt es aber nur für 15 Staaten weltweit. Die fehlende Anerkennung des Datenstandards in vielen Gegenden der Welt stellt die Unternehmen im internationalen Datentransfer vor enorme Probleme. So beklagen 88 % derjenigen Unternehmen, die datenschutzrechtliche Herausforderungen beim internationalen Datentransfer sehen, dass sie das Datenschutzniveau in Drittstaaten nicht selbständig beurteilen können. Dies führt zu hohen Haftungsrisiken und erheblichen Wettbewerbsnachteilen für die deutschen, aber auch europäischen Unternehmen, die bis hin zur Aufgabe von Geschäftsfeldern reichen können. „Wenn kein Angemessenheitsbeschluss vorliegt, sollten wenigstens von der EU-Kommission oder den Datenschutzbehörden einheitliche Angaben zum Datenschutzniveau von Drittstaaten zur Verfügung gestellt werden“, fordert Wernicke.

Die Umfrage zeigt schließlich auch, dass die Mehrheit der Unternehmen, die Rechtsunsicherheiten bemängeln, erhebliche Unklarheiten zwischen den verschiedenen EU-Regulierungen zur Datenökonomie (z.B. Data Act) und der DSGVO feststellen. „Grundlegende Voraussetzung für die Wertschöpfung in einer innovativen Wirtschaft ist die Rechtssicherheit. Daher müssen die Rechtsunsicherheiten in der DSGVO zwingend bereinigt werden, bevor auf diese zusätzliche Regelungen aufgesetzt werden. Ansonsten verschieben sich die Probleme einfach nur “, mahnt Wernicke. Der richtige Zeitpunkt dafür ist jetzt. Für das 2. Quartal 2024 ist die in der Datenschutzgrundverordnung vorgesehene vierjährliche Evaluierung geplant. Diese sollte genutzt werden, um die Regelungen in der DSGVO praktikabel und rechtssicher zu gestalten. +++

Sie können uns jederzeit Leserbriefe zukommen lassen. Diskutieren kann man auf X oder Facebook