Auch 6 Jahre nach ihrem Inkrafttreten ist die Datenschutzgrundverordnung (DSGVO) immer noch einer der größten Bürokratietreiber für deutsche Betriebe. Das ist das Ergebnis einer Umfrage der Deutschen Industrie- und Handelskammer (DIHK) unter 4.900 Unternehmen aus nahezu allen Branchen.
4.900 Unternehmen aller Branchen befragt
Die Datenschutzgrundverordnung (DSGVO) sieht in Art. 97 vor, dass die EU-Kommission erstmals bis zum 25. Mai 2020 und danach alle vier Jahre einen „Bericht über die Bewertung und Überprüfung“ der Verordnung vorlegen muss. Die DIHK hat die „DSGVO-Evaluierung“, die für das 2. Quartal 2024 geplant ist, zum Anlass genommen, mit Unterstützung der Industrie- und Handelskammern eine breit angesetzte Umfrage bei Unternehmen aller Branchen und Größenordnungen durchzuführen. An dieser Umfrage haben über 4.900 Unternehmen teilgenommen. Die DIHK hat die Ergebnisse der Umfrage in einem Bericht zusammengefasst und kommentiert, der hier heruntergeladen werden kann.
Ergebnisse der DIHK-Umfrage im Überblick
Der bürokratische Aufwand ist zu hoch: Über drei Viertel der Unternehmen haben auch 6 Jahre nach Inkrafttreten der DSGVO „hohen bis extremen“ Aufwand mit der Umsetzung – und das über alle Unternehmensgrößen hinweg. Die DSGVO bleibt ein zentraler Bürokratietreiber. Entlastung könnte aus Sicht der DIHK ein risikobasierter, an Unternehmensgröße und Art der Datenverarbeitung orientierter Ansatz sein.
Die Rechtsunsicherheit ist zu groß: Die Unternehmen mit DSGVO-Erfahrungen in anderen EU-Mitgliedstaaten erleben die dortigen Datenschutzbehörden mehrheitlich als weniger streng als die deutschen Behörden. Rund die Hälfte der Unternehmen berichtet von divergierenden Ansichten der Rechtsaufsichten auch in Deutschland selbst. Positiv: Mehr als die Hälfte der Unternehmen sieht die Kontakte mit den Behörden als zufriedenstellend an, wenn sie auf eigener Initiative beruhen.
Das Haftungsrisiko ist unklar: Die große Mehrheit der Unternehmen sieht Unklarheiten und Risiken bei eventuellen Rechtsfolgen von Verstößen gegen die DSGVO (69 Prozent). Insbesondere der Schadensersatz ist immer noch ungeklärt. Kollektivklagen durch das neue Verbraucherrechtedurchsetzungsgesetz (VDuG) erhöhen das Risiko zudem.
Der internationale Datentransfer wird behindert: Die global vernetzten Wirtschaftsbeziehungen sind für Unternehmen in Deutschland und Europa von fundamentaler Bedeutung. Dafür ist der internationale Datentransfer essenziell. Die überwiegende Zahl der Unternehmen, die datenschutzrechtliche Herausforderungen beim internationalen Datentransfer sehen, kann das Datenschutzniveau in Drittstaaten jedoch nicht selbstständig beurteilen (88 Prozent). Da häufig keine Angemessenheitsbeschlüsse der EU bestehen oder diese wie mit den USA nicht dauerhaft sind, bestehen hohe Haftungsrisiken zu Lasten der Unternehmen.
Es gibt Rechtsunklarheiten zwischen Datenökonomie und DSGVO: Die Mehrheit der Unternehmen, die Rechtsunklarheiten bemängeln (59 Prozent), stellen auch erhebliche Unklarheiten zwischen neuen Regulierungen in der Datenökonomie (z. B. dem Data Act) und der DSGVO fest. Damit Europa einen Spitzenplatz bei den Zukunftsthemen KI und Datenökonomie einnehmen kann, ist hier Rechtssicherheit erforderlich.
DIHK fordert Erleichterungen vor allem für kleinere Unternehmen
Die DIHK fordert die EU-Kommission auf, die anstehende DSGVO-Evaluierung zum Anlass zu nehmen, Regelungen anzupassen und die Praxisrealität der Unternehmen stärker zu berücksichtigen. Dabei sollte mit eindeutigen Erleichterungen bzw. Ausnahmen für KMU, wie sie bereits in der DSGVO angelegt sind, nachgebessert werden.
Die bisherige Umsetzung hat für die DIHK gezeigt, dass die hohen Anforderungen an die Unternehmen große Schwierigkeiten bereiten. Auch fast 6 Jahre nach Inkrafttreten der DSGVO geben 77 Prozent der Unternehmen an, dass sie mit der Umsetzung der DSGVO hohen bis extremen Aufwand haben. Fast jeder vierte Betrieb mit bis zu 19 Beschäftigten (24 Prozent) bezeichnet den Aufwand sogar als extrem. Die Dokumentations-, Informations- und Nachweispflichten erweisen sich für viele Unternehmen als zu bürokratisch. Bei datenarmen Verarbeitungen oder Datenverarbeitungen mit geringem oder normalem Risiko sind die umfassenden Dokumentations-, Informations- und Nachweispflichten unverhältnismäßig und dem Risiko nicht angemessen.
Den höchsten Aufwand haben die Unternehmen bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (45 Prozent), der Datenschutzinformationen (44 Prozent) sowie der Sicherstellung der technischen und organisatorischen Maßnahmen (41 Prozent), die laufend aktuell gehalten werden müssen. Hier sollte aus Sicht der DIHK der risikobasierte Ansatz greifen und dabei auch die besondere Situation kleinerer Unternehmen beachtet werden. Der „One-Size-Fits-All“-Ansatz, dem die Aufsichtsbehörden zu stark folgen, triff die Unternehmenswirklichkeit nicht und verbessert auch nicht den Datenschutz. Dass alle Pflichten unabhängig von Unternehmensgröße oder Geschäftsgegenstand gelten, ist nicht verhältnismäßig.
Die DIHK nennt 4 konkrete Beispiele, die für die Entlastung vor allem kleinerer Unternehmen sorgen könnten:
- Verzicht auf die Informationspflicht im B2B-Bereich.
- Kein Verzeichnis über die Verarbeitungstätigkeit bei Verarbeitungen mit normalem Risiko.
- Einführung einer Checkliste, die verbindlich und genau festlegt, wann für KMU die Pflicht entfällt, ein Verzeichnis über die Verarbeitungstätigkeit zu führen. Die für KMU geregelte Ausnahme in Art. 30 Absatz 5 DSGVO findet in der Praxis kaum Anwendung.
- Die Vorgaben für Auftragsverarbeitungsverträge sollten dem Risiko entsprechend angepasst und weniger bürokratisch gestaltet werden.
Mehr Rechtssicherheit und Rechtsharmonisierung
Weitere zentrale Forderungen der DIHK, die sich aus den Umfrageergebnissen ergeben, betreffen die Rechtssicherheit und die Harmonisierung der Rechtsauslegung.
In der DIHK-Umfrage geben nur 5 Prozent der Unternehmen an, dass sie keine Rechtsunsicherheiten in der DSGVO sehen. Rechtsunsicherheiten bestehen insbesondere aufgrund von divergierenden Ansichten der Datenschutzaufsichtsbehörden (49 Prozent). Häufig als Hindernis genannt wird auch, dass die Grenzen, wann personenbezogene Daten vorliegen, nicht eindeutig sind (44 Prozent). Gleichzeitig ist für viele Betriebe unklar, wann Daten als anonymisiert gelten (39 Prozent).
Die DIHK fordert daher, dass „Rechtssicherheit und Klarheit unmittelbar in der DSGVO geschaffen“ werden sollten und „nicht langwierigen behördlichen oder gerichtlichen Verfahren überlassen werden“. Da es der Umfrage zufolge außerdem teilweise widersprüchliche Auslegungen und Rechtsprechungen in unterschiedlichen EU-Mitgliedsstaaten gibt, fordert die DIHK außerdem, dass das „durch die DSGVO angestrebte Ziel einer Harmonisierung und Rechtsvereinheitlichung“ stringenter verfolgt werden muss.