■ Nur ein Viertel der Unternehmen ist bereits DSGVO-konform.
■ Wirtschaft fordert Erleichterungen für KMU.
■ E-Privacy-Verordnung ist den meisten bekannt.
Vier Monate nach Fristablauf hadert die deutsche Wirtschaft weiterhin mit der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO). Erst ein Viertel (24 Prozent) der Unternehmen in Deutschland hat die DSGVO vollständig umgesetzt. Weitere 40 Prozent haben die Regeln größtenteils umgesetzt, drei von zehn (30 Prozent) teilweise. Gerade erst begonnen mit den Anpassungen haben 5 Prozent der Unternehmen.
Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen aus Deutschland, die der Digitalverband Bitkom im Rahmen seiner Privacy Conference vorgestellt hat. Bei einer früheren Bitkom-Befragung im Mai 2018 hatten bereits 24 Prozent der Unternehmen die Selbsteinschätzung gegeben, bis zum Ende der Umsetzungsfrist am 25. Mai 2018 vollständig DSGVO-konform zu sein.
»Die Bilanz ist ernüchternd. Bei der Umsetzung der DSGVO haben sich viele Unternehmen klar verschätzt. Für andere ist die komplette Umsetzung wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist«, sagte Susanne Dehmel. »Vielen ist offenbar auch erst im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben.«
Die große Mehrheit der Unternehmen beklagt höhere Aufwände durch die DSGVO im laufenden Betrieb. Acht von zehn Unternehmen (78 Prozent) geben dies an, davon 45 Prozent einen deutlichen Mehraufwand. Im Mai 2018 kamen nur 58 Prozent der Unternehmen zu dieser Einschätzung. Nur jedes fünfte befragte Unternehmen (19 Prozent) rechnet mit gleichbleibendem Aufwand im laufenden Betrieb, vier Monate zuvor waren es noch 34 Prozent. Vor allem die erweiterten Dokumentations- und Informationsplichten machen den allermeisten zu schaffen. So hat für 96 Prozent der Aufwand für die Erfüllung der Dokumentationspflichten zugenommen, 87 Prozent bestätigen dies für die Erfüllung der Informationspflichten. Ebenso haben Unternehmen Mühe damit, das eigene Personal zu den neuen Datenschutzregeln zu schulen. Acht von zehn (78 Prozent) geben dies an. »Für die Unternehmen bleibt die DSGVO auch langfristig ein Kraftakt«, so Dehmel.
Unternehmen fordern Nachbesserungen.
Fast alle Unternehmen fordern deshalb, dass die neuen Regeln nachgebessert werden. 96 Prozent sind dieser Meinung. Sechs von zehn (61 Prozent) sagen sogar: Die DSGVO muss auf jeden Fall vereinfacht werden. An erster Stelle stehen dabei grundsätzliche Erleichterungen für kleinere Betriebe. 90 Prozent derer, die Nachbesserungen fordern, geben dies an. 83 Prozent fordern, die Informationspflichten der DSGVO praxisnäher zu gestalten. Gut ein Drittel (37 Prozent) wünscht sich, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten eingeschränkt wird. Dehmel: »Gänzlich neue Datenschutzpflichten sind gerade für kleine Unternehmen nur schwer zu stemmen.«
Bei der allgemeinen Bewertung der Datenschutzgrundverordnung hat sich das Stimmungsbild innerhalb eines Jahres deutlich verschlechtert. Fast zwei Drittel der Unternehmen (63 Prozent) sagen derzeit: Die DSGVO macht unsere Geschäftsprozesse komplizierter. Im September 2017 sagten dies nur 42 Prozent. Nur noch 30 Prozent sind der Meinung, dass ihnen die DSGVO Vorteile bringt. Ein Jahr zuvor waren es noch 39 Prozent. Jedes achte Unternehmen (12 Prozent) konstatiert: Die DSGVO stellt eine Gefahr für unser Geschäft dar. Dennoch sehen viele Befragte auch positive Effekte der DSGVO. 62 Prozent meinen, die neuen Datenschutzregeln werden zu einheitlicheren Wettbewerbsbedingungen in der EU führen. 46 Prozent sehen in der DS-GVO einen Wettbewerbsvorteil für europäische Unternehmen.
E-Privacy-Verordnung ist den meisten ein Begriff.
Neben der Datenschutzgrundverordnung müssen sich Unternehmen demnächst auf ein weiteres Regelwerk für den Datenschutz einstellen, die sogenannte E-Privacy-Verordnung. Diese Verordnung soll die DSGVO im Bereich der elektronischen Kommunikation ergänzen und wird derzeit auf EU-Ebene verhandelt. Den meisten Unternehmen ist diese Verordnung ein Begriff. So haben 86 Prozent bereits von der E-Privacy-Verordnung gehört, davon haben sich wiederum drei Viertel (75 Prozent) schon mit der Thematik auseinandergesetzt. Doch insgesamt steht die Wirtschaft der E-Privacy-Verordnung gespalten gegenüber. Drei Viertel (79 Prozent) derer, die sich bereits inhaltlich damit auseinandergesetzt haben, sagen: Die E-Privacy-Verordnung schafft einheitliche Wettbewerbsbedingungen für unterschiedliche Kommunikationsanbieter. Vier von zehn (40 Prozent) meinen, dass dadurch der Online-Werbemarkt in Europa einbrechen könnte. Und immerhin 8 Prozent geben bereits jetzt an, dass die E-Privacy-Verordnung Innovationen verhindere. Dehmel: »Mit ihren zahlreichen Sonderregelungen gefährdet der bisherige Entwurf der E-Privacy-Verordnung neue Geschäftsmodelle im Bereich Internet der Dinge sowie künstliche Intelligenz. Aber auch Softwareupdates und werbebasierte Webseiten können dadurch eingeschränkt werden.«
Zur Privacy Conference veröffentlicht Bitkom zwei Datenschutz-Leitfäden, die zum Download verfügbar sind. Der Leitfaden »Machine Learning und die Transparenzanforderungen der DSGVO« analysiert Machine-Learning-Verfahren und die Kompatibilität mit den Transparenzpflichten der DSGVO und vor allem auch die Rechtsgrundlage, auf deren Basis Machine Learning aus datenschutzrechtlicher Sicht funktionieren kann [1]. Der Leitfaden »ePrivacy und Digital Analytics & Optimiziation« beschäftigt sich mit den Auswirkungen der DS-GVO und der E-Privacy-Verordnung auf Analyseverfahren im Bereich Online-Werbung und -Marketing [2].
Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat. Dabei wurden 502 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ.
[1] https://www.bitkom.org/Bitkom/Publikationen/Machine-Learning-und-die-Transparenzanforderungen-der-DS-GVO.html [2] https://www.bitkom.org/Bitkom/Publikationen/ePrivacy-und-Digital-Analytics-Optimization.html
Safer Surfing: »123456« nicht nur aus DSGVO-Sicht kein optimales Passwort
DSGVO: Umsetzung der Datenschutzregeln an vielen Stellen weiterhin unklar