■ Nur ein Viertel wird die Umsetzung rechtzeitig abschließen.
■ 58 Prozent erwarten dauerhaft mehr Aufwand.
■ Fast jedes zehnte Unternehmen sieht sein Geschäftsmodell gefährdet.
Die zweijährige Übergangsfrist für die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) ist fast abgelaufen – doch nur ein Viertel (24 Prozent) der Unternehmen in Deutschland ist bis zum 25. Mai 2018 aus eigener Perspektive vollständig konform mit den neuen Regeln. Jedes dritte Unternehmen (32 Prozent) wird sie größtenteils umgesetzt haben, ebenso viele (33 Prozent) zumindest teilweise. Ganz am Anfang stehen auch am Stichtag noch 4 Prozent der Unternehmen. 2 Prozent sagen, sie werden bis dahin nicht einmal mit ersten Schritten beginnen. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen aus Deutschland. »Viele Unternehmen haben sich in der Vergangenheit zu wenig um den Datenschutz gekümmert und haben deshalb Nachholbedarf«, erklärt Bitkom-Präsident Achim Berg. Gleichzeitig seien auch die Aufsichtsbehörden in der Pflicht. »Bei der Auslegung der Datenschutz-Grundverordnung mangelt es von offizieller Seite bis heute an praktischen Hilfestellungen.«
Auch deshalb wäre der Wirtschaft ein kulantes Verhalten der Behörden willkommen. So plädieren vier von zehn befragten Unternehmen (41 Prozent) für eine verlängerte Schonfrist nach dem 25. Mai, bei der mögliche Sanktionen ausgesetzt würden. Die Hälfte (49 Prozent) von ihnen wünscht sich, dass die Aufsichtsbehörden bei Verstößen zunächst nur zu Nachbesserungen auffordern sollten. Nur jedes hundertste Unternehmen sagt, dass die vorgeschriebenen Sanktionen ausgeschöpft werden sollten. »Auch für die Behörden muss das Motto zunächst einmal lauten: helfen statt bestrafen«, so Berg. Die zum Teil vagen Formulierungen der Verordnung dürften den Unternehmen nicht zum Nachteil ausgelegt werden.
Laut Umfrage sehen zwei von drei Unternehmen (66 Prozent), die sich mit der DSGVO auseinandergesetzt haben, als größte Herausforderung bei der Umsetzung den schwer abschätzbaren Aufwand an. Im vergangenen Jahr sagten dies erst 54 Prozent. Mehr als die Hälfte (56 Prozent) beklagt Rechtsunsicherheit (2017: 42 Prozent). Der Mangel an qualifizierten Mitarbeitern ist für ein Viertel (24 Prozent) eine große Herausforderung, im Jahr 2017 gaben dies 17 Prozent an. Auch nach der abgeschlossenen Umsetzung der DSGVO planen viele Unternehmen mehr Ressourcen für den Datenschutz ein. Sechs von Zehn (58 Prozent) erwarten dauerhaft mehr Aufwand wegen der neuen Datenschutzregeln, ein Drittel (32 Prozent) sogar deutlich mehr Aufwand. Ähnlich viele (34 Prozent) sehen einen gleichbleibenden Aufwand, ein deutlicher Rückgang zum Vorjahr. Damals rechnete noch fast die Hälfte (45 Prozent) mit einem ähnlichen Pensum wie zuvor. Kein einziges Unternehmen erwartet weniger Arbeit durch die neuen Datenschutzregeln. Berg: »Gerade für kleine und mittlere Unternehmen wird die DSGVO auch langfristig zu deutlichen Belastungen führen.«
Bei der grundsätzlichen Bewertung der Datenschutzgrundverordnung ergibt sich ein gespaltenes Meinungsbild. So erwarten sieben von zehn Unternehmen (70 Prozent), dass die DSGVO zu einheitlicheren Wettbewerbsbedingungen in der EU führt. Gut die Hälfte (51 Prozent) sagt, dass sie ein Wettbewerbsvorteil für europäische Unternehmen ist und dass die DSGVO sogar dem eigenen Unternehmen Vorteile bringt (43 Prozent). Demgegenüber steht auch Kritik. Die Hälfte glaubt (50 Prozent), dass Geschäftsprozesse komplizierter werden. Mehr als jeder dritte Befragte (38 Prozent) rechnet damit, dass die DSGVO die Digitalisierung in Europa bremst. Ebenfalls jeder Dritte (34 Prozent) sieht einen Wettbewerbsnachteil für europäische Unternehmen. Für 9 Prozent stellt die Verordnung sogar eine Gefahr für die eigene Geschäftstätigkeit dar. »Das Recht des Einzelnen auf Datenschutz muss wirksam gewahrt werden«, sagt Berg. »Entscheidend ist, dass auch künftig nützliche innovative Anwendungen auf den Markt gebracht werden können. Nur so kann die Datenschutzgrundverordnung zu einem Standortvorteil für Europa werden.«
Zu den wichtigsten Punkten der DSGVO hat Bitkom »Fragen und Antworten« (FAQs) veröffentlicht, die einen ersten Überblick über die Veränderungen zur bisherigen Rechtslage geben. Außerdem hat Bitkom vier Praxisleitfäden erstellt, wie verschiedene Verpflichtungen aus der Verordnung im Unternehmen umgesetzt werden können: »Datenübermittlung in Drittstaaten«, »Verarbeitungsverzeichnis«, »Risk Assessment und Datenschutzfolgenschutzabschätzung« sowie die »Mustervertragsanlage zur Auftragsverarbeitung«. Alle Informationen stehen auf der Bitkom-Webseite zum kostenlosen Download bereit: www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
[1] Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Bitkom durchgeführt hat. Dabei wurden 505 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland befragt. Die Umfrage ist repräsentativ.
DSGVO-Studie: Vier von fünf Unternehmen in Deutschland verpassen nach eigener Aussage die Deadline
- Deutschland bei der Umsetzung auf dem vierten Platz.
- Starke Diskrepanz in der Wahrnehmung zwischen Verbrauchern und Unternehmen.
- DSGVO birgt Chancen, Verbrauchervertrauen und Umsätze zu steigern.
Die große Mehrheit der Unternehmen sieht sich noch nicht bereit für die EU-DSGVO (Europäische Datenschutzgrundverordnung). Obwohl die Regulierung in einer Woche rechtsbindend wird, verfehlen durchschnittlich 85 Prozent der Firmen in den USA und Europa die Vorgaben der EU; in Deutschland sind es 81 Prozent. Eines von vier Unternehmen wird es sogar bis Jahresende nicht schaffen, regelkonform zu werden. Zu diesen und weiteren Ergebnissen kommt der neue Report von Capgemini, für den 1.000 Führungskräfte und 6.000 Verbraucher in acht Ländern und acht Branchen zu Fortschritten, Haltung und Möglichkeiten im Zusammenhang mit der DSGVO befragt wurden [1].
Ein Wettlauf gegen die Zeit
Wenn die Zeit zur Umsetzung der DSGVO am 25. Mai 2018 abläuft, sind Unternehmen in Europa und den USA in ihren Fortschritten alle unterschiedlich weit. US-amerikanische und britische Unternehmen sehen sich der Zielgeraden im Schnitt am nächsten, obwohl auch hier nur 63 beziehungsweise 55 Prozent berichten, größtenteils oder komplett konform zu sein. Spanien (54 Prozent), Deutschland (51 Prozent) und Niederlande (51 Prozent) folgen auf dem Fuß. Schweden hat nach eigenen Angaben noch den weitesten Weg: Hier glauben nur 33 Prozent der Befragten, fristgerecht konform zu sein.
Übersehene Chance auf mehr Gewinn
Die Erkenntnisse des Reports deuten darauf hin, dass viele Unternehmen sich rein auf die regelkonforme Umsetzung von Maßnahmen konzentrieren, dabei aber die Geschäftschancen hinter der DSGVO übersehen. So berichten 31 Prozent der Befragten, ihr Fokus läge allein auf der Compliance und weniger auf Wettbewerbsvorteilen. Tatsächlich nimmt sich nur eine von zehn Organisationen vor, ein Vorreiter in Sachen Datenschutz und Privatsphäre zu werden. Dabei könnten sich Unternehmen hierdurch höhere Gewinne ausrechnen.
»Für diejenigen Unternehmen, die frühzeitig begonnen haben, sich dem Thema anzunehmen und in Compliance und Datentransparenz zu investieren, fängt der Aufwand bereits jetzt an, sich wirtschaftlich zu lohnen«, weiß Christian Kaupa, Country Lead GDPR und Vice President Insights & Data bei Capgemini in Deutschland.
Gut die Hälfte der befragten Verbraucher in Deutschland (52 Prozent) hat ihre Einkäufe bei Unternehmen, die sie für datenschutzgemäß halten, erhöht. 37 Prozent geben an, dabei auch mehr Geld ausgegeben zu haben. Außerdem haben sie weitaus öfter mit diesen Organisationen interagiert. Aber die Vorteile reichen noch weiter: Fast die Hälfte der Befragten hat positive Erfahrungen mit Freunden und Familie geteilt und somit die Reputation der Firma bei anderen potenziellen Kunden gestärkt.
Unternehmen schätzen Wahrnehmung der Kunden falsch ein
Mit der EU-DSGVO können Verbraucher nun wieder selbst die Hand über ihre Daten halten und lassen im Zweifel auch Taten folgen: In Deutschland wollen 61 Prozent der Verbraucher reagieren, wenn Unternehmen ihre persönlichen Daten nicht ausreichend schützen. Dazu gehören: Ausgaben und Einkäufe bei betroffenen Unternehmen reduzieren (71 Prozent), Geschäftsbeziehungen beenden (71 Prozent) oder Negativerfahrungen im Bekanntenkreis teilen (73 Prozent).
Auf Seiten der Unternehmen unterschätzt man diese Bereitschaft der Kunden, selbst aktiv zu werden: 71 Prozent der befragten Führungskräfte bezweifeln zum Beispiel, dass Kunden ihre Daten wirklich löschen lassen würden. In Deutschland ist die angesprochene Fehlwahrnehmung mitunter am größten: 76 Prozent der deutschen Unternehmen glauben nicht, dass Verbraucher sich von der Organisation abwenden, während 39 Prozent von ihnen aber angeben, genau dies tun zu wollen. Noch dazu wähnen sich acht von zehn Unternehmen im Vertrauen der Verbraucher, während nur gut die Hälfte der Konsumenten dem tatsächlich zustimmt. Am meisten vertrauen Verbraucher übrigens den Banken und dem eigenen Arbeitgeber.
»Folgen Unternehmen weiter diesem Irrglauben, dann verspielen sie wichtige Chancen auf ein besseres Image und zusätzliches Surplus«, so Christian Kaupa. Laut Umfrage konzentrieren sich lediglich 11 Prozent bei ihren Bemühungen rund um die DSGVO auf die Bedürfnisse ihrer Kunden. Dabei könnten sie das Vertrauen der Kunden und ihre Bereitschaft mit dem Unternehmen Geschäfte zu machen, mit einer kundenzentrierten Datenschutzstrategie signifikant erhöhen. »Die klare Übersicht über alle gespeicherten personenbezogenen Daten hilft Unternehmen aber auch, Analysen effektiver zu gestalten und die eigenen Prozesse zu verbessern. Wer genau weiß, welche Daten er löschen oder aufräumen kann, der spart wertvollen Speicherplatz und reduziert damit die hohen Kosten für das Halten von Daten, für das die globale Wirtschaft Schätzungen zufolge bis 2020 rund 3,3 Billiarden US-Dollar ausgeben wird«, so Kaupa weiter.
Was sich Kunden in Deutschland wünschen
Was sich Kunden nun wünschen sind innovative Ansätze, die die Hoheit über ihre Daten wieder zurück in ihre eigenen Hände spielen. Hier haben Unternehmen laut Report jedoch teilweise noch großen Aufholbedarf. 61 Prozent der befragten deutschen Verbraucher würden einen ausgewiesenen Ansprechpartner beziehungsweise eine anonyme E-Mail-ID für datenbezogene Anfragen begrüßen, bisher bieten aber nur 33 Prozent der Organisationen dies an. Auf Platz zwei folgt mit 56 Prozent ein spezifischer Help Desk für Rückfragen zum Umgang mit persönlichen Daten, der bei 45 Prozent der Unternehmen existiert. 44 Prozent äußerten den Wunsch nach einem Self-Service-Portal, etwa im Stil von Google Takeout, um Daten einzusehen und bei Bedarf herunterladen zu können. Aktuell ist das bei knapp einem Drittel (29 Prozent) der befragten Unternehmen möglich.
[1] Die hier veröffentlichten Ergebnisse stammen aus einem umfassenden Report mit dem Titel »Seizing the GDPR Advantage: from mandate to high-value opportunity«. Eine Kopie können Sie hier herunterladen. https://www.capgemini.com/resources/seizing-the-gdpr-advantage/?utm_source=pr&utm_medium=referral&utm_content=insightsdata_none_link_report_none&utm_campaign=secureassets_gdpr_na
Zur Studie
Die Umfrage wurden unter zwei verschiedenen Personengruppen durchgeführt: Privatpersonen und Führungskräfte großer Unternehmen. Im Zeitraum März bis April 2018 befragte das Digital Transformation Institute, kurz DTI, von Capgemini rund 1.000 Führungskräfte in Organisationen mit einem Mindestumsatz von über 1 Milliarde US Dollar und 6.000 Verbraucher über 18 in sieben verschiedenen Ländern – Frankreich, Deutschland, USA, Großbritannien, Italien, Niederlande, Schweden und Spanien. 150 Führungskräfte und 1.000 Verbraucher kommen dabei aus Deutschland.