Falls ja, sind Sie damit in bester Gesellschaft: Nach einer kürzlich veröffentlichten Bitkom-Studie sieht ein Großteil der deutschen Unternehmen enormen Verbesserungsbedarf bei der DSGVO – vollständig umsetzbar sei sie eigentlich gar nicht und während Corona nur Störfaktor. Des Rätsels Lösung? Den Kopf in den Sand zu stecken, hilft nicht.
Der Inhalt im Überblick
Nur einer hat die DSGVO vollständig umgesetzt
… und das ist Chuck Norris, weiß doch jeder. Auch nach über zwei Jahren DSGVO hat sich die Mehrheit der durch den Bitkom-Verband befragten 504 Unternehmen mit mehr als 20 Mitarbeitern nicht mit den darin festgelegten Datenschutzregeln anfreunden können. Zwar haben alle Umfrageteilnehmer mit der Umsetzung begonnen, von Datenschutzkonformität kann aber noch lange nicht die Rede sein: Die Anforderungen der DSGVO sind bei über zwei Dritteln der Befragten teilweise (35 Prozent) bzw. größtenteils (37 Prozent) verwirklicht worden. Überraschenderweise gab jedes fünfte Unternehmen an, die DSGVO vollständig umgesetzt und sogar Prüfprozesse für die Weiterentwicklung etabliert zu haben. Erstaunlich, wo doch fast neun von zehn der befragten Unternehmen die DSGVO als praktisch nicht vollständig umsetzbar bewerteten…
Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, weiß wieso:
„Die Datenschutzgrundverordnung lässt sich nun einmal nicht wie ein Pflichtenheft abarbeiten. Im Gegenteil: Durch unklare Vorschriften und zusätzliche Anforderungen der Datenschutzbehörden ist aus der DSGVO ein Fass ohne Boden geworden.“
Dass eine für alle Zeiten vollumfängliche Umsetzung der Datenschutzbestimmungen mehr oder weniger utopisch ist, dürfte niemanden mehr verwundern. Gerade kleinere Unternehmen haben nicht die Mittel dazu und die Big Player am Markt interessiert das sowieso kaum. Angemessene Anstrengungen sollten jedoch unternommen werden – dass jedes zweite Unternehmen Ziel von Cyberangriffen ist, dürfte Warnung genug sein.
Das DSGVO-Damoklesschwert
In den Monaten vor dem 25. Mai 2018 – dem Stichtag der DSGVO – waren fast die Hälfte der rund 450 damals Befragten davon überzeugt, angemessen auf die DSGVO vorbereitet zu sein. Ob deren Träume Wirklichkeit wurden oder wie Seifenblasen zerplatzten, lässt sich nicht nachverfolgen. Die aktuellen Zahlen zeichnen jedoch ein ganz anderes Bild: Ernüchterung hat sich breitgemacht, Unsicherheit, denn über unseren Köpfen schwebt ein bußgeldbewehrtes Damoklesschwert.
Die DSGVO ist kein Märchenbuch, mit einmal Durchlesen ist es nicht getan. Die Herausforderungen für die befragten Unternehmen sind enorm: Bei fast dreiviertel der Unternehmen hat die DSGVO zu Rechtsunklarheiten geführt, insbesondere auch deswegen, weil sie innerhalb der EU uneinheitlich ausgelegt werde (45 Prozent). Von den Aufsichtsbehörden fühlen sich 59 Prozent allein gelassen, außerdem mangele es an qualifizierten Mitarbeitern (26 Prozent). In den Augen zweier Drittel der Unternehmen sorgt die DSGVO weiterhin für konstanten oder steigenden Aufwand.
Die Verordnung habe bei über der Hälfte der Befragten dazu geführt, dass neue, innovative Projekte (Aufbau von Datenpools, Einsatz neuer Technologien wie Big Data oder KI, Digitalisierung, Datenanalysen) scheiterten. Kein Wunder, dass da Unmut herrscht – und sich 92 Prozent eine Nachbesserung der DSGVO wünschen.
So fordert ein Großteil der Umfrageteilnehmer:
- eine praxisnähere Gestaltung der Informationspflichten (91 Prozent),
- eine verbesserte Verständlichkeit (85 Prozent),
- die Beratung und Hilfe von Aufsichtsbehörden bei der Umsetzung (83 Prozent),
- die Anpassung von Löschpflichten an technische Möglichkeiten (69 Prozent) sowie
- die Vereinheitlichung der Auslegung auf deutscher und europäischer Ebene (60 Prozent).
3 Prozent der Unternehmen wünschen sich gar eine strengere DSGVO. Dies dürfte zumindest für die 12 Prozent der Unternehmen keine Option darstellen, für deren Geschäftstätigkeit die DSGVO aktuell bereits eine Gefahr darstellt. 40 Prozent der Unternehmen gehen davon aus, Deutschland übertreibe es mit dem Datenschutz. Das bedeutet im Umkehrschluss aber auch, für den Rest besteht noch Hoffnung.
Datenschutz-Aufreger des Jahres
Seit Anwendbarkeit der DSGVO dürfte es in den Büros hierzulande kaum mehr Tage ohne Datenschutz-Ärger gegeben haben. Zum einen sind es die Aufsichtsbehörden, die Verwirrung verbreiten, zum anderen wirft der Gesetzgeber geäußerte Datenschutzbedenken liebend gern über Bord – häufig aber trifft Rechtsunsicherheit, Angst und fehlendes Verständnis aufeinander. Aus diesem Grund widmete sich die Bitkom in ihrer Studie auch dem allgegenwärtigen Corona-Virus, welches die in Unternehmen gelebte DSGVO heftig durcheinanderwirbelte.
Corona auf Datenschutz-Kollisionskurs
Corona blieb in den meisten Unternehmen nicht ohne Spuren: Viele Mitarbeiter wurden ins Homeoffice geschickt. Immerhin 42 Prozent aller befragten Unternehmen haben mittlerweile eine Homeoffice-Richtlinie, die dem Schutz der Kunden- und Beschäftigtendaten in den eigenen vier Wänden dient. Die DSGVO hat die Unternehmen während der Corona-Krise jedoch auch anderweitig beeinflusst: Vielerorts habe man Kollaborationstools (z.B. Slack), Cloud-Dienste und Videotelefonie wegen datenschutzrechtlicher Vorgaben nicht oder nur eingeschränkt nutzen können. Während es für 96 Prozent der Umfrageteilnehmer nicht in Frage kommt, eigene Tracing-Apps einzuführen, liebäugelt zumindest jedes fünfte Unternehmen ab 500 Mitarbeitern mit der Entwicklung solcher Technologien.
Dass mehr Möglichkeiten zur Datennutzung bei der Corona-Bekämpfung helfen würden, bejahen 62 Prozent. Immerhin jedes zehnte Unternehmen gab an, Corona-Maßnahmen aus Datenschutzgründen nicht durchgeführt haben zu können.
Datenschutz als Hindernis? Für Achim Berg, Präsident des IT-Verbands Bitkom, steht angesichts der zu Corona-Maßnahmen geäußerten datenschutzrechtlichen Einwände fest:
„Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DSGVO aus den Fugen geraten.“
Falsch: Nicht die DSGVO bringt den Rechtsstaat in Corona-Zeiten zum Wanken, sondern die Fülle teils verfassungswidriger sowie verwirrender Maßnahmen, die gefühlt im Sekundentakt verabschiedet, zurückgenommen und wieder verschärft werden. Die DSGVO ist also vielmehr der Kitt, der die Fugen während des Corona-Erdbebens zusammenhält.
Wobei, was ist mit Schrems II?
Auch das Mitte Juli ergangene Schrems II-Urteil des Europäischen Gerichtshofs hat nicht gerade zu mehr Datenschutz-Selbstvertrauen geführt. Im Gegenteil: Wenn nicht einmal Aufsichtsbehörden und Datenschützer wissen, wo es langgeht, wie sollen dann Unternehmen datenschutzkonform handeln können? Der EU-US Privacy Shield ist ungültig, so viel ist klar. Mit den selbst auf der Kippe stehenden Standardvertragsklauseln lässt sich allenfalls die Zeit überbrücken, bis ein neues Abkommen geschlossen wird. Zumindest einige der vorgeschlagenen Maßnahmen klingen sinnvoll – jedoch sind auch sie nicht das Gelbe vom Ei.
DSGVO: La loi c’est moi?
So heiß wie der Datenschutz diskutiert wird, könnte man annehmen, die DSGVO sei – frei nach Ludwig XIV. – das absolutistisch geltende, über allem stehende Gesetz. Nun, Datenschutz ist wichtig, doch selbst der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski muss zugeben:
„Die Welt dreht sich nicht um den Stand der Datenschutzgesetze.“
Manchmal hilft es bereits, die Panik runterzuschrauben und Ruhe zu bewahren. Bei Unsicherheiten gilt: Fragen Sie im Zweifel Ihre/n Datenschutzbeauftragte/n.
Mich würde interessieren, was Herr Berg zu dem Fall H&M (datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren) sagt? Vermutlich kommen das Wort „Einzelfall“ in seiner Antwort vor. Ist ja auch nicht seine Branche…
Es fällt jedenfalls schwer, selbst berechtigte Kritik, ernst zu nehmen, wenn es solche offenkundigen Missstände gibt.
Liebe Frau Pettinger,
ja Sie haben Recht in vielen Punkten. Es gibt jedoch schon zu viele dieser kritischen teilweise polemischen Beiträge über die Sinnhaftigkeit des Datenschutzes, als dass Sie sich dort noch anschließen müssen. Datenschutz ist wichtig und ohne den Schutz personenbezogener Daten kann unsere Gesellschaft nicht funktionieren sowie wären wir der Willkür von amerikanischen Großkonzernen ausgesetzt. Wir als Datenschützer kämpfen für den Datenschutz, egal was uns die Politik vorgibt, zum Wohl unserer Kunden, zum Schutz der Mitarbeiter, mit berechtigtem Interesse und mit erstaunlich viel Erfolg. Dieses Fazit vermisse ich in Ihrem Beitrag.
Ich stimme Ihnen zu, unser Einsatz für Datenschutz ist wichtig. Nichtsdestotrotz ist es auch Teil des Datenschutzes, die bisherigen Standards regelmäßig zu evaluieren und weiterzuentwickeln. Ziel dieses Beitrags war es nicht, den Datenschutz für überholt zu erklären. Vielmehr wollte ich zum einen die an der DSGVO geäußerte Kritik aufzeigen, die zum Teil durchaus berechtigt ist. Zum anderen möchte ich die Wogen – Datenschützer auf der einen, genervte Unternehmer auf der anderen Seite – glätten: Sich für Datenschutz einzusetzen, ist notwendig. Es dreht sich aber nicht alles um Datenschutz.
Sehr guter Beitrag, wie immer.
Ich habe als externer DSB exakt diese Beobachtungen gemacht. Viele Unternehmen würden sich im B2B-Verhältnis eine Vereinfachung wünschen. (Informationspflichten z.B.).
Hallo, eine schöne Bestandsaufnahme. Fragen sollte man aber vielleicht auch mal. welches der Unternehmen denn bereits BDSG-Alt konform augestellt war. In der Praxis trifft man leider häufig auch auf Fälle, die Datenschutz als Aufgabe für andere sehen oder denken, man kann es mal so mit links machen. Was den Wunsch anbelangt, die Aufsichtsbehörde sollten mehr beratend tätig sein, so kann man die Frage stellen, ob der Begriff „Aufsicht“ richtig verstanden wurde. Es kommt doch auch keiner auf die Idee, dass das Finanzamt mehr in der Steuergestaltung beraten soll.
Guten Tag
Ihr Artikel finde ich nicht realitätsnah. Über geltendes Recht darf sich keiner hinwegsetzen. Leider gibt es sehr viele Unternehmen in Deutschland, welche sich nicht an geltenes Recht halten. Gerade bei den besonders sensiblen personenbezogenen Daten sollten noch mehr Schutzmechanismen eingebaut werden. Eine Bespitzelung von Mitarbeitern oder gar Überwachung geht gar nicht. Hier ist mir das Bußgeld für H&M zu gering. Leider können viele Unternehmen weder einen AVV noch ein Verfahrensverzeichnis vorlegen, obwohl dieses seit der DSGVO vorgeschrieben ist. Für kleine Unternehmen ist die Zahl der Mitarbeiter auf 20 durch den Bundestag genehmigt worden, so dass man hier erst einen Datenschutzbeauftragten benötigt. Hier sollte man nicht meckern sondern anpacken. Datenschutz hilft jedem einzelnen.
Externer DSB
Die DSGVO wird vielfach kritisiert, zum Teil zu Recht. Das ist die Realität. Selbstverständlich darf sich keiner über geltendes Recht hinwegsetzen, das wird im Artikel auch nicht gefordert. Der Artikel zeigt von Unternehmen geäußerte Bedenken auf, die zum Nachdenken anregen können. Die DSGVO ist nicht für alle Zeiten in Stein gemeißelt, es ist durchaus denkbar, dass sie irgendwann in Teilen angepasst wird bzw. ein Nachfolger kommt.
Hinsichtlich der Unternehmen, die sich über geltendes Recht hinwegsetzen und dem besseren Schutz besonders sensibler Daten bin ich ganz bei Ihnen. Sie sagen selbst, die Unternehmen müssen die Umsetzung des Datenschutzes anpacken. Das ist richtig. Wenn während der Umsetzung Probleme offenbar werden, sollten sie diese jedoch auch ansprechen dürfen (was natürlich nichts daran ändert, dass sie die DSGVO umsetzen müssen).