DSGVO: Bundesdatenschutzbeauftragter kontert Kritik
Ulrich Kelber, Bundesbeauftragter für den Datenschutz und Informationssicherheit Jedes zweite Unternehmen verzichtet aus Datenschutzgründen auf Innovationen. Zu diesem Ergebnis kommt der Digitalverband Bitkom in einer Umfrage unter mehr als 500 Unternehmen in Deutschland. Eine Aussage, die der Bundesdatenschutzbeauftragte Ulrich Kelber allerdings cool kontert: »Oft scheitern Projekte, weil sie ohne Privacy by Design geplant werden und später versucht wird, den Datenschutz hinterher noch aufzupfropfen.« Kelber rät zu Firmen den Datenschutz bereits bei der Konzipierung und Entwicklung von Software und Hardware zur Datenverarbeitung zu berücksichtigen. Oft sei es aber auch mangelnde Sachkenntnis, die zu solchen Aussagen führen. »Und, eines ist auch klar, es gibt Geschäftsmodelle, die wollen wir in Europa nicht mehr«, bringt es Kelber auf den Punkt. Ziel sei, die informelle Selbstbestimmung der Menschen sicherzustellen.
Bitkom: DSGVO bremst Innovationen aus
Firmen sehen in der DSGVO einen hohen Zusatzaufwand
Susanne Dehmel, Bitkom »Die anhaltende Rechtsunsicherheit gehört für drei Viertel der Firmen (74 Prozent) zu den größten Herausforderungen bei der Umsetzung der DSGVO-Vorgaben«, benennt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, einen weiteren Kritikpunkt der Befragten. Zwei von drei (68 Prozent) beklagen zu viele Änderungen oder Anpassungen bei der Auslegung. Sechs von zehn Unternehmen (59 Prozent) sehen als eines der größten Probleme die fehlenden Umsetzungshilfen durch Aufsichtsbehörden, fast die Hälfte (45 Prozent) nennt die uneinheitliche Auslegung der Regeln innerhalb der EU. Für ein Viertel (26 Prozent) ist fehlendes Fachpersonal eine der höchsten Hürden. Das wirke sich für die große Mehrheit auch auf die eigenen Ressourcen aus.
»Mehr als ein Drittel der Unternehmen (36 Prozent) gibt an, dass sie seit Einführung der DSGVO mehr Aufwand haben und dies künftig so bleiben wird«, erklärt Dehmel. »Für weitere 35 Prozent ist absehbar, dass die jetzt bereits gestiegenen Aufwände weiter zunehmen werden.«
Kelber versteht den Wunsch nach mehr Beratung und Umsetzungshilfen und verspricht Besserung: »Oft stellen wir fest, dass es die Hilfestellungen schon gibt. Wir arbeiten daran, dass man die Dokumente und Hilfestellungen der einzelnen Datenschutzbehörden besser finden kann und einer Vereinheitlichung der Dokumentation.«
Den Punkt fehlendes Fachpersonal versteht Kelber gut, fordert er doch selbst für die Landesbehörden mehr Personal: »Viele sind unterbesetzt. Eine knappe zweistellige Anzahl an Mitarbeitern kann nicht funktionieren. Hier müssen die Länder nachbessern.«
Bei der angeblichen Rechtsunsicherheit gibt er zu bedenken, dass nicht immer ein Gerichtsurteil notwendig sein müsse, um personenbezogene Daten Datenschutz-konform zu verarbeiten. Aus seiner Sicht werde dieser Standpunkt aber auch durch Berufsgruppen gefördert. Bei Beratern und Anwälten stünden hier durchaus finanzielle Interessen hinter solchen Aussagen.
Corona macht die DSGVO-Umsetzung nicht einfacher
Das laufende Jahr ist durch die Corona-Pandemie natürlich als Sonderfall. Andererseits entstehen durch das verstärkte Arbeiten im Home-Office neue Anforderungen. »Viele Unternehmen greifen aus Datenschutzgründen nur eingeschränkt oder gar nicht auf digitale Anwendungen zur Zusammenarbeit im Home-Office zurück«, erklärt Bitkom-Geschäftsführerin Dehmel. Zudem kämpft die große Mehrheit auch mehr als zwei Jahre nach Geltungsbeginn noch mit der Umsetzung der DSGVO. Nur jedes fünfte Unternehmen (20 Prozent) hat die DSGVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert. Mehr als ein Drittel (37 Prozent) hat die Regeln größtenteils umgesetzt, ähnlich viele (35 Prozent) teilweise. Und bei sechs Prozent habe die Umsetzung gerade erst begonnen. »Die immer noch niedrigen Umsetzungszahlen sind ernüchternd«, meint Dehmel. Allerdings sei die DSGVO kein Pflichtenheft, welches man einfach abarbeiten könne, sondern ein fortlaufender Prozess. Wobei sich mit Dies sich mit 89 Prozent die befragten Unternehmen einig sind: Die Datenschutz-Grundverordnung sei praktisch nicht vollständig umsetzbar.
Das sieht Bundesdatenschutzbeauftragter Kelber natürlich anders: Die DSGVO sei bewusst als ein technologie-neutrales und sich weiterentwickelndes Gesetz geschaffen worden. Es soll eben nicht immer zwei, drei Jahre hinterherlaufen und sei deswegen allgemeiner formuliert. Die Auslegung dürfen dagegen noch konkreter werden.
Datenschutzanforderungen als zusätzliche Belastung in der Krise
Während der Pandemie hadern Unternehmen damit, ihren Betrieb datenschutzkonform aufrechtzuhalten. Viele Hilfsmittel, die etwa das Arbeiten aus dem Home-Office erleichtern, wurden aus Datenschutzgründen nur eingeschränkt oder gar nicht genutzt. Fast jedes vierte Unternehmen (23 Prozent) verzichtete aus Datenschutzgründen auf Kollaborations-Tools. Weitere 17 Prozent haben diese Anwendungen nur eingeschränkt genutzt.
Cloud-Dienste wie Online-Speicher nutzt ein Viertel (26 Prozent) nicht vollumfänglich, zwei Prozent verzichteten deswegen komplett darauf. Bei jedem zehnten Unternehmen (10 Prozent) wurde der Einsatz von Videotelefonie eingeschränkt, drei Prozent konnten geeignete Videokonferenzsysteme aufgrund von Datenschutzvorgaben nicht verwenden. Vier Prozent geben an, den Gebrauch von Messenger-Diensten im Unternehmen begrenzen zu müssen, um datenschutzkonform zu sein. »Viele Unternehmen stecken in einem Dilemma: Einerseits sind sie angewiesen auf Kommunikations- und Kollaborations-Tools, die die Zusammenarbeit auf Distanz ermöglichen und Dienstreisen ersetzen. Andererseits kritisieren deutsche Aufsichtsbehörden eben jene Tools als nicht datenschutzkonform«, beklagt Dehmel.
Home-Office-Leitlinien: ja, eigene Tracing-Apps: nein
Für die Arbeit aus dem Home-Office haben gut vier von zehn Firmen (42 Prozent) Leitlinien erstellt, davon 20 Prozent schon vor dem Ausbruch der Pandemie. Weitere 37 Prozent planen oder diskutieren solche Leitlinien, für sechs Prozent ist dies kein Thema. Mit 13 Prozent sinkt die Zahl der Unternehmen, die Home-Office grundsätzlich ausschließen.
Unternehmenseigene Kontaktverfolgungs-Apps bei Covid19-Infektionen sind bei keinem der Befragten im Einsatz. Jedes fünfte Unternehmen ab 500 Mitarbeitern (22 Prozent) plant oder diskutiert aber eine eigene Tracing-App unabhängig von der offiziellen Corona-Warn-App der Bundesregierung. Insgesamt sind fast zwei Drittel (62 Prozent) der Meinung, dass mehr Möglichkeiten zur Datennutzung bei der Pandemiebekämpfung helfen würden.
Unternehmen fordern mehr Klarheit
Bei mehr als jedem zweiten Unternehmen (56 Prozent) sind neue, innovative Projekte aufgrund der DSGVO gescheitert – entweder wegen direkter Vorgaben oder wegen Unklarheiten in der Auslegung der DSGVO. Vier von zehn (41 Prozent) geben an, dass sie deswegen keine Datenpools aufbauen konnten, um etwa Daten mit Geschäftspartnern teilen zu können. Bei drei von zehn (31 Prozent) scheiterte dadurch der Einsatz neuer Technologien wie Big-Data oder Künstliche Intelligenz, ein Viertel (24 Prozent) bestätigt dies für die Digitalisierung von Geschäftsprozessen.
Jedes fünfte betroffene Unternehmen (20 Prozent) verzichtete DSGVO-bedingt auf den Einsatz neuer Datenanalysen. »Persönliche Daten müssen geschützt werden, das ist unstrittig«, sagt Dehmel. »Wenn wir es ernst meinen mit dem Digitalstandort Europa, müssen Datenschutzregeln die datenbasierten Geschäftsmodelle flankieren anstatt sie auszuhebeln.« Nahezu alle Unternehmen (92 Prozent) fordern Nachbesserungen bei der DSGVO. So sollten laut den Befragten etwa die Informationspflichten praxisnäher gestaltet sein (91 Prozent), die Regeln verständlicher gemacht werden (85 Prozent) und die Beratung und Hilfe von den Datenschutzaufsichtsbehörden bei der Umsetzung verbessert werden (83 Prozent). Nur drei Prozent sind für eine weitere Verschärfung der DSGVO.
Bei der Informationspflicht sieht Kelber übrigens durchaus Handlungsspielraum: »Bei der notwendigen Weiterentwicklung der DSGVO gibt es natürlich Punkte, die wir gerne strenger auslegen möchten, aber bei den Informationspflichten können wir einiges tun um diese praxisnäher zu gestalten, ohne den Datenschutz zu verschlechtern.« Auf einer Webseite lässt sich dies relativ einfach umsetzen, bei einem Handwerker beispielsweise möchte niemand direkt mit Datenschutzhinweisen überfallen werden. Hier genüge es, wenn der Betroffene weiß, wo er bei Bedarf nachschauen könnte. Bei Datenverarbeitungen, die für den Betroffenen erwartbar sind, wie eine Rechnungsstellung, müssten auch nicht die gleichen Informationspflichten fließen.
DSGVO wird auch als Wettbewerbsvorteil gesehen
Mit Blick auf den eigenen Betrieb sieht die Mehrheit der Befragten die DSGVO kritisch. Sieben von zehn (71 Prozent) sagen, dass sie ihre Geschäftsprozesse komplizierter macht. Für zwölf Prozent stellt die DSGVO immer noch eine Gefahr für das eigene Geschäft dar.
Bei aller Kritik gibt es auch positive Stimmen: So sind sieben von zehn Unternehmen (69 Prozent) überzeugt, dass die DSGVO weltweit Maßstäbe für den Umgang mit Personendaten setzt. Zwei Drittel (66 Prozent) glauben, die DSGVO werde zu einheitlicheren Wettbewerbsbedingungen in der EU führen und sechs von zehn Unternehmen (62 Prozent) meinen, die DSGVO sei insgesamt ein Wettbewerbsvorteil für europäische Unternehmen.
»Hier wollen wir künftig noch mehr unterstützen«, erklärt Kelber. »Europa muss nun auf den Weltmärkten für die geschaffenen Rechte stehen. Wir sollten uns nicht von amerikanischen Unternehmen und deren Marketing-Abteilungen überholen lassen.« Laut Kelber gebe es genug wettbewerbsfähige europäische und deutsche Produkte, Cloud- wie auch Kollaborations-Tools.
- 2 Jahre DSGVO: Noch wird zu viel lamentiert
- Datenschutztag 2020: Vertrauen wird ein Wettbewerbsfaktor
- Doc Storage: DSGVO: Gerne noch höhere Bußgelder
- Doc Storage: DSGVO für KMUs: Machen, nicht diskutieren
- Ein Jahr DSGVO: Datenschutz rückt stärker ins Bewusstsein
- Datenschutz für Kinder – Anforderungen nach DSGVO
- DSGVO im Unternehmen
- Datenschutz-Grundverordnung (DSGVO): Das gilt es zu beachten