Berlin Nach fünf Jahren Datenschutz-Grundverordnung (DSGVO) macht das EU-Normenwerk mit seinen 99 Artikeln und 173 Erwägungsgründen der Wirtschaft noch immer schwer zu schaffen. Zu diesem Schluss kommt eine Studie im Auftrag der Stiftung Familienunternehmen, bei der die Datenschutzregelungen in Deutschland, Frankreich, Italien und Österreich verglichen wurden. Die Analyse liegt dem Handelsblatt vorab vor.
Fazit: Für international tätige Unternehmen ist es sehr aufwendig, im Detail den unterschiedlichen Vorgaben in den einzelnen Mitgliedsländern zu entsprechen und daraus die richtigen Aktionen abzuleiten. Weil Firmen Risiken minimieren und Sanktionen sowie Reputationsschäden verhindern wollen, beauftragen sie häufig externe Berater, wodurch zusätzliche Kosten entstehen.
Stiftungsvorstand Rainer Kirchdörfer meint, ein verantwortlicher Umgang mit sensiblen Daten müsse „ohne diese ausufernde Bürokratie“ möglich sein. Er kritisiert: „Jedes Land, ja jedes Bundesland möchte sich hier selbst verwirklichen. So wird der Datenschutz zur Last, verursacht unnötige Kosten und mindert die Wettbewerbsfähigkeit unserer Unternehmen.“
Zum fünften Jahrestag der Datenschutz-Grundverordnung (DSGVO) Ende Mai hatte es viel Lob gegeben: Es sei wichtig gewesen, die Verarbeitung personenbezogener Daten EU-weit zu vereinheitlichen, so der Tenor von Datenschützern und Politikern. Unternehmen würden von der harmonisierten Regulierung profitieren. Das Regelwerk gelte als „Exportschlager“ für andere Länder außerhalb der EU.
Meist sorgen vor allem Datenschutzverstöße für Schlagzeilen, bei denen Firmen hohe Bußgelder zahlen müssen. Nach Angaben der internationalen Wirtschaftskanzlei CMS verhängten die zuständigen Behörden in Europa in den vergangenen fünf Jahren in mehr als 1600 Fällen Bußgelder in Höhe von insgesamt fast vier Milliarden Euro.
Dass die europäischen Unternehmen jenseits von großen Skandalen jeden Tag die DSGVO-Vorschriften erfüllen müssen, tritt bei solchen Meldungen schnell in den Hintergrund. „Insbesondere kleine und mittlere Unternehmen klagen über die bürokratische Belastung durch die DSGVO“, heißt es beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD).
Große Vorsicht aus Unsicherheit
Christian Rammer, Projektleiter im Forschungsbereich Innovationsökonomik am Leibniz-Zentrum für Europäische Wirtschaftsforschung (ZEW) erklärt, „dass die DSGVO viele Abläufe, in denen personenbezogene Daten entstehen oder verwendet werden, komplizierter gemacht hat“. Dies liege möglicherweise an einer besonders großen Vorsicht bei diesem Thema. „Viele Datenschutzbeauftragte sprechen sich im Zweifel für eine restriktivere Lösung im Umgang mit Daten aus, selbst wenn dies aufgrund der DSGVO nicht unbedingt angezeigt wäre.“
Oftmals existieren jedoch gar keine einheitlichen oder klaren Vorgaben, wie nun das Centres for European Policy Network (CEP) und die Prognos AG im Auftrag der Stiftung Familienunternehmen herausgefunden haben. Konkret wurde der administrative Aufwand und die finanzielle Belastung beispielhaft für nur zwei der bestehenden DSGVO-Vorschriften untersucht – was allein schon zu rund 200 Seiten Problemanalyse führte.
Die Forscher betrachteten zum einen den Vorgang, dass jedes Unternehmen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen muss. Hier sollen der Zweck der Datenverarbeitung, die Art der Daten, die Weitergabe an Dritte oder die Löschfristen aufgelistet sein.
Mehr zum Thema Bürokratielast:
Das Problem: In der DSGVO ist der Begriff „Verarbeitungstätigkeit“ gar nicht definiert. Die Folge: Die österreichischen und italienischen Datenschutzbehörden machen hierzu gar keine Ausführungen. In Deutschland hingegen können kleine Unternehmen ihre gesamte Personalverwaltung als einen Vorgang werten. Mittelgroße Unternehmen müssen mehr unterteilen, zum Beispiel in Rekrutierung, Einstellung oder Mitarbeiterführung.
In großen Unternehmen kann es dann Hunderte „Verarbeitungstätigkeiten“ geben, die im Verzeichnis berücksichtigt werden müssen, so auch zu Kundendaten, Daten zur Kreditwürdigkeit oder Zahlungsdaten. Einen Bezug zur Unternehmensgröße sieht die DSGVO wiederum gar nicht vor.
18 verschiedene Behörden allein in Deutschland
Dazu kommt, dass es in Deutschland durch den Föderalismus auf Bund- und Landesebene insgesamt 18 unterschiedliche Datenschutzbehörden gibt. Die jeweiligen Bundesländer legen die Regeln dann zuweilen auch noch unterschiedlich aus. Das Verzeichnis führe in der Konsequenz zu „erheblichen jährlichen Ausgaben“, die als „deutliche Belastung“ von der Wirtschaft wahrgenommen würden, heißt es in der Studie.
Zum anderen untersuchten die Forscher die Bestimmung, dass Unternehmen „Verletzungen des Schutzes personenbezogener Daten“ melden müssen. Auch in diesem Punkt wird die DSGVO sehr unterschiedlich umgesetzt: In Österreich kann die Meldung einer Datenschutzverletzung nur per Post oder E-Mail erfolgen. Die anderen Länder bieten Onlineformulare an.
Besonders schwer haben es der Studie zufolge die Unternehmen in Frankreich: Sie können Eingaben im Meldeverfahren nicht speichern. Das bedeutet, dass jede Korrektur zum Neustart der Prozedur führt. Die befragten Unternehmen wünschen sich demnach standardisierte, zeitsparende Onlinelösungen für die ganze EU.
Politik uneins bei möglichen Änderungen
Die Forscher fordern, dass die DSGVO durch Kommentare ergänzt wird, damit die verwendeten Begriffe klar definiert sind: „Unbestimmte Rechtsbegriffe sorgen für Unsicherheit, zusätzlichen Aufwand und Beratungskosten.“ Zudem müssten die Datenschutzbehörden besser oder überhaupt beraten.
Der wirtschaftspolitische Sprecher der FDP-Fraktion, Reinhard Houben, verlangt sogar, dass die Behörden anfragenden Unternehmen künftig rechtsverbindliche Auskünfte zur Umsetzung von Datenschutz geben. Außerdem müsse sich die für 2024 geplante DSGVO-Evaluierung mit der Frage beschäftigen, „inwieweit die Anforderungen für kleine und mittlere Unternehmen reduziert werden können“, sagte Houben dem Handelsblatt. „Große Unternehmen wie Google oder Volkswagen haben ganz andere Kapazitäten als kleine mittelständische Unternehmen.“
Der FDP-Politiker kritisiert den Mehraufwand für die Wirtschaft.
(Foto: imago images/Political-Moments)
Der SPD-Wirtschaftspolitiker Sebastian Roloff hält auf Basis der DSGVO-Überprüfung einen „praxisnahen Feinschliff“ für möglich, um die bürokratischen Lasten der Unternehmen zu reduzieren. Die digitalen Grundrechte der Bürgerinnen und Bürger seien jedoch hohe Güter. „Undifferenzierten Forderungen für eine drastische Entschärfung der DSGVO können wir uns deswegen explizit nicht anschließen“, sagte Roloff dem Handelsblatt.
Weitere Belastungen kommen
Der SPD-Politiker setzt zunächst auf eine größtmögliche Harmonisierung innerhalb Deutschlands: „Die mit Kleinstaaterei verbundene Rechtsunsicherheit in der DSGVO-Anwendung ist für Unternehmen kostenintensiv und dringend zu vermeiden.“
Allerdings werden laut Digitalverband Bitkom die Belastungen eher noch zunehmen: „Der Aufwand für Meldepflichten und weitere bürokratische Anforderungen war und ist für die Unternehmen seit Einführung der DSGVO hoch“, sagte Rebekka Weiß, Leiterin Vertrauen und Sicherheit. Zum Beispiel durch den Data Act, den AI Act zur Künstlichen Intelligenz und das IT-Sicherheitsgesetz 2.0 würden nun zusätzliche Dokumentations- und Transparenzpflichten eingeführt. Dazu kämen die dauerhaft hohen Aufwände für Unternehmen, die internationale Datentransfers durchführen.
Mehr: Das ABC des Bürokratiewahnsinns – und was dagegen hilft
