Der Europäische Gerichtshof (EuGH) hat heute sein Urteil in einem Verfahren zur Verarbeitung personenbezogener Daten durch den Facebook-Mutterkonzern Meta verkündet. Darin stellt der EuGH klar, dass personenbezogene Daten nicht ohne zeitliche Begrenzung und ohne Berücksichtigung der Art der Daten verarbeitet werden dürfen, auch wenn eine Einwilligung der Betroffenen vorliegt. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung:
„Das heutige Urteil des Europäischen Gerichtshofs hat weitreichende Auswirkungen auf die Digitalwirtschaft, insbesondere auf Unternehmen, die personenbezogene Daten für zielgerichtete Werbung nutzen. Es erhöht die Unsicherheit für Unternehmen bei der Verarbeitung von Daten zu Werbezwecken, da unklar bleibt, wie genau die Begrenzung für die bezweckte Datenverarbeitung festzulegen ist und was das für die Verarbeitung bestimmter Datentypen wie zum Beispiel die besuchten Websites oder die Auswahl von Präferenzen heißt. Zudem bleibt die Frage offen, was das für die Weitergabe von Daten mit Einwilligung der Betroffenen an Dritte bedeutet. Unternehmen müssen nun klären, wie lange und in welchem Umfang sie personenbezogene Daten verwenden dürfen, um den Anforderungen gerecht zu werden – oder wann womöglich eine neue Einwilligung eingeholt werden muss. Insbesondere bei der Auslegung und der Bestimmung der Verhältnismäßigkeit bleibt abzuwarten, wie Gerichte dies bewerten werden. Es wird für Unternehmen schwierig sein abzuschätzen, was noch als verhältnismäßig gilt.
Viele Unternehmen setzen bereits jetzt aus eigenem wirtschaftlichem Interesse auf eine begrenzte Speicherung personenbezogener Daten. Das heutige Urteil wirft jedoch neue rechtliche Fragen auf und sorgt für zusätzliche Unsicherheiten. Schon heute geben 9 von 10 Unternehmen (94 Prozent) in einer aktuellen Bitkom-Umfrage an, dass der Datenschutz-Aufwand hoch ist, in zwei Drittel (63 Prozent) hat er im vergangenen Jahr zugenommen. Zudem geben drei Viertel (76 Prozent) an, dass Rechtsunsicherheit über die genauen Vorgaben der DS-GVO eine der größten Herausforderungen bei der Umsetzung von Datenschutzvorschriften im Unternehmen ist.“
Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden von KW 28 bis KW 36 2024 605 Unternehmen ab 20 Beschäftigen in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ.
Datenschutz: Aufwand für Unternehmen nimmt zu
- 9 von 10 Unternehmen beklagen hohen Aufwand durch Datenschutz – und fordern Reform der Aufsicht
- Künstliche Intelligenz stellt Datenschutz vor neue Herausforderungen
- Jedes fünfte Unternehmen räumt Datenschutzverstöße ein
Berlin, 01. Oktober 2024 – Die deutschen Unternehmen müssen noch größere Anstrengungen unternehmen, um den Datenschutz umzusetzen. In rund zwei Drittel (63 Prozent) hat der Aufwand für den Datenschutz im vergangenen Jahr zugenommen, bei 36 Prozent ist er gleichgeblieben – und nirgendwo zurückgegangen. 9 von 10 Unternehmen (94 Prozent) bezeichnen den aktuellen Datenschutz-Aufwand als hoch. Zugleich sind in rund zwei Drittel (63 Prozent) der Unternehmen in Deutschland in den vergangenen zwölf Monaten innovative Projekte aufgrund von Datenschutz-Vorgaben gescheitert oder gar nicht erst angegangen worden. 70 Prozent warnen, dass der Datenschutz die Digitalisierung in Deutschland hemmt, 63 Prozent sehen das konkret für gesellschaftlich relevante Projekte wie etwa den Einsatz digitaler Technologien in Schulen. Und 64 Prozent stellen fest: Wir übertreiben es mit dem Datenschutz in Deutschland. Das sind Ergebnisse einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom unter 605 Unternehmen ab 20 Beschäftigten in Deutschland. „Der Schutz persönlicher Daten gehört unverrückbar zu unserem Wertesystem und unserer Demokratie in Deutschland und Europa. Bei der Umsetzung und Auslegung müssen wir aber nachsteuern, damit der Datenschutz praxistauglich bleibt“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Beim Datenschutz brauchen wir dringend mehr Klarheit, Nachvollziehbarkeit und Einheitlichkeit. Das wäre ein Förderprogramm für die Unternehmen, das kein Geld benötigt, sondern nur politischen Willen.“
DS-GVO: Umsetzung weit fortgeschritten, aber die Sorgen bleiben
Die europäische Datenschutz-Grundverordnung (DS-GVO) sorgt auch nach sechs Jahren in den Unternehmen für Unzufriedenheit. Inzwischen haben 7 von 10 Unternehmen die DS-GVO vollständig (23 Prozent) oder größtenteils (48 Prozent) umgesetzt, weitere 28 Prozent zumindest teilweise. Allerdings führt sie in den Unternehmen weiterhin zu steigendem Datenschutz-Aufwand. 42 Prozent der Unternehmen haben seit der Einführung mehr Aufwand und gehen davon aus, dass er weiter steigen wird, vor einem Jahr waren es nur 33 Prozent. Weitere 42 Prozent haben seit der Einführung mehr Aufwand und rechnen damit, dass dieser unverändert bleibt (2023: 50 Prozent). Gerade einmal bei 15 Prozent nimmt der zusätzliche Aufwand zusehends ab (2023: 12 Prozent), nur 1 Prozent hat gar keinen gestiegenen Aufwand registriert.
Der hohe Aufwand liegt auch daran, dass die Umsetzung in 84 Prozent der Unternehmen als nie vollständig abgeschlossen gilt. 80 Prozent beklagen, dass das Ausrollen neuer Tools immer neue Datenschutz-Prüfungen in Gang setzt. Und auch nach sechs Jahren leiden drei Viertel (76 Prozent) unter Rechtsunsicherheit was die genauen Vorgaben der DS-GVO betrifft. 61 Prozent kritisieren die insgesamt zu hohen Anforderungen der EU-Regeln, 56 Prozent die uneinheitliche Auslegung in der EU. Aber auch in den Unternehmen selbst gibt es Herausforderungen bei der DS-GVO-Umsetzung. So kosten bei 56 Prozent erforderliche IT- und Systemumstellungen viel Zeit, 53 Prozent tun sich schwer damit, den Beschäftigten die komplexen Anforderungen verständlich zu machen. Jeweils rund einem Drittel fehlt es am Geld (34 Prozent) bzw. an qualifizierten Beschäftigten (32 Prozent).
Bei einer DS-GVO-Bilanz überwiegen kritische Einschätzungen. So macht für 77 Prozent die DS-GVO die eigenen Geschäftsprozesse komplizierter. 64 Prozent meinen, dass die Datenschutzbehörden in Deutschland die DS-GVO zu streng anwenden. Fast ebenso viele (62 Prozent) finden aber auch, dass deutsche Unternehmen beim Datenschutz überziehen, weil sie Angst haben, gegen die DS-GVO zu verstoßen. 53 Prozent halten die DS-GVO schlicht für einen Standortnachteil, 49 Prozent sehen, dass Innovationen aus anderen Regionen aufgrund der Datenschutz-Regeln nicht in der EU genutzt werden können. Auf der anderen Seite heben 70 Prozent hervor, dass sich durch die DS-GVO die Datensicherheit im eigenen Unternehmen verbessert hat, 48 Prozent sehen durch sie einheitlichere Wettbewerbsbedingungen innerhalb der EU. Zwei Drittel der Unternehmen (63 Prozent) kommen zum Schluss: Die DS-GVO muss gelockert werden. „Auch nach sechs Jahren ist der Umgang mit der DS-GVO geprägt von Rechtsunsicherheit und vielstimmigen Auslegungen. Das ist für ein Gesetzeswerk in so einem zentralen Bereich keine gute Bilanz“, so Dehmel. „Die Politik ist gefordert, bei der DS-GVO in Sachen Praxistauglichkeit nachzusteuern.“
Künstliche Intelligenz als Hilfe beim Datenschutz
Angesichts des hohen Aufwands zieht fast die Hälfte der Unternehmen (48 Prozent) den Einsatz von Künstlicher Intelligenz beim Datenschutz in Betracht. Dabei geht es zum Beispiel um Chatbots für die Beschäftigten, um Datenschutzfragen schnell zu erklären, oder auch um das Erkennen von Datenschutzverstößen durch eine KI oder die automatisierte Anonymisierung oder Pseudonymisierung von Daten. 5 Prozent nutzen solche KI-Anwendungen bereits, 24 Prozent haben den Einsatz bereits geplant. Und weitere 19 Prozent diskutieren noch darüber. Auf der anderen Seite ist KI als Unterstützung beim Datenschutz für 46 Prozent aktuell kein Thema.
Zugleich sind 68 Prozent der Unternehmen der Meinung, dass der Einsatz von KI in den Unternehmen den Datenschutz vor ganz neue Herausforderungen stellt. Während für 53 Prozent der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schafft, sagen 52 Prozent mit Blick auf das eigene Unternehmen, dass der Datenschutz den KI-Einsatz behindert. 57 Prozent befürchten, der Datenschutz sorge dafür, dass die Anwendung von KI in der EU eingeschränkt wird, 52 Prozent gehen sogar davon aus, dass der Datenschutz Unternehmen aus der EU vertreibt, die KI entwickeln. Ein Grund dafür: Für 50 Prozent erschwert der Datenschutz, dass KI-Modelle mit genügend Daten trainiert werden. „Künstliche Intelligenz kann einen Beitrag zur Lösung aktueller gesellschaftlicher Herausforderungen leisten. Wir müssen den Datenschutz so ausgestalten, dass er persönliche Daten vor unberechtigtem Zugriff von KI-Modellen schützt, zugleich aber die Entwicklung und Nutzung von KI in Deutschland und Europa fördert“, so Dehmel. „Künstliche Intelligenz braucht verständliche und handhabbare Regeln, wir dürfen die Fehler der Datenschutz-Grundverordnung aus den vergangenen Jahren beim AI Act und Data Act nicht wiederholen.“
Große Mehrheit fordert Reform der Datenschutz-Aufsicht
Eine besondere Rolle beim Datenschutz spielen die unterschiedlichen Aufsichtsbehörden auf nationaler und europäischer Ebene. Die Unternehmen sehen hier dringenden und grundsätzlichen Reformbedarf. Nur 7 Prozent sind der Meinung, das System der Datenschutz-Aufsicht solle unverändert bleiben. Aber 69 Prozent wollen es teilweise reformieren, 21 Prozent sogar grundlegend. Ganz oben auf der Reform-Wunschliste: Bessere Abstimmung zwischen den Behörden (74 Prozent), die Anerkennung der Entscheidungen anderer Aufsichtsbehörden (72 Prozent) sowie eine zentrale Datenbank zu allen Entscheidungen (70 Prozent). Zwei Drittel (67 Prozent) verlangen sogar eine Zentralisierung der Datenschutz-Aufsicht. „Die Wirtschaft will den Datenschutz nicht abschaffen oder aufweichen, aber sie will ihn gemeinsam mit der Aufsicht einheitlich umsetzen können“, so Dehmel. Auch ganz praktische Wünsche gibt es bei den Unternehmen. Dazu gehören etwa einheitliche Meldeprozesse für Datenschutzverstöße (61 Prozent) und eine schnellere Bearbeitung von Anfragen und Beschwerden durch die Aufsicht (53 Prozent).
Datenschutzverstöße: Häufig gemeldet, selten folgenlos
Jedes fünfte Unternehmen (20 Prozent) räumt Datenschutzverstöße in den vergangenen zwölf Monaten ein. 16 Prozent hatten einen solchen Verstoß, 4 Prozent sogar mehrere. Zwei Drittel (66 Prozent) berichten von keinen bekannten Verstößen, weitere 14 Prozent wollen oder können dazu keine Angaben machen. Die Unternehmen mit Verstößen haben diese überwiegend (65 Prozent) der Aufsicht gemeldet. Folgenlos blieben die Datenschutzverstöße für die Unternehmen nur selten. 11 Prozent bezeichnen die Folgen als sehr schwerwiegend, 32 Prozent als eher schwerwiegend. 29 Prozent halten sie für eher nicht schwerwiegend, 17 Prozent für überhaupt nicht schwerwiegend. Fragt man die Unternehmen nach den konkreten Folgen der schwersten Datenschutzverletzung der vergangenen zwölf Monate, so nennen fast alle (94 Prozent) den organisatorischen Aufwand, etwa Information der Kundinnen und Kunden. Dahinter folgt aber bereits mit 47 Prozent ein Bußgeld. 14 Prozent haben Kunden verloren, 5 Prozent mussten Schadenersatz bezahlen. Weitere 3 Prozent beklagen Reputationsschäden. Keine Folgen tragen mussten nur 3 Prozent aller Unternehmen mit Datenschutzverstößen. „Verstöße gegen den Datenschutz haben Konsequenzen, und das ist den Unternehmen auch bewusst“, sagt Dehmel.
Vor dem Wahljahr: Wunsch nach Handeln der Politik
Vor dem anstehenden Wahljahr erwarten sich die Unternehmen mit Blick auf den Datenschutz vor allem drei Dinge von der Bundesregierung: Die Zusammenführung der vielen Sonder- und Spezialvorschriften zu Datenschutz und Datennutzung (91 Prozent), europäisch stärker vereinheitlichte Datenschutzvorgaben (87 Prozent) sowie die Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen (79 Prozent). „Wir brauchen beim Datenschutz Einfachheit und Klarheit. Der Datenschutz hat tiefgreifende Auswirkungen auf Unternehmen ebenso wie auf die Gesellschaft, deshalb muss er verständlich und praxistauglich gemacht werden“, so Dehmel. 66 Prozent wollen föderale Gesetze im Datenschutz angleichen, 65 Prozent einfacher verständliche Datenschutzvorgaben und 61 Prozent eine praxistaugliche Reform der DS-GVO. Rund zwei Drittel (64 Prozent) wünschen sich eine politische Lösung für internationale Datentransfers und 67 Prozent einen besseren Zugang zu Daten der öffentlichen Hand für Unternehmen.
Privacy Conference des Bitkom am 9. und 10. Oktober
Welche Entwicklungen beim Datenschutz zu erwarten sind, aber auch welche Auswirkungen Data Act, eine mögliche DSGVO-Durchsetzungsverordnung oder der AI Act auf ihn und die Datennutzung haben, ist auch Thema der Bitkom Privacy Conference am 9. und 10. Oktober. Neben Datenschutzexpertinnen und Datenschutzexperten verschiedener Datenschutzbehörden kommen global agierende Unternehmen, der innovative Mittelstand, Startups sowie Vertreterinnen und Vertreter aus Politik, Wissenschaft und Praxis zusammen. Mit dabei sind unter anderem Didier Reynders (Kommissar für Justiz der Europäischen Union), Dr. Des Hogan (Datenschutzbeauftragter und Vorsitzender der Irischen Datenschutzkommission), Emily Hancock (Cloudflare), Sebastian Grantz (Google) and Sarah Johanna Zech (Allianz). Die Anmeldung zur Online-Veranstaltung ist kostenlos möglich unter www.privacy-conference.com/tickets.