Der Branchenverband Bitkom verweist auf seiner Seite auf eine repräsentative Umfrage, bei der 603 Unternehmen ab 20 Beschäftigten in Deutschland, aus allen Branchen, im Auftrag des Digitalverbands Bitkom zum Thema Datenschutz befragt wurden.
Im Ergebnis stellt der Branchenverband fest: “Datenschutz verursacht immer höhere Belastungen in deutschen Unternehmen. Aktuell haben praktisch alle Unternehmen (97 Prozent) hohen Aufwand mit dem Datenschutz, das sind noch einmal etwas mehr als vor einem Jahr mit 94 Prozent. Dabei müssen aktuell 44 Prozent einen sehr hohen Aufwand (2024: 38 Prozent) für den Datenschutz betreiben, 53 Prozent einen eher hohen Aufwand (2024: 56 Prozent). Je kleiner die Unternehmen, desto größer die Belastung: 45 Prozent der Unternehmen mit 20 bis 99 Beschäftigten haben einen sehr hohen Aufwand, bei jenen mit 100 bis 499 Beschäftigten sind es 42 Prozent und 38 Prozent bei Unternehmen mit 500 und mehr Beschäftigten.“
Der Bitkom-Präsident Dr. Ralf Wintergerst folgert daraus: „Wir haben beim Datenschutz eine viel zu hohe Komplexität geschaffen, mit einer Vielzahl von Aufsichtsbehörden und unterschiedliche Auslegungen“ und es müssen die Dokumentations- und Berichtspflichten deutlich reduziert und die technologischen Entwicklungen, etwa bei künstlicher Intelligenz, beim Datenschutz stärker berücksichtigt werden.
Gesetzgeberisch gäbe es zwar einige Pläne (Omnibus-IV-Paket der EU), diese reichten aber nicht aus.
Ehrlich gesagt sehe ich da auch keine Verbesserungen. So wird seitens Bitkom gefordert: “So sollte bei Dokumentationspflichten wie der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten das Risiko entscheidend sein, nicht die Unternehmensgröße. Zudem brauche es weitere Maßnahmen wie Standard-Vorlagen, klarere Regeln für Betroffenenanfragen und eine bessere Verzahnung der Datenschutz-Grundverordnung (DS-GVO) mit neuen EU-Gesetzen.“
Die Maßnahmen die die DSGVO von den Unternehmen fordert sind m.E. meistens gar nicht so verkehrt und machbar (mit Ausnahme der DSFA und irgendwie auch das Dittlandsthema). Allein schon aus der Sicht der Cybersicherheit, NIS2, C5, Kritis usw. erscheint mir die Erstellung eines Verzeichnis der Verarbeitungstätigkeiten nach DSGVO eher eher banal. Ich sehe auch nicht, dass mir die Kunden in den letzten 12 Monaten mit Anfragen das Büro eingerannt haben, was irgendwie schade ist.
Da wo jetzt wirklich mal etwas getan werden konnte, nämlich auf der Seite der Aufsichtsbehörden, sehe ich nicht den Willen und die Möglichkeiten etwas zu ändern. Aber wir lassen uns natürlich mal überraschen.
Ganz neben bei bemerkt, haben wir als Datenschutzbeauftragten für die meisten Aufgaben natürlich auch Vorlagen und Muster, die mit geringem Aufwand angepasst werden können. Auch die Aufsichtsbhörde liefern das eine oder andere Nützliche. Natürlich können und wollen wir in der Beziehung keinen Anwalt ersetzen, aber was für die meisten Aufsichtsbehörden zählt, ist der gute Wille das Richtig zu tun, sowie dass ein kontinuierlicher Verbesserungsprozess erkennbar ist.
