Umfragen, in denen die Befragten die DSGVO als kompliziert, sperrig, umständlich und bürokratisch sehen, sind mindestens so alt, wie die DSGVO selbst - wenn nicht sogar noch älter. Bisher kamen sie vor allem vom Bitkom, der zum Beispiel 2023, sechs Jahre nach Inkrafttreten, feststellte, dass nur zwei Drittel der Firmen in der Bundesrepublik die Regeln "vollständig" (20 Prozent) oder "größtenteils" (45 Prozent) umgesetzt haben.
Die Verantwortlichen in den Firmen beklagten sich in der Umfrage darüber, dass die DSGVO die Geschäftsprozesse komplizierter mache (78 Prozent) und dass die Verordnung zu praxisfern sei (77 Prozent). Andererseits sehen sie auch, dass sich "durch die DSGVO die Datensicherheit im Unternehmen verbessert" und die "DSGVO weltweit Maßstäbe setzt" (jeweils 61 Prozent Zustimmung).
Über die Jahre hinweg wurde vor allem immer wieder kritisiert, dass die Regelungen aus der DSGVO zu unklar seien. Ein Teil der Unsicherheit und Unklarheit rührt allerdings auch daher, dass es EU und USA nicht schaffen, eine rechtsgültige Vereinbarung für den Datentransfer in die USA (der für rund zwei Drittel der Firmen wichtig ist) zu erzielen. Sowohl das "Safe-Harbor-Abkommen" als auch dessen Nachfolger Privacy Shield scheiterten aufgrund handwerklicher Mängel am EuGH.
DSGVO so unbeliebt wie Spinat
Der Umgang vieler Firmen mit der DSGVO gleicht derweil dem Verhalten mancher Kinder beim Essen von Spinat: Die Beteuerungen, dass es gesund und wichtig sei, hört man zwar, die Abneigung dagegen will man aber nicht wirklich überwinden, stochert darin herum, wartet, bis es kalt und unansehnlich ist - und mit anhaltendem Nörgeln steigt auch die Abneigung.
Weil man nicht will, kann man nicht - und wenn man es dann doch macht, nur widerstrebend und absichtlich so, dass sich die anfängliche Abneigung bewahrheiten muss. Weil man nicht wollte, muss das Projekt quasi scheitern, damit man sich nicht zu Unrecht widersetzt hat. Und wie beim Kind mit dem Spinat sind das Geschrei, die Sauerei und der Ärger groß.
Über zwei Jahre nach dem Ende der Übergangsfrist hatten zum Beispiel im Sommer 2020 erst ein Fünftel der Firmen in Deutschland díe DSGVO vollständig umgesetzt. Der damalige Bundesdatenschutzbeauftragte Ulrich Kelber sah es dennoch positiv, dass fast 60 Prozent der Unternehmen für ihre Seite einschätzen, dass sie den Umstellungsprozess geschafft oder weitgehend geschafft haben.
Datenschützer baten um Geduld
"In dem Augenblick, wenn man ein neues Recht europaweit einführt, leitet das auch eine ganz neue Sicht auf das Thema ein", entschuldigte Kelber den zögerlich alufenden Prozess. Viele Unternehmen und Behörden sowie Bürgerinnen und Bürger seien erst mit der Diskussion über die DSGVO darauf aufmerksam geworden sind, welche Regeln schon vorher galten.
Das ist einerseits der Fehler der Unternehmen, die sich nicht informiert haben oder geltende, aber nicht durchgesetzte Datenschutzregeln ignorierten. Andererseits ist es aber auch die Schuld der Behörden und Datenschutzbeauftragten, die erst kurz vor knapp konkret darlegten, wie sie sich die Regeln im Detail vorstellen und diese - gerade in der föderalen Struktur Deutschlands - diese auch noch unterschiedlich auslegten.
Prominente, schlechte Beispiel dafür sind die teilweise sehr unterschiedliche Einschätzung der Landesbeauftragten für den Datenschutz in Bezug auf die Nutzung von Microsoft-Produkten in Schulen oder die Diskussion um die Verwendung von Videokonferenzsystemen an Universitäten. Allerdings hat sich da auch gezeigt, dass sich die kritisierten Anbieter langsam, aber letzlich doch bewegt haben - sie also den europäischen Markt ernst nehmen.
Top-DSGVO-Probleme 2024: Rechtsunsicherheit und Bürokratie
Verbraucher nahmen die DSGVO oft durch die umfangreichere oder erstmals eingeführte Abfrage zu Cookies auf Webseiten wahr - und fühlen sich dadurch genervt. Ein Teil des Nerv-Faktors war allerdings durch die absichtlich benutzerunfreundliche Umsetzung durch Webseiten-Betreiber bedingt, die durch diverse Tricks erreichen wollten, dass Benutzer trotz allem möglichst vielen Cookies zustimmen. Eine alberne Strategie - denn oft fogt der Erfassung überhaupt nicht die für die sinnvolle Nutzung erforderliche Auswertung und profitieren lediglich Dritte davon.
In einer aktuellen Umfrage des DIHK vom Frühjahr 2024 (PDF) beklagen Unternehmen erneut die aus ihrer Sicht nach wie vor herrschende Rechtsunsicherheit und den bürokratischen Aufwand. Diese Einschätzung ist über alle Branchen hinweg nahezu gleich. Auffällig ist allerdings, dass gerade Betrieben mit bis zu 19 Beschäftigten sich besonders belastet fühlen. Von ihnen stuft fast jeder vierte Betrieb den eigenen DSGVO-Aufwand als "extrem" ein.
Diese Haltung offenbart aber auch einige Unkenntnis. Denn laut DIHK-Chefjustiziar Stephan Wernicke sind gerade bis zu dieser Unternehmensgröße konkrete Erleichterungen möglich. Das Gesetz lasse "ausdrücklich Erleichterungen für kleine und mittlere Unternehmen zu", stellt er klar. Denn in Fällen mit nur wenigen Daten oder geringem bis normalen Risiko sind umfassende Dokumentationspflichten unverhältnismäßig.
"Sie bringen mehr Aufwand, aber nicht mehr Datenschutz", erklärt Wernicke. Der Experte sieht die Verantwortung aber auch bei den Behörden und fordert: "Das sollte allerdings klarer formuliert werden, damit es in der Praxis auch genutzt werden kann."
Guter Zeitpunkt für einen DSGVO-Neustart
Dass es anders und einfacher geht, erfahren die Unternehmen oft im Ausland. "Bemerkenswert ist: Unternehmen mit DSGVO-Erfahrungen in anderen EU-Mitgliedstaaten erleben die dortigen Datenschutzbehörden mehrheitlich als weniger streng als die deutschen Behörden", berichtet Wernicke unter Verweis auf die Umfrageergebnisse. "Rund die Hälfte der Unternehmen sieht sich auch innerhalb Deutschlands mit unterschiedlichen Rechtsauffassungen der zuständigen Datenschutzbehörden konfrontiert."
"Grundlegende Voraussetzung für die Wertschöpfung in einer innovativen Wirtschaft ist die Rechtssicherheit. Daher müssen die Rechtsunsicherheiten in der DSGVO zwingend bereinigt werden, bevor auf diese zusätzliche Regelungen aufgesetzt werden. Ansonsten verschieben sich die Probleme einfach nur", mahnt Wernicke.
Der richtige Zeitpunkt dafür sei jetzt. "Für das zweite Quartal 2024 ist die in der Datenschutzgrundverordnung vorgesehene vierjährliche Evaluierung geplant. Diese sollte genutzt werden, um die Regelungen in der DSGVO praktikabel und rechtssicher zu gestalten", empfiehlt Wernicke.
Mehr zur DSGVO
Jedes dritte Unternehmen hat die DSGVO nicht umgesetzt
Online-Käufer achten verstärkt auf Datenschutz
DSGVO-konformes Bewerbermanagement