Die DSGVO, für manche der Heilsbringer des Datenschutzes, bei anderen eher so beliebt wie Rezo in der CDU. Ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wird klar: Die befürchteten Kosten blieben aus. Probleme entstanden dafür an ganz anderer Stelle.
Ziel der am 25. Mai 2018 wirksam gewordenen DSGVO war und ist laut der EU-Kommission der "Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten". Oder wie der Chaos Computer Club (CCC) es vor Jahren griffiger formulierte: der Schutz der digitalen Intimsphäre.
In Zeiten von Google, Amazon und Facebook schienen die Schuldigen eigentlich schnell gefunden. Doch wie es bei Gesetzen und Vorschriften meist so ist: Sie betreffen alle, auch “die Kleinen”. Zusammen mit eRecht24 haben wir deshalb rund 1000 vorwiegend kleine Unternehmen befragt, wie sie die DSGVO ein Jahr nach Inkrafttreten bewerten.
Welche Fragen haben wir gestellt?
Wie viel Geld hat die DSGVO Sie bisher gekostet?
Wie viel Zeit haben Sie bereits in die Umsetzung der DSGVO-Vorschriften investiert?
Wie weit sind Sie in der Umsetzung?
Wie bewerten Sie die DSGVO nach einem Jahr Gültigkeit?
Wen haben wir befragt?
An der Studie teilgenommen haben 1002 Unternehmen aus Deutschland. 84% der befragten Unternehmen sind kleiner als 15 Mitarbeiter, 8% haben 15-50 Mitarbeiter, 8% haben über 50 Mitarbeiter. Das entspricht in etwa der Größenverteilung von Unternehmen in Deutschland. Es gibt keinen Branchenfokus, jedoch handelt es sich mehrheitlich um Dienstleister aus dem B2B-Geschäft.
Sie hören lieber als zu lesen? In unserem Podcast gibt's die Ergebnisse in Audio-Form...
Kleinunternehmen und Selbstständige hatten Kosten bis max. 1.000 Euro
Bei dieser Frage ging es darum, wie viele Geld z.B. an Anwälte, Datenschutzbeauftragte, IT-Experten und andere Dienstleister geflossen ist, um die Kleinunternehmen DSGVO-ready zu machen.
Die Kosten für Dienstleister schwankten deutlich je nach Unternehmensgröße. Während Kleinunternehmen (unter 15 Mitarbeitern) meist mit weniger als 1.000 Euro auskamen, mussten Mittelständler oftmals 10.000 Euro und mehr in die Hand nehmen.
So viel hat die DSGVO KMU bisher gekostet...
bis 1.000 € | 1.000-5.000 € | 5.000-10.000 € | mehr als 10.000 € | |
1-15 Mitarbeiter | 79 % | 15 % | 4 % | 2 % |
15-50 Mitarbeiter | 35 % | 31 % | 29 % | 5 % |
50-100 Mitarbeiter* | 39 % | 28 % | 22 % | 11 % |
> 100 Mitarbeiter* | 22 % | 14 % | 26 % | 38 % |
Gesamt | 72 % | 17 % | 7 % | 4 % |
Über ein Drittel der Unternehmen benötigte mehr als 10 Tage zur Umsetzung
Dass in größeren Unternehmen der zeitliche Aufwand ebenfalls größer ist, scheint selbsterklärend. So müssen beispielsweis Unternehmen spätestens ab zehn Mitarbeitern einen Datenschutzbeauftragten bestellen, der sich wiederum mit den Mitarbeitern zusammensetzen, sie befragen und informieren muss. Auffällig ist jedoch, dass über 30% der Kleinstunternehmen und Selbstständigen mehr als zehn Arbeitstage benötigte.
Wie in den persönlichen Zitaten am Ende der Studie jedoch zu lesen war, fiel ein wesentlicher Teil des zeitlichen Aufwandes nicht auf die Umsetzung (wie etwa in die Erstellung von Verfahrensverzeichnissen, die IT-Programmierung, etc.), sondern auf die Recherche, was überhaupt umgesetzt werden musste.
Im Ergebnis gaben diverse Umfrageteilnehmer an, ihre Tools und Prozesse nicht DSGVO-konform angepasst, sondern gleich ganz gestrichen zu haben. So wurde die eigene Website abgeschaltet, die Kundenmanagement-Software gekündigt oder der Newsletter gestrichen, unabhängig davon, ob Einwilligungen vorlagen oder nicht.
So schreibt ein Teilnehmer:
“Unnötige Drangsalierung von Vereinen, Klein- und Kleinstbetrieben. Habe meine Webseite seitdem stillgelegt. Was ist mit Konzernen, deren Geschäftsmodell das Sammeln und weitergeben von Daten ist? Die DSGVO ist eine Farce…”So viel Zeit haben KMU in die Umsetzung der DSGVO gesteckt...
0-10 Mann-Tage | 10-50 Mann-Tage | 50-100 Mann-Tage | mehr als 100 Mann-Tage | |
1-15 Mitarbeiter | 64 % | 32 % | 3 % | 1 % |
15-50 Mitarbeiter | 38 % | 55 % | 7 % | 1 % |
50-100 Mitarbeiter* | 33 % | 50 % | 17 % | 0 % |
>100 Mitarbeiter* | 8 % | 46 % | 12 % | 34 % |
Gesamt | 58 % | 35 % | 4 % | 3 % |
25% haben die DSGVO noch gar nicht oder nur zur Hälfte umgesetzt
Zwar hat ein Großteil der Unternehmen bereits wesentliche Anstrengungen unternommen, die DSGVO-Vorgaben zu erfüllen, trotzdem geben nur 38% der Unternehmen an, alle Vorschriften umgesetzt zu haben. Die befürchteten Bußgelder in Millionenhöhe bleiben bisher jedoch aus. Registriert wurden laut der “Welt” Stand heute 75 Verstöße mit Bußgeldern in Höhe von insgesamt ca. 485.000 Euro.
So weit sind KMU in der Umsetzung der DSGVO…
Angefangen |
50 % |
80 % |
Vollständig |
|
1-15 Mitarbeiter |
10 % |
14 % |
35 % |
40 % |
15-50 Mitarbeiter |
9 % |
27 % |
40 % |
23 % |
50-100 Mitarbeiter* |
11 % |
19 % |
42 % |
28 % |
> 100 Mitarbeiter* |
6 % |
22 % |
46 % |
26 % |
Gesamt | 10 % | 16 % | 37 % | 38 % |
Auch ein Jahr nach der Einführung bewerten zwei Drittel die DSGVO als negativ
Diese Stimmung lässt sich auch deutlich aus den Zitaten, die wir bei unserer Studie gesammelt haben, herauslesen. Zwar ist die Stimmung inzwischen deutlich weniger panisch (Stichwort “viel Lärm um nichts”), jedoch bleibt der Eindruck eines überdimensionalen “Papiertigers”, der leider die Falschen trifft.
So bewerten KMU die DSGVO aus heutiger Sicht…
positiv |
eher positiv |
eher negativ |
negativ |
|
1-15 Mitarbeiter |
8 % |
7 % |
42 % |
23 % |
15-50 Mitarbeiter |
12 % |
33 % |
42 % |
14 % |
50-100 Mitarbeiter* |
3 % |
31 % |
53 % |
14 % |
> 100 Mitarbeiter* |
14 % |
34 % |
46 % |
6 % |
Gesamt |
8 % |
28 % |
42 % |
22 % |
“Es wäre eine Chance gewesen, einen guten Datenschutz für die Bürger zu schaffen. Stattdessen ist ein Bürokratiemonster daraus geworden, das weder dem Bürger, noch den Unternehmen hilft. Kein Mensch ist doch in der Lage alles zu lesen, was er vorgelegt bekommt und unterschreibt blind Dinge, wo er nicht weiss was drin steht. Das kann doch nicht sinn und Zweck so einer Verordnung sein?”
Hinzu kommt, dass die Verbraucher sich an viele Umsetzungen der DSGVO längst kopfschüttelnd gewöhnt haben.
“Am Anfang waren die Kunden sehr verunsichert was sie da überhaupt unterschreiben. Doch mittlerweile hat sich das ganz gut eingependelt und die Kunden lachen größtenteils nur noch darüber, wenn sie wieder einen Zettel zum ausfüllen bekommen”
Doch nicht alle Stimmen sind negativ:
“(Die DSGVO) schafft ein paar lange ersehnte Regelungen, z.B. zum Auskunftsanspruch und zur Löschung. (Sie) verhindert leider den Adresshandel und anderen Missbrauch von persönlichen Daten nicht spürbar.”Fazit: günstiger als befürchtet, aber trotzdem schädlich
Die Frage nach den Kosten zeigt, es wurde zumindest in kleinen Unternehmen weniger in externe Dienstleister investiert, als zunächst befürchtet. Der zeitliche Aufwand hingegen war immens und der fiel auf Grund großer Unsicherheiten insbesondere auf die Informationsbeschaffung. Auch ein Jahr nach Einführung der DSGVO bezeichnet erst ein Drittel der Unternehmen die eigene Umsetzung als vollständig.
Aus Angst vor Abmahnungen berichteten speziell Selbstständige, Freelancer und Vereine davon, lieber die Website oder die Kundenverwaltungssoftware ganz abgeschaltet zu haben, anstatt die Verwendung auf DSGVO-Tauglichkeit zu prüfen.
Entsprechend fiel auch die persönliche Einschätzung der DSGVO durch die Befragten aus. Rund zwei Drittel empfinden die DSGVO als eher negativ oder negativ.
Bis zum 25. Mai 2020 wird die EU-Kommission dem Europäischen Parlament einen offiziellen Bericht und eine Bewertung der Verordnung vorlegen. Angesichts der Ergebnisse aus dieser Studie darf man skeptisch sein, dass diese deutlich positiver ausfallen wird.
Hinweis: Alle Prozentangaben sind auf ganze Zahlen gerundet. Daher kann es vorkommen, dass Zeilensummen von 100 abweichen. Die genauen Daten erhalten Sie gerne auf Anfrage.
* Die Ergebnisse aus dem Bereich dieser Unternehmensgrößen sind aufgrund niedriger absoluter absoluten Teilnehmerzahlen im Vergleich weniger aussagekräftig.
Sie haben Fragen oder benötigen mehr Infos? Kontaktieren Sie uns!

Sven Sester
presse (at) 42he.com
+49 (0)221-291997-86
Wer hat die Studie erstellt?
- 42he entwickelt mit CentralStationCRM eine Online-Kundenmanagement-Software für kleine Unternehmen und verwaltet damit letztlich die Kundendaten tausender Firmen auf ihrer Plattform. Eine DSGVO-konforme Arbeitsweise war hier von Beginn an komplex, aber unumgänglich. Mehr Informationen unter: https://centralstationcrm.de/.
- eRecht24 ist ein Fachportal zum Internetrecht. Gerade kleine Unternehmen, Selbstständige und Freelancer finden hier rechtliche Hilfestellung, Muster zur Datenschutzerklärung oder einen Impressumsgenerator. Mehr Informationen unter: https://www.e-recht24.de.