Midden in de Europese discussie over digitale soeve­rei­ni­teit blijkt een opval­lende trend: meer dan zes van de tien Duitse onder­ne­mingen blijven hun persoons­ge­ge­vens naar landen buiten de Europese Unie sturen. De cijfers komen uit een recente enquête van de branche­ver­e­ni­ging Bitkom, waarin 603 bedrijven met minstens twintig werkne­mers werden ondervraagd.

Zwaarwegende afhankelijkheid van internationale data‑overdrachten

62 % van de onder­vraagde bedrijven geeft aan persoon­lijke gegevens van klanten en medewer­kers te verzenden naar niet‑EU‑staten. Het meren­deel hiervan gebeurt via externe dienst­ver­le­ners (45 %), zakelijke partners (41 %) en intra‑group entiteiten (19 %). Bijna alle organi­sa­ties (96 %) maken gebruik van grens­over­schrij­dende overdrachten om toegang te krijgen tot cloud‑diensten, terwijl 90 % video‑conferencing‑ en andere commu­ni­ca­tie­sys­temen nodig heeft.

Voor de bedrijven die data buiten de EU verplaatsen, blijft de Verenigde Staten de belang­rijkste bestem­ming: 61 % van de respon­denten stuurt daar persoons­ge­ge­vens heen. Op de tweede plaats staat het Verenigd Konink­rijk (43 %), gevolgd door India (24 %), Japan (13 %) en China (12 %). Geen enkel bedrijf meldde data‑overdrachten naar Rusland.

Waarom deze aanpak?

Duitsland’s digitale economie leunt sterk op wereld­wijde infra­struc­turen. Twee derde van de bedrijven (66 %) vertrouwt op global servi­ce­pro­vi­ders voor onder meer 24‑uur bevei­li­gings­on­der­steu­ning. Andere motieven zijn facturatie‑ en databa­se­be­heer (38 %), vesti­gingen buiten de EU (31 %) en inter­na­ti­o­nale onderzoeks‑ en ontwik­ke­lings­sa­men­wer­kingen (18 %).

Als wette­lijke basis voor de overdrachten gebruiken 80 % van de bedrijven standaard contrac­tuele clausules (SCC’s). Daarnaast doen 23 % een beroep op Binding Corpo­rate Rules (BCR’s) en 21 % op het EU‑VS Data Privacy Frame­work (DPF). Twaalf procent baseert zich op expli­ciete toestem­ming van de betrok­kenen. Een zorgwek­kend signaal komt echter uit de enquête: 19 % van de bedrijven meldt nog steeds bezig te zijn met het aanpassen of bespreken van hun proce­dures nu eerdere regel­ge­vingen (zoals het oude Privacy Shield) zijn afgeschaft.

Terwijl beleids­ma­kers in Europa pleiten voor meer digitale onafhan­ke­lijk­heid en stren­gere controle over grens­over­schrij­dende data‑stromen, laten de cijfers van Bitkom zien dat de praktijk nog ver verwij­derd is van deze ambitie. De omvang­rijke afhan­ke­lijk­heid van Ameri­kaanse en andere niet‑EU‑cloud‑leveranciers onder­streept de complexi­teit van het reali­seren van een echt Europese digitale soeve­rei­ni­teit. Voor bedrijven betekent dit niet alleen hogere kosten en mogelijke concur­ren­tie­na­delen bij een eventuele terug­trek­king uit inter­na­ti­o­nale data‑ecosystemen, maar ook een voort­du­rende juridi­sche onzeker­heid rondom de juiste naleving van privacy‑regels.