EU-Datenschutzgrundverordnung „Es besteht ein hohes Maß an Rechtsunsicherheit“

Von Nina Kallmeier

Die Umsetzung der EU-Datenschutzgrundverordnung bleibt für Unternehmen schwierig, sagen die Verbände. Foto: dpaDie Umsetzung der EU-Datenschutzgrundverordnung bleibt für Unternehmen schwierig, sagen die Verbände. Foto: dpa

Osnabrück. Ob Video-Überwachung im Einzelhandel, Kundendaten beim Bankinstitut oder Lohnabrechnungen, veränderte Vorgaben beim Umgang mit personenbezogenen Daten stehen bei der Umsetzung der EU-Datenschutzgrundverordnung im Mittelpunkt. Knapp zwei Monate vor Inkrafttreten sind Unternehmen laut Branchenverbänden jedoch weiter verunsichert.

Nach einer zweijährigen Übergangszeit wird die EU-Datenschutzgrundverordnung am 25. Mai in Kraft treten. „Die EU-Datenschutzgrundverordnung trifft uns jeden Tag. Schon allein, wenn wir Post bekommen“, machte Dagmar Rasper, Geschäftsführerin der Eberhard Rasper GmbH, die Ausmaße deutlich. Denn im Kern geht es um veränderte Vorgaben für die Verarbeitung personenbezogener Daten. Der Meller Handwerksbetrieb mit weniger als 20 Mitarbeitern wartet auch Heizungs- und Sanitäranlagen und muss sowohl Kunde- als auch Anlagedaten speichern. Auch wegen möglicher Gewährleistungsfristen gegenüber Herstellern von Anlagenteilen. „Die Daten, die wir haben, sind unser Schatz.“

Alle Unternehmen betroffen

Die Verarbeitung dieses Schatzes muss künftig einer Risikobewertung unterzogen werden. Ein Prozedere, das nicht nur für die Geschäftsführerin noch mit vielen Fragezeichen versehen ist. „Hier hoffe ich auf meine Mitarbeiterin, die in den nächsten Wochen als Datenschutzbeauftragte zertifiziert wird.“ Laut Zentralverband des Deutschen Handwerks (ZDH) ist die Umsetzung der EU-Verordnung für Handwerksbetriebe dennoch überschaubarer als beispielsweise für Anbieter von sozialen Netzwerken. Betroffen sind jedoch alle Branchen, vom Bankenwesen bis zum selbstständigen Unternehmer. Denn jeder verarbeitet in irgendeiner Form personenbezogene Daten.

Unterschiedlich gut vorbereitet

„Den Einzelhandel trifft es beispielsweise im Rahmen der Personalverwaltung bei der Lohn- und Gehaltsabrechnung, im Kontakt mit Kunden bei Kundendateien, Bestellungen, Werbemaßnahmen oder Kundenkarten“, sagte Stefan Genth, Hauptgeschäftsführer des Handelsverbands Deutschland (HDE) gegenüber unserer Redaktion. Unter anderem für die Datenverarbeitungen bei Videoüberwachung muss außerdem künftig abgeschätzt werden, welche Folgen dies für den Schutz der personenbezogenen Daten hat. „Wenn Daten durch Drittunternehmen im Auftrag des Händlers verarbeitet werden, müssen die Verträge an das neue Recht angepasst werden. Beispiele können die Nutzung von Cloud-Anwendungen beispielsweise für Mailingsysteme sein.“

Wie gut Unternehmen in Industrie, Handel und Dienstleistung auf die Änderungen vorbereitet sind, ist ganz unterschiedlich, so die Erfahrung des Chefjustiziars des Deutschen Industrie und Handelskammertags (DIHK), Stephan Wernicke. „Das hängt auch davon ab, wie umfassend die Unternehmen schon bisher die deutschen Datenschutznormen umgesetzt haben. Gerade für kleinere und mittlere Unternehmen stellen die neuen Regeln aber eine große Herausforderung dar.“ Mehrarbeit sieht Wernicke dennoch auch für größere Firmen mit Niederlassungen in anderen EU-Staaten. „In etlichen EU-Mitgliedstaaten spielte der Datenschutz gar keine oder eine untergeordnete Rolle – das war einer der Gründe für die richtige Entscheidung für eine unionsweit geltende Verordnung statt nationaler Flickenteppiche.“

Kritik von allen Verbänden

Dennoch bleiben viele Fragen. Ob Handwerk, Handel oder Industrie, dass die DSGVO an vielen Stellen auslegungsbedürftig ist, kritisieren alle Verbände. Dies gilt etwa für die Ausnahme von der Dokumentationspflicht für Betriebe, die weniger als 250 Mitarbeiter haben und nur gelegentlich Daten verarbeiten, so der ZDH. Die entscheidende Frage, wann eine nur gelegentliche Datenverarbeitung stattfinde, bleibe jedoch aus. Außerdem würden Betriebe von überzogenen Darstellungen und Anforderungen von Datenschutzdienstleistern verunsichert.

Zwei Jahre Übergangsfrist zu kurz?

Insgesamt sei eine zweijährige Übergangsfrist sehr kurz bemessen, sagt DIHK-Chefjustiziar Stephan Wernicke. „Zumal auch die Aufsichtsbehörden selbst mit ihren Hinweisen und Informationen zur Umsetzung noch nicht am Ende sind.“ Die Zeitnot werde in vielen Fällen nicht auf die Länge der Übergangsfrist zurückzuführen sein, sondern vor allem damit zusammenhängen, dass man das Thema erst zu spät mit der notwendigen Intensität betrachtet hat, sagte Bundesdatenschutzbeauftragte Andrea Voßhoff im Gespräch mit unserer Redaktion. „Mir ist jedenfalls bislang kein Fall bekannt, in dem sich jemand seit zwei Jahren konkret auf die DS-GVO vorbereitet und trotzdem nicht fertig wird.“ Es gebe auch genügend Beispiele für Unternehmen, die sich gut gerüstet fühlten. Wie Depenbrock Bau mit Sitz in Stemwede. „Wir werden die Bestimmungen einhalten“, ist sich Geschäftsführer Karl-Heinrich Depenbrock sicher. Für Voßhoff hat der Datenschutz in der heutigen Zeit, in der die Bevölkerung mit diversen Datenskandalen konfrontiert ist, auch das Potenzial für einen Wettbewerbsvorteil „Ich werbe immer wieder dafür, die neuen Regeln nicht nur als einen zusätzlichen lästigen bürokratischen Aufwand zu betrachten.“

Viele Rechtsbegriffe auslegungsbedürftig

Dennoch betonte HDE-Hauptgeschäftsführer Stefan Genth, dass Auslegungshilfen für viele Fragen heute noch nicht vorlägen. „Daher besteht ein hohes Maß an Rechtsunsicherheit.“ Aufgrund der europäischen Zuständigkeit werde diese auch noch Jahre anhalten. „Schon den 17 deutschen Aufsichtsbehörden fällt eine Verständigung auf eine Auffassung offenbar nicht leicht.“ Gewisse Unsicherheiten bringe jedes neue Recht mit sich, so Andrea Voßhoff. „Diese Herausforderung trifft aber Unternehmen wie Aufsichtsbehörden gleichermaßen. Die Aufsichtsbehörden haben daher schon über die letzten Monate hinweg regelmäßig Informationen und Orientierungshilfen zur Auslegung des neuen Rechts veröffentlicht.“

Von Erfahrungen profitieren

Dagmar Rasper hofft, in den nächsten Wochen noch von den Erfahrungen anderer Kollegen profitieren zu können. Auch eine Schulung über externe Dienstleister, ähnlich wie bei Arbeitssicherheit, könnte sich die Unternehmerin gut vorstellen. Mit Blick auf die Zertifizierung eines eigenen Datenschutzbeauftragten kritisiert sie ein mangelndes, frühzeitiges Angebot speziell für ihre Branche. Qualifiziertes Personal für den Datenschutz ist jedoch auch in anderen Unternehmen Mangelware, zeigt eine repräsentative Umfrage des Digitalverbands Bitkom. Weniger als jedes zweite Unternehmen hat dafür eine Vollzeitstelle für Mitarbeiter eingeplant.