Konstruktionsfehler

Teile der Wirtschaft haben den Datenschutz in den vergangenen Jahren mehr oder minder ignoriert. Insbesondere wer den Umgang mit Daten nicht als Geschäftszweck sah, beachtete das Datenschutzrecht oft nicht und glaubte vielleicht sogar, schlicht nicht betroffen zu sein.

Soweit sich Unternehmen anschickten, das Datenschutzrecht ernst zu nehmen, endete das mitunter im Abwinken durch Verantwortliche: Man mache das schon immer anders – wenn man die Bestimmungen umsetzen wolle, könne man den Laden dichtmachen – und so weiter.

Spätestens die Frage nach den Konsequenzen bei Verstößen ließ das theoretisch strenge Recht in Deutschland nahezu zahnlos aussehen.

Dann kam die DSGVO. Die darin vorgesehenen horrenden Bußgelder versetzten die Wirtschaft in Bewegung. Fachkundige Berater freuen sich über die plötzliche Nachfrage, erhöhen ihre Stundensätze und müssen dennoch den meisten potenziellen Mandanten absagen.

Die Mehrheit der Unternehmen stöhnt aktuell ob des Anpassungsbedarfs. Dieser wäre weniger groß, wenn man das Datenschutzrecht bisher nicht weitgehend ignoriert hätte. Insoweit funktioniert die DSGVO: Die aufgescheuchte Wirtschaft ist bestrebt, Datenschutz nun endlich ernst zu nehmen.

(K)eine Frage der Größe

Für die überragende Mehrheit der Unternehmen enthält die Verordnung aber ziemlich unrealistische Anforderungen. Es wirkt, als sei sie speziell auf die großen Akteure zugeschnitten und der europäische Gesetzgeber habe vergessen, dass es eine Wirtschaft jenseits von Google, Facebook, Versicherungskonzernen und anderen Unternehmen der DAX-30-Klasse gibt.

Schlagkräftigen, großen Unternehmen gelingt es mit ihren personellen und finanziellen Möglichkeiten, die Vorgaben der DSGVO umzusetzen. Die Mehrheit der Unternehmen hat weit geringere Möglichkeiten, ist aber praktisch mit denselben Anforderungen konfrontiert.

Selbstverständlich ist Grundrechtsschutz nicht nur Aufgabe der Großen. Und natürlich entschuldigt Geldmangel keine Rechtsverletzungen. Trotzdem zeigt sich beim Skalierungsaspekt ein Konstruktionsfehler der DSGVO.

Unternehmen sind etwa verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Das wollte der Gesetzgeber Unternehmen mit weniger als 250 Mitarbeitern ersparen. Diese Ausnahme soll allerdings für solche Unternehmen nicht greifen, die regelmäßig Daten verarbeiten.

Das tut nur praktisch jedes Unternehmen – und wenn es lediglich um den intern oder extern veranlassten Gehaltslauf für die Angestellten geht. Um das aufwendige Verzeichnis von Verarbeitungstätigkeiten kommt also allenfalls etwa ein selbstständiger IT-Berater herum. Das jedoch auch nur dann, wenn er nicht regelmäßig Kundendaten verarbeitet.

Auch die Regelungen zum Datenschutzbeauftragten sind schwere Kost. Tatsächlich braucht ein Unternehmen dann keinen zu benennen, wenn weniger als zehn seiner Mitarbeiter Daten verarbeiten. Aber auch ohne Datenschutzbeauftragten müssen kleine Unternehmen sich ebenso mit hinreichender Kompetenz um die DSGVO kümmern. Gesetzliche Verpflichtungen und behördliche Kontrollmöglichkeiten bleiben gleich.

Noch überraschender ist die Situation mit benanntem Datenschutzbeauftragten. Die DSGVO sieht in ihm eine Kontrollinstanz, die ausschließlich überwacht. Der benannte Mitarbeiter oder Dienstleister darf sich also gerade nicht etwa um die Überarbeitung von Einwilligungserklärungen oder ums Verhandeln von Datenverträgen kümmern. Da er sich dann selbst überwachen müsste, wäre er nach der Logik der DSGVO unzuverlässig.

Außer dem Datenschutzbeauftragten ist also noch jemand Weiteres erforderlich, der die notwendigen Maßnahmen wirklich in Angriff nimmt. Das ist für einen Konzern kein Problem, aber für ein kleines Unternehmen?

Glaubwürdigkeitsproblem

Unrealistisch erscheint auch die Sache mit den Datenverarbeitungsverträgen. Derzeit positionieren sich die Aufsichtsbehörden sehr streng bei der Frage, ob schon bloße Zugriffsmöglichkeiten einen solchen Vertrag erforderlich machen. Der einzelne SAP-Berater müsste dann bei Entwicklungsarbeiten einen hochkomplexen Vertrag mit umfangreichen Sicherheitsmaßnahmen mit seinem Auftraggeber vereinbaren, nur weil er vielleicht auf Daten zugreifen könnte.

Und die Bußgelder als Schlüssel zur Autorität des Datenschutzes? Ja, die zweistelligen Millionenbeträge schrecken derzeit praktisch alle Unternehmen auf. Aber die deutschen Aufsichtsbehörden schlagen schon längst Alarm, dass sie die DSGVO kaum vollziehen können.

Genau hier könnte sich aber das aktuell noch wirksamste Argument des Datenschutzes in sein Gegenteil verkehren: Sollte die Wirtschaft eine fehlende Schlagkraft der Aufsichtsbehörden wahrnehmen, vergrößert sich das alte Glaubwürdigkeitsproblem. Denn der Datenschutz wäre dann einerseits noch strenger, andererseits aber noch weniger ernst zu nehmen. (psz@ct.de)