Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Benennung von Datenschutzbeauftragten EU moniert zu scharfe Datenschutz-Vorgaben für deutsche Firmen

Deutschland weicht beim Datenschutz teilweise vom EU-Standard ab - mit schärferen Regeln. Die EU-Kommission warnt vor „unnötigen Belastungen“ für die Wirtschaft.
Update: 25.09.2019 - 16:17 Uhr 1 Kommentar
Die deutschen Regeln zum Datenschutz wurden im Sommer etwas gelockert. Quelle: dpa
Datenschutz

Die deutschen Regeln zum Datenschutz wurden im Sommer etwas gelockert.

(Foto: dpa)

Berlin Als im Mai letzten Jahres die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, war die Sorge in der Wirtschaft groß, die europaweit geltenden neuen Regeln könnten zu einer nicht bewältigbaren Last werden. Zwar gibt es inzwischen Fortschritte, allerdings bestehen immer noch große Unsicherheiten bei der Auslegung der Vorgaben, wie jüngst eine Umfrage des IT-Verbands Bitkom ergab.

Den Ärger in der Wirtschaft brachte unlängst der Hauptgeschäftsführer der Bundesvereinigung Deutscher Arbeitgeberverbände (BDA), Steffen Kampeter, auf den Punkt, als er die DSGVO mit der Büchse der Pandora verglich. „Alles, was sie gebracht hat, ist Verwirrung und Unsicherheit auf Seiten der Unternehmen“, sagte Kampeter.

Eine Erklärung für den Unmut könnte auch darin begründet sein, dass nicht allein die DSGVO als Belastung empfunden wird. Manche Mitgliedstaaten haben Öffnungsklauseln genutzt, die die ihnen das Regelwerk lässt, um eigene Regeln zu erlassen. Diese fallen mitunter sogar schärfer aus als die Vorgaben in der DSGVO. Im Fall Deutschlands hat sich deshalb die EU-Kommission eingeschaltet.

Konkret geht es um die Pflicht für Unternehmen, einen Datenschutzbeauftragten zu benennen. Die Große Koalition hat hier zwar vor wenigen Monaten die Anforderungen für Kleinunternehmen auf Drängen von CDU und CSU gelockert. Aber offenkundig nicht weit genug, wie eine „Bestandsaufnahme“ der Kommission zu den Datenschutzbestimmungen der DSGVO für das EU-Parlament und den EU-Rat zeigt, die dem Handelsblatt vorliegt.

Brüssel moniert in dem Papier generell die zusätzlich zu der Datenschutz-Grundverordnung eingeführte Regelungen, weil sie zu einer „Fragmentierung“ führten und „unnötige Belastungen zur Folge“ hätten. Explizit nennt die Kommission dabei aber „die Verpflichtung nach deutschem Recht, einen Datenschutzbeauftragten in Unternehmen zu benennen, die mindestens 20 Mitarbeiter beschäftigen und permanent an der automatisierten Verarbeitung personenbezogener Daten beteiligt sind“.

Die Vorgabe war kurz vor der Sommerpause auf den Weg gebracht worden. Am vergangenen Freitag billigte dann auch der Bundesrat die Anpassung. Vorher galt für die Benennung eines Datenschutzbeauftragten die Schwelle von zehn Mitarbeitern, die tatsächlich mit der Verarbeitung personenbezogener Daten zu tun haben. Diese nur in Deutschland geltende Regelung ist der häufigste Grund, warum ein Datenschutzbeauftragter benannt werden muss.

„Überflüssig, mittelstands- und ehrenamtsfeindlich“

Auch die DSGVO sieht eine Pflicht zur Benennung eines Datenschutzbeauftragten vor – allerdings ohne dies an eine konkrete Mitarbeiterzahl zu knüpfen. Entscheidend ist vielmehr, ob ein Unternehmen in seiner Kerntätigkeit mit Datenverarbeitung zu tun hat – wie beispielsweise Marktforschungsunternehmen oder Social-Media-Anbieter – oder mit sensiblen Daten arbeitet, zum Beispiel Arztpraxen oder Steuerberater.

Mit ihrer kritischen Anmerkung zur deutschen Regelung verknüpft die EU-Kommission zwar keine Handlungsempfehlung. Innerdeutsche Kritiker der Regelung drängen indes jetzt erst recht auf weitere Änderungen. Darunter die Mittelstands- und Wirtschaftsvereinigung der CDU/CSU (MIT), die seit langem für Erleichterungen bei der Datenschutz-Bürokratie für Mittelstand und Vereine kämpft.

„Die EU-Kommission kritisiert zu Recht, dass Deutschland in manchen Punkten beim Datenschutz strenger und bürokratischer ist als die EU vorschreibt“, sagte MIT-Bundeschef Carsten Linnemann dem Handelsblatt. „Dabei wollten wir doch ein EU-weit einheitliches Recht und nicht wieder lauter Insellösungen.“

Die deutschen Vorschriften für die Bestellung von Datenschutzbeauftragten hält Linnemann denn auch für „überflüssig, mittelstands- und ehrenamtsfeindlich“. Es mache keinen Sinn, dass auch Betriebe, deren Kerngeschäft gar nicht die Datenverarbeitung sei, einen teuren Datenschutzbeauftragten bestellen müssen. „Aus meiner Sicht sollten wir die deutsche Sondervorschrift ganz abschaffen oder wenigstens die Grenze deutlich auf 50 Mitarbeiter anheben“, sagte der Bundestagsabgeordnete.

Auch der CDU-Wirtschaftspolitiker Joachim Pfeiffer fordert, dort, wo Deutschland „vom EU-Standard abgewichen und einen strengeren Weg gegangen“ sei, müsse nachgesteuert werden. Bei der Benennung eines Datenschutzbeauftragten sei man „über das Ziel hinausgeschossen“, sagte der Bundestagsabgeordnete dem Handelsblatt. „Diese Regelung sollte weiter gelockert werden.“

„Datenschutz darf nicht Standortnachteil für Deutschland werden“

Die FDP sieht das ähnlich. Die Hinweise aus Brüssel müssten „diskutiert werden, auch um faire Wettbewerbsbedingungen zu gewährleisten“, sagte Fraktionsvize Michael Theurer. „Hoffentlich bringt die Kritik der EU-Kommission die Bundesregierung endlich zur Räson.“

Darauf setzt auch die Wirtschaft. „Die in Europa einmaligen Sonderreglungen des deutschen Datenschutzrechts schießen über das Ziel hinaus und stellen für zahlreiche Betriebe eine unverhältnismäßige Belastung dar“, sagte der Generalsekretär des Zentralverbands des Deutschen Handwerks (ZDH), Holger Schwannecke, dem Handelsblatt.

Er hält den Ansatz der DSGVO für ausreichend, wonach das Risiko einer Datenverarbeitung im Verhältnis zu den zu ergreifenden Schutzmaßnahmen stehen müsse. „Die Bestellung eines Datenschutzbeauftragten sollte deshalb nur für solche Unternehmen verpflichtend sein, bei denen ein signifikantes Risiko für den Datenschutz ihrer Kunden besteht.“

Der Bundesdatenschutzbeauftragte Ulrich Kelber hält die Kritik der EU-Kommission aus mehreren Gründen für abwegig. „Zum einen, weil die Vorschrift der DSGVO, die die deutsche Regelung ermöglicht, auf den Wunsch Deutschlands und gerade für den konkret genutzten Zweck eingeführt wurde“, sagte Kelber dem Handelsblatt. Das sei der Kommission auch aus den Verhandlungen im Trilog „sehr wohl bewusst“. „Einem Mitgliedstaat die Nutzung der durch das europäische Recht ausdrücklich eingeräumten Regelungsmöglichkeiten nachträglich vorzuhalten, ist insofern mehr als unverständlich.“

Aber auch in der Sache sei die Kritik falsch, so Kelber. Wie schon die Datenschutzkonferenz, dem Gremium der deutschen Datenschutzaufsichtsbehörden, klargestellt habe, sorgten die betrieblichen Datenschutzbeauftragten für eine „kompetente“ datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. „Eine Abschaffung dieser Benennungspflichten wird die Unternehmen nicht entlasten, sondern ihnen mittelfristig schaden“, warnte Kelber, „da Kompetenzen verloren gehen, die datenschutzrechtlichen Pflichten für die Unternehmen aber bleiben.“

Der Deutsche Industrie- und Handelskammertag (DIHK) sieht gar nicht so sehr in der Benennungspflicht für Datenschutzbeauftragte ein Problem. Die zusätzliche Belastung der Unternehmen liege vor allem in der „bürokratielastigen Struktur der DSGVO selbst“. „Hier muss dringend in einer Reform angesetzt werden, um Rechtssicherheit zu erreichen“, sagte der DIHK-Chefjustiziar Stephan Wernicke dem Handelsblatt. „Die Diskussion in den Unternehmen etwa über die Frage, wie man rechtssicher Löschungen von Daten dokumentiert, zeigt diese strukturellen Defizite der Regulierung gut auf.“

Der CDU-Politiker Pfeiffer pflichtet dem bei. Die Umsetzung der DSGVO habe sich hierzulande „leider zu einem echten Bürokratiemonster entwickelt“, sagte er. Darunter litten insbesondere kleine und mittlere Unternehmen, etwa durch „unverhältnismäßige“ Dokumentations- und Informationspflichten. Der Schutz von persönlichen und sensiblen Daten habe für die Union zwar „oberste Priorität“, fügte Pfeiffer hinzu. Allerdings müsse am Ende jedes Regelwerk auch in der Praxis umsetzbar sein. „Datenschutz darf nicht zum Standortnachteil für Deutschland werden.“

Mehr: Lesen Sie hier, warum bei vielen Unternehmen wegen der Datenschutz-Grundverordnung immer noch große Unsicherheiten bestehen.

Startseite

Mehr zu: Benennung von Datenschutzbeauftragten - EU moniert zu scharfe Datenschutz-Vorgaben für deutsche Firmen

1 Kommentar zu "Benennung von Datenschutzbeauftragten: EU moniert zu scharfe Datenschutz-Vorgaben für deutsche Firmen"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Der Bundesdatenschutzbeauftragte Ulrich Kelber ist SPD-Mitglied und (bis auf wenige anfängliche Berufsjahre) ein Berufspolitiker. Er verteidigt stolz die ungebührlich scharfen Datenschutz-Vorschriften, die in Deutschland gelten, denn er hat keine Ahnung von den Belastungen kleiner und mittelständischer Unternehmer.

Serviceangebote