Die Unternehmen sind nur unzureichend auf das Inkrafttreten der DSGVO vorbereitet. Wie bewerten Sie das?
Eine Pauschalaussage ist schwierig. Gerade jene Unternehmen, die auf ein datengetriebenes Geschäftsmodell setzen, haben sich rechtzeitig auf die Neuregelung vorbereitet – die DSGVO ist ja bereits vor 2 Jahren in Kraft getreten, seit knapp 7 Jahren wird in Brüssel darüber diskutiert. Problematischer sieht es bei Unternehmen aus, deren originäres Geschäft nicht im Netz stattfindet. Etwa das Geschäft um die Ecke, das einen kleinen Webshop oder einen Kunden-Newsletter anbietet. Diesen kleinen Unternehmen war lange Zeit wenig bis gar nicht bewusst, dass sie von der DSGVO überhaupt betroffen sind. Verbände haben zwar versucht, Bewusstsein für die universelle Anwendbarkeit zu schaffen. Aber das Thema ist zu lange unter dem Radar der Öffentlichkeit geblieben. Kurzfristig hat die DSGVO dann eine steile mediale Karriere hingelegt. Hier hätte ich mir bessere und frühere Aufklärung seitens der Politik und der Behörden gewünscht. Sowohl die neuen Pflichten als auch die positiven Aspekte der DSGVO – die es ja durchaus gibt – sind in vielen Unternehmen schlichtweg nicht angekommen.
Vor allem kleine und mittelständische Unternehmer beklagen sich über hohe Kosten und Unklarheiten – so bewerten nach Medienberichten die Behörden in den Ländern manche Details verschieden. Was sollte die Politik aus Ihrer Sicht tun, um Rechtssicherheit herzustellen?
Die Inhalte der DSGVO sind komplex und mit juristischem Spielraum ausgestaltet. Diesen Spielraum gilt es erstens schnell und zweitens möglichst langfristig zu schließen. Die DSGVO ist eine Grundverordnung, die über Öffnungsklauseln in den Nationalstaaten punktuell konkretisiert, ergänzt und modifiziert werden kann. Davon wurde u.a. in der Neuregelung des Bundesdatenschutzgesetzes Gebrauch gemacht. Eine weitere Spezifizierung wird durch die E-Privacy Verordnung erfolgen, die Ende 2019 in Kraft treten könnte. Hier muss die Politik mit Augenmaß und Weitblick handeln, um nicht immer größere Datenschutzbaustellen aufzureißen. Veränderte Rahmenbedingungen sind immer eine Belastung – leider insbesondere für KMU. Deshalb muss Rechtssicherheit langfristig hergestellt werden, auch in diesem hoch dynamischen Regulierungsumfeld. Wichtig wäre zudem drittens, dass Politik und Behörden jetzt Vertrauen zurückgewinnen: welche Strategie fahren z.B. die Aufsichtsbehörden? Und wie können KMU einen effektiven, zukunftssicheren Datenschutz gewährleisten, ohne von bürokratischen Pflichten erstickt zu werden? Hier muss mit Augenmaß aufgeklärt statt mit der Sanktionskeule demoralisiert werden.
Viele kleine und mittelständische Unternehmer befürchten eine Welle von Abmahnungen – eine berechtigte Sorge?
Diese Sorge ist größtenteils unberechtigt, aber durch ungeklärte rechtliche Aspekte lässt es sich nicht komplett ausschließen. Schwarze Schafe, die durch das Abmahnen groß absahnen wollen, setzen auf den Verunsicherungsfaktor. Fakt ist aber, und dass wird oft nicht oder nur unzureichend erwähnt: die Rahmenbedingungen für Abmahnungen haben sich durch die DSGVO nicht geändert. Welche rechtlichen Hindernisse der Abmahnindustrie einen Riegel vorschieben, hat z.B. der Datenschutzexperte Carsten Ulbricht anschaulich herausgearbeitet*. Wir haben aber festgestellt, dass Abmahnungen häufiger mit Bußgeldern – die viel zitierten (bis zu) 4 Prozent des Jahresumsatzes oder (bis zu) 20 Millionen Euro – verwechselt werden. Bußgelder bei DSGVO-Verstößen kann aber nur die zuständige Aufsichtsbehörde verhängen. Die Bundesdatenschutzbeauftrage hat dazu inzwischen sehr deutlich Stellung bezogen: die Aufsichtsbehörden werden, so Andrea Voßhoff, „nicht mit der Registrierkasse unterwegs“** sein. Bußgelder stehen am allerhintersten Ende einer langen Kette von Verwarnungsmöglichkeiten.
Viele Netz-Nutzer indes legen indes großen Wert auf Datenschutz. Inwieweit kann die DSGVO für die Unternehmen auch eine Chance darstellen?
Das Thema ist medial recht eindimensional dargestellt worden. Dieser Fokus auf verschärfte Sanktionsmöglichkeiten führt in die Irre und schadet dem eigentlichen Anliegen der DSGVO: ein einheitlicher Datenschutz für Bürger, Kunden aber auch für Unternehmen in 28 europäischen Staaten. Dass kann ein Alleinstellungsmerkmal und Wettbewerbsvorteil für Europa sein. Die verschärften Sanktionsmöglichkeiten dienen insbesondere der Abwehr von krassen Fällen von Datenmissbrauch. Und die richten sich eben primär an die großen Datenkraken, nicht an die vielen KMU in Europa. Viviane Reding hat kürzlich im Handelsblatt sehr treffend ausbuchstabiert, dass traditionell das Kundenvertrauen die Basis des Unternehmertums in Europa ist. Im Besonderen gilt das für den qualitätsbewussten deutschen Mittelstand. Für den birgt die DSGVO – trotz des derzeitigen Kraftakts – aber auch weitere Vorteile: so können z.B. Mittelständler mit Expansionsgedanken neue Märkte einfacher und verlässlicher erschließen. Kurz- bis mittelfristig wird der Datenschutz daher sowohl eine – lästige aber eben notwendige – unternehmerischen Pflichtübung als auch ein Qualitätsmerkmal der europäischen Wirtschaft sein.
* http://www.rechtzweinull.de/archives/2579-abmahnwellen-wegen-dsgvo-verstoessen-dagegen-spricht-und-wie-man-abmahnungen-gegebenenfalls-abwehren-kann.html
** http://www.sueddeutsche.de/digital/dsgvo-neue-datenschutz-regeln-schueren-angst-vor-abmahnungen-1.3988339