Ein Jahr DSGVO: Aufwand unerträglich hoch
Zur Einführung der DSGVO hat Doc Storage mächtig Dampf abgelassen. Ein Jahr später lässt kaum ein Verband ein gutes Haar an der Datenschutz-Grundverordnung. Der Aufwand für Firmen und IT-Abteilungen sei unerträglich hoch. Unser Doc steht klar auf Seiten der Kritiker.
Kolumne Doc Storage:
So, nun ist es rum, das erste Jahr mit der so viel diskutierten Datenschutz-Grundverordnung, die die liebe Europäische Union am 25. Mai 2018 hat über uns kommen lassen. Die Daten der Nutzer sollten besser geschützt, der Umgang mit ihnen transparenter und vor allem nicht zum »neuen Gold« einer Branche werden. Und, was sagen kleinere und mittlere deutsche Unternehmen dazu?
Man hört aus den DV-Abteilungen vor allem, dass der administrative Aufwand kaum oder gar nicht zu stemmen sei. Und dies sagen nicht nur die Informatiker, sondern auch alle anderen betroffenen Abteilungen. Die meisten kommen mit der Nachbearbeitung kaum hinterher, obwohl sie (meist externe) Datenschutzbeauftragte haben. Für viele Unternehmen bedeutet dies schlicht eine Entscheidung zwischen kleinen, also partiellen Verstößen, oder dem wirtschaftlichen Ruin. Die meisten Unternehmen halten dies nicht für hinnehmbar, und man hört dieselbe Einschätzung, egal wo man hinhört.
Für viele, nein, die meisten DV-Betreiber ist die DSGVO so etwas wie die Büchse der Pandora, bestehen doch Informationspflichten, insbesondere von Seiten im Internet, und Auskunftsrechte der betroffenen Individuen. »Alles, was sie (die DSGVO) gebracht hat, ist Verwirrung und Unsicherheit aufseiten der Unternehmen«, zitiert das Handelsblatt Steffen Kampeter, Vertreter der Bundesvereinigung Deutscher Arbeitgeberverbände (BDA) in einem Interview.
Eine unglaubliche Menge unbeantworteter Fragen liegen weiterhin stapelweise auf den Schreibtischen der Aufsichtsbehörden und werden Tag für Tag mehr. Die BDA sieht die Rechtsunsicherheit für Unternehmen als enorm an. Die DSGVO sei ein undurchsichtigesund kontraproduktives Regelwerke, dass Unternehmen in ihrer Handlungsfreiheit einschränke.
DSGVO: möglicher Standard, aber viel zu teuer
Auch der Bundesverband der Deutschen Industrie (BDI) stellt anlässlich des Jahrestags der DSGVO ein sehr schlechtes Zeugnis aus. Einerseits lege die neue Vorschrift die Grundlage für einen gemeinsamen Markt der EU. »Es hat das Zeug, sich zu einem weltweiten Standard zu entwickeln«, sagt beispielsweise Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, gegenüber dem Handelsblatt. Die DSGVO sei aber insgesamt viel zu teuer. Laut BDI greif sie mit umfassenden Dokumentations- und Informationspflichten oder Datenschutz-Folgenabschätzungen tief in Unternehmensprozesse ein. Der starke Anstieg der Beratungsanfragen bei den Behörden zeige, dass es vielfach noch massive Unsicherheiten gebe. Der Verband warnt, dass der Datenschutz in der EU sich nicht zu einem Standortnachteil entwickeln dürfe.
Auch der Deutsche Industrie- und Handelskammertag (DIHK) sieht seine Befürchtungen bezüglich der Vorschrift bekräftigt. Die DSGVO sei das befürchtete Bürokratiemonster geworden, sagt man hier der Presse. Einige Verbände haben im Frühjahr eine Umfrage bei mehreren tausend Unternehmen durchgeführt, und bestätigen diese Ansicht.
Stand der DSGVO meist unklar
Die meisten Firmen nehmen an, dass die Durchführung der Maßnahmen zur Erfüllung der DSGVO weitestgehend abgeschlossen sei. Allerdings ist man sich gleichzeitig nicht sicher, ob diese Maßnahmen tatsächlich richtig seien, vor allem in KMUs.
Darüber hinaus beklagen alle Firmen die großen personellen und finanziellen Aufwände zur Erfüllung der Vorschriften. Vor allem beim Verarbeitungsverzeichnis wünschen sich die Betriebe eine Erleichterung der Pflichten. Die Ausnahme in der DSGVO für Firmen unter 250 Beschäftigten halten die meisten betroffenen für nicht anwendbar.
Einige Verbände fordern darüber hinaus, diese Pflichten in bestimmten Fällen abzuschaffen, so etwa bei vertraglichen Übereinkünften, in denen alle Geschäftspartner sowieso wüssten und zustimmten, welche Informationen verarbeitet werden und zu welchem Zweck. Man hofft dabei auf das nächste Jahr, wenn die Kommission dem Europäischen Parlament einen Bericht zur DSGVO vorlegt.
DSGVO unterscheidet nicht zwischen Datenkraken und Kleinbetrieben
Kritik übt auch das Handwerk. So bemängelt der Zentralverband des deutschen Handwerks (ZDH), dass die Vorschriften an zu wenig Stellen zwischen Unternehmen unterscheiden, die viele oder nur wenige Daten erzeugen und verarbeiten. Kleinbetriebe, die nur die Daten ihrer Kunden zur Erfüllung eines Auftrags benötigen, spüren diese Mehraufwände. Auch das Handwerk hält dies für eine unverhältnismäßige Dokumentations- und Informationspflicht und fordert Nachbesserungen.
Vieles in der DSGVO könnte man für einen schlechten Scherz halten, wenn es nicht tatsächlich ernst gemeint wäre. So sind einfache Kfz-Werkstätten mit Möglichkeiten der Abgasuntersuchung für die Behörden öffentliche Stellen. Damit zwingt man sie, mit einem externen Datenschutzbeauftragten zu arbeiten. Und diesen natürlich auch zu bezahlen.
Kleinfirmen, die für Hausverwaltungen Messungen und Ablesungen in Mietwohnungen durchführen, also bei Heizung, Strom und Wasser, werden gezwungen, mit allen Beteiligten eine Auftragsverarbeitung schließen und hierzu die entsprechenden Dokumentationen erstellen. Das ist nicht nur viel zu aufwändig, sondern geradezu lächerlich. Die Handwerksverbände weisen immer wieder darauf hin, dass nicht jeder Kleinbetrieb eine Datenkrake sei und entsprechend behandelt werden müsse. Die DSGVO in ihrer jetzigen Form führt dazu, dass mittelständische und Familienunternehmen wie Amazon und Google behandelt werden. Diese haben jedoch weder das Personal noch das Geld, eine entsprechende DV aufzubauen.
Darüber hinaus fordern die Verbände eine verlängerte Schonfrist für solche Kleinunternehmen, in welcher Bagatellverstöße entsprechend straffrei bleiben. Auch und gerade, um den professionellen Abmahnern den Wind aus den Segeln zu nehmen.
Im nächsten Beitrag betrachten wir, wie die Großen mit der DSGVO/GDPR inzwischen umgehen.
Gruß
Doc Storage