13.02.2017

Keine Angst vor neuem EU-Datenschutz

Umfragen sehen kaum kritischen Veränderungsbedarf Die Erwartungen an das neue europäische Datenschutzgesetz sind hoch gesteckt. Im Mai 2018 soll es kommen. Schon jetzt warnen allenthalben Experten vor hohen Belastungen für Betriebe. Darein mischen sich aber auch Stimmen, die Entwarnung geben.

Nur noch knapp 15 Monate zur EU-DSGVO

Spätestens bis zum 25. Mai 2018 muss die EU-Datenschutz-Grundverordnung (EU-DSGVO) in den Mitgliedstaaten umgesetzt sein. Dann müssen hier tätige Betriebe aus Drittstaaten dieselben Datenschutzstandards einhalten wie europäische Unternehmen. Dies sei wichtig für den Wettbewerb, betonte DIHK-Datenschutzexpertin Annette Karstedt-Meierrieks gegenüber dem „Handelsblatt“.

Höhere Dokumentationspflichten

Die Regelung bringe für die Unternehmen einen größeren Aufwand mit sich. „Das betrifft insbesondere die Einrichtung eines Datenschutzmanagements, das mit höheren Dokumentationspflichten einhergeht“, erläuterte Karstedt-Meierrieks. Unternehmen, die in mehreren EU-Mitgliedstaaten Niederlassungen haben, müssten die Datenschutzstandards nun an allen Standorten gewährleisten.

Hohe Bußgelder

Zu den augenfälligen Veränderungen gehören beispielsweise hohe Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes bei gravierenden Pflichtverletzungen. Ursprünglich versprochene Erleichterungen für kleinere und mittlere Betriebe seien nicht normiert worden, bedauert die Expertin. Für den gesetzgeberischen Spielraum in Deutschland wäre es ihrer Ansicht nach wünschenswert, stimmten die Aufsichtsbehörden in den Bundesländern sich nach demselben Schema ab, wie es für die europäische Ebene geregelt ist. „Dann wären Unternehmen nicht von unterschiedlichen Anforderungen betroffen“, so Karstedt-Meierrieks.

Datenschutz Hemmnis für Digitalisierung

Im IHK-Unternehmensbarometer Digitalisierung vom Juli vergangenen Jahres hatten 58 Prozent der Unternehmen den Datenschutz als Hemmnis für die Digitalisierung benannt. Für sie und alle anderen betroffenen Unternehmen kommt jetzt wenigstens eine kleine Entwarnung. Ja, das neue europäische Datenschutzgesetz weise zahlreiche Neuerungen auf. Doch seien sie oft ohne übermäßig komplexe Projekte zu bewältigen, beschwichtigt die Carmao GmbH, ein Expertenpool von etwa 60 zertifizierten Consultants unter Berufung auf Umfragen unter der eigenen Klientel.

Analyse des Handlungsbedarfs

Carmao hat zur Analyse des möglichen Handlungsbedarfs ein hochstandardisiertes Verfahren entwickelt, aus dem sich auf einfache Weise notwendige Maßnahmen und ihre Prioritäten ableiten lassen sollen. Die Dauer dieses Assessments mit anschließender Auswertung liegt typischerweise bei zwei bis vier Tagen.

Umfangreicher Handlungsbedarf?

Das Beratungshaus widerspricht der öffentlich breit diskutierten Auffassung, es bestehe ein umfangreicher Handlungsbedarf. Gleichwohl empfehlen die Experten eine zeitnahe Analyse der erforderlichen Maßnahmen. Carmao-Gechäftsführer Ulrich Heun hält eine emotional geprägte Popularisierung des Datenschutzthemas für wenig hilfreich. „Gab es früher eine große Zahl an Verweigerern auf der Unternehmensseite, so wird der Datenschutz immer seltener bewusst missachtet“, berichtet er aus seinen Beratungserfahrungen.

Unzureichende Kenntnis der Anforderungen

Wenn Schwächen bestünden, resultierten sie meistens aus unzureichender Kenntnis der regulativen Anforderungen oder weil der Datenschutz durch andere betriebliche Prioritäten aus dem Fokus geraten ist. Im Gegenteil sei in letzter Zeit eine deutlich gestiegene Bereitschaft festzustellen, sich konform zu den Datenschutzgesetzen zu organisieren.

Heun: nur begrenzter Aufwand zu erwarten

Deshalb erwartet Heun für viele Unternehmen auch nur einen begrenzten Aufwand, die bestehenden Datenschutzverfahren den Erfordernissen der EU-Datenschutz-Grundverordnung anzupassen. „Was sich hauptsächlich ändert, sind die höheren Anforderungen an die Transparenz“, so Heun. Zudem müsse die Datenschutzorganisation künftig prozessorientiert gestaltet sein. Hinzu komme die Meldepflicht bei Datenschutzverletzungen. Dies erfordere jedoch nicht unbedingt komplexe Veränderungen. Vielmehr seien die erforderlichen Anpassungsmaßnahmen häufig sehr gering.

Keine Übergangsfristen

Heun empfiehlt Unternehmen gleichwohl, das Thema EU-DSGVO nicht auf die lange Bank zu schieben. Es gebe keine Übergangsfristen. Jetzt könnten Unternehmen notwendige Anpassungen noch realisieren – schrittweise und ohne Zeitdruck.

Autor: Franz Höllriegel