EU-Datenschutzreform: Bitkom warnt Firmen vor Millionen-Bußgeldern
Was passiert am 26. Mai 2018? Von diesem Tag an müssen Unternehmen und Behörden in Deutschland die Vorgaben der neuen EU-Datenschutzgrundverordnung umsetzen. Einer Umfrage des IT-Branchenverbandes Bitkom zufolge haben bislang erst 13 Prozent der Unternehmen erste Maßnahmen begonnen oder umgesetzt. Wie aus der am Dienstag in Berlin vorgestellten Umfrage weiter hervorgeht, wollen sich ebenso viele "bewusst nicht damit beschäftigen" . Letzteres könnte teuer werden: Denn die Verordnung erlaubt bei Verstößen Bußgelder in Höhe von vier Prozent des Jahresumsatzes.
Nach Ansicht von Bitkom drohen den Firmen daher in wenigen Monaten "Millionen-Bußgelder" . Nur 15 Prozent der 500 befragten Unternehmen mit 20 oder mehr Mitarbeitern gingen davon aus, dass sie die Vorgaben zum Stichtag vollständig umgesetzt haben. Mehr als die Hälfte der Firmen (54 Prozent) rechnet damit, dass dies zumindest teilweise geschehen ist.
Firmen beklagen Rechtsunsicherheit
Die Gründe für den Verzug sind vielfältig. Zum Teil sind sie bei den Unternehmen zu suchen, zum Teil liegen sie in der Datenverschutzverordnung selbst begründet. So gaben 52 Prozent der Firmen an, dass der Umsetzungsaufwand schwer zu ermitteln sei. Das führt nach Ansicht von Bitkom wiederum dazu, dass die entsprechenden finanziellen Mittel nicht bereitgestellt werden können. Für 43 Prozent der Firmen liegt es an der fehlenden Rechtssicherheit, dass sie noch nicht aktiv geworden sind. Ein knappes Drittel wiederum beklagt den Mangel an "praktischen Umsetzungshilfen" .
Auf die Datenschutzbehörden von Bund und Ländern wird daher im kommenden Jahr viel Arbeit zukommen. Schließlich liegt es in deren Aufgabenbereich, die Umsetzung der Reform zu prüfen. Das Problem: Der Gesetzgeber hat es bislang noch nicht geschafft, die EU-Vorgaben vollständig in nationales Recht umzusetzen. Zwar wurde im April das Bundesdatenschutzgesetz entsprechend angepasst(öffnet im neuen Fenster) , doch viele weitere Anpassungen fehlen noch.
In vier bis fünf Jahren Rechtssicherheit
Die niedersächsische Datenschutzbeauftragte und Vorsitzende der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Barbara Thiel, hält es für möglich, dass die neue Bundesregierung die Vorgaben noch bis zum Inkrafttreten der Reform umsetzen könne. Auf Länderebene sei das hingegen schwieriger. Selbst die dortigen Innenministerien hätten sich teilweise noch nicht damit beschäftigt, sagte Thiel.
Ohnehin werde zum Stichtag im kommenden Jahr noch nicht klar sein, was die EU-Vorgaben genau bedeuteten, sagte Thiel. Das müssten am Ende die Gerichte klären, was vier bis fünf Jahre in Anspruch nehmen könne. Womit Thiel die Einschätzung der Firmen bestätigte, dass in der Tat noch Rechtsunsicherheit herrsche.
Vor allem kleine Firmen stehen schlecht da
Als Vorwurf an die kontrollierenden Datenschutzbehörden wollte sie dies jedoch nicht verstanden wissen. "Die Verantwortung liegt bei den Unternehmen, sie liegt nicht bei den Aufsichtsbehörden" , sagte Thiel. Ihrer Ansicht nach ist der Aufwand für die Umsetzung der Vorgaben nicht allzu groß, wenn man als Unternehmen beim Datenschutz schon bis jetzt "seine Hausaufgaben gemacht hat" . Dazu gehört laut Bitkom ein sogenanntes "Verfahrensverzeichnis für die Dokumentation datenschutzrelevanter Verfahren und Prozesse" . Der Umfrage zufolge verfügt nur rund jedes zweite Unternehmen (54 Prozent) über eine solche Datenschutz-Dokumentation, das ist nur geringfügig mehr als im Vorjahr (51 Prozent).
Laut Thiel sind vor allem große Firmen gut aufgestellt, während es bei kleinen und mittleren Unternehmen hapere. Das sei auch ein Ressourcenproblem. Um die Umstellung zu erleichtern, will der Branchenverband Bitkom entsprechende Leitfäden erarbeiten. Auch die Datenschutzkonferenz hat bereits damit begonnen, sogenannte Kurzpapiere herauszugeben. Diese sollen als erste Orientierung dienen, wie nach Auffassung der Konferenz die Datenschutzverordnung "im praktischen Vollzug angewendet werden sollte" . Bislang sind elf Kurzpapiere erschienen(öffnet im neuen Fenster) , 14 weitere sollen folgen.
EU veröffentlicht Working Papers
Auch auf EU-Ebene würden sogenannte Working Papers verfasst. Die würden nach Inkrafttreten der Reform verbindlicher sein, als das bislang der Fall gewesen sei, sagte Thiel. Um keine Doppelarbeit zu leisten, seien die Datenschutzbeauftragten "gut beraten, auch abzuwarten, was kommt von der europäischen Ebene" . Dies müsse in Deutschland mitberücksichtigt werden.
Angesichts der vielen Unklarheiten stellt sich daher die berechtigte Frage, ob die Behörden vom ersten Tag an gegen Verstöße scharf vorgehen werden. Susanne Dehmel, Geschäftsleiterin Recht und Sicherheit bei Bitkom, appellierte daher an die Datenschützer, "nicht sofort mit der Keule draufzuschlagen" , wenn es um die Kontrolle neuer Pflichten gehe, "die noch nicht klar ausdefiniert sind" . Statt dessen sollten die Behörden "Augenmaß walten lassen" .
Kein neues Datengesetz
Eine Absage erteilten sowohl Dehmel als auch Thiel der Forderung der Union, nach der Wahl ein eigenes Datengesetz zu schaffen. "Wir haben ein Datengesetz, und das ist die Datenschutzgrundverordnung" , sagte Thiel. "Sehr, sehr verhalten" stehe sie zudem der Forderung gegenüber, ein Eigentumsrecht an Daten einzuführen. Die Forderung sei " nicht so im Mainstream, dass das eine Rolle spielen wird" .