Berichtsentwurf zur EU-Datenschutz-Grundverordnung ohne Augenmaß

Berlin, 21.02.2013 – Die Anforderungen an den Datenschutz stellen gerade mittelständische Unternehmen vor große Herausforderungen. Besonders im Online-Handel, aber auch in anderen unternehmerischen Geschäftsprozessen ist eine Datenerhebung, -verarbeitung und -nutzung erforderlich. DER MITTELSTANDSVERBUND unterstützt grundsätzlich die Pläne der EU-Kommission zur Einführung einer EU-Datenschutz-Grundverordnung zur Sicherstellung eines einheitlichen europäischen Datenschutzstandards. Jedoch lässt auch der Entwurf des Berichterstatters im Europäischen Parlament, Jan Phillip Albrecht, zu einer EU-Datenschutz-Grundverordnung das notwendige Augenmaß aus der Sicht des MITTELSTANDSVERBUNDS vermissen.

DER MITTELSTANDSVERBUND fordert den europäischen Gesetzgeber in einer Stellungnahme zum Berichtsentwurf erneut dazu auf, den Datenschutz zwar so effektiv und passgenau wie möglich, jedoch nicht umfangreicher und bürokratischer zu gestalten, als notwendig. Im Wirtschaftsverkehr werden persönliche Daten differenziert verarbeitet und genutzt. Die Vorschläge der EU-Kommission und des Berichterstatters im EU-Parlament konzentrieren sich zu sehr auf große IT-Unternehmen wie "Google" und "Facebook". Die undifferenzierten Regelungen des Berichtsentwurfs sind aus der Sicht des MITTELSTANDSVERBUNDS in der Praxis kaum umsetzbar.

Zum einen sah bereits der Entwurf der EU-Kommission zahlreiche Pflichten zum Datenschutz vor, die aus der Sicht des MITTELSTANDSVERBUNDES nicht differenziert genug sind. Der Berichts-entwurf geht über diesen Ansatz sogar hinaus und legt weitere Informationspflichten fest. So ist die Regelung, dass die "Logik einer automatisierten Datenverarbeitung" angegeben werden muss, beim risikoarmen Speichern von Kundendaten nicht aus der Sicht des MITTELSTANDSVERBUNDS nicht notwendig und wird deswegen von diesem abgelehnt.

Weiter fordert DER MITTELSTANDSVERBUND eine Ausweitung der Erlaubnistatbestände für die Datennutzung. Schon der Kommissions-Entwurf zielte im Ergebnis darauf ab, das sogenannte "Opt-In"-Verfahren, welches immer das Einverständnis des Betroffenen verlangt, als Grundlage für die Datennutzung zu etablieren. DER MITTELSTANDSVERBUND kritisiert diese einseitige Fokussierung als nicht sachgerecht: Wenn künftig jeder Mensch für jeden kleinsten Einzelfall sein Einverständnis geben muss, führt das für den Betroffenen zu einem lästigen Formalismus, aber keineswegs zu mehr Kontrolle über den Umlauf seiner Daten. Davon abgesehen hält DER MITTELSTANDSVERBUND in eine Einwilligung zum Schutz des Betroffenen in vielen Fällen nicht für nötig. Um eine wirkliche Verbesserung für die insbesondere mittelständischen Unternehmen zu erreichen, sollte die Erhebung und Nutzung von Daten gestattet werden, wenn die Datenverwendung offenkundig im Interesse des Betroffenen steht.

DER MITTELSTANDSVERBUND kritisiert weiter, dass der Berichtsentwurf die Regelungen zur Dokumentation der Datenerhebung und die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gegenüber dem Kommissionsentwurf verschärft. So sollen Unternehmen mit weniger als 250 Mitarbeitern nicht – wie von der Kommission vorgesehen – von der Pflicht zur Dokumentation sämtlicher betrieblicher Datenverarbeitungsprozesse befreit werden. Diese Regelung stellt aus der Sicht des MITTELSTANDSVERBUNDS eine erhebliche bürokratische Belastung dar.

Weiterhin werden Unternehmen nur dann von der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten befreit, wenn sämtliche betriebliche Datenverarbeitungsprozesse weniger als 500 Personen im Jahr betreffen. Wie diese Voraussetzung in der Praxis nachgehalten werden soll, ist aus der Sicht DES MITTELSTANDSVERBUNDS unklar. Diese Regelung sollte deutlich korrigiert werden.

Insgesamt zielen beide Entwürfe zu einer EU-Datenschutz-Grundverordnung auf einen Datenschutz ab, der jegliches Augenmaß vermissen lässt. DER MITTELSTANDSVERBUND ist der Auffassung, dass eine Datenschutzregelung ihren Sinn verfehlt, wenn kleine und mittlere Unternehmen die vielen Pflichten nicht einhalten können. Besonders mittelständische Unternehmen, die die Daten ihrer Kunden weder verkaufen noch zum "Profiling" nutzen, stellen die zahlreichen Informations-, Dokumentations- und Genehmigungspflichten erhebliche bürokratische Belastungen dar. Hier gingen die konkreten Ausnahmen der Kommission, welche durch den Berichterstatter gestrichen wurden, in die richtige Richtung.

DER MITTELSTANDSVERBUND hat eine ausführliche Stellungnahme vorgelegt, die HIER zum Download zur Verfügung steht.