Foto: WEMID Präsident Marco Altinger (links) und Thomas Schinhärl.
Landshut (13.07.18) Vergangene Woche, Donnerstag Abend, lud der Bundesverband „Werteorientierter Mittelstand Deutschland e. V. (WEMID)“ seine Mitglieder und Interessierte in den Landshuter Hof, nach Landshut, ein. Das Thema des Abends lautete „EU-Datenschutz im Mittelstand“ und im Besonderen die Hürden, die die seit 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) an die Mittelständler stellt.
Die Eröffnungsrede des Präsidenten des WEMID, Marco Altinger, beschrieb den Meinungs- und Diskussionsstand in der Politik zum Thema DSGVO und berichtete über die Initiative, die der WEMID bereits ergriffen hat, um eine Entschärfung des Gesetzes anzuregen. Nachdem sich der WEMID direkt an die Bundeskanzlerin Angela Merkel gewandt hat, ist das Ergebnis dieses Engagements besonders enttäuschend. Mehr als ein Antwortschreiben eines Referenten, der beteuert, dass man sich dem Thema grundsätzlich schon annehme, hatte man in Berlin zu dem dieser Kontroverse nicht beizutragen.
Thomas Schinhärl, Rechtsanwalt bei der ECOVIS Unternehmensgruppe und Berater zum Thema Datenschutz im ostbayerischen Raum, referierte an diesem Abend über die Probleme, die die DSGVO in seinen Alltag und in den Alltag seiner Kunden bringt. Außerdem gab er eine Einweisung zu den Grundzügen der DSVGO sowie zu den Rechten und Pflichten von Kunden und Betroffenen.
Auch ohne fundiertes Fachwissen über die DSVGO wurde jedem der Teilnehmer – wenn nicht bereits aus eigener Erfahrung bekannt – an diesem Abend äußerst schnell klar: Die DSGVO impliziert einen immensen Mehraufwand für Unternehmer, besonders für Mittelständler.
Beispielsweise die Tatsache, dass Unternehmen mittlerweile ein Verarbeitungsverzeichnis zu führen und vorzuhalten haben, das die Datenschutzbehörden bei einer Vorortprüfung einsehen können müssen, bedeutet für die Unternehmer folgendes: in dem Verarbeitungsverzeichnis muss zunächst eine Bestandsaufnahme vorgenommen werden, welche personenbezogenen Daten überhaupt erhoben und verarbeitet werden, diese werden dann kategorisiert und eine Risikoeinschätzung wird durchgeführt.
Hierzu muss der Unternehmer eine ganze Reihe von Vorkehrungen treffen, sogenannte technische und organisatorische Maßnahmen, beispielsweise Schutz seines IT-Systems vor Hacker-Angriffen, sodass die im Unternehmen vorhandenen personenbezogenen Daten geschützt werden aber selbstverständlich auch eine Reihe von weiteren Maßnahmen.
Bei besonders sensiblen Daten muss ein unabhängiger, externer Datenschutzbeauftragter das Unternehmen und dessen Einhaltung der Rahmenlinien der DSGVO kontrollieren und das bereits bei einem Unternehmen ab zehn Mitarbeitern. Hierbei ist besonders lächerlich, dass aufgrund der Pflicht zu Neutralität der geschäftlichen Belange des Unternehmens bereits Angestellte oder Ehefrauen meist disqualifiziert sind. Wahrlich fachlich kompetente und unparteiische Prüfer zu finden, scheitert jedoch an Personalmangel.
Auf der anderen Seite müssen die Unternehmer bei Nichterfüllen der Pflichten mit entsprechenden Sanktionen durch die Aufsichtsbehörde rechnen. Nicht ungeachtet zu lassen, ist dabei, dass der Staat die Geldbußen verdoppelt hat, die bis zu 4 % des Nettojahresumsatzes eines Unternehmens oder der Höhe nach 20 Mio. Euro erreichen können. Bei besonders gravierenden und hartnäckigen Verstößen drohen sogar strafrechtliche Konsequenzen.
Mit der Datenschutzgrundverordnung mag der Gesetzgeber zwar ein grundsätzlich ehrenwertes Ziel verfolgen, nämlich den Schutz personenbezogener Daten. Richtiger Adressat sind sicherlich multinationale Großkonzerne, die den Anforderungskatalog der Datenschutzgrundverordnung aufgrund ihrer Größe leichter erfüllen können. Der Aufwand, der jedoch bei den kleineren und mittelständischen Unternehmen damit verbunden ist, ist schlichtweg unverhältnismäßig.
Die zweistündige Diskussion mit den Teilnehmern der Veranstaltung nach den Vorträgen bestätigt Frust und Überforderung auf Seiten der Unternehmer durch ein Gesetz, von dem die Tragweite des Nutzens für klein und mittelständische Unternehmen nur schwer abzusehen ist.
Auch WEMID Präsident Marco Altinger bestätigt, was in der Diskussion herausklingt und argumentiert, dass das Gesetzt zwar gut gemeint sein mag, aber von Seiten der Regierung bei weitem nicht zu Ende gedacht ist und deshalb schwer auf den Schultern des kleinen Mittelstands lastet. Die Forderung Altingers ist klar: Unternehmen bis zu 30 Mitarbeitern sollen von der DSGVO befreit werden. Das würde sicherlich nicht nur bei den Teilnehmern der Veranstaltung „Datenschutz im Mittelstand“ großen Anklang finden.