Die goldene Büroklammer: Datenschutz-Entlastung, die keine ist

Ein Mittelständler wollte sich eigentlich den bürokratischen Kraftakt sparen, ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ anzulegen – jene umfassende Sammlung aller personenbezogenen Daten, die ein Unternehmen verarbeitet. Schließlich verspricht die EU-Datenschutz-Grundverordnung kleinen Betrieben unter 250 Beschäftigten ausdrücklich eine Ausnahme.

Doch aus der versprochenen Entlastung wurde ein Bürokratie-Bumerang. Die Ausnahmeregelung existiert zwar auf dem Papier, scheitert aber in der Praxis an unklaren Bedingungen und schwammigen Formulierungen. Was als Erleichterung gedacht war, sorgt am Ende für noch mehr Unsicherheit.

Unklare Rechtslage und hohe Bußgeldandrohung

Art. 30 Abs. 5 der Datenschutz-Grundverordnung (DSGVO) stellt kleine und mittlere Unternehmen von der Pflicht, ein Verarbeitungsverzeichnis anzulegen, frei, es sei denn, die Verarbeitung der personenbezogenen Daten birgt „ein Risiko für die Rechte und Freiheiten“ der betroffenen Personen. Oder sie erfolgt „nicht nur gelegentlich“. Was heißt: Risiko für die Rechte und Freiheiten einer Person. Aber was heißt „gelegentlich“?

Einfach machen – Von der Akte zur Aktion. Das ist der Titel des großen IHK-Kongresses zum Bürokratieabbau am Montag, 13. Juli im Stuttgarter IHK-Haus. Zu Gast sind unter anderem Philipp Amthor, Staatssekretär im Bundesministerium für Digitales und Staatsmodernisierung sowie Michael Hager, Kabinettschef des stellvertretenden EU-Präsidenten Valdis Dombrovskis.

Bitte hier anmelden.

Wer gegen Art. 30 Abs. 5 DSGVO verstößt, muss mit einem Bußgeld von bis zu 10 Millionen Euro rechnen. Datenschützer weisen darauf hin, dass bei einem Verstoß durch einen Mittelständler das Bußgeld natürlich deutlich niedriger ausfallen würde. Wie tröstlich! Nicht wenige Betriebe haben schon Mitarbeiter erlebt, die so verärgert sind, dass sie ihrem Arbeitgeber gern Schaden zufügen würden. Die DSGVO in Verbindung mit dem seit 1. Januar 2023 geltenden Hinweisgeberschutzgesetz bietet ihnen dazu eine „gute“ Gelegenheit, ihren Arbeitgeber anzuzeigen. Auch dieses Risiko führt zur Übererfüllung von Gesetzen und damit zu unnötiger Bürokratie.

Verarbeitungsverzeichnisse sind betrieblich sinnlos

Die EU-Verordnung verlangt, dass Unternehmen sämtliche Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, erfassen, in ein Verzeichnis aufnehmen und dies aktuell halten. Es müssen unter anderem dokumentiert werden: die Firmendaten (Name, Adresse, Geschäftsführer etc.), die verarbeiteten Daten (z. B. Kundendaten), der Zweck, für den sie verarbeitet werden (z. B. Rechnungserstellung), die Kontaktdaten des für die Verarbeitung Verantwortlichen im Unternehmen, die betroffenen Personen (z. B. Kunden) und die Empfänger der Daten (z. B. Steuerberater).

Es gibt gesetzliche Dokumentationspflichten (z. B. Erfassung der abnutzbaren Anlagegüter), die einem betrieblichen Zweck dienen und deshalb akzeptiert werden und wenig zusätzlichen Aufwand darstellen. Betriebe würden ohne DSGVO in der Regel keine Verzeichnisse darüber anlegen, welche personenbezogenen Daten sie verarbeiten. Deshalb belasten solche Dokumentationspflichten Betriebe in besonderem Maß.

Unverständliche Vorschriften führen zur Übererfüllung

Aus Sorge, gegen Vorschriften, die völlig unklar sind, zu verstoßen, bei denen zudem ein hohes Bußgeld droht, befolgen viele Unternehmen die gesetzlichen Anforderungen, ohne es eigentlich tun zu müssen. So ist es auch mit Art 30 Abs. 5 DSGVO. Es gibt kaum Unternehmen – gleich welcher Größenordnung –, die sich trauen, auf Verarbeitungsverzeichnisse zu verzichten. Eine Besonderheit: Die Landesdatenschutzbeauftragten empfehlen auch noch den Betrieben unter 250 Beschäftigten, die Dokumentationen anzulegen, da sie selbst das Risiko eines Gesetzesverstoßes mangels Rechtsklarheit für zu groß halten.

Respekt, liebe EU! Eure mittelstandspolitische Heldentat, Betriebe unter 250 Beschäftigten von dieser Bürokratie zu verschonen, ist gründlich schiefgegangen.

Was sind die Gründe für unverständliche Vorschriften?

Wir dürfen dem Gesetzgeber unterstellen, dass er klar zum Ausdruck bringen will, welche Pflichten er Unternehmen und Bürgern auferlegen will. Wir dürfen aber gleichzeitig davon ausgehen, dass die Abgeordneten häufig selbst nicht wissen, was nun genau gemeint ist – von einigen wenigen Experten und Eingeweihten ausgenommen. Es liegt also offensichtlich daran, dass die Sachverhalte, die geregelt werden, entweder ohnehin sehr kompliziert sind. Oder der Gesetzgeber will alles perfekt regeln und versieht jede Vorgabe mit Ausnahmen, die möglichst jeden Sonderfall erfassen. Oder er lässt sich von dem Misstrauen leiten, der Bürger werde sich nicht an die Gesetze halten, weshalb er ihn dokumentieren lässt, was er macht, um die Gesetzeseinhaltung besser kontrollieren zu können. Bei der Formulierung des Art 30 Abs. 5 DSGVO dürfte sowohl das Motiv der Perfektion als auch das Misstrauen eine Rolle gespielt haben.

Unverständliches Recht gefährdet die Demokratie

Wenn die Bürgerinnen und Bürger Vorschriften nicht verstehen, die sie einhalten sollen, um keine Strafe zu riskieren, verlieren sie das Vertrauen in den Staat. Das gefährdet die Rechtsstaatlichkeit, da die Bürger nicht sicher sein können, welche Konsequenzen ihr Handeln hat. Dazu muss aber klar sein, was das Gesetz beinhaltet.

Demokratie lebt vom Vertrauen des Bürgers gegenüber seinem Staat und verlangt, dass auch der Staat seinen Bürgern vertraut. Dies setzt voraus, dass sich die Bürger und die Unternehmen an die Regeln halten. Dies wird allerdings sehr erschwert, wenn die Regelungsdichte alle überfordert – selbst die Verwaltung – und das Recht unklar bleibt.