Zurück in die Zukunft?

Juni 2018 | Wirtschaftswoche | Der starke Mittelstand

Zurück in die Zukunft?

Vernetzung, Industrie 4.0, digitale Vertriebskanäle – der Mittelstand nimmt die Digitalisierung verstärkt in Angriff. Ausgerechnet jetzt verunsichert die neue EU-Datenschutzverordnung viele Unternehmen.

Illustration: Agata Sasiuk
Klaus Lüber / Redaktion

Ein mittelständischer Produktionsbetrieb für Spielwaren verkauft direkt an Verbraucher. Der Betrieb hat 40 Beschäftigte in der Produktion am Band, fünf Beschäftigte im Versandbereich, welche die Waren verpacken und adressieren sowie sieben Beschäftigte in der Verwaltung, welche die Finanzbuchhaltung, die IT, das Personal sowie Werbeaktivitäten betreuen. Dabei werden regelmäßig personenbezogene Daten der Beschäftigten und der Kunden verarbeitet, zum Beispiel im Rahmen der Lohnabrechnung, Finanzbuchhaltung, Werbeaussendung per Brief oder E-Mail/Newsletter, des Betriebs einer Website für Online-Bestellungen und der Videoüberwachung im Versandbereich zum Diebstahlschutz bei Selbstabholern.

Die Firma gibt es nicht wirklich, sie ist ein Muster, entworfen vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), um Hilfestellung bei einem Thema zu geben, das seit Wochen und Monaten große Teile der deutschen Wirtschaft in helle Aufregung versetzt: Seit 25. Mai gilt ein neues, europaweites Datenschutzrecht, die sogenannte EU-Datenschutzgrundverordnung (DSGVO). Darin wird die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden neu geregelt. Im Kern müssen Unternehmen künftig aktive Einwilligungen zur Datenverarbeitung einholen und dabei einen konkreten Verwendungszweck angeben.

Verunsicherung unter den KMU

Viele Wirtschaftsverbände kritisieren das Gesetz als Bürokratiemonster, das mehr schadet als nützt. „Wir müssen alle gemeinsam an einem hohen Datenschutzstandard in der EU arbeiten“, so DIHK-Präsident Eric Schweitzer. „Aber 88 Seiten Europäische Datenschutzgrundverordnung mit 99 Artikeln leisten das nicht. Im Gegenteil: Hunderttausende Unternehmern, die im Alltag sehr sensibel mit den Daten ihrer Kunden und Mitarbeiter umgehen, sind wegen vieler in der Praxis ungelöster Fragen zutiefst verunsichert.“ Kaum einer, so Schweitzer weiter, könne heute rechtssicher einen Webshop aufmachen oder weiterführen ohne Fachanwalt im IT-Recht und im Datenschutzrecht.

Mittelstandspräsident Mario Ohoven befürchtet als Folge der neuen Datenschutzgrundverordnung hohe Umsatzeinbußen. „Aus Angst vor hohen Strafen bei unbeabsichtigten Verstößen gegen die Neuregelung verzichten viele Mittelständler auf Umsatz beim E-Commerce, indem sie ihren Online-Auftritt deaktivieren“, so Ohoven. Statt den Mittelstand 4.0 zu fördern, leiste die DSGVO einen Beitrag zur „Entdigitalisierung der Wirtschaft“. Er fordert die Bundesregierung auf, die Sanktionen bei Verstößen gegen die Neuregelung für ein halbes Jahr auszusetzen.

Um zu verdeutlichen, was sich konkret ändert, benennt das BayLDA im Beispiel eine Liste von zehn wesentlichen Anforderungen, die das KMU in Zukunft zu erfüllen hat (www.lda.bayern.de/de/kleine-unternehmen.html). Zum Beispiel müssen Unternehmen einen Datenschutzbeauftragten benennen. Allerdings nur, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – beim Spielwarenhersteller ist das nicht der Fall. Notwendig dagegen sind etwa die Führung eines Verarbeitungsverzeichnisses und vielfältige Informations- und Auskunftspflicht gegenüber Beschäftigten und Kunden, darunter zum Beispiel auch ein Hinweis zur Videoüberwachung, die die Firma im Videobeispiel einsetzt.

Insgesamt zwölf solcher konkreten Szenarien hat die Bayerische Datenschutzbehörde inzwischen erarbeitet und zum Download zur Verfügung gestellt. Darunter, neben dem zitierten Produktionsbetrieb auch Kfz-Werkstätten, Arztpraxen, Bäcker und Handwerksbetriebe. Ziel sei es, den Unternehmen die Angst vor den neuen Regelungen zu nehmen und unnötige Panik zu vermeiden.

Zwar freue es die Behörde, dass der Datenschutz in der Praxis stärker im Fokus liege, wie in einer Presseerklärung zu lesen war. „Andererseits zeigen bei uns eingehende, durchaus etwas verängstigte Anrufe, dass, aus welchen Gründen und von wem auch immer, diese Verunsicherung hinsichtlich der DSGVO möglicherweise bewusst gefördert wird.“ So kursieren etwa Gerüchte, wonach sämtliche Kundendaten sofort gelöscht werden müssten, Mitgliederlisten von Vereinen vollständig neu erarbeitet und Vereinsvorstände mit sofortiger Wirkung zurücktreten müssten. Allesamt „kuriose Anforderungen“, die nichts mit den realen Anforderungen zu tun hätten, so der BayLDA.

Zurück zum Internet 1.0?

Auf einer etwas grundsätzlicheren Ebene hat die Debatte inzwischen quasi-ideologische Züge angenommen. Blogger und Netzaktivisten, darunter auch der Digitalexperte und Spiegel-Online-Kolumnist Sascha Lobo, wollen in der öffentlichen Irritation um die DSGVO ein tieferliegendes Problem erkannt haben: „Es kommt mir vor, als entferne sich die digitale Gesellschaftsrealität immer weiter von den Zielen und Leitlinien des Datenschutzes, als kämpften viele Datenschützer für ein Internet in den Grenzen von 2004, kurz bevor Facebook erfunden wurde.“ Ein bemerkenswerter Satz von jemandem, der sich selbst schon seit langem in Datenschutzfragen engagiert. Die Gefahr, so Lobo weiter, liege in einem unguten Paternalismus, der weniger große Plattformen wie Facebook in ihrem unverantwortlichen Umgang mit Nutzerdaten treffe, sondern kleinere Firmen und Initiativen, die aus Angst vor Abmahnungen Projekte einstampfen oder gar nicht erst starten.

Die Entgegnung ließ nicht lange auf sich warten. In einem ausführlichen Post auf seiner Website verteidigt der EU-Abgeordnete Jan Philipp Albrecht, selbst maßgeblich am neuen Datenschutzgesetz beteiligt, das DSGVO gegen den Vorwurf, Datenschutz zu verkomplizieren und unternehmerisches Handeln zu hemmen. Die neue Regelung sei eben auch Effekt einer Forderung von vielen BürgerInnen nach mehr Kontrolle über ihre Daten. Dass dies ein Mehraufwand für viele Beteiligten bedeute, sei richtig, aber auch begrüßenswert. Es sei gut, „dass jetzt an vielen Orten ein Datenschutz-Frühjahrsputz stattfindet und auch kleine Unternehmen, Vereine oder Blogger sich endlich mal Gedanken machen, welche Daten sie eigentlich erheben, warum, und ob das wirklich so nötig ist.“

Noch wichtiger als solche Grundsatzdebatten dürfte für die Unternehmen die Haltung der Bundesregierung sein. Mit ihrer Äußerung, nach Möglichkeiten zu suchen, das Regelwerk für Deutschland zu lockern, sorgte die Bundeskanzlerin Merkel Mitte Mai für einige Verwirrung. Etwas klarer formulierte es Digitalministerin Dorothee Bär auf dem Portal deutschland.de: „Jetzt führen wir die DSGVO erst einmal ein und sammeln Erfahrungen.“ Abgesehen davon sei bereits für 2020 eine grundlegende Evaluierung vorgesehen. „Da kann Deutschland dann auch sein Gewicht in die Waagschale werfen.“