Am 25. Mai tritt das neue europäische Datenschutzrecht in Kraft. Die Datenschutzgrundverordnung (DSGVO) sorgt seit Monaten für Aufregung bei Unternehmerinnen und Unternehmern. Ob die Sorgen berechtigt sind und was auf die Betriebe jetzt zukommt, erklärt EU-Justizkommissarin Vera Jourova im Interview mit dem Deutschen Handwerksblatt.
DHB: Das Handwerk wünscht sich schon seit Jahren eine schlankere Rechtsordnung und befürchtet, dass mit der DSGVO einmal mehr ein Bürokratiemonster auf die Betriebe zukommt. Werden Sie eine Evaluierung durchführen und gegebenenfalls die Regeln lockern?
Hier finden Sie eine kompakte Checkliste für Ihren Betrieb und mehr Erläuterungen zum neuen europäischen Datenschutzrecht.
Jourova: Ich verstehe die Bedenken, kann das Handwerk aber beruhigen: Die Verpflichtungen aus der Datenschutzgrundverordnung betreffen vor allem Unternehmen, die große Datenmengen verarbeiten oder risikobehaftete Datenverarbeitungsprozesse durchführen. Dazu zählen Handwerksbetriebe in der Regel nicht. Eine kleine Bäckerei braucht also beispielsweise keine Datenschutzfolgenabschätzung. Das ist Humbug.
Handwerksbetriebe müssen ihren Kunden auch keine spezifischen Datenschutzinformationen zukommen lassen, wenn diese wissen, dass ihre personenbezogenen Daten von dem Betrieb verwendet werden und zu welchem Zweck, zum Beispiel zur Lieferung des Produkts.
Die Europäische Kommission wird die Datenschutzgrundverordnung natürlich regelmäßig überprüfen und bewerten. Einen ersten ausführlichen Bericht planen wir für Mai 2020.
Auch Handwerker profitieren von den neuen Regeln
DHB: Warum gibt es keine Ausnahmen oder Erleichterungen für Kleinstunternehmen? Der Small Business Act versprach, Wachstumshindernisse für KMU auf der europäischen Ebene zu beseitigen, zum Beispiel durch Abbau von Bürokratie ...
Jourova: Da muss ich widersprechen: Denn wir schaffen mit der DSGVO Wachstumshindernisse auf europäischer Ebene ab, gerade auch für kleine Unternehmen. So werden zum Beispiel Formalitäten wie allgemeine Meldepflichten abgeschafft, die in vielen Mitgliedstaaten üblich waren. Und wir haben künftig EU-weit eine einzige Datenschutzregelung, mit einem einzigen Ansprechpartner und einer einheitlichen Auslegung der Vorschriften. Davon profitieren auch Handwerker, die ihre Produkte oder Dienstleistungen in anderen Mitgliedstaaten anbieten. Sie brauchen sich keinen Anwalt mehr zu nehmen, um sich an Regelungen dort anzupassen.
Und wer die Regeln der aktuell geltenden Datenschutzrichtlinie einhält, sollte mit der Umsetzung der Datenschutzgrundverordnung keine allzu großen Schwierigkeiten haben. Die Grundprinzipien haben sich nicht geändert.
Wenn ein Handwerksbetrieb nur für eigene Zwecke Informationen über seine Mitarbeiter oder Kunden speichert und diese nicht weiterverkauft, muss er im Grunde nur dafür sorgen, dass diese Daten sicher aufbewahrt sind. Leider wurden viele kleinere Firmen darüber oft von den nationalen Stellen nicht ausreichend informiert und sind nun verunsichert. Die Kommission wird deshalb in Kürze eine Aufklärungskampagne starten, die sich speziell an kleinere Betriebe richtet.
DHB: Hat die EU die DSGVO einer Folgenabschätzung unterzogen, bevor sie in Kraft trat? Haben Sie also den Entwurf Wirtschaftsverbänden und Betroffenen gezeigt und deren Meinung zur Umsetzbarkeit eingeholt?
Jourova: Die DSGVO ist das Ergebnis einer mehr als zweijährigen, umfassenden Konsultation aller wichtigen Akteure, in deren Rahmen es 2009 beziehungsweise 2010/2011 auch zwei öffentliche Konsultationsphasen gab. Die Kommission hat vor Vorlage ihres Vorschlags natürlich auch eine Folgenabschätzung politischer Alternativen vorgenommen, also andere Lösungsmöglichkeiten geprüft. Aus der Folgenabschätzung ergab sich, dass die im Vorschlag für die DSGVO vorgesehene Option unter anderem zu erheblichen Verbesserungen in Bezug auf Rechtssicherheit und Verwaltungsaufwand und zu einer größeren Kohärenz der Durchsetzung der Datenschutzvorschriften führen würde.
Enge Zusammenarbeit der nationalen Datenschutzbehörden
DHB: Für die Verfolgung von Verstößen sind die jeweiligen Mitgliedstaaten zuständig. Es gibt Befürchtungen, dass deutsche Behörden wieder besonders gründlich auf die Umsetzung der Regeln achten werden und andere Länder möglicherweise entspannter an die Sache herangehen. Wie wollen Sie verhindern, dass hier deutliche Diskrepanzen zwischen einzelnen Ländern entstehen?
Jourova: Wir haben künftig nicht nur europaweit einheitliche Datenschutzvorschriften, sondern auch eine wesentlich engere Zusammenarbeit der nationalen Aufsichtsbehörden. Im neuen Europäischen Datenschutzausschuss, dem die Leiter der nationalen Datenschutzbehörden angehören, wird die einheitliche Anwendung regelmäßig überwacht. Die DSGVO führt auch den sogenannten "One-Stop-Shop"-Mechanismus ein, der die Zusammenarbeit zwischen den Datenschutzbehörden gewährleistet, wenn die Tätigkeit eines Unternehmens Datenverarbeitungsvorgänge in mehreren Mitgliedstaaten umfasst. Es gibt einen einzigen Ansprechpartner für das Unternehmen und eine einheitliche Auslegung der Vorschriften durch die oberste Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des Unternehmens befindet.
DHB: Hat die EU jetzt ein schlagkräftiges Werkzeug, um Datenschutzverstößen von Facebook, WhatsApp und Co. wirksam begegnen zu können? Denn diese sind ja eindeutig eher die Adressaten solcher Regelungen als der kleine Bäckerladen um die Ecke, oder?
Jourova: Ja, denn die DSGVO ermöglicht eine bessere Durchsetzung der Datenschutzvorschriften. Sie sorgt dafür, dass alle nationalen Aufsichtsbehörden absolut unabhängig handeln und mit den gleichen Befugnissen ausgestattet sind. Und die neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heißt Unternehmen mit Sitz außerhalb Europas müssen dieselben Vorschriften befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.
Schauen Sie sich den aktuellen Facebook-Skandal an: Mit der neuen Datenschutzgrundverordnung bräuchte Facebook die Einwilligung des Einzelnen, zunächst für seine Plattform und dann noch einmal für die App, mit deren Hilfe der Forscher Alexandr Kogan die Nutzerdaten gesammelt und dann an Cambridge Analytica verkauft hat. Und das Unternehmen müsste den Nutzern klar sagen, zu welchem Zweck ihre Informationen gesammelt werden.
Wenn die Zahl der Betroffenen überschaubar ist, drohen keine drakonischen Strafen
Und wer sich nicht an die Regeln hält, dem drohen empfindliche Strafen. Bei möglichen Strafen von bis zu vier Prozent des weltweit erzielten Jahresumsatzes können Sie davon ausgehen, dass auch globale Unternehmen und Internetgiganten ein Interesse daran haben, die Regeln einzuhalten.
Und was den kleinen Bäckerladen betrifft: Ich bin sicher, dass die nationalen Behörden da auf die Verhältnismäßigkeit der Sanktionen achten. Es gibt klare Kriterien: Wenn ein Unternehmen kooperiert oder die Zahl der Betroffenen überschaubar ist, muss es auch keine drakonischen Strafen befürchten. Wenn eine Firma hingegen ein Datenleck verschleiert und wenig zur Aufklärung beiträgt, werden die Behörden Ernst machen.
DHB: Frau Jourova, vielen Dank für das Gespräch.
Die Fragen stellten Anne Kieserling und Michael Block.
Mehr Informationen zum neuen Datenschutzrecht finden Sie hier
und auf den Seiten des Zentralverbands des Deutschen Handwerks (ZDH) mit einem Interview des Datenschutzbeauftragten Dr. Markus Peifer sowie Musterformularen.
Text:
Anne Kieserling /
handwerksblatt.de
Kommentar schreiben