MU-Vorsitzender Hans Michelbach: Datenschutz-Grundverordnung ist in der Praxis nicht umsetzbar.

Mittelstand geht wegen der Bürokratiekosten auf die Barrikaden

In den letzten Wochen sind viele Probleme im Zusammenhang mit der europä-ischen DSGVO erst richtig deutlich geworden. Österreich hat darauf bereits ge-setzgeberisch reagiert. Die Mittelstands-Union der CSU fordert, diesem Beispiel zu folgen.

Die MU setzt sich für einen Datenschutz ein, der praxistauglich, mittelstands- und ehrenamtsfreundlich ist. Um Wettbewerbsnachteile für deutsche Unter-nehmen zu vermeiden und um die Anwendung für Bürger, Vereine und Unter-nehmen unbürokratischer und rechtssicherer zu gestalten, müssen die Daten-schutzregeln in Bund und Ländern alle Freiheiten und Ausnahmemöglichkei-ten, die das EU-Recht lässt, vollständig ausschöpfen und dürfen nicht über den EU-Standard hinaus gehen. Gesetze, die schärfer sind als es nach EU-Recht möglich ist, müssen umgehend angepasst werden. Die Datenschutzbehörden sind zu einer Anwendung der Datenschutz-Grundverordnung (DSGVO) mit Au-genmaß auf- gerufen: Sanktionen sollen erst bei wiederholten Verstößen ver-hängt werden. Es muss insgesamt Erleichterungen insbesondere für kleine und mittelständische Betriebe, Freiberufler und Vereine mit haupt- sächlich ehrenamtlich Engagierten geben.

Daher setzt sich die MU für zeitnahe Nachbesserungen in der Rechtsanwen-dung, den Gesetzen bei Bund und Ländern sowie auch bei der DSGVO selber ein, um den von uns grundsätzlich begrüßten einheitlichen europäischen Da-tenschutzstandard im Sinne von Mittelstand und Ehrenamtlern praktikabler auszugestalten. 

Die MU fordert bei den erforderlichen Nachbesserungen vier Schwerpunkte:

Die Sanktionen für Verstöße gegen die Datenschutzregeln sollen wie in Öster-reich nur im Wiederholungsfall erhoben werden, beim ersten Verstoß soll es nur eine gebührenfreie Verwarnung mit Sanktionsandrohung geben.

Die Verpflichtung, einen Datenschutzbeauftragten zu beschäftigen, soll grund-sätzlich auf Organisationen mit 250 oder mehr Mitarbeiter beschränkt werden.

Es soll generell mehr Ausnahmen für KMU, Vereine und Organisationen mit überwiegend ehrenamtlich tätigen Vorständen bis 250 Mitarbeiter geben.

Bis die Auswirkungen der zum Teil unpraktikablen und missverständlichen Vorgaben der DSGVO nicht geklärt und die notwendigen Änderungsbedarfe definiert sind, brauchen wir ein Moratorium für die Verabschiedung der E-Privacy-Verordnung. Die Bundesregierung wird aufgefordert, die Verabschie-dung dieser Verordnung auf europäischer Ebene so lange zu verhindern.

Darüber hinaus fordert die MU im Einzelnen:

Betriebe und Organisationen bis 250 mit der Datenverarbeitung betrauten Mitarbeiter sind grundsätzlich von der Verpflichtung zu befreien, Datenschutz-beauftragte zu bestellen. Nur Organisationen, die besonders sensible perso-nenbezogene Daten in erheblichem Umfang speichern bzw. verarbeiten, sollen auch schon ab 10 Mitarbeitern verpflichtet sein, einen Datenschutzbeauftrag-ten zu bestellen. Es muss aber künftig genauer definiert werden, welche Arten von Datenverarbeitung davon betroffen ist, damit es für die betroffenen Orga-nisationen Rechtsklarheit gibt.

KMU sowie Vereine und Organisationen mit überwiegend ehrenamtlichen Vor-ständen und maximal 250 Mitarbeitern soll die Meldepflicht bei einem Verstoß von 72 Stunden auf zwei Wochen erhöht werden.

Betriebe und Organisationen mit maximal 250 Mitarbeitern sind von den Vor-schriften zur Führung eines Verfahrensverzeichnisses und Lösch-, Berechti-gungs- und Sicherheitskonzepten auszunehmen.

Im Wege einer Änderung der DSGVO sollten Sanktionen für KMU sowie Organisationen mit überwiegend ehrenamtlichen Vorständen und maximal 250 Mitarbeitern auf maximal 1 Prozent des Jahresumsatzes begrenzt werden (statt bisher 4 Prozent).

Die höchste Sanktion soll generell künftig nur bei massiven und vorsätzlichen Verstößen zulässig sein, die in einem Katalog definiert werden müssen.

Bei einer verhängten Sanktion kann die betroffene Organisation die Zahlung der Sanktion verweigern, wenn sie nachweisen kann, dass ein gleichartiger Vorgang von einer anderen in der EU ansässigen Datenschutzbehörde geprüft und nicht sanktioniert worden ist (einheitliche Rechtsanwendung zugunsten der Betroffenen).

Das Aufgabenspektrum der Landesdatenschutzbeauftragten ist um kostenlose Schulungen für Betriebe und Organisationen bis maximal 250 Mitarbeiter zu erweitern.

Angesichts dieser besonderen Umstände wird die Bundesregierung aufgefor-dert, zeitnah mit den Spitzenverbänden der Wirtschaft, Sozialorganisationen und Vereine sowie den Datenschutzbehörden auch die sonstigen Vorschriften der DSGVO auf Praxistauglichkeit zu überprüfen und Änderungsvorschläge zu erarbeiten, um noch in diesem Jahr auf europäischer Ebene eine Nachbesserung der DSGVO anzustoßen.