Beim Datenschutz übertreibt es der Gesetzgeber
Ein Mittelständler wollte sich den Aufwand, ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ anzulegen, eigentlich ersparen. Dabei handelt es sich um die Sammlung aller personenbezogenen Daten, über die das Unternehmen verfügt. Schließlich erlaubt die Datenschutz-Grundverordnung der EU eine Ausnahme für Unternehmen unter 250 Beschäftigten. Aber daraus wurde nichts, weil die Voraussetzungen für die Ausnahme unverständlich sind. Die angekündigte Ausnahmeregelung, die kleinen Unternehmen Bürokratie ersparen soll, gibt es nur auf dem Papier.
Unklare Rechtslage
Art. 30 Abs. 5 der Datenschutz-Grundverordnung (DSGVO) stellt kleine und mittlere Unternehmen von der Pflicht, ein Verarbeitungsverzeichnis anzulegen, frei, es sei denn, die Verarbeitung der personenbezogenen Daten birgt „ein Risiko für die Rechte und Freiheiten“ der betroffenen Personen. Oder sie erfolgt „nicht nur gelegentlich“. Was heißt: Risiko für die Rechte und Freiheiten einer Person. Aber was heißt „gelegentlich“?
Hohe Bußgeldandrohung
Wer gegen Art 30 Abs.5 DSGVO verstößt, muss mit einem Bußgeld von bis zu 10 Millionen Euro rechnen. Datenschützer weisen darauf hin, dass bei einem Verstoß durch einen Mittelständler das Bußgeld natürlich deutlich niedriger ausfallen würde. Wie tröstlich!
Nicht wenige Betriebe haben schon Mitarbeiter erlebt, die so verärgert sind, dass sie ihrem Arbeitgeber gern Schaden zufügen würden. Die DSGVO in Verbindung mit dem seit 1. Januar 2023 geltenden Hinweisgeberschutzgesetz bietet ihnen dazu eine „gute“ Gelegenheit, ihren Arbeitgeber anzuzeigen. Auch dieses Risiko führt zur Übererfüllung von Gesetzen und damit zu unnötiger Bürokratie.
Verarbeitungsverzeichnisse dienen keinem betrieblichen Zweck
Die EU-Verordnung verlangt, dass Unternehmen sämtliche Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, erfassen, in ein Verzeichnis aufnehmen und dies aktuell halten. Es müssen unter anderem dokumentiert werden: die Firmendaten (Name, Adresse, Geschäftsführer etc.), die verarbeiteten Daten (z.B. Kundendaten), den Zweck, wofür sie verarbeitet werden (z.B. Rechnungserstellung), die Kontaktdaten des für die Verarbeitung Verantwortlichen im Unternehmen, die betroffenen Personen (z.B. Kunden) und die Empfänger der Daten (z.B. Steuerberater).
Es gibt gesetzliche Dokumentationspflichten (z.B. Erfassung der abnutzbaren Anlagegüter), die einem betrieblichen Zweck dienen und deshalb akzeptiert werden und wenig zusätzlichen Aufwand darstellen. Betriebe würden ohne DSGVO in der Regel keine Verzeichnisse darüber anlegen, welche personenbezogenen Daten sie verarbeiten, erst recht keine Handwerksbetriebe. Deshalb belasten solche Dokumentationspflichten Betriebe in besonderem Maß.
Schreiben Sie uns!
Haben Sie selbst ein Beispiel erlebt, bei dem die Bürokratie so zugeschlagen hat, dass Sie fassungslos waren? Und Sie möchten, dass davon auch andere erfahren? Dann schreiben Sie uns eine Mail an mein-bericht@focus.de.
Unverständliche Vorschriften führen zur Übererfüllung
Aus Sorge, gegen Vorschriften, die völlig unklar sind, zu verstoßen, bei denen zudem ein hohes Bußgeld droht, befolgen viele Unternehmen die gesetzlichen Anforderungen, ohne es eigentlich tun zu müssen. So ist es auch mit Art 30 Abs. 5 DSGVO. Es gibt kaum Unternehmen - gleich welcher Größenordnung -, die sich trauen, auf Verarbeitungsverzeichnisse zu verzichten. Eine Besonderheit: Die Landesdatenschutzbeauftragten empfehlen auch noch den Betrieben unter 250 Beschäftigten, die Dokumentationen anzulegen, da sie selbst das Risiko eines Gesetzesverstoßes mangels Rechtsklarheit für zu groß halten.
Respekt, liebe EU! Eure mittelstandspolitische Heldentat, Betriebe unter 250 Beschäftigten von dieser Bürokratie zu verschonen, ist gründlich schiefgegangen.
Was sind die Gründe für unverständliche Vorschriften?
Wir dürfen dem Gesetzgeber unterstellen, dass er klar zum Ausdruck bringen will, welche Pflichten er Unternehmen und Bürgern auferlegen will. Wir dürfen aber gleichzeitig davon ausgehen, dass die Abgeordneten häufig selbst nicht wissen, was nun genau gemeint ist – von einigen wenigen Experten und Eingeweihten ausgenommen. Es liegt also offensichtlich daran, dass die Sachverhalte, die geregelt werden, entweder ohnehin sehr kompliziert sind. Oder der Gesetzgeber will alles perfekt regeln und versieht jede Vorgabe mit Ausnahmen, die möglichst jeden Sonderfall erfassen. Oder er lässt sich von dem Misstrauen leiten, der Bürger werde sich nicht an die Gesetze halten, weshalb er ihn dokumentieren lässt, was er macht, um die Gesetzeseinhaltung besser kontrollieren zu können.
Bei der Formulierung des Art 30 Abs. 5 DSGVO dürfte sowohl das Motiv der Perfektion als auch das Misstrauen eine Rolle gespielt haben.
Unverständliches Recht gefährdet die Demokratie
Wenn der Bürger Vorschriften nicht versteht, die er einhalten soll, um keine Strafe riskieren zu müssen, verliert er das Vertrauen in den Staat. Es gefährdet die Rechtsstaatlichkeit, da die Bürger nicht sicher sein können, welche Konsequenzen ihr Handeln hat. Dazu muss aber klar sein, was das Gesetz beinhaltet.
Demokratie lebt vom Vertrauen des Bürgers gegenüber seinem Staat und verlangt, dass auch der Staat seinen Bürgern vertraut. Dies setzt voraus, dass sich die Bürger und die Unternehmen an die Regeln halten. Dies wird allerdings sehr erschwert, wenn die Regelungsdichte alle überfordert – selbst die Verwaltung – und das Recht unklar bleibt.
Problemlösung
Auch Kolumnen sollten sich nicht darin erschöpfen, nur zu analysieren und zu kritisieren. Was würde also helfen, Gesetze verständlicher zu machen?
Im Rechtsetzungsverfahren sollte ein Bürokratiefilter angelegt werden, bei dem mithilfe eines Praxischecks unter Beteiligung von Bürgern und Unternehmen, die von der Norm betroffen wären, prüfen, ob sie mit der Vorschrift zurechtkommen würden.
Wie unsinnig manche Regelungen sind, zeigten bereits Beispiele des Leiterbeauftragten und des Lieferketten-Wahnsinns. Daher ist unser Ansinnen, einen Bürokratieabbau anzustoßen.