LUXEMBURG
FRANK LENTZ

Am morgigen Freitag tritt die EU-Datenschutz-Grundverordnung in Kraft. Bis dahin müssen die Unternehmen ihre Datenschutzregeln an die neuen Vorschriften angepasst haben.

„Meine Mailbox füllt sich gerade mit Anfragen von mir bekannten als auch unbekannten Personen oder Organisationen, die mein Einverständnis einholen möchten, um auch nach dem Inkrafttreten der Datenschutz-Grundverordnung an diesem Freitag in Kontakt zu bleiben.

Die europäische Datenschutz-Grundverordnung, oder die ‚GDPR‘, wie sie öfters genannt wird, hat in den letzten Monaten insbesondere bei vielen klein- und mittelständischen Unternehmen für Verwirrung gesorgt, und das wird wohl auch nach dem 25. Mai noch eine Zeit so bleiben.

Natürlich ist ein verantwortungsvoller Umgang mit den eigenen und anvertrauten Daten wichtig, und die jüngste Datenschutzpanne einer großen Internetplattform wirkt nicht vertrauensbildend.

Für mittelständische Unternehmen, die bestimmt keinen Unfug mit den Daten ihrer Kunden oder Mitarbeitern anstellen möchten, bedeutet die neue Datenschutzverordnung aber in erster Linie einen zusätzlichen administrativen Aufwand und teilweise hohe Kosten.

Ab diesem Freitag reicht es nicht mehr aus, korrekt mit Daten umzugehen. Das Unternehmen muss den korrekten Umgang dokumentieren und auf Nachfrage belegen können, ansonsten saftige Geldstrafen fällig werden können.

Dass große Unternehmen mit eigenen ‚Compliance‘-Abteilungen und einem ausgefeilten Prozessmanagement den Anforderungen gerecht werden, scheint klar. Für den Bäcker, der sich plötzlich mit der Frage auseinander setzen muss, ob er die Information, dass Herr Müller allergisch auf Haselnüsse reagiert, überhaupt besitzen darf, sieht die Sache natürlich anders aus.

Die wenigsten klein- und mittelständischen Unternehmen verfügen über ein formales Prozessmanagement, welches eigentlich die organisatorische Voraussetzung darstellt, um GDPR umzusetzen. In der Praxis ist es so, dass der Unternehmenschef im laufenden Betrieb und zusätzlich zu dem, was sich noch so von administrativem Aufwand auf seinem Büro stapelt, versuchen wird, ein Verarbeitungsregister zusammenzustellen. Als ‚Fédérartion des Artisans‘ versuchen wir, wie andere Unternehmensverbände auch, unseren Mitgliedern mit Informationsversammlungen und thematischen Workshops so gut wie möglich bei der Umsetzung zur Seite zu stehen.

Trotzdem glauben wir, dass wir den Unternehmen noch etwas Zeit geben müssen, um sich auf diesem für sie neuen Gebiet zurechtzufinden. Ob es in den kommenden Monaten und Jahren durch die Datenschutz-Grundverordnung bei den Unternehmen zu einem wachsenden Bewusstsein für Datenschutzthemen kommt oder zu einem administrativen Fiasko, hängt viel davon ab, wie die neue Regelung von offizieller Stelle gehandhabt wird. Die Datenschutzkommission hat jedenfalls durchblicken lassen, dass sie in einer ersten Phase sensibilisierend und beratend vorgehen möchte, zumindest gegenüber Unternehmen, die keine oder wenige sensible Daten verwalten, wie es im Handwerk der Fall ist. Der Wille, korrekt mit persönlichen Daten umzugehen, ist in der Regel bei den Unternehmen vorhanden. Bei der Umsetzung, insbesondere bei der Dokumentierung, werden die meisten jedoch auf Hilfe und Unterstützung angewiesen sein. An diesem Punkt könnte die Regierung den Unternehmen unter die Arme greifen.“