Eine missglückte Regulierung

25.4.2018 – Was genau will der Gesetzgeber von mir und warum tut er mir das an? Das mag sich in den letzten Monaten mancher gedacht haben, der sich mit dem neuen Datenschutzrecht befasst hat. Nicht zu Unrecht, angesichts unklarer Begriffe, gummiartig anmutender Paragraphen und einer Proportionalität, die man kaum so nennen kann. Für die Betroffenen bedeutet das, dass ihnen Rechtsunsicherheit und womöglich unnötig hoher Zeit- und Finanzaufwand zugemutet wird.

Die Datenschutz-Grundverordnung (DSGVO) war ursprünglich wohl gut gemeint. Gut gemeint ist aber bekanntlich noch lange nicht gut gemacht.

Emanuel Lampert (Bild: Lampert)
Emanuel Lampert
(Bild: privat)

Ja, es braucht eine Regulierung, die möglichst verhindert, dass mit Daten Schindluder getrieben wird.

Ja, eine Anpassung des „alten“ Rechts an neue Technologien ist notwendig.

Ja, das Datenschutzrecht bedarf einer Harmonisierung, am besten international, da Datenströme keine Staatsgrenzen kennen.

Aber bitte nicht so.

Es bleibt ein Flickenteppich

Die DSGVO enthält eine ganze Reihe von „Öffnungsklauseln“, wonach auch zusätzliche nationale Spezialregelungen möglich oder geboten sind.

Das bedeutet nicht nur ein Mehr an Normen, sondern auch das Weiterbestehen eines Flickenteppichs von Land zu Land unterschiedlicher Bestimmungen. Das Ziel einer Vereinheitlichung und Vereinfachung wird so gleich von Haus aus konterkariert.

Das ist aber noch das kleinste Problem.

Schon ein flüchtiger Blick in die Verordnung genügt, um zu erkennen, welches Kleinod regulatorischen Schaffens dem Gesetzgeber hier gelungen ist.

Reichlich Gummiparagraphen

Viel schwerer wiegt zum einen, dass schon ein flüchtiger Blick in die Verordnung genügt, um zu erkennen, welches Kleinod regulatorischen Schaffens dem Gesetzgeber hier gelungen ist. Die DSGVO ist sogar eine ganz besonders prächtige Blüte im fröhlich wachsenden Garten der Regulierung.

Ein Beispiel? Artikel 32 spricht von Maßnahmen, die der Verantwortliche und der Auftragsverarbeiter zwecks Sicherheit der verarbeiteten Daten ergreifen müssen.

Dabei muss es sich um „geeignete technische und organisatorische Maßnahmen“ handeln, die „ein dem Risiko angemessenes Schutzniveau“ gewährleisten, und zwar „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintritts-Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“.

Alles klar?

Ist Verarbeitung und Verarbeitungstätigkeit das Gleiche?

Oder nehmen wir als eines von vielen weiteren Beispielen, die sich anführen ließen, den Artikel 30, ein Herzstück der Verordnung. Erster Satz: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Allerdings definiert die DSGVO gar nicht, was eine „Verarbeitungstätigkeit“ ist. Darauf weist der auf Datenschutz- und IT-Recht spezialisierte Münchener Rechtsanwalt Robert Selk in dem von Rainer Knyrim herausgegebenen Fachbuch „Datenschutz-Grundverordnung“ (2016) hin. Sehr wohl definiert ist dagegen der Begriff „Verarbeitung“.

Was Selk schließlich dazu veranlasst, erst einmal ausführlich der Frage nachzugehen, ob der Gesetzgeber mit „Verarbeitung“ und „Verarbeitungstätigkeit“ Unterschiedliches oder das Gleiche gemeint haben dürfte und was überhaupt als „eine“ (1) Verarbeitungstätigkeit anzusehen ist.

Was sagt es über die Qualität eines Gesetzes aus, wenn sich selbst solche Fragen nicht unmittelbar (wenn überhaupt) aus ihm erschließen?

Die DSGVO […] macht es einem denkbar schwer, zu verstehen, was sie eigentlich von den „Rechtsunterworfenen“ will.

Geringe Verständlichkeit, hohe Strafandrohung

Fazit: Die DSGVO mit ihren teils sprachlich schwer verständlichen und inhaltlich schmerzhaft dehnbaren Wortgeflechten macht es einem denkbar schwer, zu verstehen, was sie eigentlich von den „Rechtsunterworfenen“ will.

Die gute Nachricht: Wer es falsch macht, wird staatlicherseits aufgeklärt. Die schlechte Nachricht: Das kann richtig teuer werden. In diesem Punkt hat sich der Gesetzgeber dann nämlich doch zu einer recht klaren Regelung durchgerungen.

Die Strafe kann in die Millionen gehen und bei umsatzstarken Unternehmen noch deutlich höher sein. Nun ist es zwar eher unwahrscheinlich, dass ein Kleinunternehmen gleich die Höchststrafe trifft. Ein Großteil der Unternehmen wird in der Regel aber auch schon mit einer weit geringeren Strafe mehr als „bedient“ sein.

Eine Ausnahme, die diese Bezeichnung kaum verdient

Womit wir beim anderen Negativpunkt sind: Die DSGVO ist eine Regelung, die kaum bis gar nicht nach der Unternehmensgröße differenziert. Ob man Google heißt oder ein Ein-Personen-Unternehmen ist, ist ihr relativ egal.

Eine größenbezogene Ausnahme ist Artikel 30 – Sie erinnern sich: Verzeichnis der Verarbeitungstätigkeiten – zu entnehmen: Der fünfte Absatz bestimmt, dass Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern von den Pflichten der Absätze 1 und 2 ausgenommen sind.

Diese Ausnahme gilt aber nur, „sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt“.

Der insgesamt unglücklich formulierte Satz lässt einen nun – unter anderem – grübeln, wann ein „Risiko für die Rechte und Freiheiten“ anzunehmen ist oder was hier „nicht nur gelegentlich“ bedeuten soll.

Schwammige Empfehlung zur Proportionalität

In den Erwägungsgründen heißt es, dass die Organe und Einrichtungen der EU sowie die Mitgliedstaaten und deren Aufsichtsbehörden „dazu angehalten [werden], bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen“.

Was das konkret bedeutet, bleibt ebenso im Dunkeln wie zahlreiche andere Passagen. Das macht aber nichts: Die dem eigentlichen Verordnungstext vorangestellten Erwägungsgründe sind ohnehin nicht rechtsverbindlich.

Die DSGVO ist vor allem insofern missglückt, als sie mehr Fragen aufwirft, als sie Anleitung zur rechtskonformen Handlungsweise gibt.

Kleinere sind im Nachteil

Leider stellt sich die DSGVO also als ein in vielen Punkten wenig praxistaugliches Regelwerk dar. Nicht nur, weil sie teils überschießend ist. Sie ist vor allem insofern missglückt, als sie mehr Fragen aufwirft als sie Anleitung zur rechtskonformen Handlungsweise gibt – und damit Rechtsunsicherheit schafft.

Sie erzeugt so auch ein Ungleichgewicht zulasten kleinerer Unternehmen. Der Gesetzgeber mag nicht zuletzt die großen „Datensammler“ vor Augen gehabt haben. Immerhin legt sich die EU-Kommission immer wieder mit solchen Konzernen an.

Tatsächlich werden sich aber wohl gerade besagte Riesen wesentlich leichter tun, den Wust an Regeln zu erfüllen und sich eine firmeneigene Abteilung einschlägiger Experten zu leisten, als kleine (und mittlere) Firmen.

Letzten Endes dürften gerade Letztere angesichts der vielen Unklarheiten sicherheitshalber zu einer „Übererfüllung“ neigen, verbunden mit womöglich mehr Zeit- und Kostenaufwand als eigentlich nötig.

Ein Regulierungsrucksack, der immer schwerer wird

Unter dem Strich trägt nun also auch die DSGVO dazu bei, dass man sich als Unternehmen die Frage stellen muss, inwieweit es sich noch rechnet (und Spaß macht), etwas zu unternehmen – weil man das Gefühl nicht loswird, dass es durch das Regulierungsdickicht zunehmend zeitaufwendig, teuer und juristisch riskant wird.

Sich als Unternehmen wieder mehr dem Unternehmen als dem Studieren und Entschlüsseln von Regulierungen widmen zu können – das wär’ halt was.

Leserbriefe zum Artikel:

Thomas Oelmann - Was also soll ich dokumentieren? mehr ...

Frank Peters - Regeln sollten von Menschen gemacht werden, die auch Ahnung haben. mehr ...

Matthias Gräfinger - Nicht gleich der Untergang des Abendlandes in Sicht. mehr ...

Schlagwörter zu diesem Artikel
Datenschutz · Mitarbeiter · Regulierung · Technik
 
WERBUNG
WERBUNG
Inserieren im Anzeigenmarkt

Das VersicherungsJournal ist eines der meistgelesenen Medien in der Branche, siehe Abrufzahlen.

So finden Sie zielsicher Ihre neuen Mitarbeiter, Arbeitgeber oder Geschäftspartner. Nutzen Sie die schnelle und direkte Zielgruppenansprache zu günstigen Konditionen. Gesuche werden kostenlos veröffentlicht.

Erteilen Sie hier Ihren Anzeigenauftrag für Angebote und Verschiedenes oder Gesuche, oder lassen sich persönlich beraten!

Beachten Sie auch die Seite Aktuelles für Stellenanbieter.

WERBUNG
VersicherungsJournal in Social Media

Besuchen Sie das VersicherungsJournal auch in den sozialen Medien:

  • Facebook – Ausgewähltes für den Vertrieb
  • Twitter – alle Nachrichten von VersicherungsJournal.de
  • Xing – über den Verlag
  • Xing News – Ausgewähltes zu Karriere und Unternehmen
  • Youtube – Hintergründe zum Buchprogramm
WERBUNG
Von welchen Gesellschaften wollen die Vertreter weg?

Wie steht es um die Wechselbereitschaft in der Versicherungswirtschaft?

Neue Erkenntnisse der Studie „Betriebswirtschaftliche Struk- turen des Versicherungsver- triebs – BVK-Strukturanalyse 2016/2017“ erfahren Sie hier.

Ihr Wissen und Ihre Meinung sind gefragt

Ihre Leserbriefe können für andere Leser eine wesentliche Ergänzung zu unserer Berichterstattung sein. Bitte schreiben Sie Ihre Kommentare unter den Artikel in das dafür vorgesehene Eingabefeld.

Die Redaktion freut sich auch über Hintergrund- und Insiderinformationen, wenn sie nicht zur Veröffentlichung unter dem Namen des Informanten bestimmt ist. Wir sichern unseren Lesern absolute Vertraulichkeit zu. Schreiben Sie bitte an redaktion@versicherungsjournal.de.

Allgemeine Pressemitteilungen erbitten wir an meldungen@versicherungsjournal.de.

WERBUNG
Erfolgreich Kunden gewinnen, rechtliche Stolpersteine vermeiden

WettbewerbsrechtEs gibt viele rechtliche Fallstricke, über die ein Vermittler bei seinen Werbeaktionen stolpern kann. Das VersicherungsJournal-Praktikerhandbuch erklärt in aktualisierter Auflage, wie sie zu umgehen sind.

Mehr Informationen und zur Bestellung...

Diese Artikel könnten Sie noch interessieren
24.11.2017 – Angesichts geringer Zinserträge rückt die Schadenregulierung der Versicherer immer mehr in den Fokus des Interesses. Auf einem Kongress wurden neue Ideen zur effizienten Regulierung vorgestellt. (Bild: Schmidt-Kasparek) mehr ...
 
10.11.2015 – Die digitale Technik entwickelt sich schneller als Rechtsfragen angegangen und geklärt werden. Über die „weißen Flecken“ im Rechtssystem und ihre Beseitigung wurde in Köln diskutiert. (Bild: Lier) mehr ...
 
30.4.2018 – Die Maklergenossenschaft Vema hat auf ihrem diesjährigen Kongress den Chef eines namhaften Vermittlerverbandes zur IDD-Umsetzung sprechen lassen. Der hatte für die anwesenden Makler gute, aber auch schlechte Nachrichten. (Bild: Pohl) mehr ...
 
20.4.2018 – Das Thema Datenschutz wird derzeit so strapaziert wie kaum ein anderes. Dennoch ignorieren viele Klein- und Mittelbetriebe offenbar bisher den Stichtag 25. Mai. Neuste Umfragen schlagen Alarm: Viele Unternehmen riskieren Bußen und anderen Ärger. (Bild: Absolit) mehr ...
 
21.3.2018 – Auf der MMM-Messe in München präsentierte der Maklerpool gestern neue Lösungen für die angeschlossenen Versicherungsmakler und die neuesten Geschäftszahlen. (Bild: Meyer) mehr ...
 
15.2.2018 – Die Tagesarbeit von Maklern ist oft zäh und aufwendig. Was Abhilfe schafft, wurde am Beispiel Arbeitsverträge im Maklerbüro sowie Chancen und Risiken der Zusammenarbeit mit Assekuradeuren kürzlich auf einem Kongress in Hamburg beleuchtet. (Bild: Pohl) mehr ...
 
7.2.2018 – Der „Hiscox Cyber Readiness Report 2018“ offenbart bei deutschen Unternehmen im internationalen Vergleich nach wie vor überdurchschnittliche Defizite bei der Cyber-Sicherheits-Problematik. Sie setzen daher nicht zuletzt auf die Expertise der Versicherer. (Bild: Hiscox) mehr ...
WERBUNG