DSGVO

Forderungen zum Datenschutz

Nach fünf Jahren DSGVO hat die IHK Schleswig-Holstein Anwendung und Umsetzung auf den Prüfstand gestellt. Sorgen und Nöte der Unternehmen aus den vergangenen Jahren haben die Forderungen, die jetzt im Raum stehen, maßgeblich gestaltet.
© STOCK.ADOBE.COM/WRIGHTSTUDIO
Die DSGVO (Datenschutz-Grundverordnung) ist nun fünf Jahre alt und hat insbesondere die kleinen Unternehmen maßgeblich beschäftigt. Unsicherheiten bestanden und bestehen vor allem in der Anwendung der DSGVO, aber auch in der Umsetzung dieses Rechtsrahmens. Die IHK Schleswig- Holstein hat sich in zwei Workshops intensiv mit den Sorgen und Nöten der Unternehmen rund um den Datenschutz auseinandergesetzt.
Daraus sind zehn Forderungen zum Datenschutz hervorgegangen, die alle drei IHK-Vollversammlungen im Land verabschiedet haben. Natürlich gibt es auch eine Langfassung, insbesondere auch zu den Lösungsvorschlägen. Diese Forderungen sollen bei der Evaluierung der DSGVO im Jahr 2024 gemeinsam mit anderen Verbänden eingebracht werden. Denn eins ist sicher: Der Datenschutz steht nicht über allem und ist mit Augenmaß zu betreiben.
  1. Das Datenschutzrecht darf unternehmerisches Handeln nicht unverhältnismäßig belasten.
  2. Datenschutzregelungen müssen an der wirtschaftlichen Lebenswirklichkeit ausgerichtet sein. Das Verhältnis von Aufwand und Nutzen muss berücksichtigt werden.
  3. Forschung und Entwicklung sind wichtiger Teil unternehmerischen Handelns. Datenschutzrechtliche Regelungen dürfen hier nicht behindern.
  4. Die Datenschutzvorschriften müssen übersichtlich, verständlich, transparent und systematisch verfasst sein.
  5. Ablösung des „One size fits all“-Ansatzes durch Berücksichtigung der Belange von KMU.
  6. Datenschutzrechtliche Verpflichtungen müssen von der Größe des Unternehmens, von der Komplexität der Datenverarbeitungsstrukturen sowie von Umfang, Risiko und Qualität der Datenverarbeitung abhängig gemacht werden und dürfen nur dann zum Tragen kommen, wenn die Datenverarbeitung überraschend ist bzw. vom eigentlichen Geschäftsmodell abweicht.
  7. Sämtliche vorhersehbare Datenverarbeitung aufgrund eines Vertrages, die gesetzlich verpflichtende Verarbeitung von Daten sowie eine Datenverarbeitung im Bagatellbereich dürfen keine Dokumentations-, Abwägungs-, Nachweis- oder Informationspflichten auslösen.
  8. Es darf keine Wettbewerbsnachteile für deutsche Unternehmen geben, weil deutsches Recht über die EU-Anforderungen hinausgeht. Die Aufsichtsbehörden sollten einheitlich und mit klaren Zuständigkeiten agieren und sich auch auf EU-Ebene abstimmen.
  9. Eine anlassbezogene begründete Einzelfallprüfung durch die Aufsichtsbehörde ersetzt die umfassende Rechenschaftspflicht der Unternehmen. Bei der Auswahl der Verantwortlichen im Falle der Inanspruchnahme durch die Aufsichtsbehörde muss die Effektivität bei der Bekämpfung von Datenschutzverstößen im Vordergrund stehen.
  10. Unternehmen brauchen von den datenschutzrechtlichen Aufsichtsbehörden unterstützende praxisnahe, lösungsorientierte Beratung (verbindliche Guidance) auch durch Checklisten, Mustervorgaben und konstruktive Hinweise, um Rechtsunsicherheiten und Haftungsrisiken zu vermeiden.
Tina Möller
Veröffentlicht Juli 2023