(Quelle: TheDigitalArtist / pixabay)

In 10 Tagen endet die Übergangfrist für die Anwendung der Datenschutz-Grundverordnung (DSGVO). Damit kommen gerade auf mittelständische Unternehmen gewichtige Veränderungen zu, die eine intensive Beschäftigung mit den Details der überaus komplexen Materie erfordern: Geschäftsmodelle müssen überdacht, sämtliche Datenverarbeitungen überprüft und neue administrative Verpflichtungen umgesetzt werden. Dies betrifft nicht nur „datengetriebene" Geschäftsmodelle, sondern auch und gerade mittelständische Unternehmen jeder Branche.

Obwohl sich der Mittelstand bereits seit Monaten um eine rechtzeitige Umsetzung der DSGVO nach Kräften bemüht, besteht in der Praxis erhebliche Rechtsunsicherheit, mitunter sogar Panik. Der Grund: Vieles ist momentan noch unklar, angefangen von Auslegungsfragen hinsichtlich des Anwendungsbereiches der einzelnen Pflichten über die Definition unbestimmter Rechtsbegriffe bis hin zu Unklarheiten im Hinblick auf die Sanktionsregeln. Auf Bundesebene gibt es nur ein geringes Informationsangebot. Die Datenschutzbehörden der Bundesländer sowie die aus diesen bestehende, übergeordnete Datenschutzkonferenz DSK geben zwar Kurzpapiere und Leitlinien heraus – diese sind aber weder einheitlich, noch umfänglich und zudem äußerst restriktiv und prädestiniert für Spekulationen und Rechtsunsicherheit.

Dies alles belastet vor allem mittelständische Unternehmen, die sich in der Zwickmühle sehen, auf der einen Seite Daten für ihr Geschäftsmodell nutzen zu wollen und zu müssen, auf der anderen Seite – aufgrund der geringen Informationslage – jedoch oftmals nicht wissen, was zukünftig erlaubt ist und was nicht. Gleichzeitig führen Diskussionen der Datenschutzbehörden über die Höhe von Bußgeldern auf der einen und das „Warmlaufen“ der Abmahnanwälte auf der anderen Seite zu einer Lähmung der digitalen Potentiale gerade im Mittelstand.

Die Bundesregierung ist daher aufgerufen, unverzüglich Maßnahmen zu ergreifen, die eine praxisgerechte Umsetzung und Anwendung der DSGVO gewährleistet.

Vorbild dazu könnte der Nachbar Österreich sein, der unlängst ein Gesetzespaket zur Abmilderung der Folgen der DSGVO verabschiedet hat. Nach dem dort nun gesetzlich verankerten Prinzip „Beraten statt strafen“ sieht das österreichische Datenschutzgesetz ausdrücklich vor, dass Geldbußen der Datenschutzbehörden wegen Verstößen gegen das Datenschutzrecht nur unter strenger Einhaltung des Grundsatzes der Verhältnismäßigkeit ausgesprochen werden sollen. Bei erstmaligen Verstößen gegen die neuen rechtlichen Vorgaben sollen vorrangig Verwarnungen – statt Strafen – ausgesprochen werden.

Eine entsprechende Maßnahme in Deutschland könnte helfen, den momentan immensen Druck der Unternehmen bei der Umsetzung der DSGVO zumindest zu verringern. Zudem könnten so – im Dialog zwischen den Beteiligten (Unternehmen-Behörden und Verbraucher) umsetzbare Lösungen gefunden werden.