Europa, Kolumne
Kolumne Daten­schutz­grund­ver­ord­nung

Guter Daten­schutz ist essen­zi­ell – aber mit Augen­maß!

Ab dem 25. Mai gilt die Datenschutzgrundverordnung und damit in ganz Europa ein einheitliches Datenschutzrecht. Als stark regulierte Branche wissen Versicherer sehr gut, wie sie komplexe Regulierungsaufgaben umzusetzen haben – und stehen dennoch vor einer Herausforderung.

Erinnern Sie sich noch an die Proteste gegen die Volkszählung im Jahr 1983? Tausende Menschen gingen auf die Straßen, die breite Boykottbewegung erreichte schließlich, dass die Volkszählung vor dem Bundesverfassungsgericht überprüft wurde – und schließlich erstmals das Recht informeller Selbstbestimmung höchstrichterlich bestätigt wurde.

Jedes zweite mittelständische Unternehmen ist nicht  vorbereitet

35 Jahre später nähert sich wieder ein Stichtag, der für den Datenschutz als historisch anzusehen ist: Ab dem 25. Mai kommt die Datenschutzgrundverordnung zur Anwendung. Dann gilt in ganz Europa ein einheitliches Datenschutzrecht, das Verbraucher besser schützen soll – aber besonders kleine und mittlere Unternehmen vor riesige Herausforderungen stellt: Eine Mehrheit der Mittelständler ist hierzulande noch immer völlig planlos. Eine Forsa-Umfrage, die wir in Auftrag gegeben haben, zeigt, dass jedes zweite kleinere und mittelgroße Unternehmen noch nicht auf die Datenschutzgrundverordnung vorbereitet ist. Für mich besonders erschreckend: Ein gutes Drittel (36 Prozent) der befragten Mittelständler hat vom neuen Datenschutzrecht noch nicht einmal etwas gehört.

Das ist in der Versicherungswirtschaft anders: Unsere Unternehmen arbeiten schon seit Jahren an der Umstellung. Datenschutz ist und bleibt für uns enorm wichtig, weil guter Datenschutz eine wichtige Voraussetzung für Vertrauen ist. Deshalb haben wir als erste Branche in Deutschland bereits im Jahr 2012 mit dem Code of Conduct eine freiwillige Selbstverpflichtung abgeschlossen, abgestimmt mit Datenschutzbehörden. Auch der Code of Conduct wird demnächst an das neue Recht angepasst. Wir lassen also nicht nach.

Doch auch wir Versicherer stehen vor einer Herausforderung: Debeka-Chef Uwe Laue skizziert exemplarisch im Interview mit unserem Verbandsmagazin „Positionen“, was die Umstellung konkret bedeutet: Allein die Debeka hat Gespräche und Workshops mit über 160 Mitarbeitern geführt um festzustellen, an welchen Stellen überall Handlungsbedarf ist. Zwischenzeitlich bestand ein Programm mit 14 Einzelprojekten, an denen Mitarbeiter nahezu aller Bereiche beteiligt waren. Und neben diesen enormen internen Kapazitäten hat der Konzern zusätzlich auf externe Anwälte und Projektleiter zurückgegriffen. Auch aus anderen Mitgliedsunternehmen höre ich immer wieder, welchen enormen Anpassungsbedarf im Detail das neue Datenschutzrecht erfordert.

Als stark regulierte Branche wissen unsere Unternehmen sehr gut, wie sie komplexe Regulierungsaufgaben umzusetzen haben: Nach Solvency II ist vor der Vertriebsregulierung IDD, die neuen Anforderungen an die IT (VAIT) und der internationale Rechnungslegungsstandard IFRS kündigen sich schon an. Und daneben muss auch ein solch umfassendes Projekt wie die Datenschutzgrundverordnung umgesetzt werden, während schon wieder Änderungen an den gerade abgeschlossenen Regulierungsvorhaben diskutiert werden.

Vor allem für kleinere Unternehmen ist das schwer zu stemmen. Gerade deshalb sollten Regulierungsvorhaben auch immer mit einem Blick auf die Verhältnismäßigkeit überprüft werden. Proportionalität ist hier das Stichwort. Wenn acht Prozent der Personalkosten allein auf das Konto der Aufsicht gehen, nur um die Regulierung einzuhalten, finde ich die Frage legitim und notwendig: Wer soll das stemmen?

Innovationspreis-IT der Initiative Mittelstand für GDV-Tochter VdS

Hier schließt sich der Kreis zur Datenschutzgrundverordnung und den vielen Klein- und Kleinstbetrieben in Deutschland: Wenn ein Mittelständler erst eine spezialisierte Rechtsanwaltskanzlei beauftragen muss, die sich wochenlang in den Betrieb einarbeitet, nur damit das Unternehmen mit ruhigem Gewissen behaupten kann, alles für die Umsetzung der Datenschutzgrundverordnung getan zu haben – dann schießt Regulierung über das Ziel hinaus, zumindest was die Verhältnismäßigkeit betrifft. In einem bemerkenswerten Interview hat Datenschutz-Fachanwalt Nico Härting die Vorschriften als viel zu detailverliebt kritisiert: „100 Prozent Gesetzestreue schafft keiner.“ Um Mittelständlern das Prozedere zumindest ein wenig zu erleichtern, hat unsere Tochtergesellschaft VdS anwenderorientierte Hilfestellungen gegeben – und ist dafür sogar mit dem Innovationspreis-IT der Initiative Mittelstand ausgezeichnet worden.

Natürlich gehört auch zur Wahrheit, dass in Kleinstbetrieben verschiedenster Branchen der Datenschutz bei weitem nicht den Stellenwert hat, wie bei uns in der Versicherungsbranche. Wir werden weiterhin alles für den Schutz und auch die Sicherheit der Daten unserer Kunden tun. Aber Nico Härting hat es gut formuliert: „Datenschutz-Compliance muss man sich leisten können.“

Ihr

Jörg von Fürstenwerth

Zur Startseite
Auch inter­essant