Sechs Thesen zur Reduzierung von Bürokratiekosten in Europa

Beispiel 4: Vorgaben zum Datenschutz verursachen unnötigen Aufwand.

Die EU-Kommission und auch einzelne Regierungen der EU-Mitgliedstaaten haben verlauten lassen, sie wollten Bürokratielasten senken, um Wettbewerbsfähigkeit von Unternehmen zu stärken. Doch wie realistisch ist es, dass Gesetze und Vorgaben wirklich in großem Umfang gestrichen werden?

Die Stiftung Familienunternehmen legt zum Abschluss ihres empirischen Forschungsprojekts zu Bürokratiekosten in Europa ein Thesenpapier vor. Darin plädieren die Forscher des Centres for European Policy Network (CEP) und der Prognos AG für einen Perspektivwechsel in Richtung Verwaltungsvollzug: Wie kann man einem Unternehmen in der EU ermöglichen, sich möglichst unkompliziert rechtmäßig zu verhalten? Welche praktischen Maßnahmen würden helfen, den Aufwand zu reduzieren und Berichtspflichten für Unternehmen handhabbarer zu machen?

Die Forscher meinen: Kurzfristig wäre schon viel gewonnen, wenn das Design digitaler Lösungen streng nutzerorientiert wäre und die Informationsbeschaffungskosten nicht regelmäßig so hoch wären. Auch bei den gut gemeinten Ausnahmeregeln wäre weniger mehr.

Die Wissenschaftler ziehen damit Lehren aus dem umfassenden Forschungsprojekt der Stiftung Familienunternehmen, zu dem sie heute den vierten und letzte Teil vorlegt. Es handelt sich um vier Einzeluntersuchungen zu den Themen A1-Bescheinigung, Entsenderichtlinie, Transparenzregister und – nun aktuell – zur Datenschutz-Grundverordnung (DSGVO).

Die DSGVO ist genau seit genau fünf Jahren in Kraft: ein Normenwerk mit 99 Artikeln und 173 erläuternden Erwägungsgründen. Der Befund der neuen Studie: Für international tätige Unternehmen ist es höchst aufwendig, im Detail den unterschiedlichen Vorgaben in den einzelnen Mitgliedsländern zu entsprechen und daraus die richtigen Aktionen abzuleiten. Dabei wäre eine Harmonisierung der notwendigen Angaben und das Arbeiten mit festen Vorlagen zum Ankreuzen sehr einfach zu machen.

Die empirische Studie von CEP und Prognos, die sich auf eine Vielzahl von Interviews stützt, untersucht vier Mitgliedsstaaten der EU: Deutschland, Frankreich, Italien und Österreich. Betrachtet wurden die Regelungsdichte und die ökonomischen Kosten in der Unternehmenspraxis.

Unklare Definition einer Verarbeitungstätigkeit und einer Schutzverletzung

Die Forscher betrachten beispielhaft den administrativen Aufwand durch die Pflicht, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen (Art. 30 der DSGVO). Hier sollen der Zweck der Verarbeitung, die Art der Daten, die Weitergabe an Dritte oder die Löschungsfristen aufgelistet sein.

Aber was genau ist eine Verarbeitungstätigkeit? Welcher Abstraktionsgrad ist erlaubt? Österreich und Italien lassen ihre Unternehmen mit der Definition ziemlich allein. Welche Tätigkeiten müssen wie detailliert und mit welchen zusätzlichen Informationen aufgelistet werden? Das unterscheidet sich von Land zu Land. Es gibt teilweise keine Vorlagen – oder nicht immer verständliche. Auch die Beratung durch die jeweiligen Datenschutzbehörden fällt höchst unterschiedlich aus.

Ähnlich verloren sind die Unternehmen beim Thema „Meldungen von Verletzungen des Schutzes personenbezogener Daten“ (Art. 33 DSGVO). Hier fragt jedes Land etwas andere Informationen ab, mal mehr, mal weniger als in der Verordnung verlangt. Besonders schwer haben es die Unternehmen in Frankreich. Sie können Eingaben im Meldeverfahren nicht speichern; jede Korrektur führt sie damit an den Beginn der Prozedur. Die befragten Unternehmen wünschen sich standardisierte, zeitsparende Online-Lösungen für die ganze EU.

Dazu Prof. Kirchdörfer, Vorstand der Stiftung Familienunternehmen: „Verantwortlicher Umgang mit sensiblen Daten – dafür setzen sich Familienunternehmen seit jeher ein. Aber das muss ohne diese ausufernde Bürokratie möglich sein. Jedes Land, ja jedes Bundesland möchte sich hier selbst verwirklichen. So wird der Datenschutz zur Last, verursacht unnötige Kosten und mindert die Wettbewerbsfähigkeit unserer Unternehmen.“