Da kann ich nur sagen, da würde ich als Thüringer Mittelständler oder als Vereinsvorsitzender von einem kleinen Verein auch nervös werden, weil das nämlich anzeigt, dass da offensichtlich jemand gern über das Ziel hinausschießen möchte.
Ich habe einen Vorschlag für ihn. Ich kann ihm vorschlagen, er soll doch mal mit seinen Kollegen aus der Datenschutzbehörde in den nächsten zwölf Monaten nicht die Verfahrensverzeichnisse von Feuerwehrvereinen oder die E-Mail-Löschroutinen bei irgendwelchen Bäckereien prüfen, sondern dabei helfen, bei der Aufbaubank Förderanträge auszufertigen oder beim BAMF vielleicht die Asylanträge schneller zu bearbeiten. Da hätte er dem Freistaat mehr geholfen, liebe Freunde.
Ich will das auch sagen, weil die Bundesdatenschützerin mit einer viel maßvolleren Art und Weise vorgeht, weil sie klipp und klar sagt: Jawohl, wir sehen, was da am Markt passiert. Wir wollen deswegen mehr mit Maß und Mitte vorgehen. Übrigens tut ein Großteil der Landesdatenschutzbeauftragten dasselbe.
Jetzt mal zur geschichtlichen Wahrheit, Frau Henfling. Wer war denn im Europaparlament zuständiger Berichterstatter für diese Richtlinie? Wer war es?
Das war Jan Philipp Albrecht, Ihr grüner Berichterstatter, der jetzt zukünftig Minister in Schleswig-Holstein wird, der hat diese Agenda gepuscht. Bitte keine Ammenmärchen hier, sondern bei der Wahrheit und bei den Fakten bleiben!
Damit wir jetzt mal keine Missverständnisse aufkommen lassen: Natürlich braucht die Digitalisierung auch einen sinnvollen, klugen und überlegten Umgang mit Daten.
Das bedeutet aber, dass wir klar regeln, wie Datensouveränität aussieht. Das ist etwas, was wir als Union natürlich auch als Grundmaßstab haben, weil wir im Umgang mit personenbezogenen Daten klare Maßstäbe wollen und weil wir auch ein einheitliches Spielfeld in Europa wollen. Trotzdem – und darum geht es doch – müssen wir uns die Frage stellen, was rechtliche Regelungen für Konsequenzen für diejenigen haben, die es im täglichen Um
feld anzuwenden haben. Genau aus dem Grund fordern wir, dass wir einen Datenschutz brauchen, der praxistauglich ist, der mittelstands- und ehrenamtsfreundlich in Thüringen angewandt werden kann.
Das, was wir jetzt erleben, hat ja nicht nur notwendigerweise was mit der reinen Datenschutz-Grundverordnung an sich zu tun, sondern vor allen Dingen auch mit den Ausgestaltungsoptionen und Möglichkeiten, die sich Landesdatenschutzbeauftragte suchen. Da zitiere ich noch mal aus besagtem Interview von heute: „Ich bin froh, dass uns die Grundverordnung Werkzeuge an die Hand gibt, die wir vorher nicht hatten. Ich habe nichts gegen Kompetenzen. Ich mag Befugnisse und freue darauf.“ Verbunden mit der Schlagzeile „Ab Montag sind Bußgelder fällig“ ist das, glaube ich, eine ziemlich klare Botschaft, wie das interpretiert wird. Darum geht es doch,
das ist eine Kampfansage gegen kleine Unternehmen, gegen kleine Vereine und dagegen wenden wir uns als Union. Jetzt will ich es mal praktisch machen, denn in Lebensbezügen versteht man es, glaube ich, besser: Wenn Sie in einem Verein sind, Sie haben einen Vereinsraum – das ist bei meinem Fußballverein so, das ist bei meinem Schachverein so, das ist bei meinem Traditionsverein so –, wenn Sie da heutzutage Ihre Mitgliedsdaten in einem Ordner verwalten, müssen Sie perspektivisch diesen Ordner irgendwo mit nach Hause nehmen, verschließen, in einen anderen Raum bringen, weil ja die Chance entstehen könnte,
dass jemand da reinschaut und deswegen unbefugten Zugang zu Daten hat – Beispiel eins. Ich nenne Ihnen ein zweites Beispiel: Wenn ich meinen Sohn jetzt im Schwimmkurs anmelde, dann muss dieser Verein ganz genau aufpassen, wo er diese Daten verwaltet und ob er die gegebenenfalls mit anderen Teilnehmern dieses Kurses teilen darf,
(Zwischenruf Abg. Henfling, BÜNDNIS 90/ DIE GRÜNEN: Das muss er auch jetzt schon, das ist nichts Neues!)
denn es könnte ja sein, dass man eine Fahrgemeinschaft bilden darf, aber diese Liste darf man gar nicht mehr teilen als Eltern, weil man dann gegen die Datenschutzanwendung hier im Freistaat verstößt.
Oder wenn Sie in einer ehrenamtlichen Bibliothek – im ländlichen Raum gibt es ja noch Räume, wo man Bücher ausleiht – ein Buch ausleihen, darf diese Liste, diese Leihliste, eben nicht mehr rumliegen, sondern sie muss irgendwo fest verschlossen sein. All das sind ganz praktische Bezüge. Wenn Sie als Geschäftsführer von einem Unternehmen eine Visitenkarte entgegennehmen, kann es sein, dass Sie in die Datenschutzfalle tappen. Sind das alles nicht Beispiele, wo Sie sagen, das ist etwas …
Natürlich ist das so. Sie dürfen das nicht mehr offen rumliegen lassen, es könnten ja potenzielle Geschäftspartner sein.
es geht um Praxistauglichkeit, es geht um Mittelstandsfreundlichkeit, es geht um eine gute Anwendung für das Ehrenamt. Genau aus dem Grund
sagen wir: Es braucht Anpassung. Und wenn Sie uns das als Fraktion aus politischen Opportunitäten nicht abnehmen, dann hören Sie doch wenigstens darauf, was die Leute hier im Land sagen. Wenn Sie Unternehmensumfragen nehmen, neueste Bitkom-Umfrage: Zwei von drei Unternehmen haben sich mit der DSGVO auseinandergesetzt und sehen als größte Herausforderung die Umsetzung, mit schwer abschätzbarem Aufwand. Dann gucken wir uns an: Sechs von zehn Unternehmen – neueste Umfrage DIHK – erwarten dauerhaft mehr Aufwand wegen der neuen Datenschutzregeln, ein Drittel sogar deutlich mehr Aufwand. Kein einziges Unternehmen erwartet weniger Arbeit durch die neuen Datenschutzregeln. Wenn wir uns das anschauen, muss man sich doch, wenn man Politik ernsthaft betreiben will, gemeinschaftlich mit den Betroffenen in den Dialog begeben, wie man damit sinnvoll umgehen kann bei dem Maßstab, Datensouveränität einzuhalten, aber trotzdem auch eine Anwendungsoption zu schaffen. Deshalb fordern wir Augenmaß, Vernunft und Verhältnismäßigkeit, Schutz für kleine Unternehmen, besonders im Freistaat, wir fordern Schutz für kleine Vereine und wir fordern einen maßvollen Umgang mit einer Schonfrist bis zum 31.12. in den Anwendungsbereichen. Deswegen ist unser Entschließungsantrag Ihnen vorliegend, weil wir genau wollen, dass wir mit sehr konkreten Maßnahmen dafür Sorge tragen, dass genau so eine Panikmache nicht entsteht, sondern dass wir sagen: Gemeinsam mit euch im Gespräch und im Dialog wollen wir Lösungen schaffen, die tatsäch
lich auch zu den Thüringer Verhältnissen passen. Ich will es Ihnen jetzt begründen, was wir da im Konkreten fordern, weil wir uns natürlich dafür einsetzen, das gemeinschaftlich mit Ihnen im Dialog zu machen. Frau Henfling, der Vorwurf, dass wir Ihnen das einen Tag vor Inkraftsetzung vorlegen, hat unmittelbar was damit zu tun, dass Sie als Landesregierung das Gesetz so spät vorgelegt haben.
(Zwischenruf Abg. Henfling, BÜNDNIS 90/ DIE GRÜNEN: Ach, die Opposition kann ja keine Gesetze einbringen, habe ich verges- sen!)
Wir diskutieren das deswegen, weil es heute im Plenum ist. Wenn es im Plenum ist, dann kriegen Sie von uns auch eine ehrliche Auskunft darüber, wie wir das sehen.
Das beginnt bei unserer ersten Forderung: Wir setzen uns ein – das ist übrigens Teil der DSGVO, Artikel 83 –, dass die Verhältnismäßigkeit zu wahren ist. Das ist genau das, was die Bundesdatenschützerin auch sagt. Sie sagt: Bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Artikel 58 DSGVO von ihren Abhilfebefugnissen, insbesondere durch Verwarnen, Gebrauch machen. Das bedeutet, dass das Grundprinzip „verwarnen statt strafen“, also quasi nicht erst Bußgelder fordern, sondern erst mal mit den Betroffenen gemeinschaftlich im Dialog zu sein, ein erster Maßstab sein muss. Das ist eine klare Botschaft, auch nach dem Interview, was wir heute gelesen haben.
Dann geht es im Zweiten auch darum, dass wir natürlich dem Bundesdatenschutzgesetz auch weiterhin Geltung verschaffen.
Sie haben das ja gerade zu der Frage der Regelung ab zehn Mitarbeitern vorgestellt, dass sie einen eigenen Datenschutzbeauftragten zu bestellen haben. Trotzdem darf man doch mal die Frage stellen, dass die Verunsicherungstaktik da nicht weiterbetrieben werden sollte, dass jetzt jeder unmittelbar einen Datenschutzbeauftragten braucht. Deswegen setzen wir uns dafür ein, dass kleinere Unternehmen und Organisationen im Besonderen davon befreit sind. Nehmen Sie es doch so hin. Der IHK-Hauptgeschäftsführer hier aus Erfurt sagt in einem Interview oder in dieser Woche, „dass oftmals
kleine und mittelständige Unternehmen“ – Zitat – „nicht die notwendigen personellen und finanziellen Kapazitäten ausreichend vorhanden haben, um das umsetzen zu können“. Wenn uns das jemand aus der Wirtschaft sagt, dann sollte man das doch bitte schön zur Kenntnis nehmen und sagen: Wie können wir Wege und Möglichkeiten finden, dem Abhilfe zu schaffen? Deswegen unser zweiter Forderungspunkt.
Dann kommt der dritte Forderungspunkt. Da geht es um die Frage von Meldepflichten. Hier ist dieser Anzink- und Abmahnindustrie ein Stoppschild zu setzen. Wenn wir sagen, dass 72 Stunden für kleine Thüringer Unternehmen nicht ausreichend sind, dann sagen wir als CDU, okay, dann lasst doch da bitte wenigstens zwei Wochen möglich werden. Das ist eine Anpassung, die wir machen können hier im Land, um zu sagen, wir wollen den kleinen mittelständigen Unternehmen mehr Chancen, mehr Zeit zur Reaktion geben, damit sie auch tatsächlich die Anpassungen machen können, die nötig sind.
Dann gibt es einen vierten Punkt, der für uns entscheidend ist. Sie wissen selbst genau, dass Verfahrensverzeichnisse, Löschberechtigungs- und Sicherheitskonzepte einen wahnsinnigen bürokratischen Aufwand bedeuten, gerade für die kleinen mittelständischen Unternehmen, aber auch für die Vereine. Deswegen: Dem bürokratischen Mehraufwand, der Ihnen klar sein muss, muss Einhalt geboten werden, dass es nur bei einer bestimmten Größe – wir schlagen 50 Mitarbeiter vor, dass man dort eine Kappung macht.
Ich mache es Ihnen ganz praktisch: Wenn Sie heutzutage zu Ihrem niedergelassenen Arzt gehen, fragen Sie ihn mal, womit der gerade konfrontiert ist. Der wird Ihnen Folgendes sagen, dass zukünftig er jeden einzelnen seiner Patienten unterschreiben lassen muss, dass er damit einverstanden ist, dass erstens seine Daten gespeichert sind, und zweitens, wenn derselbe Arzt feststellt, da ist ein Notfall, muss der den Patienten noch mal fragen, ob er die Daten an einen dritten Arzt weitergeben kann, der ihm vielleicht besser helfen kann, weil laut Datenschutz darf er die Daten gar nicht weiterreichen. Wenn das kein Schildbürgerstreich ist, dann, kann ich Ihnen sagen, müssen wir Anpassungen finden. Genau aus dem Grund fordern wir für Arztpraxen, aber eben auch für Organisationen, die maximal 50 Mitarbeiter haben, diese von den Vorschriften zur Führung eines Verfahrensverzeichnisses auszunehmen.
Dann gibt es einen fünften Punkt, der unmittelbar etwas mit der Verunsicherung zu tun hat, weil es natürlich auch um Geld geht. Wenn da 20 Millionen durch die Orte getrieben werden, durch die Organisationen diskutiert werden, dann hat das auch was damit zu tun, dass wir als Unionsfraktion sagen, wir sind ein kleines überschaubares Land mit kleinen