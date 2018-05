taz-Serie zum Datenschutz in der EU

Ein Schreckgespenst geht um

Verbraucherschützer jubeln. Aber viele Unternehmen ächzen über die neuen Datenregeln. Sie sind vor allem ratlos, wie was umgesetzt wird.

Die Daten von rund 500 Millionen Europäer*innen stehen ab 25. Mai 2018 unter besonderem Schutz. Dann gilt die EU-Datenschutzgrundverordnung – kurz DSGVO. Sie gilt als Meilenstein und Zeitenwende im europäischen Datenschutzrecht. Während Verbraucherschützer*innen jubeln, ärgern sich Blogger*innen, Vereinsleute oder Kleinunternehmer*innen über das bürokratische Ungetüm. Die taz beleuchtet in einer Serie die verschiedenen Aspekte der DSGVO.

BERLIN taz | Seit Monaten geistert sie wie ein Schreckgespenst durch viele Firmen. Chefs und Mitarbeiter stöhnen über das Bürokratiemonster namens DSGVO – kurz für Datenschutzgrundverordnung. Ab 25. Mai gilt sie in allen EU-Staaten. Die DSGVO soll die Bürger vor dem Zugriff von Datensaugern bewahren und den Schutz privater Informationen über deren wirtschaftliche Verwertung stellen.

Während Verbraucher- und Datenschützer jubeln, ächzen viele Unternehmen. Die einen, weil sie ihr Geschäfte mit dem Datenhandel in Gefahr sehen. Die anderen, da sie sich von der Regulierungswut der EU-Bürokraten in die Ecke getrieben fühlen.

„Bei uns ist die Hölle los“, sagt der Geschäftsführer eines IT-Unternehmens mit etwa 50 Mitarbeitern in Baden-Württemberg. In der Zeitung will er nicht namentlich genannt werden. Aber aus seiner Wut über die EU-Bürokraten macht er keinen Hehl. Das Problem: Der Mittelständler hat Angst, dass auf ihn horrende Bußgelder zukommen, wenn er sich nicht an die DSGVO hält.

Aber: Was heißt das eigentlich? Viele Chefs schimpfen über die vielfach unklare juristische Auslegung der Verordnung. Was ist erlaubt, was geht gerade so, was nicht? Es geht um viel: Sündern drohen nämlich Strafen in Höhe von bis zu 4 Prozent des Jahresumsatzes – für Facebook wären das, nur mal zum Beispiel, etwa 1,6 Milliarden Dollar.

DSGVO ist Mega-Paket für Kleinfirmen

„Viele Unternehmen werden bis zum Stichtag am 25. Mai nicht in der Lage sein, alle Vorgaben der EU-Datenschutzgrundverordnung umzusetzen“, sagt Rebekka Weiß. Für die Datenschutzreferentin beim IT-Branchenverband Bitkom liegt das vor allem an der Masse der neuen Auflagen. „Es gibt an vielen Stellen zu viel Rechtsunsicherheit“, sagt Weiß.

Zum Beispiel beim neuen Recht auf Daten-Portabilität. Gemeint ist ein gemeinsamer technischer Standard, der es ermöglichen soll, dass Daten zwischen Unternehmen ausgetauscht werden. Doch wie das technisch und praktisch funktionieren kann, weiß keiner genau. Ähnlich sieht es bei der Verarbeitung von Daten aus: Reicht eine Einwilligungserklärung, die den Kunden vorgelegt wird, damit sie zustimmen, dass ihre Adresse, ihre Einkäufe oder Dienstleistungen gespeichert werden? Wie umfangreich muss diese Einwilligung sein?

Vor zwei Jahren wurde die DSGVO­ auf EU-Ebene verabschiedet. Sie sollte die bisherigen­ Datenschutzregeln vereinheitlichen und reformieren. Die alten EU-Datenschutzregeln stammen aus einer Zeit, in dem Analog „Goldstandard“ war, nämlich von 1995. Auch 24 Monate nach dem EU-Beschluss sind etliche Firmen nicht in der Spur. Vor allem für kleinere Firmen oder Start-ups sei die ­DSGVO „ein riesengroßes Paket“, sagt Bitkom-Referentin Weiß.

Auch Stephan Wernicke, Chefjustitiar des Deutschen Industrie- und Handelskammertags, spricht von großen Herausforderungen, der Bürokratie und den vielen Regeln, die „kaum sinnvoll in den unternehmerischen Alltag zu integrieren“ seien. Deshalb fordert er eine längere Schonfrist, die Verordnung umzusetzen. Schärfer fällt das Urteil des Bundesverbands der Deutschen Industrie­ (BDI) aus.

Mehr Unterstützung von Behörden gefordert

Die vielen in der DSGVO verankerten „Rechenschaftspflichten kosten Ressourcen, Zeit und Geld“, sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Vielen Firmen fehlten Fachkräfte für den Datenschutz. „Datenschutzrecht darf nicht zum Innovationshemmnis und Standortnachteil werden“, klagt Plöger.

Schuld an der Misere sind laut Bitkom-Expertin Weiß auch die Behörden. Sie hätten die Unternehmen zu spät über die Vorgaben informiert. Außer Juristen und IT-Experten könne ja kaum einer das Regelwerk verstehen. Die Behörden hätten hier viel stärker mit konkreten Handreichungen und verbindlichen Hilfestellungen unterstützen können.

In Großunternehmen gibt es in der Regel Datenschutzbeauftragte oder komplette Abteilungen, die sich nur um den Schutz von Kunden- und Nutzerdaten kümmern – diese arbeiten derzeit vor allem daran, dass die Datenschutzgrundverordnung umgesetzt wird. Der Berliner Online-Händler Zalando­ hat sogar ein interdisziplinäres­ DSGVO­-Team formiert. Juristen, Techniker, Designer und Produktexperten arbeiten daran, dass ab dem 25. Mai alles klappt. Zalando stehe mit anderen Digitalfirmen im Austausch, um sich über die Interpretation der DSGVO zu informieren, heißt es aus dem Unternehmen.

Grund für den Aktionismus sind – auch – die happigen Bußgelder. Angst davor haben ebenso kleine und mittelständische Firmen. Sie müssen nun einen Beauftragten bestellen, der sich um die Einhaltung der Vorschriften kümmert. Weiß rechnet mit einer regelrechten Abmahnwelle, sobald die Verordnung gilt.

Anwälte haben Datenschutzsünder im Visier

Denn die neue Gesetzeslage hat bereits neue Geschäftsmodelle entstehen lassen. So haben sich Anwaltskanzleien auf die Einhaltung der DSGVO spezialisiert, andere „vermieten“ sogar Datenschutz-Experten. Mindestens einen hauptamtlich Zuständigen fordert nämlich die DSGVO für Firmen, die Daten verarbeiten.

Bitkom-Fachfrau Weiß geht von langwierigen Verfahren aus. Das Personal der Datenschutzbehörden auf Landes- und Bundesebene wurde zwar aufgestockt. Dabei haben die Beamten aber eigentlich andere Aufgaben. „Die Aufsichtsbehörden“, sagt Weiß, „sollen beraten und unterstützen – nicht nur Bußgelder verhängen und Sanktionen aussprechen.“

