5506515

taz-Serie zum Datenschutz in der EU: Ein Schreckgespenst geht um

Verbraucherschützer jubeln. Aber viele Unternehmen ächzen über die neuen Datenregeln. Sie sind vor allem ratlos, wie was umgesetzt wird.

Zwei Menschen fotografieren im Dunkeln

Beim neuen Datenschutzgesetz fragen sich viele: Was ist erlaubt, was geht gerade so, was nicht? Foto: BENJAKON

Die Daten von rund 500 Millionen Europäer*innen stehen ab 25. Mai 2018 unter besonderem Schutz. Dann gilt die EU-Datenschutzgrundverordnung – kurz DSGVO. Sie gilt als Meilenstein und Zeitenwende im europäischen Datenschutzrecht. Während Verbraucherschützer*innen jubeln, ärgern sich Blogger*innen, Vereinsleute oder Kleinunternehmer*innen über das bürokratische Ungetüm. Die taz beleuchtet in einer Serie die verschiedenen Aspekte der DSGVO.

BERLIN taz | Seit Monaten geistert sie wie ein Schreckgespenst durch viele Firmen. Chefs und Mitarbeiter stöhnen über das Bürokratiemonster namens DSGVO – kurz für Datenschutzgrundverordnung. Ab 25. Mai gilt sie in allen EU-Staaten. Die DSGVO soll die Bürger vor dem Zugriff von Datensaugern bewahren und den Schutz privater Informationen über deren wirtschaftliche Verwertung stellen.

Während Verbraucher- und Datenschützer jubeln, ächzen viele Unternehmen. Die einen, weil sie ihr Geschäfte mit dem Datenhandel in Gefahr sehen. Die anderen, da sie sich von der Regulierungswut der EU-Bürokraten in die Ecke getrieben fühlen.

„Bei uns ist die Hölle los“, sagt der Geschäftsführer eines IT-Unternehmens mit etwa 50 Mitarbeitern in Baden-Württemberg. In der Zeitung will er nicht namentlich genannt werden. Aber aus seiner Wut über die EU-Bürokraten macht er keinen Hehl. Das Problem: Der Mittelständler hat Angst, dass auf ihn horrende Bußgelder zukommen, wenn er sich nicht an die DSGVO hält.

Aber: Was heißt das eigentlich? Viele Chefs schimpfen über die vielfach unklare juristische Auslegung der Verordnung. Was ist erlaubt, was geht gerade so, was nicht? Es geht um viel: Sündern drohen nämlich Strafen in Höhe von bis zu 4 Prozent des Jahresumsatzes – für Facebook wären das, nur mal zum Beispiel, etwa 1,6 Milliarden Dollar.

DSGVO ist Mega-Paket für Kleinfirmen

„Viele Unternehmen werden bis zum Stichtag am 25. Mai nicht in der Lage sein, alle Vorgaben der EU-Datenschutzgrundverordnung umzusetzen“, sagt Rebekka Weiß. Für die Datenschutzreferentin beim IT-Branchenverband Bitkom liegt das vor allem an der Masse der neuen Auflagen. „Es gibt an vielen Stellen zu viel Rechtsunsicherheit“, sagt Weiß.

Zum Beispiel beim neuen Recht auf Daten-Portabilität. Gemeint ist ein gemeinsamer technischer Standard, der es ermöglichen soll, dass Daten zwischen Unternehmen ausgetauscht werden. Doch wie das technisch und praktisch funktionieren kann, weiß keiner genau. Ähnlich sieht es bei der Verarbeitung von Daten aus: Reicht eine Einwilligungserklärung, die den Kunden vorgelegt wird, damit sie zustimmen, dass ihre Adresse, ihre Einkäufe oder Dienstleistungen gespeichert werden? Wie umfangreich muss diese Einwilligung sein?

Bildergalerie

Vor zwei Jahren wurde die DSGVO­ auf EU-Ebene verabschiedet. Sie sollte die bisherigen­ Datenschutzregeln vereinheitlichen und reformieren. Die alten EU-Datenschutzregeln stammen aus einer Zeit, in dem Analog „Goldstandard“ war, nämlich von 1995. Auch 24 Monate nach dem EU-Beschluss sind etliche Firmen nicht in der Spur. Vor allem für kleinere Firmen oder Start-ups sei die ­DSGVO „ein riesengroßes Paket“, sagt Bitkom-Referentin Weiß.

Auch Stephan Wernicke, Chefjustitiar des Deutschen Industrie- und Handelskammertags, spricht von großen Herausforderungen, der Bürokratie und den vielen Regeln, die „kaum sinnvoll in den unternehmerischen Alltag zu integrieren“ seien. Deshalb fordert er eine längere Schonfrist, die Verordnung umzusetzen. Schärfer fällt das Urteil des Bundesverbands der Deutschen Industrie­ (BDI) aus.

Mehr Unterstützung von Behörden gefordert

Die vielen in der DSGVO verankerten „Rechenschaftspflichten kosten Ressourcen, Zeit und Geld“, sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Vielen Firmen fehlten Fachkräfte für den Datenschutz. „Datenschutzrecht darf nicht zum Innovationshemmnis und Standortnachteil werden“, klagt Plöger.

Schuld an der Misere sind laut Bitkom-Expertin Weiß auch die Behörden. Sie hätten die Unternehmen zu spät über die Vorgaben informiert. Außer Juristen und IT-Experten könne ja kaum einer das Regelwerk verstehen. Die Behörden hätten hier viel stärker mit konkreten Handreichungen und verbindlichen Hilfestellungen unterstützen können.

In Großunternehmen gibt es in der Regel Datenschutzbeauftragte oder komplette Abteilungen, die sich nur um den Schutz von Kunden- und Nutzerdaten kümmern – diese arbeiten derzeit vor allem daran, dass die Datenschutzgrundverordnung umgesetzt wird. Der Berliner Online-Händler Zalando­ hat sogar ein interdisziplinäres­ DSGVO­-Team formiert. Juristen, Techniker, Designer und Produktexperten arbeiten daran, dass ab dem 25. Mai alles klappt. Zalando stehe mit anderen Digitalfirmen im Austausch, um sich über die Interpretation der DSGVO zu informieren, heißt es aus dem Unternehmen.

Grund für den Aktionismus sind – auch – die happigen Bußgelder. Angst davor haben ebenso kleine und mittelständische Firmen. Sie müssen nun einen Beauftragten bestellen, der sich um die Einhaltung der Vorschriften kümmert. Weiß rechnet mit einer regelrechten Abmahnwelle, sobald die Verordnung gilt.

Anwälte haben Datenschutzsünder im Visier

Denn die neue Gesetzeslage hat bereits neue Geschäftsmodelle entstehen lassen. So haben sich Anwaltskanzleien auf die Einhaltung der DSGVO spezialisiert, andere „vermieten“ sogar Datenschutz-Experten. Mindestens einen hauptamtlich Zuständigen fordert nämlich die DSGVO für Firmen, die Daten verarbeiten.

Bitkom-Fachfrau Weiß geht von langwierigen Verfahren aus. Das Personal der Datenschutzbehörden auf Landes- und Bundesebene wurde zwar aufgestockt. Dabei haben die Beamten aber eigentlich andere Aufgaben. „Die Aufsichtsbehörden“, sagt Weiß, „sollen beraten und unterstützen – nicht nur Bußgelder verhängen und Sanktionen aussprechen.“

***

Teil 1 unserer Datenschutz-Serie: Interview mit der Bundesdatenschutzbeauftragten Andrea Voßhoff

Teil 2 unserer Datenschutz-Serie: Was steht drin im DSGVO?

Teil 3 unserer Datenschutz-Serie: Auch kleine Firmen beklagen die Rechtsunsicherheit des neuen Gesetzes

Teil 4 unserer Datenschutz-Serie: Interview mit dem Verbraucherschützer Christian Gollner

Teil 5 unserer Datenschutz-Serie: Porträt des grünen Vordenkers der neuen Datenschutzgesetze Jan Philipp Albrecht

Teil 6 unserer Datenschutz-Serie: Das Recht auf Vergessenwerden

Teil 7 unserer Datenschutz-Serie: Ein Vereinsvorsitzender und eine Bloggerin sprechen über Nachteile des EU-Datenschutzgesetzes

Teil 8 unserer Datenschutz-Serie: Kommentar zur digitalen Zeitenwende

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Stefan Mustermann

    Auslegung des Datenschutzes durch Unternehmen.

    Ein Beispiel, was schon sehr lange gilt aber nicht immer richtig umgesetzt wird.

    Tonansagen:

    1) "Vereinzelte Anrufe werden zu ...zwecken aufgenommen" = illegal.

    2) "Vereinzelte Anrufe werden zu ...zwecken aufgenommen. Wenn Sie damit nicht einverstanden sind, sagen Sie - nein. Strittig, aber eher illegal. (im US Recht wäre das einwandfrei).

    2) "Vereinzelte Anrufe werden zu ...zwecken aufgenommen. Wenn Sie damit einverstanden sind, sagen Sie - ja. Strittig. OK, i. O., einwandfrei.

  • Stefan Mustermann

    Es ist eine Stellungnahme eines Professoren, der in dem Thema seit Jahren in der Theorie und Praxis sehr angesehen und gefragt ist. Daten, die Google und Facebook haben bzw. sammeln, verhelfen (auch ein Land) zu sehr viel Macht weltweit!

  • Stefan Mustermann

    Eine sehr gute Entwicklung!

    Mit personenbezogenen Daten können Unternehmen viel Geld verdienen und verkaufen diese Daten stillschweigend weiter, auch wenn ein Kunde nicht mehr interessant ist. Stichwort "Database Marketing".

    Allerdings gibt es Verstoße auch bei vielen Behördeninstanzen wie Jobcenter, Rundfunkgebührenzentrale etc.

    Es werden von vielen Unternehmen personenbezogenen Daten oft ohne explizite Einwilligung gespeichert, verarbeitet, verwendet, weiter verkauft ... Man bekommt Werbeanrufe durch Telekommunikationsanbieter, was nicht zulässig ist! Man bekommt, ohne explizite Einwilligung, Werbebriefe, was ein noch strittiges Thema ist.

    Schufa sollte man auch etwas entmachten!

  • Gerhard Krause

    Mich amüsiert tatsächlich, womöglich für die gängige Argumentationsstruktur schön auf den Staat ihn kleinredend einschimpfen und dann nach helfenden Behörden rufen. Genau mein Humor.

  • Frank Stippel

    Das ist der gleiche Mist, die auch die immer mehr werdenden Zertifizierungen mit sich bringen. Eine einzige Geldruckmaschine für Kriegsgewinnler und nahezu keine Verbesserung für das Unternehmen.

  • 96173 (Profil gelöscht)

    Gast

    Jetzt habe ich aber richtig Mitleid mit den Datenhändlern!!!

    Gibt bestimmt wieder Hintertürchen für Bertelsmann & Co..

    • Frida Gold

      @96173 (Profil gelöscht) Es geht nicht um Datenhändler! Es geht um sämtliche Betriebe, die irgendwie mit Kundendaten zu tun haben. Bei meinem Arbeitgeber und unseren Kunden sind alle komplett am Durchdrehen, weil die Dokumentationspflichten einfach unsagbar aufwändig sind und es keinerlei Vordrucke o.ä. gibt. Die gesamte Verantwortung der Umsetzung wird auf die Unternehmen abgewälzt. Das können die Riesen mit ihren Datenschutzabteilungen ja noch wuppen, die kleinen Hotels, Startup-Versandhändler oder sonstige Betriebe aber eben nicht! Unserem Mittelstand geht der Arsch auf Grundeis, weil es niemand für nötig befunden hat, sie rechtzeitig über die Details zu den anstehenden Änderungen zu informieren und auch jetzt die Datenschutzbeauftragten unterschiedliche Interpretationen abgeben. Es werden Urteile nötig sein, bis Unternehmen wissen, wie sie sich aufstellen müssen. Und jeder hofft, dass nicht das eigene Unternehmen Gegenstand dieser Richtungsurteile wird.

    • Sven Günther

      Sie verstehen nicht was der Artikel sagen will, Datenhändler, größere Banken und Firmen haben eigene Abteilungen die sich um nichts anderes kümmern.

      Aber die DSGVO gilt für alle Firmen, also auch für Unternehmen mit 50 oder 100 Leuten und die haben weder die Manpower noch das Know-how um das fehlerfrei zu stemmen und die kriegen dann richtig in die Fresse.

      • Martin74

        Sie gilt auch für das Kleinstunternehmen mit 1 Angestellten, zum Beispiel den "Boxenschieber", der aus Einzelteilen für seine Kunden einen PC zusammenschraubt, den Zeitungsausträger, den Pizzabringdienst, den Betreiber des Bahnhofkiosks, den Malermeister mit einem Malergesellen, ...

        Und in vielen kleinen Vereine stellen sich die Verantwortlichen inzwischen die Frage, warum sie als Ehrenamtliche auch das Thema antun sollen, eigentlich wollten die ja nur Fussball spielen oder gemeinsam wandern oder ab und zu mal singen.

        Man wollte Facebook & Co treffen und trifft in erster Linie die vielen Kleinstunternehmen und Vereine, die für jede juristische Beratung sehr viel Geld bezahlen müssen, weil sie selber keine Juristen sind und auch keinen Juristen im Unternehmen oder Verein haben.

        Und die Datenhändler haben inzwischen, wie die Callcenter, ihren Sitz nach Hongkong und andere "sichere" Standorte verlegt.

      • 96173 (Profil gelöscht)

        Gast

        Siehe Zeile 14, 18 und 19.

        Das eigentliche Problem in der Vergangenheit war der Datenhandel... .

        • Frida Gold

          @96173 (Profil gelöscht) Das Problem haben jetzt aber sämtliche Betriebe. Gerade auch und vor allem die Nicht-Datenhändler, die ehrlich agieren möchte, aber nicht erklärt bekommen, wie das gehen soll.