taz-Serie zum Datenschutz in der EU: Ein Schreckgespenst geht um
Verbraucherschützer jubeln. Aber viele Unternehmen ächzen über die neuen Datenregeln. Sie sind vor allem ratlos, wie was umgesetzt wird.
Die Daten von rund 500 Millionen Europäer*innen stehen ab 25. Mai 2018 unter besonderem Schutz. Dann gilt die EU-Datenschutzgrundverordnung – kurz DSGVO. Sie gilt als Meilenstein und Zeitenwende im europäischen Datenschutzrecht. Während Verbraucherschützer*innen jubeln, ärgern sich Blogger*innen, Vereinsleute oder Kleinunternehmer*innen über das bürokratische Ungetüm. Die taz beleuchtet in einer Serie die verschiedenen Aspekte der DSGVO.
Während Verbraucher- und Datenschützer jubeln, ächzen viele Unternehmen. Die einen, weil sie ihr Geschäfte mit dem Datenhandel in Gefahr sehen. Die anderen, da sie sich von der Regulierungswut der EU-Bürokraten in die Ecke getrieben fühlen.
„Bei uns ist die Hölle los“, sagt der Geschäftsführer eines IT-Unternehmens mit etwa 50 Mitarbeitern in Baden-Württemberg. In der Zeitung will er nicht namentlich genannt werden. Aber aus seiner Wut über die EU-Bürokraten macht er keinen Hehl. Das Problem: Der Mittelständler hat Angst, dass auf ihn horrende Bußgelder zukommen, wenn er sich nicht an die DSGVO hält.
Aber: Was heißt das eigentlich? Viele Chefs schimpfen über die vielfach unklare juristische Auslegung der Verordnung. Was ist erlaubt, was geht gerade so, was nicht? Es geht um viel: Sündern drohen nämlich Strafen in Höhe von bis zu 4 Prozent des Jahresumsatzes – für Facebook wären das, nur mal zum Beispiel, etwa 1,6 Milliarden Dollar.
DSGVO ist Mega-Paket für Kleinfirmen
„Viele Unternehmen werden bis zum Stichtag am 25. Mai nicht in der Lage sein, alle Vorgaben der EU-Datenschutzgrundverordnung umzusetzen“, sagt Rebekka Weiß. Für die Datenschutzreferentin beim IT-Branchenverband Bitkom liegt das vor allem an der Masse der neuen Auflagen. „Es gibt an vielen Stellen zu viel Rechtsunsicherheit“, sagt Weiß.
Zum Beispiel beim neuen Recht auf Daten-Portabilität. Gemeint ist ein gemeinsamer technischer Standard, der es ermöglichen soll, dass Daten zwischen Unternehmen ausgetauscht werden. Doch wie das technisch und praktisch funktionieren kann, weiß keiner genau. Ähnlich sieht es bei der Verarbeitung von Daten aus: Reicht eine Einwilligungserklärung, die den Kunden vorgelegt wird, damit sie zustimmen, dass ihre Adresse, ihre Einkäufe oder Dienstleistungen gespeichert werden? Wie umfangreich muss diese Einwilligung sein?
Wem gehört mein Bild?
Vor zwei Jahren wurde die DSGVO auf EU-Ebene verabschiedet. Sie sollte die bisherigen Datenschutzregeln vereinheitlichen und reformieren. Die alten EU-Datenschutzregeln stammen aus einer Zeit, in dem Analog „Goldstandard“ war, nämlich von 1995. Auch 24 Monate nach dem EU-Beschluss sind etliche Firmen nicht in der Spur. Vor allem für kleinere Firmen oder Start-ups sei die DSGVO „ein riesengroßes Paket“, sagt Bitkom-Referentin Weiß.
Auch Stephan Wernicke, Chefjustitiar des Deutschen Industrie- und Handelskammertags, spricht von großen Herausforderungen, der Bürokratie und den vielen Regeln, die „kaum sinnvoll in den unternehmerischen Alltag zu integrieren“ seien. Deshalb fordert er eine längere Schonfrist, die Verordnung umzusetzen. Schärfer fällt das Urteil des Bundesverbands der Deutschen Industrie (BDI) aus.
Mehr Unterstützung von Behörden gefordert
Die vielen in der DSGVO verankerten „Rechenschaftspflichten kosten Ressourcen, Zeit und Geld“, sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Vielen Firmen fehlten Fachkräfte für den Datenschutz. „Datenschutzrecht darf nicht zum Innovationshemmnis und Standortnachteil werden“, klagt Plöger.
Schuld an der Misere sind laut Bitkom-Expertin Weiß auch die Behörden. Sie hätten die Unternehmen zu spät über die Vorgaben informiert. Außer Juristen und IT-Experten könne ja kaum einer das Regelwerk verstehen. Die Behörden hätten hier viel stärker mit konkreten Handreichungen und verbindlichen Hilfestellungen unterstützen können.
In Großunternehmen gibt es in der Regel Datenschutzbeauftragte oder komplette Abteilungen, die sich nur um den Schutz von Kunden- und Nutzerdaten kümmern – diese arbeiten derzeit vor allem daran, dass die Datenschutzgrundverordnung umgesetzt wird. Der Berliner Online-Händler Zalando hat sogar ein interdisziplinäres DSGVO-Team formiert. Juristen, Techniker, Designer und Produktexperten arbeiten daran, dass ab dem 25. Mai alles klappt. Zalando stehe mit anderen Digitalfirmen im Austausch, um sich über die Interpretation der DSGVO zu informieren, heißt es aus dem Unternehmen.
Grund für den Aktionismus sind – auch – die happigen Bußgelder. Angst davor haben ebenso kleine und mittelständische Firmen. Sie müssen nun einen Beauftragten bestellen, der sich um die Einhaltung der Vorschriften kümmert. Weiß rechnet mit einer regelrechten Abmahnwelle, sobald die Verordnung gilt.
Anwälte haben Datenschutzsünder im Visier
Denn die neue Gesetzeslage hat bereits neue Geschäftsmodelle entstehen lassen. So haben sich Anwaltskanzleien auf die Einhaltung der DSGVO spezialisiert, andere „vermieten“ sogar Datenschutz-Experten. Mindestens einen hauptamtlich Zuständigen fordert nämlich die DSGVO für Firmen, die Daten verarbeiten.
Bitkom-Fachfrau Weiß geht von langwierigen Verfahren aus. Das Personal der Datenschutzbehörden auf Landes- und Bundesebene wurde zwar aufgestockt. Dabei haben die Beamten aber eigentlich andere Aufgaben. „Die Aufsichtsbehörden“, sagt Weiß, „sollen beraten und unterstützen – nicht nur Bußgelder verhängen und Sanktionen aussprechen.“
***
Teil 1 unserer Datenschutz-Serie: Interview mit der Bundesdatenschutzbeauftragten Andrea Voßhoff
Teil 2 unserer Datenschutz-Serie: Was steht drin im DSGVO?
Teil 3 unserer Datenschutz-Serie: Auch kleine Firmen beklagen die Rechtsunsicherheit des neuen Gesetzes
Teil 4 unserer Datenschutz-Serie: Interview mit dem Verbraucherschützer Christian Gollner
Teil 5 unserer Datenschutz-Serie: Porträt des grünen Vordenkers der neuen Datenschutzgesetze Jan Philipp Albrecht
Teil 6 unserer Datenschutz-Serie: Das Recht auf Vergessenwerden
Teil 7 unserer Datenschutz-Serie: Ein Vereinsvorsitzender und eine Bloggerin sprechen über Nachteile des EU-Datenschutzgesetzes
Teil 8 unserer Datenschutz-Serie: Kommentar zur digitalen Zeitenwende
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Politikwissenschaftlerin über Ukraine
„Land gegen Frieden funktioniert nicht“
Scholz und Pistorius
Journalismus oder Pferdewette?
Nan Goldin in Neuer Nationalgalerie
Claudia Roth entsetzt über Proteste
taz-Recherche zu Gewalt gegen Frauen
Eine ganz normale Woche in Deutschland
Internationaler Strafgerichtshof
Ein Haftbefehl und seine Folgen
Warnung vor „bestimmten Quartieren“
Eine alarmistische Debatte in Berlin