Thüringische Landeszeitung (Gotha)
Firmen in der Datenschutz-Falle
Von Ende Mai an gelten europaweit neue Regeln. Doch viele Firmen werden diese nicht rechtzeitig umsetzen
Es sind Drohungen wie diese, die derzeit Unternehmen beunruhigen: Wer sich jetzt nicht von Anwälten zur europäischen Datenschutzverordnung beraten lasse, der hat ein Bußgeld von bis zu 20 Millionen Euro zu befürchten. Zahlreiche Firmen haben solche Warnungen schon aus ihren Briefkästen gezogen, Absender sind meist Kanzleien und Unternehmensberatungen. Einem Familienbetrieb in Mecklenburg-Vorpommern, der seinen Namen nicht in der Zeitung lesen will, wurde sogar mit strafrechtlicher Verfolgung gedroht, sollte er das Gesetz nicht richtig umsetzen. Verunsichert wendet sich die Firma an die Landesdatenschutzbehörde: „Wir sind ein kleines Familienunternehmen. Müssen wir reagieren?“
In wenigen Wochen tritt die wohl umfassendste Datenschutzreform in Kraft, seit Daten überhaupt elektronisch verarbeitet werden – maßgeblich vorangetrieben von EU-Justizkommissarin Vera Jourova. Erstmals gelten in allen 28 EUMitgliedstaaten die gleichen Vorgaben für das Speichern und den Schutz von Daten. Verbraucher haben es künftig leichter, gegen Missbrauch vorzugehen. Datenskandale wie der beim sozialen Netzwerk Facebook sollen so verhindert werden. Am 25. Mai endet die zweijährige Übergangsfrist, doch offenbar werden viele Unternehmen die Regeln nicht rechtzeitig umsetzen, das zeigt eine Umfrage dieser Zeitung unter allen Landesdatenschutzbeauftragten.
Sieben der 16 Landesbehörden gehen davon aus, dass ein bestimmter Anteil der Unternehmen auch nach dem Stichtag große Defizite beim Datenschutz haben wird. Konzerne seien meist gut vorbereitet, heißt es vom Großteil der Behörden. Sorge bereiten jedoch kleine und mittelständische Betriebe. Das Problem für sie: Bei Verstößen drohen künftig deutlich höhere Strafen als bislang.
Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein, beobachtet, es gebe Unternehmen, für die sei Datenschutz „Neuland“. Diese Gruppe wisse oft gar nicht, „wo Justizkommissarin Vera Jourova hat die neue EU-Datenschutzgrundverordnung mitentwickelt.
die Daten ihrer Kunden oder Beschäftigten verarbeitet werden und wie sie gegen einen Missbrauch abgesichert sind“. Stefan Brinck, Datenschutzbeauftragter von Baden-Württemberg, beobachtet, dass ein Drittel der Unternehmen bei der Umsetzung noch Entschlossenheit vermissen lasse. „Ein weiteres Drittel ist zwar auf dem Weg, wird eine fristgerechte Umsetzung jedoch nicht mehr schaffen.“
Von der Hamburger Behörde heißt es, bei kleinen und mittleren Unternehmen seien „grundlegende Fragen wenige Wochen vor Inkrafttreten der Datenschutz-Grundverordnung noch nicht geklärt und eine fristgemäße Umsetzung unwahrscheinlich ist“. Ähnlich äußerten sich auch die Datenschutzbeauftragten von Mecklenburg-Vorpommern, Sachsen-Anhalt, Niedersachsen
und Rheinland-Pfalz. Auch in Thüringen hat die Behörde den Verdacht, „dass die Vorbereitung in manchen Unternehmen nicht ganz optimal verläuft“.
„Für manche Unternehmen ist Datenschutz Neuland.“
Marit Hansen, Landesdatenschutzbeauftragte von SchleswigHolstein
Betroffen sind längst nicht nur Unternehmen, zu deren Kerngeschäft die Datenverarbeitung gehört, etwa Online-Händler. Praktisch jedes Unternehmen verarbeitet sensible Daten – das fängt schon bei den Adressen und Bankverbindungen der Mitarbeiter
an. Reihenweise müssen sie nun Einwilligungstexte zur Datenweitergabe überarbeiten, sichere Speicherplätze schaffen, neue Software anschaffen und meist auch einen Datenschutzbeauftragten berufen. Das alles kostet viel Zeit und Geld – Ressourcen, die nicht jeder Mittelständler hat.
Die Krux ist: Die Strafen bei Verstößen gegen den Datenschutz sind künftig viel höher. Bisher drohten Geldbußen bis zu 300 000 Euro – künftig ist ein Bußgeld von vier Prozent des weltweiten Jahresumsatzes möglich, die Grenze liegt bei 20 Millionen Euro. Diese abschreckende Wirkung machen sich nun offenbar auch einige Anwälte zunutze. Viele Unternehmen beschäftige „die Sorge vor anwaltlichen Abmahnungen oder immateriellen Schadenersatzansprüchen“, berichtet Brandenburgs Datenschutzbehörde.
Ein strenges Vorgehen der Behörden müssen Firmen nicht fürchten. Zwar hat jede Behörde angekündigt, nach dem 25. Mai kontrollieren zu wollen, doch viele Datenschützer wollen bei Verstößen erst einmal einen Hinweis aussprechen, bevor sie mit Geldstrafen drohen. Ohnehin haben die Behörden zu wenig Personal, um nun jede Firma zu durchleuchten. Aus Hessen heißt es: „Bei einer Anzahl von knapp 250 000 Unternehmen in Hessen ist es für eine Aufsichtsbehörde mit 40 Mitarbeitern schlicht unmöglich, zu wissen, wer die DS-GVO wie umgesetzt hat.“Einige Behörden haben angekündigt, ihr Personal aufstocken zu wollen. Auf fehlende Kontrollen sollten die Firmen auf Dauer besser nicht setzen.