nd-aktuell.de / 27.12.2017 / Wirtschaft und Umwelt / Seite 16

Ahnungslos zu mehr Datenschutz

Deutsche Unternehmen sind auf das Inkrafttreten einer neuen EU-Verordnung nicht gut vorbereitet

Grit Gernhardt

Mit dem Datenschutz ist es eine komplizierte Sache in Zeiten einer immer stärker digitalisierten Welt. Kaum ein Verbraucher weiß noch genau, wo er überall schon Passwörter, Adressen und andere Daten angegeben hat. Doch auch wenn der Kunde grundsätzlich immer in der Pflicht ist, seine Daten nur nach genauer Abwägung preiszugeben, müssen sich in erster Linie die Unternehmen an datenschutzrechtliche Bestimmungen halten. Die waren in Europa allerdings uneinheitlich geregelt, bis am 24. Mai 2016 die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft trat. Die Mütter und Väter der Reform wollten damit einerseits personenbezogene Daten innerhalb der EU schützen und andererseits den freien Datenverkehr innerhalb des europäischen Binnenmarktes gewährleisten.

So regelt das neue Gesetz die Grundsätze für die Verarbeitung von Daten - und zwar sowohl durch öffentliche Stellen wie Behörden als auch durch private Unternehmen. Sechs Grundsätze sollen dafür gelten: Erstens muss die Datenverarbeitung rechtmäßig sein und transparent erfolgen, zweitens dürfen Daten nur zweckgebunden genutzt werden, drittens dürfen nur so viele Daten gespeichert und verarbeitet werden, wie es unbedingt erforderlich ist. Der vierte Grundsatz betrifft die Inhalte - unrichtige Angaben müssen demnach berichtigt oder gelöscht werden. Personenbezogene Daten dürfen fünftens nur so lange gespeichert werden, wie es für den damit zusammenhängenden Vorgang notwendig ist. Wird also etwa ein Kundenkonto gelöscht, sollen die Daten des Kunden aus den Karteien des Unternehmens entfernt werden. Und zu guter Letzt sollen jegliche Daten sicher sein, »einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung«, wie es in der Verordnung heißt.

Die Vorteile für Verbraucher liegen auf der Hand: Unternehmen haben schärfere Transparenz- und Informationspflichten, die Kunden dagegen mehr Rechte über ihre Daten. Die Verbraucherzentralen begrüßen die Neuregelung denn auch grundsätzlich, wie Florian Glatzner, Referent für Digitales und Medien beim Verbraucherzentrale Bundesverband (vzbv), gegenüber »nd« bestätigte. Die DSGVO sei ein »richtiger und wichtiger Schritt, den Datenschutz fitter zu machen«. Besonders verbraucherfreundlich sei das Marktortprinzip. Demnach muss sich jedes Unternehmen, das personenbezogene Daten in der EU verarbeitet, an die Vorgaben der DSGVO halten, auch wenn es seinen Hauptsitz nicht in der EU hat.

Gut findet Glatzner auch, dass das Datenschutzrecht endlich europaweit vereinheitlicht wurde. Das könne für Verbraucher nur gut sein, sie würden so leichter zu ihrem Recht kommen. Kritik an der Verordnung übt er allerdings auch: So gebe es unterschiedliche Rechtsgrundlagen für den Umgang mit Daten. Im Einzelfall müsse abgewogen werden zwischen den Rechten der Unternehmen und jenen der Verbraucher, dabei gebe es Interpretationsspielraum, sagte Glatzner.

Derzeit sind die Verbraucher aber ohnehin nicht besonders gut über die neue Regelung informiert. Noch haben sie genug Zeit dafür. Die Unternehmen allerdings sollten schon lange wissen, was auf sie zukommt, da teilweise strukturelle Änderungen anstehen. Doch obwohl fast zwei Jahre Zeit waren, bis die Neuregelung am 25. Mai 2018 für alle gilt, haben viele sich offenbar noch gar nicht damit auseinandergesetzt beziehungsweise noch keine Vorkehrungen getroffen. Kleinunternehmen beklagen sich laut einer Umfrage im Auftrag des Softwareherstellers TeamDrive Systems über kaum umsetzbare Vorgaben. Sie haben bisher oft keine Stelle für einen Datenschutzbeauftragten. Zudem wären die Bußgelder, die die EU für einen Verstoß gegen die DSGVO vorsieht - vier Prozent des Umsatzes oder bis zu 20 Millionen Euro - für kleine Firmen kaum verkraftbar.

Doch selbst größere Unternehmen tun sich schwer: So sagten 56 Prozent der Bankmanager bei einer Befragung, ihr Institut sei bei der Umsetzung noch nicht sehr weit. 78 Prozent der Banken wollen sich demnach auf die E-Mail-Sicherheit konzentrieren, 67 Prozent das Passwortmanagement verbessern. Auch Wirtschaftsprüfungs-, Steuer- und Beratungsfirmen sind nicht gut vorbereitet: Bei einer Umfrage des European Business Awards unter 400 Unternehmensleitern sagten 28 Prozent der Befragten, sie hätten keine Ahnung von den neuen Regeln. Jean Stephens, Geschäftsführer des Unternehmensnetzwerkes RSM sagte, Firmenchefs müssten verstehen, dass sie erhebliche Änderungen vornehmen müssten.

Das gilt auch für Onlinehändler, von denen laut einer Umfrage der Onlinezertifizierungsfirma Trusted Shops über ein Drittel noch nie von der DSGVO gehört und 63 Prozent noch keinerlei Umstrukturierungen vorgenommen haben. Mehr als die Hälfte der befragten Vertreter von 350 Internetverkaufsplattformen sind zudem der Meinung, dass mit den Änderungen Verbraucher gar nicht besser geschützt werden. »Sicherlich ist das in erheblichem Maße auf fehlendes Wissen, aber auch auf die Komplexität des Themas zurückzuführen«, sagte Rafael Gomez-Lus, Datenschutzexperte von Trusted Shops.

Vielleicht ist es aber auch Trotz, denn besonders große internationale Unternehmen wollten gern noch mehr an den Inhalten der Verordnung mitwirken. So hatten EU-Abgeordnete während der Verhandlungen die massive Einmischung von Seiten der US-Regierung und US-amerikanischer IT-Konzerne wie Amazon, Ebay oder Google beklagt. Die sahen ihre Geschäftsmodelle in Europa bedroht und wollten zentrale Forderungen aus der Verordnung streichen lassen - so das Recht auf Vergessenwerden. Auch dass sie vor der Datensammlung das Einverständnis der Verbraucher einholen sollten, passte vielen Konzernen nicht.

Schließlich entschieden die Verhandler hinter geschlossenen Türen, einige Teile der Verordnung zu entschärfen. Auch enthält die DSGVO bis zu 60 Öffnungsklauseln, die es den Staaten ermöglichen, bestimmte Aspekte im nationalen Alleingang zu regeln. So können sie etwa entscheiden, ob sie alle Betriebe per Gesetz zwingen, einen Datenschutzbeauftragten zu beschäftigen. Inzwischen hat die Bundesregierung die EU-Vorgaben in nationales Recht umgesetzt. Am 30. Juni 2017 trat die neue Bundesdatenschutzverordnung in Kraft - begleitet von Kritik von Datenschützern und Netzaktivisten.