Berlin Etlichen Managern treibt das neue Regelwerk Schweißperlen auf die Stirn, schließlich drohen bei Verstößen gegen die ab 25. Mai geltende europäische Datenschutz-Grundverordnung (DSGVO) Strafen, die sich auf bis zu vier Prozent des Jahresumsatzes belaufen können. Vielerorts wurde unterschätzt, wie komplex die Umsetzung ist.
Nicht zuletzt deshalb stellte EU-Justizkommissarin Vera Jourova kürzlich Unternehmen in Aussicht, sie könnten auf Nachsicht hoffen, sollten sie die Anforderungen nicht sofort erfüllen. Es könnte bis zu zwei Jahren dauern, bis alle Firmen die DSGVO übernommen haben müssten, sagte Jourova am Dienstag vergangener Woche in Berlin. Doch Datenschützer winken ab.
„Im Rechtsstaat ist die Exekutive an die Gesetze gebunden und steht nicht über ihnen. Damit ist eine weitere zweijährige Frist nicht nur unangemessen und für die Akzeptanz der Regelungen angesichts einer bereits zweijährigen Umsetzungsfrist absolut schädlich, sondern auch rechtlich unzulässig“, sagte der Hamburger Datenschutzbeauftragte, Johannes Caspar, dem Handelsblatt. „Die Aufsichtsbehörden können künftig von Betroffenen als auch von Verbänden verklagt werden, wenn Sie den Beschwerden nicht nachgehen.“
Auch die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, erteilte dem am vergangenen Dienstag bei einem Besuch in Berlin geäußerten Vorstoß Jourovas eine klare Absage. „Ein zweijähriger Verzicht auf das Instrumentarium würde dem Datenschutzrecht die Zähne ziehen, die es gerade erst bekommt“, sagte Hansen dem Handelsblatt. „Hat die Kommission denn die letzten Datenskandale schon vergessen? Und wer sagt, dass nach zwei Jahren nicht die nächste Schonfrist ausgegeben wird?“, fragte Hansen und fügte hinzu: „Nein, die Sachlage ist eindeutig: Die Datenschutz-Grundverordnung muss ab dem 25.05.2018 angewendet werden - gerade bei Beschwerden und Verstößen -, aber natürlich verhältnismäßig.“
Die neuen Regeln verpflichten die Unternehmen, mit den Daten ihrer Kunden sorgsamer umzugehen. Gespeichert werden darf nur noch, was wirklich gebraucht wird - und die Nutzer müssen zustimmen. „Vor allem kleine und mittlere Unternehmen wachen gerade auf. Wir bekommen viele Anfragen aus diesem Umfeld und viele sind erstaunt, welcher Aufwand durch die DSGVO auf sie zukommt“, sagt Oliver Köppe, Partner bei der Wirtschaftsberatung KPMG. Die größte Veränderung sei, dass der Datenschutz nun aktiv von den Unternehmen betrieben werden müsse.
Dies führt beispielsweise dazu, dass Kundenportale, in denen Nutzerdaten gespeichert sind, überarbeitet werden müssen. In der Praxis bitten viele Firmen ihre Kunden per Mail, dem Erhalt des Newsletters ausdrücklich zuzustimmen. Experte Köppe sieht die größte Hürde aber darin, das neu festgeschriebene „Recht auf Vergessen“ zu realisieren: „Bisher war beim Softwaredesign eine technische Löschung von Daten oft gar nicht vorgesehen und auch nicht gewollt, so dass nunmehr größere technische und organisatorische Umbauten erfolgen müssen.“
So müssen soziale Netzwerke wie Facebook und Twitter oder Internetkonzerne wie Google künftig zumindest ihren europäischen Mitgliedern die Möglichkeit einräumen, ihre Daten einfach von den jeweiligen Plattformen zu entfernen.
Konzerne begrüßen die größte Überholung des Datenschutzes in Europa seit mehr als zwei Jahrzehnten nahezu einhellig. Bei der Telekom heißt es: „Es geht um das Vertrauen der Menschen in die Digitalisierung. Dafür braucht es hohe Standards, die für alle Unternehmen gelten, die ihre Dienste hier anbieten.“ Herausforderungen bei der Umsetzung gebe es trotzdem, sagt eine Sprecherin und verweist darauf, dass viele Vorgaben aus Brüssel erst spät gekommen seien: „Die Aufsichtsbehörden bedenken dabei nicht, dass mit ihren Anforderungen oftmals Prozessänderungen oder Systemanpassungen in den Unternehmen einhergehen, die nicht einfach per Knopfdruck funktionieren.“
Das hat Konsequenzen. Laut einer Studie des IT-Verbands Bitkom rechnet gerade einmal ein Viertel der deutschen Unternehmen damit, zum Stichtag regelkonform zu arbeiten. „Viele Unternehmen haben sich in der Vergangenheit zu wenig um den Datenschutz gekümmert und haben deshalb Nachholbedarf“, sagte Bitkom-Präsident Achim Berg. Gleichzeitig seien aber auch die Aufsichtsbehörden in der Pflicht: „Bei der Auslegung der Datenschutz-Grundverordnung mangelt es von offizieller Seite bis heute an praktischen Hilfestellungen.“
Auf Nachsicht der Aufsichtsbehörden wären etwa Startups wie die Berliner Spieleschmiede Wooga angewiesen. Zwar arbeitet die Firma seit gut einem Jahr an der Umsetzung der neuen Regeln und hat sich auch externe Datenschützer ins Haus geholt. Aber erst nach dem 25. Mai werde sich genau zeigen, welche Anwendungen im Alltag am meisten Sinn machten, sagt die Leiterin der Rechtsabteilung bei Wooga, Cordula Zimmer.
Datenschützer Hansen sieht indes keine Veranlassung für eine „unfundierte Neuinterpretation der Datenschutz-Grundverordnung von Kommissionsseite kurz vor dem Beginn der neuen Zeitrechnung im Datenschutz“. Zwar habe die EU-Kommissarin Jourova Recht, „wenn sie damit meint, dass es keinen Grund für die aktuelle Stimmung zwischen Panik und Weltuntergang gibt, die von einigen Beratern verbreitet und angeheizt wird“, sagte die Datenschützerin. Aber Vieles, was ab dem 25. Mai gelte, sei auch schon jetzt schon rechtlich geboten: „Firmen und Behörden müssen mit personenbezogenen Daten korrekt umgehen und verhindern, dass sie in falsche Hände geraten oder unrechtmäßig verwendet werden“, erläuterte Hansen.
Weil hierzulande schon strengere Regeln als in anderen EU-Ländern gegolten haben, gehen Experten sogar davon aus, dass die deutsche Wirtschaft von der DSGVO profitiert. Deutsche Wirtschaftsvertreter fürchten dennoch Nachteile. Ein großer Fehler sei es etwa, dass die europaweit geltende Verordnung auf dem Prinzip der Datensparsamkeit basiere statt auf dem der informationellen Selbstbestimmung, sagte Dieter Kempf, Präsident des Bundesverbands der Deutschen Industrie (BDI). „In Zeiten der Datenvielfalt ist Datensparsamkeit einfach das falsche Bauprinzip.“
Kritik an „exzessiven Informationspflichten“
Thomas Bareiß, Staatssekretär beim Bundesministerium für Wirtschaft und Energie, sieht die DSGVO zwar als große Errungenschaft, die die europäischen Staaten gemeinsam geschaffen haben. Es gelte aber, das Spannungsverhältnis zwischen ökonomischen Chancen und den Risiken abzuwägen. Notwendig sei ein verbindlicher Rechtsrahmen, der Grundrechte schütze und Geschäftsmodelle ermögliche.
Fast alle großen Firmen versuchen derzeit, mit der Auswertung großer Datenmengen (Big Data) neue Geschäftsmöglichkeiten auszuloten. Auch das Interesse bei Daimler sei es, einen Mehrwert zu schaffen, sagte Guido Vetter, Datenspezialist des Automobilkonzerns. Jeder einzelne Fall werde jedoch inzwischen danach untersucht, ob er datenschutzrechtlich zulässig sei. Durch die DSGVO seien Testdaten quasi nicht mehr legal zu erheben, klagte Axel Keßler von Siemens. Der Konzern erhebe sie inzwischen deshalb in China oder den USA. Die Grundverordnung schreibe „exzessive Informationspflichten vor“, sagte Keßler. „Die sind kaum zu bewältigen.“
Auch die Berliner Wooga-Managerin Zimmer wies auf die Unterschiede in Datenschutzfragen zwischen Europa und den USA und den asiatischen Staaten hin. „Außerhalb der EU gibt es einfach niedrigere Anforderungen, kaum Bußgelder und Abmahnrisiken“, sagte Zimmer, deren Firma weltweit aktiv ist.
Der Hamburger Datenschützer Caspar wies die Vorbehalte zurück. Es erfülle ihn mit Sorge, wie zum Teil in der Politik die Diskussion über die DSGVO geführt werde. Es sei zwar richtig, dass die Umsetzung der Datenschutzvorschriften in der Hand der Aufsichtsbehörden liege. „Diese sind aber nicht dafür verantwortlich, ob und wann die Vorschriften gelten und welchen konkreten Inhalt sie haben.“ Dem Datenschutz jetzt nach langen Jahren der Diskussionen auf Ebene des Gesetzgebers das „Etikett des Innovationsverhinderers“ anzuhängen, sei daher „nicht nur sachlich falsch, sondern auch unredlich“, fügte Caspar hinzu. „Am Ende führt das zu Politikverdrossenheit und der Erosion von Rechtstreue in diesem Bereich.“
Caspar dämpfte zugleich die Angst vor harten Sanktionen. Die Aufsichtsbehörden verfügten über ein Ermessen, wie sie die Anforderungen umsetzen werden. Dazu gehöre dann auch die Frage der Verhängung von Sanktionen. „Ich bin sicher, dass davon künftig mit dem erforderlichen Augenmaß Gebrauch gemacht wird“, sagte der Datenschützer.
Laut Hansen müssen die jeweils zuständigen Aufsichtsbehörden jeder berechtigten Beschwerde einer Person nachgehen. „Wenn dabei Verstöße gegen das Datenschutzrecht festgestellt werden, wählt die Aufsichtsbehörde die geeigneten Instrumente aus, um die Verstöße zu ahnden“, sagte sie. Wie Caspar sprach auch sie von einem „verhältnismäßigen“ Vorgehen. „Der Bußgeldrahmen wird bestimmt seltenst ausgeschöpft werden“, sagte sie. „Mildernd wirkt sich beispielsweise aus, wenn ein Verstoß nicht vorsätzlich begangen wurde, sich der Verantwortliche bemüht, im Einklang mit dem Datenschutzrecht zu agieren, sich kooperativ bei der Aufklärung zeigt und aktiv Maßnahmen trifft, damit dies nicht wieder vorkommt.“
Das alte Datenschutzrecht hatte hingegen, wie Hansen erklärte, „das Problem, dass die großen Datenverarbeiter über die möglichen Strafen lachen konnten und oft gar nicht auf die Idee kamen, das Datenschutzrecht ernst zu nehmen“.
Die im Bundesdatenschutzgesetz festgelegte Höchstgrenze von Bußgeldern lag bisher bei 300.000 Euro pro Verstoß und Geldbußen wurden eher moderat verhängt. Die neuen Vorschriften stützen sich auf den weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahrs des Unternehmens. Bei mehreren Verstößen können von Datenschutzaufsichtsbehörden auch Gesamtbußgelder verhängt werden, die über den festgesetzten Betrag für Einzelverstöße hinausgehen können.
Hansen warnte deshalb mit Blick auf Jourovas Milde-Versprechen: „Will man jetzt die Aufsichtsbehörden von ihrem Hauptjob - dem Sanktionieren von Verstößen - abbringen, besteht die Gefahr, dass Datenschutz weiterhin verlacht wird.“
Europa will allerdings noch einen Schritt weitergehen und tüftelt bereits an der sogenannten E-Privacy-Verordnung. Sie soll auf den Nutzer zugeschnittene Werbung erschweren. Die ersten Unternehmen protestieren bereits: So monierte Axel-Springer-Chef Mathias Döpfner unlängst, dieses Gesetz schütze "nicht den Verbraucher, sondern amerikanische Daten-Monopole".
