Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört
Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.
Am 25. Mai ist Stichtag. Dann tritt offiziell die europaweit geltende Datenschutzgrundverordnung (DSGVO) in Kraft. Sie sieht Auflagen vor, die auch kleinste Unternehmen im Umgang mit persönlichen Daten befolgen müssen. Doch gerade kleine Firmen scheinen auf kaltem Fuß erwischt zu werden – dabei sind die Vorgaben bereits seit zwei Jahren bekannt. Jeder zweite Mittelständler in Deutschland ist nach einer Studie des Gesamtverbands der Deutschen Versicherungswirtschaft noch völlig planlos.
Nach einer repräsentativen Forsa-Umfrage im Auftrag des Verbandes haben 36 Prozent der kleinen und mittleren Unternehmen von den neuen Regeln "noch nicht einmal etwas gehört". Lediglich 22 Prozent haben sich auf die Scharfschaltung der DSGVO vorbereitet oder wollen zumindest noch Änderungen umsetzen. "Die Mehrheit der kleinen und mittleren Unternehmen nimmt den Datenschutz immer noch auf die leichte Schulter", sagt Peter Graß vom GDV. Dabei drohten bei Nichtbeachtung ernsthafte Konsequenzen und hohe Bußgelder.
Gibt es also Grund dazu, dass am 26. Mai in den kleinen Betrieben die große Panik ausbricht? Keineswegs, meint die Berliner Datenschutzbeauftragte Maja Smoltczyk. In der neuen DSGVO stehe im Grunde viel von dem, was im Datenschutzrecht ohnehin schon vorgeschrieben war.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Zu den wichtigen Neuerungen gehören zum Beispiel veränderte Transparenzpflichten, die vor allem dann wirksam sind, wenn es um die Speicherung und Verarbeitung personenbezogener Daten geht. Dazu zählen etwa Name, Adresse, Gesundheitsdaten und Kontonummern. Online-Shops müssen ihre Webformulare für die Eingabe persönlicher Daten anpassen, denn die Übermittlung muss zwingend verschlüsselt ablaufen. Und es dürfen nur Daten angefordert werden, die unmittelbar benötigt werden – Stichwort "Datenminimierung". Für Werbe-Mails ist die ausdrückliche Zustimmung der Adressaten vor dem Versand zwingend erforderlich. Und in Betrieben ab zehn Mitarbeitern muss zudem ein interner Datenschutzbeauftragter bestellt werden.
"Historisch einmalig"
Wer dagegen verstößt, muss zwar mit einem Bußgeld rechnen. Doch die Höhe richtet sich stets nach den wirtschaftlichen Verhältnissen der Unternehmen sowie nach der Schwere des Falls und den Anstrengungen, die zuvor unternommen worden sind. "Den Unternehmen ist aber nur zu raten, kooperativ mit den Behörden zusammenzuarbeiten", betont Smoltczyk.
Die Datenschützerin bricht auch eine Lanze für das "historisch einmalige Vertragswerk", dem 28 Mitgliedstaaten der EU zugestimmt haben. Die DSGVO solle den Datenschutz nachhaltig sichern. "Sie ist der einzige Weg, dieses Grundrecht zu bewahren."
Siehe zur DSGVO in iX:
- Der neue Datenschutz im IT-Alltag
- DSGVO: Deutsche Unternehmen schlecht vorbereitet
- Datenschutz-Grundverordnung: Die wichtigsten Fragen auf einen Blick
- Was Unternehmen für die DSGVO jetzt noch anpacken müssen
- Datenschutzgrundverordnung: Neue Abmahngefahren für Websites
Siehe zur DSGVO in c't:
- DSGVO: Folterfragebogen im Selbsttest
- Jetzt handeln! EU-Datenschutz: Neue Rechte und Pflichten
- Aufgewerte: Die DSGVO bringt den Bürgern neue Rechte
- In Ausgabe 11/2018 bringt c't einen weiteren Schwerpunkt zu den Auswirkungen der neuen Datenschutzgrundverordnungen und den notwendigen Schritten u.a. für Website-Betreiber und Unternehmen
Datenschutz sei generell ein sehr wichtiges Thema, sagt auch Sabine Reinhart, die in Hamburg die kleine PR-Agentur PR13 betreibt. Allerdings habe die DSGVO erheblichen Mehraufwand zur Folge. Vor zwei Monaten habe sie "die Panik erfasst". Folge war ein Krisentreffen ihres dreiköpfigen Teams – und der Besuch eines Seminars zu Fragen der Umsetzung. "Die Drohung, dass der Verantwortliche zu millionenschweren Strafen herangezogen werden kann, ist natürlich so bedrohlich, dass sich alle informieren und alles 200 Prozent korrekt machen wollen", sagt Reinhart.
Die großen Berufsverbände und die Datenschutzbeauftragten registrieren seit Wochen einen enormen Zulauf zu ihren Informationsveranstaltungen. Schon allein das wertet Smoltczyk als "Riesenerfolg" für die EU-weit geltende Verordnung: Denn es folge daraus, dass die DSGVO im Gespräch und "in aller Munde" sei. Auch die Start-up-Sprechstunde der Behörde sei inzwischen überlaufen. "Die Unternehmen haben das auf dem Schirm und werten es oft auch als Wettbewerbsvorteil", sagte Smoltczyk.
Herausforderung für IHK-Unternehmen
Doch die Zeit drängt. Berechtigte Sorge oder Sturm im Wasserglas also? Für Handwerksbetriebe gibt der Zentralverband des Deutschen Handwerks ZDH leichte Entwarnung. Für seine Mitglieder gebe es nur geringen Handlungsbedarf, erklärte der Verband auf Anfrage. Die DSGVO bringe "inhaltlich nur sehr wenige praxisrelevante Änderungen mit sich". Dies gelte auch für die formalen, bürokratischen Anforderungen. "In der Sache kommt auf Betriebe, die bereits heute datenschutzkonform agieren, kein zusätzlicher Aufwand zu", ist der ZDH überzeugt.
Für Mitglieder der Industrie- und Handelskammer IHK sieht es schon etwas anders aus: "Für unsere Mitglieder und insbesondere für die KMU bringt die EU-Verordnung eine Vielzahl an Neuerungen und Pflichten mit sich", erklärte Bettina Schoenau von der IHK Berlin. Dabei erscheine "gerade die Fülle und Komplexität der Regelungen eine echte Herausforderung", wie es auch eine Blitzumfrage im März bestätigt habe. Danach hatten sich 36 Prozent der befragten Unternehmen noch gar nicht mit der Umsetzung beschäftigt. Informationsbedarf gebe es etwa zu den Dokumentationspflichten beim Speichern von Kundendaten und darüber, welche Daten überhaupt gespeichert und wie Kundendaten intern verarbeiten werden dürften. Eines der großen Probleme sei aktuell jetzt die noch wenig verbleibende Zeit.
Für kleine Digital-Unternehmen und Start-ups könnte es deshalb langsam kritisch werden. Der Bundesverband Digitale Wirtschaft BVDW sieht auch vier Wochen vor Inkrafttreten der neuen Bestimmungen noch immer großen Aufklärungsbedarf. Es sei "sehr viel Energie in die Aufklärung investiert" worden, sagte ein Sprecher. Die "komplexe Regulierung" stelle viele Unternehmen aber vor "große Herausforderungen", zumal die Verordnung viel Ermessensspielraum offenließe.
(anw)