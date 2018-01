9. Januar 2018, 10:22 Uhr Datenschutz-Grundverordnung Vor diesen neuen Regeln zittern Unternehmen









Von Mai an wird der Datenschutz viel strenger. Das ist nötig, aber verunsichert viele Betriebe. Unwissen könnte sie teuer zu stehen kommen - nicht nur wegen der drakonischen Geldstrafen.

Von Helmut Martin-Jung

Wie das schon klingt, Datenschutz-Grundverordnung. Nach Bürokratie klingt das, nach Paragrafen und nach viel Aufwand. Ob es nun am Unwillen, an Unwissen oder gar an Bequemlichkeit liegt: Etwa ein Drittel aller Unternehmen in Deutschland hatte sich nach einer Erhebung des Digitalverbandes Bitkom bis September 2017 noch nicht einmal damit befasst, was die DSGVO für sie bedeutet. Dabei drängt längst die Zeit: Am 25. Mai 2018 tritt sie offiziell in Kraft. Das ist für die Unternehmen sozusagen der Mai-Day, der Tag, bis zu dem sie ihre Vorbereitungen abgeschlossen haben müssen. Eigentlich gelten die Regeln bereits seit 2016, die EU hat den Unternehmen jedoch eine zweijährige Übergangsfrist gewährt.

Doch auch diese Frist werden viele Firmen nicht halten können. Denn wer jetzt erst anfängt, sich mit dem Thema zu befassen, wird es kaum bis Ende Mai schaffen. Dann aber drohen drakonische Strafen - anders als früher sollen Verstöße gegen den Datenschutz künftig erheblich schärfer bestraft werden. Konnten bisher Bußgelder von maximal 300 000 Euro verhängt werden, was in der Praxis meistens auf Beträge zwischen 5000 und 10 000 Euro hinauslief, kann der Höchstbetrag nun bis zu vier Prozent des Jahresumsatzes betragen oder bis zu 20 Millionen Euro - je nachdem, welche Summe höher liegt. Dadurch werden auch die tatsächlich zu zahlenden Bußgelder drastisch ansteigen. "Das soll eine kulturelle Änderung bewirken", sagt Tobias Neufeld, Fachanwalt bei der Kanzlei Allen & Overy.

Die neuen Regeln verpflichten Firmen zu Transparenz

Die ist auch nötig, denn bisher wurde mit persönlichen Daten oft recht schludrig umgegangen. Und in den EU-Staaten gab es so viele unterschiedliche Datenschutzregelungen wie Mitgliedsländer. Das ändert sich nun. "Der EU-Flickenteppich wird weitestgehend abgeschafft", sagt Dierk Schindler, Rechtsexperte bei Netapp, einem Spezialisten für Datenspeicherung und -management. Zwar sind gewisse länderspezifische Anpassungen erlaubt, aber im Großen und Ganzen gelten für personenbezogene Daten in der EU nun in jedem Mitgliedsland dieselben Regeln. Sie geben den Nutzern mehr Rechte und sie nehmen nicht nur diejenigen in die Pflicht, die diese Daten sammeln, sondern auch diejenigen, die sie verarbeiten, zum Beispiel IT-Dienstleister.

Das größte Problem dabei: "Das Thema sitzt ein wenig zwischen allen Stühlen", sagt Schindler, am besten laufe es dann, wenn es ganzheitlich betrieben werde. Datenschutz müsse also bei allen Projekten gleich mitgedacht werden, "sonst landet der Datenschutz wie ein Alien auf der IT-Plattform", sagt Schindler.

Zu den entscheidenden Neuerungen der DSGVO gehört, dass die Unternehmen und ihre Dienstleister Rechenschaft darüber ablegen müssen, wie personenbezogene Daten in ihren Systemen hin- und herfließen, aber: "Nur wenige Unternehmen sind in der Lage, das zu erkennen", sagt Anwalt Neufeld, "fragen Sie doch einmal einen Manager, wo bei ihm die Daten hingehen, das wissen höchstens datengetriebene Unternehmen." Diese Rechenschafts- und Dokumentationspflicht ist für Neufeld das Wichtigste an der Verordnung, sie verpflichte die Firmen zu Transparenz in eigener Sache.

Als wäre das alles nicht schon schwierig genug, stecken viele Unternehmen auch noch in der digitalen Transformation. Das bedeutet auch, dass eine Menge an Daten entsteht. Aber, sagt Jörg Hesske, Deutschland-Chef von Netapp, "die das treiben in den Unternehmen, denen fehlt oft das Bewusstsein. Da werden Apps entwickelt, ohne an Datenschutz und -sicherheit zu denken." Viele Unternehmen hätten zudem keinen Überblick darüber, welche Daten wo genau anfallen und ob diese relevant seien.

Genau das aber müssen die Unternehmen künftig leisten können. Netapp-Experte Schindler: "Was passiert heute, wenn jemand zu einem Unternehmen kommt und sagt, er wüsste gerne, welche Daten dort von ihm gespeichert sind und er würde die mal gerne haben? Das löst ein mittleres Desaster aus." Die Frage sei also, sagt Schindler, "wie schalte ich das Licht an im Datenraum?" Mit den drakonischen Strafen, die dann künftig bei Datenschutzverstößen drohen, sei es auch wirtschaftlich geboten, die Daten vernünftig zu klassifizieren.

Aber nicht bloß wegen des Damoklesschwerts DSGVO kann sich das lohnen: Durch schlecht geordnete Daten könne auch Know-how verloren gehen. Viele Netapp-Kunden machten bereits etwas aus den vielen Daten, die in mehr und mehr Abteilungen ihrer Unternehmen anfallen, sagt Jörg Hesske: "Die schauen sich das an und fragen, welche neuen Umsätze sich damit erzeugen lassen."

Es gibt für die Unternehmen also auch einen Anreiz über die Drohung mit Millionen-Bußgeldern hinaus, sich um die DSGVO zu kümmern. Unter den Experten herrscht weitgehend Einigkeit darüber, dass nicht gleich mit dem Stichtag 25. Mai der große Hammer niedersausen wird. "Keiner will möglichst schnell draufhauen", sagt Dierk Schindler von Netapp, "es geht ja darum, das Datenschutzniveau zu erhöhen". Die Behörden würden durchaus auch die Hand ausstrecken und helfen. Man dürfe sich nur nicht völlig kalt erwischen lassen. Wer bereits in der Umsetzung steckt, aber zum Stichtag noch nicht fertig ist, werde eher Unterstützung erfahren, sagt Schindler.

Dies auch deshalb, weil es den Behörden nicht besser geht als den Unternehmen: Sie haben zwar genehmigte Stellen für Datenschutzexperten, doch die zu finden, ist keineswegs einfach. Die Personalbeschaffung ist schwierig, sagt Anwalt Neufeld. Langfristig aber werden die Unternehmen nicht darum herumkommen, den Datenschutz als Grundbestandteil ihres Umgangs mit Daten aufzunehmen. Dierk Schindler ist sogar der Meinung, die DSGVO könne "ein echter Standortvorteil" sein, mittel- und langfristig werde sich die Verordnung positiv auswirken.