Landkreis Starnberg Neue Datenschutz-Verordnung bereitet Unternehmen Kopfzerbrechen

Wer hat Zugriff auf Kundenadressen? Wo sind sie gespeichert? Wer überwacht das? Der IHK-Chef und der Wirtschaftsförderer erklären die Regelungen.

Von Otto Fritscher

Es ist ein Wortungetüm: Datenschutz-Grundverordnung. Doch nicht nur sprachlich kann die DSGVO - wie sie abgekürzt im Beamtendeutsch heißt - für Verwirrung sorgen. Auch bei den Unternehmen im Landkreis herrscht Verunsicherung darüber, welche Auswirkungen die von der EU ersonnene Regelung auf die Speicherung und Nutzung personenbezogener Daten hat.

Martin Eickelschulte, Chef der Starnberger Industrie- und Handelskammer (IHK), sieht dem Einführungstermin am 25. Mai selbst recht gelassen entgegen. "Das ist ja nichts Neues, die Übergangsfrist läuft ja schon seit Jahren." Dennoch sei jetzt "ein gewisser Hype" entstanden, der bei den Unternehmen für Verunsicherung gesorgt habe. "Kein Tag, ohne dass beim mir Betriebe aus dem Landkreis anrufen und fragen, was sie tun sollen." Zweck der DSGVO und des gleichzeitig in Kraft tretenden neuen Bundesdatenschutzgesetzes sei es, die Rechte der Betroffenen bei der Speicherung und beim Umgang mit personenbezogenen Daten zu stärken - also zum Beispiel die Kundendaten, die Unternehmen speichern - und auch speichern müssen, wenn sie Geschäfte machen wollen.

Hier eine Auswahl der wichtigsten Regelungen: Unternehmen sind verpflichtet, den Umgang mit Personendaten transparent zu machen. Firmen, bei denen mehr als zehn Mitarbeiter regelmäßig Umgang mit personenbezogenen Daten haben, müssen einen Datenschutzbeauftragten benennen. Das kann ein eigener Mitarbeiter oder ein externer Dienstleister sein. Die Betriebe werden verpflichtet, eine Dokumentation zu erstellen, die beschreibt, wie man Daten im Detail verarbeitet.

Auch der Umgang mit Datenpannen muss dokumentiert werden. Zu den wichtigsten Änderungen gehört die Verpflichtung, dass bei Datenschutzvergehen innerhalb von 72 Stunden sowohl die Behörden als auch die Betroffenen informiert werden müssen. Die Firmen müssen ihre Mitarbeiter zum Thema Datenschutz schulen und dies auch nachweisen können. Alle Mitarbeiter müssen schriftlich zum Datenschutz verpflichtet werden.

In einem Computernetzwerk darf nicht jeder Benutzer Zugriff auf sämtliche Daten haben. Vielmehr müssen die Zugriffsrechte so eingestellt sein, dass der Mitarbeiter nur die Daten bekommt, die er für seine Arbeit auch wirklich braucht. Die Unternehmen sind verpflichtet, mit jedem Kunden und Lieferanten, der mit Unternehmensdaten umgeht, Datenschutzvereinbarungen zu treffen. Das kann IT-Betreuer oder Cloud-Anbieter betreffen. Wenn Daten in der Cloud gespeichert werden, muss auf die Vorschrift geachtet werden, dass steuerrechtliche Daten nur in deutschen Rechenzentren gespeichert werden dürfen.

Der IHK-Chef kann die DGSVO aber auch noch einfacher erklären: "Man kann alles mögliche an Daten über seine Kunden speichern und alles mögliche damit machen. Man muss nur vorher die Einwilligung eingeholt haben. Wenn einem einfällt, dass man noch etwas anderes zusätzlich speichern oder etwas anderes machen möchte als bisher ausgemacht, dann braucht man erneut eine Einwilligung. Das ist der Kern des ganzen Datenschutztheaters. Wenn man das beherzigt, dürfte nichts anbrennen."

Bei Verstößen gegen die DSGVO drohen empfindliche Strafen, bis zu vier Prozent vom Jahresumsatz des Unternehmens. Eickelschulte glaubt aber nicht, dass die Datenschutzbehörden gleich mal einen Hagel von Bußgeldbescheiden auslösen werden. "Wenn man den Datenschutz ernst nimmt und mit gesundem Menschenverstand an die Sache herangeht, wird man gut zurecht kommen", ist Eickelschulte überzeugt. Nur eines ist ihm wichtig: "Die Chefs und Geschäftsführer müssen wissen, dass man das Thema DSGVO nicht an die Sekretärin delegieren darf." Mit anderen Worten: Datenschutz ist eben Chefsache. Informationen und Schulungen gebe es bei der Münchner IHK.

Info

Auch Vereine trifft die Neuregelung des Datenschutzes. Welche Auswirkungen die neue EU-Verordnung und das angepasste Bundesdatenschutzgesetz etwa auf die 108 Sportvereine im Landkreis haben, die dem Bayerischen Landes-Sportverband (BLSV) angehören, darüber hat der Kreisvorsitzende Walter Moser die Vereinsvorstände in mehreren Veranstaltungen informiert. "Der Begriff der ,personenbezogenen Daten' wird neben den Angaben zur Person nun auch auf Wettkampfergebnisse, Fotos, Bankverbindungen, E-Mail-Adressen, Telefonnummern und anderes ausgeweitet", erklärt Moser gegenüber der SZ. Für die Verwendung und Veröffentlichung dieser Daten müsse auch gegenüber den Vereinen eine Einwilligungserklärung abgegeben werden. In Vereinen, in denen mindestens zehn Personen regelmäßig automatisiert - also per EDV - Daten verarbeiten, muss künftig ein Datenschutzbeauftragter bestellt werden. Es dürfe sich nicht, so Walter Moser, um Personen in Leitungsfunktionen handeln, also keine Vorstände oder Geschäftsführer. Ein Datenschutzbeauftragter muss zwingend bestellt werden, wenn im Verein Gesundheitsdaten verarbeitet werden, zum Beispiel beim Reha-Sport. Die DSGVO sieht ferner das Recht auf Löschung und das Recht auf Übertragbarkeit vor, etwa bei einem Vereinswechsel.

"Die Einführung der DSGVO ist für unsere 108 Sportvereine im Landkreis sehr schwer umzusetzen und wir hoffen, dass sich Personen im Umfeld der Vorstandschaften für diese Aufgabe zur Verfügung stellen werden", lautet das Fazit von BLSV-Kreischef Moser. Im "Vereinscockpit" des BLSV, zu dem alle Sportvereine Zugang haben, sind Musterverträge und weitere Erläuterungen hinterlegt. Spezielle Anfragen würden per E-Mail an service@blsv.de von Fachleuten beantwortet, erklärt der Kreisvorsitzende.of

Eickelschulte, Inhaber eines IT-Dienstleisters, hat mit seinen Kunden bereits zwei Infoabende veranstaltet, die jeweils ausgebucht waren. Die häufigsten Fragen dabei waren: Was darf ich noch? Welche Daten darf ich für Werbeaussendungen speichern? In diesem Zusammenhang gilt das Prinzip der "Datensparsamkeit", wie Eickelschulte sagt, es dürfen also nur Daten gespeichert werden, die für ein Werbeschreiben unbedingt nötig sind. "Hobbys gehören sicher nicht dazu."

Christoph Winkelkötter, Geschäftsführer der Gesellschaft für Wirtschafts- und Tourismusentwicklung im Landkreis Starnberg, sieht indes ein anderes Problem auf die Firmen zukommen: "Es ist fast unmöglich, einen externen Datenschutzbeauftragen zu bekommen, viele sind total ausgebucht." Und Winkelkötter hegt die Befürchtung, dass sich "schwarze Schafe unter den Anwälten" darauf spezialisieren werden, Unternehmen auch schon bei geringen Verstößen abzumahnen. "Da hilft nur eines", sagt auch Winkelkötter, "die Unternehmen müssen sich schleunigst vorbereiten, wenn sie das noch nicht getan haben." Und er warnt vor einer immer weiter fortschreitenden Bürokratisierung: "Die Unternehmen müssen jetzt schon Statistiken ohne Ende ausfüllen, das ist der Wahnsinn, da bleibt ja kaum noch Zeit zum Arbeiten."

Manche finden die Verordnung offenbar zum Lachen. Unter Betroffenen kreist der Witz, was man denn mit den Abi-T-Shirts machen müsse, auf deren Rücken ja oft die Namen der Mitabiturienten stehen. Müssen die Namen auf dem T-Shirt nun geschwärzt werden, bevor ich es in die Altkleidersammlung gebe?