Wer sich gerade um eine Wohnung beworben hat, der hat die strengeren Datenschutzregeln vielleicht schon bemerkt: Neuerdings versprechen große Vermieter etwa auf den Bewerberbögen, dass sie alle persönlichen Daten wieder löschen werden, falls der Interessent die Wohnung nicht bekommen sollte.
Auch viele andere Firmen verschicken derzeit Datenschutzbestimmungen, ernennen neue Beauftragte für das Thema oder lassen sich beraten. Denn vom 25. Mai an greift in der EU erstmals eine einheitliche Datenschutzgrundverordnung (DSGVO). Spätestens dann müssen Betriebe mehr Vorsicht walten lassen, wie sie Daten ihrer Kunden oder Beschäftigten speichern. Und die Bürger erhalten stärkere Rechte zu erfahren, was über sie gespeichert wird. Die Reform trifft sowohl Konzerne wie Facebook oder Google als auch Vereine, Vermieter oder Handwerksbetriebe.
Doch gerade viele kleine und mittlere Unternehmen (KMU) sind schlecht auf die strengen Regeln vorbereitet. Zu dem Ergebnis kommt das Institut Forsa in einer repräsentativen Umfrage. Demnach haben sich erst 22 Prozent der Mittelständler in Deutschland auf die neuen Vorschriften vorbereitet. Weitere 22 Prozent geben an, dass sie noch Vorkehrungen treffen möchten. Die Mehrheit der befragten KMU wisse jedoch entweder nichts von der Reform oder habe noch keine Änderungen vorbereitet. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) will die Studie an diesem Mittwoch veröffentlichen.
"Die Mehrheit der kleinen und mittleren Unternehmen nimmt den Datenschutz immer noch auf die leichte Schulter", sagt Peter Graß vom GDV. Ohne Vorkehrungen drohten den Betrieben hohe Schäden, warnt Graß, "etwa infolge von Cyberangriffen oder aufgrund staatlicher Bußgelder". Freilich hat der GDV ein Interesse daran, für entsprechende Versicherungen gegen Cyberschäden zu werben.
Fest steht allerdings, dass Firmen nach der Reform höhere Bußgelder drohen, falls sie den Datenschutz missachten. Künftig dürfen Behörden Strafen von bis zu vier Prozent des Jahresumsatzes verhängen. Es gilt dabei ein Höchstbetrag von 20 Millionen Euro. Bislang drohen Datenschutzsündern Pönalien von höchstens 300 000 Euro.
Zu den neuen Regeln zählt, dass Unternehmen dokumentieren müssen, wie sie die Daten von Beschäftigten oder Geschäftspartnern speichern. Diese haben künftig einen Anspruch darauf, persönliche Daten wieder löschen zu lassen. Wenn Betriebe Daten an Dienstleister weitergeben, müssen sie sicherstellen, dass dieser Partner die DSGVO einhält. Falls Firmen den Verdacht haben, dass ein Hacker Daten abgegriffen haben könnte, müssen sie dies künftig binnen von 72 Stunden den Datenschutzbehörden melden.
Die DSGVO ist bereits vor zwei Jahren in Kraft getreten. Bis zum 25. Mai gilt jedoch eine Übergangsfrist, damit alle Unternehmen mit einer Niederlassung in der EU die Vorgaben umsetzen können. Der Digitalverband Bitkom hatte jedoch schon zu Jahresbeginn gewarnt, dass sich noch längst nicht alle Firmen darauf eingestellt hätten.
Forsa zufolge sind vor allem kleine Betriebe mit weniger als zehn Beschäftigten schlecht auf die Reform vorbereitet. Viele geben an, dass sie entweder nichts von der DSGVO wüssten, zu wenig Zeit für Vorkehrungen hätten oder den Datenschutz als nicht so wichtig für ihr Unternehmen empfänden. Hingegen hätten gut drei Viertel der mittelgroßen Firmen mit mindestens 50 Beschäftigten Vorkehrungen getroffen oder geplant. Für die Studie hat Forsa 300 Entscheider kleiner und mittlerer Unternehmen befragt.