Donnerstag, 26.07.2018
Post auf dem Weg zum Kunden: Werbebotschaften müssen datenschutztauglich sein.

Foto: Deutsche Post

Post auf dem Weg zum Kunden: Werbebotschaften müssen datenschutztauglich sein.

Recht & Steuern
Angst vor Rechtsproblemen

Datenschutz-Grundverordnung: Kein Pardon beim Datenmissbrauch

Seit Ende Mai ist die EU-Datenschutz-Grundverordnung in Kraft. Gerade Mittelständler fühlen sich von der Neuregelung überfordert. Doch noch immer sind die mittel- und langfristigen Auswirkungen kaum absehbar.

Eigentlich ist die Datenschutz-Grundverordnung (DSGVO) eine gute Idee: Sie gleicht die unterschiedlichen nationalen Richtlinien für den Datenschutz in der EU an und sorgt für mehr Transparenz. Vor allem Endkonsumenten hatten bisher keine Kontrolle und Übersicht darüber, was Google oder Amazon mit den personenbezogenen Daten anstellen – oftmals werden sie gespeichert, mehrfach weiterverkauft oder für die Berechnung von Bewegungs- oder Warenströmen genutzt. Für Konsumenten sind die neuen Vorschriften deshalb sinnvoll und zeitgemäß – der Wirtschaft hingegen hat Brüssel damit einen Bärendienst erwiesen.

Aktuelles aus dem Mittelstand: Folgen Sie uns auf Zum Linkedin Profil von Markt und Mittelstand und Zum Linkedin Profil von Markt und Mittelstand


Laut einer Umfrage des Digitalverbandes Bitkom sind zwei Drittel der befragten Mitglieder der Ansicht, dass die DSGVO „kontraproduktiv“ ist. Denn sobald Unternehmen digitale Technologien oder neue Anwendungen auch nur auf Marktchancen oder technische Realisierbarkeit prüfen, bauen sich nun fast unüberwindliche Hürden auf. Das beeinträchtigt neben den IT-Firmen auch maßgeblich Handelsunternehmen (80 Prozent), die Industrie (59 Prozent) und Dienstleister (54 Prozent). 

Seitdem die DSGVO am 25. Mai endgültig in Kraft trat, ist die Kontroverse über den Sinn und Unsinn voll entbrannt. Während die Datenschützer vollauf zufrieden sind und darin ein Instrument sehen, „das die Rechte der Bürger stärkt und ihnen die Möglichkeit gibt, die Kontrolle über ihre Daten wiederzuerlangen“, ist die Wirtschaft vor allem eins: besorgt. „Keinesfalls darf Datenschutzrecht zum Innovationshemmnis und Standortnachteil werden“, warnt Dieter Kempf, Präsident des Bundesverbands der deutschen Industrie (BDI).

Viele Falschinformationen

Die Einschränkung des Entwicklungsspielraums ist aber nicht das einzige Problem. „In den vergangenen Monaten haben viele Falschinformationen für eine starke Verunsicherung gesorgt“, berichtet Kai Anderson, Vorstand des HR-Beraters Promerit. Dies betreffe etwa die Notwendigkeit eines Datenschutzbeauftragten oder das neue Einholen von Einwilligungen für den Newsletterversand. Hinzu komme, dass ein Apparat bei den Datenschutzbehörden fehle, um die Einhaltung zu überwachen. „Deshalb ist zu befürchten, dass dies Abmahnanwälte übernehmen“, so Anderson weiter. Vor allem kleinere und mittlere Unternehmen (KMU) fühlen sich von der Umstellung überfordert – sie sind am verwundbarsten und am anfälligsten.

Bei den meisten Industriebetrieben ist die IT-Struktur über Jahre hinweg, mehr oder weniger, wild gewachsen. Neben den vorhandenen programmierbaren Maschinen und Anlagen gibt es viele unterschiedliche Insellösungen. In der Warenwirtschaft laufen alle diese Daten zusammen und treffen hier wiederum auf die kaufmännischen Bereiche des Unternehmens, in die sie eingebunden werden müssen. „Richtig komplex wird es durch die DSGVO dann, wenn Unternehmen einem externen Dienstleister den Zugriff auf einzelne Datensätze erlauben“, sagt Hans-Jürgen Fockel, Geschäftsführer des IT-Systemhauses Lanos. Dann stellen sich folgende Fragen: Wie erfolgt der Systemzugriff? Welche Daten sind einsehbar? Wie erfolgt die Sicherung beim Dienstleister und wie werden diese Daten weiterverarbeitet? „Das muss nun alles dokumentiert und protokolliert werden“, erklärt Fockel.

Teure Umsetzung

Komplett neu sind diese Anforderungen freilich nicht. Viele der Vorschriften enthielt auch schon das Bundesdatenschutzgesetz, das mit der Datenschutz-Grundverordnung reformiert wurde. Zudem hatte die EU der Einführung eine zweijährige Übergangsfrist vorgeschaltet. Ernst ist die Lage vor allem für diejenigen KMU, die in den vergangenen Jahren ihre Datenschutzpflichten vernachlässigt haben. Die Umstellung kommt sie nun teuer zu stehen: „Bei mittelständischen Unternehmen sind durch die DSGVO erhebliche Kosten entstanden. Da kommen schnell sechsstellige Summen zusammen, auch wegen notwendiger Umstellungen der IT-Architektur“, sagt Philip Kempermann, Experte für Datenschutzrecht bei der Kanzlei Heuking Kühn Lüer Wojtek.

Weil viele mittelständische Unternehmen zum einen die Umsetzung und Überwachung der Anforderungen und zum anderen die Kosten für ein modernes IT-System scheuen, suchen immer mehr Zuflucht bei externen Systemhäusern und Rechenzentren. Der Vorteil liegt auf der Hand: „Damit lagern sie die Betriebsrisiken und Compliance-Pflichten aus – inklusive der Unwägbarkeiten, die durch die DSGVO entstanden sind“, sagt IT-Experte Fockel.

Protokolle und Nachweise

Unternehmen, die sich für eine Inhouse-Lösung entscheiden, müssen zahlreiche Fallstricke der DSGVO beachten. Beispiel mobiles Büro: Mitarbeiter müssen das Know-how das sich etwa auf dem unternehmenseigenen Notebook befindet, aktiv schützen. Das neue Datenschutzrecht zielt aber in erster Linie auf personenbezogene Daten ab, die das Unternehmen auf Servern verarbeitet. Eine Hilfestellung kann hier eine „Managed File Transfer“(MFT)-Software bieten, die alle Datenströme protokolliert und damit nachweisbar macht. Damit steht MFT rechtlich wie technisch im Einklang mit dem neuen Datenschutzrecht.

Solche Protokolle und Nachweise sind es, die die Behörden bei einer Kontrolle oder Anzeige verlangen – und worauf es Endverbraucher abgesehen haben. Die oberste Datenschützerin von Nordrhein-Westfalen, Helga Block, erwartet, dass die Verbraucher von der neuen Auskunftspflicht reichlich Gebrauch machen werden. Diese Erwartung untermauert die „GDPR Consumer Study“: So wollen zwei Drittel der Befragten von Unternehmen eine Auskunft darüber anfordern, welche persönlichen Daten von ihnen gespeichert wurden. Fast drei Viertel wollen ihr „Recht auf Vergessenwerden“ in Anspruch nehmen. Ob auch KMU mit Anfragen überflutet werden und wie restriktiv die DSGVO letztlich ausgelegt wird, bleibt abzuwarten. Ansonsten hat Bitkom-Präsident Achim Berg auch schon einen Plan: „Dann müssen wir gegebenenfalls von offizieller Seite nachbessern.“


Dieser Text gehört zu einem Thema aus der Markt-und-Mittelstand-Ausgabe 07-08/2018. Hier können Sie das Heft bestellen und „Markt und Mittelstand“ abonnieren.