Berlin. Die neue EU-Datenschutzverordnung stellt viele Firmen vor Probleme. Vor allem mittelständische Unternehm fürchten hohe Strafzahlungen.

Es sind Drohungen wie diese, die derzeit Unternehmen beunruhigen: Wer sich jetzt nicht von Anwälten zur europäischen Datenschutzverordnung beraten lasse, der hat ein Bußgeld von bis zu 20 Millionen Euro zu befürchten. Zahlreiche Firmen haben solche Warnungen schon aus ihren Briefkästen gezogen, Absender sind meist Kanzleien und Unternehmensberatungen.

Einem Familienbetrieb in Mecklenburg-Vorpommern, der seinen Namen nicht in diesem Zusammenhang lesen will, wurde sogar mit strafrechtlicher Verfolgung gedroht, sollte er das Gesetz nicht richtig umsetzen. Verunsichert wendet sich die Firma an die Landesdatenschutzbehörde: „Wir sind ein kleines Familienunternehmen, bestehend aus Ehegatten und einem geringfügig beschäftigten Mitarbeiter. Müssen wir reagieren? Bitte klären Sie uns auf!“

In wenigen Wochen tritt die wohl umfassendste Datenschutzreform in Kraft, seit Daten überhaupt elektronisch verarbeitet werden – vorangetrieben von EU-Justizkommissarin Vera Jourova. Erstmals gelten in allen 28 EU-Mitgliedstaaten die gleichen Vorgaben für das Speichern und den Schutz von Daten. Verbraucher haben es künftig leichter, gegen Missbrauch vorzugehen.

Datenskandale wie der beim sozialen Netzwerk Facebook sollen so verhindert werden. Am 25. Mai endet eine zweijährige Übergangsfrist, doch offenbar werden viele Unternehmen die Regeln nicht rechtzeitig umsetzen, das zeigt eine Umfrage unserer Redaktion unter allen Landesdatenschutzbeauftragten.

Sieben der 16 Landesbehörden gehen davon aus, dass ein bestimmter Anteil der Unternehmen auch nach dem Stichtag große Defizite beim Datenschutz haben wird. Konzerne seien meist gut vorbereitet, heißt es vom Großteil der Behörden. Sorge bereiten jedoch kleine und mittelständische Betriebe.

Das Problem für sie: Bei Verstößen drohen künftig deutlich höhere Strafen als bislang. Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein, beobachtet, es gebe Unternehmen, für die sei Datenschutz „Neuland“. Diese Gruppe wisse oft gar nicht, „wo die Daten ihrer Kunden oder Beschäftigten verarbeitet werden und wie sie gegen einen Missbrauch abgesichert sind“.

Bei Mittelständlern sind zahlreiche Fragen noch immer nicht geklärt

Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg, beobachtet, dass ein Drittel der Unternehmen bei der Umsetzung noch die notwendige Entschlossenheit vermissen lasse. „Ein weiteres Drittel ist zwar auf dem Weg, wird eine fristgerechte Umsetzung jedoch nicht mehr schaffen.“ Von der Hamburger Behörde heißt es, bei kleinen und mittleren Unternehmen „wird in der Beratungspraxis oft deutlich, dass grundlegende Fragen wenige Wochen vor Inkrafttreten der Datenschutzgrundverordnung noch nicht geklärt sind und eine fristgemäße Umsetzung unwahrscheinlich ist“.

Barley fordert Schutz von Userdaten auf europäischer Ebene

weitere Videos

    Ähnlich äußerten sich auch die Datenschutzbeauftragten von Mecklenburg-Vorpommern, Sachsen-Anhalt, Niedersachsen und Rheinland-Pfalz. Sie alle berichten über zahlreiche Anfragen besorgter Unternehmen an die Behörden. Lediglich die Berliner Datenschutzbeauftragte, Maja Smoltczyk, sieht junge Unternehmen auf gutem Weg. Die Start-up-Szene der Hauptstadt verstehe Datenschutz als „Wettbewerbsvorteil“.

    Bei Verstößen sind Strafen von bis zu 20 Millionen Euro fällig

    Betroffen sind längst nicht nur Unternehmen, zu deren Kerngeschäft die Datenverarbeitung gehört, etwa Online-Händler. Praktisch jedes Unternehmen verarbeitet sensible Daten – das fängt schon bei den Adressen und Bankverbindungen der Mitarbeiter an. Reihenweise müssen sie nun Einwilligungstexte zur Datenweitergabe überarbeiten, sichere Speicherplätze schaffen, neue Software anschaffen und meist auch einen Datenschutzbeauftragten berufen.

    Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit.
    Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit. © picture alliance / Fabian Stoffe | dpa Picture-Alliance / Fabian Stoffers

    Das alles kostet viel Zeit und Geld – Ressourcen, die nicht jeder Mittelständler hat. „Das wird unser tägliches Geschäft, insbesondere für Unternehmen mit mehr als 250 Mitarbeitern, noch einmal erheblich verkomplizieren“, kritisiert Reinhold von Eben-Worlée, Präsident des Verbandes der Familienunternehmer.

    Die Krux ist: Die Strafen bei Verstößen gegen den Datenschutz sind künftig viel höher. Bisher drohten Geldbußen von lediglich bis zu 300.000 Euro – für große Unternehmen praktisch nichts, weshalb gerade auch US-Internetkonzerne, die es mit Datenschutz nicht allzu ernst nehmen, in Deutschland kaum etwas zu befürchtet hatten. Künftig ist Bußgeld von vier Prozent des weltweiten Jahresumsatzes möglich, die Grenze liegt bei 20 Millionen Euro.

    Behörden werden kaum alle Firmen prüfen können

    Die abschreckende Wirkung dieser Summe machen sich nun offenbar auch einige Anwälte zunutze. Viele Unternehmen beschäftige „die Sorge vor anwaltlichen Abmahnungen oder immateriellen Schadenersatzansprüchen“, berichtet Brandenburgs Datenschutzbehörde. Auch Heinz Müller, Landesdatenschutzbeauftragter von Mecklenburg-Vorpommern, beobachtet bei den Unternehmen eine zunehmende „Angst vor Abmahnanwälten“.

    Ein allzu strenges Vorgehen der Behörden müssen Unternehmen allerdings nicht fürchten. Zwar hat jede Behörde angekündigt, nach dem 25. Mai kontrollieren zu wollen, doch viele Datenschützer wollen bei Verstößen erst einmal einen Hinweis aussprechen, bevor sie mit Geldstrafen drohen. Ohnehin haben die Behörden zu wenig Personal, um jede Firma durchleuchten zu können.

    Von Hessens Datenschutzbehörde heißt es etwa: „Bei einer Anzahl von knapp 250.000 Unternehmen in Hessen ist es für eine Aufsichtsbehörde mit 40 Mitarbeitern schlicht unmöglich, zu wissen, wer die DS-GVO wie umgesetzt hat.“ Nahezu jeder der 16 Behörden geht es so. Einige haben schon angekündigt, ihr Personal aufstocken zu wollen. Auf fehlende Kon­trollen sollten die Firmen auf Dauer besser nicht setzen.