Berlin. Die neue Datenschutz-Grundverordnung soll die Privatsphäre der Verbraucher stärken. Doch die neuen Vorgaben überfordern viele Firmen.

In wenigen Tagen treten in Europa die neuen Regeln zum Datenschutz in Kraft. Doch „viele Unternehmen fallen aus allen Wolken, wenn sie merken, was mit der EU-Datenschutz-Grundverordnung auf sie zukommt“, sagt Hans-Joachim Karp. Er arbeitet als Inhaber-Berater für Handwerksbetriebe.

„Bisher war das Thema nicht zu ihnen durchgedrungen.“ So geht es nicht nur mancher Firma, sondern auch Vereinen, Schulen und selbst Privatpersonen, die beispielsweise über Internetblogs Informationen verbreiten.

Ab 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO) endgültig, weil die jahrelange Übergangsfrist nun zu Ende ist. Das Regelwerk der Europäischen Union trifft prinzipiell für alle Fälle zu, in denen persönliche Daten und Informationen über einzelne Menschen verarbeitet werden.

Viele Daten gehen über das Nötige hinaus

Das schließt die Sammlung solcher Daten, ihre Speicherung, Auswertung, Weitergabe und Veröffentlichung ein. Jeder, der mit Daten anderer Personen umgeht, etwa auf einer eigenen Webseite Fotos zeigt, sollte sich der DSGVO gegenüber konform verhalten. Globale Konzerne wie Facebook und Amazon müssen das ebenso berücksichtigen wie der Malermeister von nebenan.

Ein Beispiel: Fast jede Firma, egal ob klein oder groß, verfügt heute über eine digitalisierte Kundendatei. Dabei „dürfen Unternehmen nur Informationen über ihre Kunden verarbeiten, die sie benötigen, um ihr Geschäft abzuwickeln“, sagt der Wiesbadener Anwalt und Spezialist für Digital-Recht, Hajo Rauschhofer, „zum Beispiel den Namen, die Adresse und gegebenenfalls die Kontonummer“.

Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. © dpa | Bernd von Jutrczenka

Viele der Dateien enthalten jedoch Angaben, die über das Nötige hinausgehen und den Firmen gezielte Werbung ermöglichen – etwa die Geburtsdaten der Käufer. „Der Geburtstag der Kunden gehört beispielsweise nicht zu den Daten, die ein Malerbetrieb für die Ausführung seiner Arbeiten braucht“, erklärt Berater Karp, der mit dem Bundesverband für Kleine und Mittlere Unternehmen kooperiert. Solche Informationen müssten die Firmen eigentlich aus ihren Kundendateien löschen oder die Verbraucher ausdrücklich um ihr Einverständnis für die Speicherung bitten.

Mehr Rechte für die Bürger

Das dürfte eine der wesentlichen Wirkungen der neuen Verordnung sein: Die Bürger bekommen mehr Rechte, um Auskunft von den Datenverarbeitern zu verlangen, welche persönlichen Angaben diese über sie speichern. Sind Privatleute mit der Nutzung ihrer Daten nicht einverstanden, müssen diese gelöscht werden.

Damit sollten sich auch andere Organisationen wie Vereine und Schulen auseinandersetzen. So betreibt der Vorstand einer Gartenkolonie wahrscheinlich eine elektronische Liste der Mitglieder, die mehr Informationen enthält, als er für die Verwaltung der Anlage braucht.

Schulen veröffentlichen auf ihren Internetseiten oder in sozialen Netzwerken Fotos vom Sommerfest oder vom Abiturball. Blogger schreiben auf ihren Webseiten Artikel über die Geschehnisse in ihrer Nachbarschaft. Diese und andere Quellen enthalten möglicherweise persönliche Daten der Bürger, die dem Recht auf Auskunft, Einwilligung und Löschen unterliegen.

Firmen befürchten Abmahnungen

Es ist sicher, dass solche Begehren Firmen und andere Datenverarbeiter auch tatsächlich erreichen werden. Die Verbraucherzentrale Bremen hat beispielsweise bereits einen Musterbrief veröffentlicht, mit dem Konsumenten Auskunft verlangen können (siehe Kasten).

Eine große Herausforderung besteht darin, dass Firmen, Vereine und Institutionen sich überhaupt erst einmal darüber klar werden, über welche Daten sie verfügen, woher diese kommen, wo sie liegen und wer Zugriff darauf hat. „Eine zweite Hürde ist die Dokumentation dieser Prozesse, die die DSGVO vorschreibt“, so Anwalt Rauschhofer.

Betriebe müssen beispielsweise ein Verfahrensverzeichnis und Vereinbarungen mit Auftragsverarbeitern nachweisen, die die personenbezogen Daten verwalten. Schriftliche Verträge mit diesen müssen Auskunft geben, was mit den Daten passiert, wer sie einsehen kann und wie diese technisch sowie organisatorisch gesichert sind. Mit Löschkonzepten sollen die Firmen belegen, wie und wann sie die Informationen vernichten.

„Drittens ist all dies im Rahmen einer neuen Datenschutzerklärung auf der jeweiligen Internetseite darzustellen“, erklärt Rauschhofer. Ist diese Erklärung der Firma oder des Vereins fehlerhaft, kann es zu Abmahnungen durch spezialisierte Anwälte kommen. Die Kosten für die betroffenen Nutzer könnten schnell 1000 Euro oder mehr betragen, so der Anwalt.