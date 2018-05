Mit den neuen Rechten für Verbraucher durch die EU-Datenschutzgrundverordnung (DSGVO) kommen auf der anderen Seite neue Aufgaben und Pflichten für Unternehmen im Umgang mit Kunden- und Nutzerdaten. Vor allem für kleinere Firmen bedeuten die neuen Vorschriften oft erst einmal viele Probleme - und auch Ängste.

Kunden müssen Einverständnis erklären

Andreas Romanow

"Das ist ein irrer bürokratischer Aufwand, der da auf uns zukommt. Jeder spricht eigentlich immer vom Bürokratieabbau aber es wird trotzdem immer mehr. Vor allem steht momentan die Unsicherheit, weil einem keiner genau sagen kann: Wie soll man mit dem Thema umgehen?", sagt Malermeister Andreas Romanow aus Gräfelfing. Vor allem kleine Unternehmen wie Romanows Malerbetrieb stellt die neue EU-Datenschutzgrundverordnung vor viel Arbeit. So müssen bei Kunden Einverständniserklärungen zur Verwendung ihrer Daten eingeholt werden, etwa wenn Adressen für Werbezwecke genutzt werden.

Betriebe müssen auch die Ablage von Kundendaten neu organisieren, sichern und dokumentieren. So muss ein Verzeichnis über alle Datenverarbeitungstätigkeiten geführt werden. Diese Regel gilt zwar grundsätzlich erst ab einer Größe von 250 Mitarbeitern, Ausnahmen gelten aber auch für viele kleinere Firmen; etwa dann, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt; oder wenn das Geschäftsmodell hauptsächlich auf Datenverarbeitung oder damit zusammenhängenden Technologien basiert - was prinzipiell zum Beispiel alle Hitech-Startups betrifft, die Shopping- oder Social-Media-Apps entwickeln.

Pflicht zu Datenschutzbeauftragtem

Kundendaten im Malerbetrieb

Viele kleinere Firmen wie auch Vereine müssen auch einen - gegebenenfalls extern zu engagierenden - Datenschutzbeauftragten ernennen. Der ist ab 10 Mitarbeitern, die mit Kundendaten hantieren, vorgeschrieben. Malermeister Andreas Romanow weiß trotzdem nicht, ob er dazu verpflichtet ist, obwohl er schon auf zwei Vorträgen zur Datenschutzgrundverordnung war und sich durch einen 58-seitigen Leitfanden vom Handwerksverband gearbeitet hat. Denn: Ob zu den 10 Mitarbeitern etwa auch Teilzeitkräfte und Azubis zählen, konnte ihm bisher niemand sagen.

Diese und andere Unklarheiten dürften letztgültig erst Gerichte mit ihrer Auslegung der neuen Datenschutzvorgaben klären. Nicht zuletzt aufgrund solcher Unwägbarkeiten fürchten viele kleine Unternehmer Abmahnungen von übereifrigen Anwälten. Thomas Kranig, der Vorsitzende des bayerischen Landesamts für Datenschutzaufsicht, versucht, etwas Druck aus dem Kessel – und kleinen Unternehmen zumindest die Angst vor möglichen Bußgeldern zu nehmen: „Man versucht, ihnen zu helfen, das zu erfüllen, was die Grundverordnung verlangt. Und nur dann, wenn es jemanden gibt, der ganz genau weiß, was er tun müsste, und das aber nicht getan hat, dann werden auch Bußgelder eine Rolle spielen“, sagte Bayerns oberster Datenschützer für den privaten Sektor dem BR.

Bis zu 20 Millionen Euro Bußgeld drohen

Bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes beträgt der Rahmen, in dem die Datenschutzbehörden künftig Bußgelder verhängen können. Dennoch gibt laut dem IT-Branchenverband Bitkom selbst bei Startups nur jedes zehnte Unternehmen an, die neuen Vorgaben bereits vollends zu erfüllen. Kleinen Firmen fehlt oft schlicht Geld und Personal, sich bis zum Stichtag am 25. Mai darauf einzustellen.

Malermeister Andreas Romanow sieht sich als Leidtragender der großen US-Internetfirmen, die sich beim Datenschutz zu oft hart an der Grenze des Erlaubten bewegen - und wegen denen die neuen Datenschutzregeln vor allem erlassen wurden: "Der Ausgangspunkt sind ja wohl die großen Unternehmen wie Google, Amazon, Facebook, bei denen solche Datenschutzleitlinien sicher sinnvoll sind. Dass das in solch kleinen Betrieben wie unserem auch gelten soll, ist aus meiner Sicht hirnrissig. Da wird wieder mit Kanonen auf Spatzen geschossen, anstatt dass man sich auf die Großen konzentriert."