DSGVO und die Folgen:
Datenschutz im Mittelstand – (k)ein Grund zur Panik?
Die neue Datenschutzverordnung DSGVO nimmt ab Ende Mai selbst kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet?
Foto: KeyIdentity
Am 25. Mai tritt die europaweit geltende Datenschutzgrundverordnung (DSGVO) offiziell in Kraft. Sie sieht eine Reihe von Auflagen vor, die auch kleinste Unternehmen im Umgang mit persönlichen Daten befolgen müssen. Doch gerade kleine Firmen scheinen auf kaltem Fuß erwischt zu werden - dabei sind die Vorgaben bereits seit zwei Jahren bekannt. Jeder zweite Mittelständler in Deutschland ist nach einer Studie des Gesamtverband der Deutschen Versicherungswirtschaft noch völlig planlos.
Nach einer repräsentativen Forsa-Umfrage im Auftrag des Verbandes haben 36 Prozent der kleinen und mittleren Unternehmen von den neuen Regeln "noch nicht einmal etwas gehört". Lediglich 22 Prozent haben sich auf die Scharfschaltung der DSGVO vorbereitet oder wollen zumindest noch Änderungen umsetzen.
"Die Mehrheit der kleinen und mittleren Unternehmen nimmt den Datenschutz immer noch auf die leichte Schulter", sagt Peter Graß vom GDV. Dabei drohten bei Nichtbeachtung ernsthafte Konsequenzen und hohe Bußgelder.
Vieles war schon vor der DSGVO Vorschrift
Gibt es also Grund dazu, dass am 26. Mai in den kleinen Betrieben die große Panik ausbricht? Keineswegs, meint die Berliner Datenschutzbeauftragte Maja Smoltczyk. In der neuen DSGVO stehe im Grunde viel von dem, was im Datenschutzrecht ohnehin schon vorgeschrieben war.
Zu den wichtigen Neuerungen gehören zum Beispiel veränderte Transparenzpflichten, die vor allem dann wirksam sind, wenn es um die Speicherung und Verarbeitung personenbezogener Daten geht. Dazu zählen etwa Name, Adresse, Gesundheitsdaten und Kontonummern. Online-Shops müssen ihre Webformulare für die Eingabe persönlicher Daten anpassen, denn die Übermittlung muss zwingend verschlüsselt ablaufen.
Und es dürfen nur Daten angefordert werden, die unmittelbar benötigt werden - Stichwort "Datenminimierung". Für Werbe-Mails ist die ausdrückliche Zustimmung der Adressaten vor dem Versand zwingend erforderlich. Und in Betrieben ab zehn Mitarbeitern muss zudem ein interner Datenschutzbeauftragter bestellt werden.
Wenn ein Bußgeld droht ...
Wer dagegen verstößt, muss zwar mit einem Bußgeld rechnen. Doch die Höhe richtet sich stets nach den wirtschaftlichen Verhältnissen der Unternehmen sowie nach der Schwere des Falls und den Anstrengungen, die zuvor unternommen worden sind. "Man kann den Unternehmen aber nur raten, kooperativ mit den Behörden zusammenzuarbeiten", betont Smoltczyk.
Die Datenschützerin bricht auch eine Lanze fürs "historisch einmalige Vertragswerk", dem 28 Mitgliedstaaten der EU zugestimmt haben. Die DSGVO solle den Datenschutz nachhaltig sichern. "Sie ist der einzige Weg, dieses Grundrecht zu bewahren."
Datenschutz sei generell ein sehr wichtiges Thema, sagt auch Sabine Reinhart, die in Hamburg die kleine PR-Agentur PR13 betreibt. Allerdings habe die DSGVO erheblichen Mehraufwand zur Folge. Vor zwei Monaten habe sie "die Panik erfasst".
Folge war ein Krisentreffen ihres dreiköpfigen Teams - und der Besuch eines Seminars zu Fragen der Umsetzung. "Die Drohung, dass der Verantwortliche zu millionenschweren Strafen herangezogen werden kann, ist natürlich so bedrohlich, dass sich alle informieren und alles 200 Prozent korrekt machen wollen", sagt Reinhart.
Amir Alsbih, CEO von KeyIdentity weiß: "Ein Verstoß gegen die neue Datenschutzgrundverordnung muss nicht gleich bedeuten, dass Geschäftsführer oder IT-Verantwortliche zukünftig nur noch mit ihrem Anwalt sprechen." Aber auch 20 Millionen Euro Bußgeld könnten ein guter Grund sein, rechtzeitig über DSGVO-konforme Lösungen für die Sicherung digitaler Identitäten und Transaktionen zu reden, so der IT-Manager.
Was die großen Verbände raten
Die großen Berufsverbände und die Datenschutzbeauftragten registrieren seit Wochen einen enormen Zulauf zu ihren Informationsveranstaltungen. Schon allein das wertet Smoltczyk als "Riesenerfolg" für die EU-weit geltende Verordnung: Denn es folge daraus, dass die DSGVO im Gespräch und ”in aller Munde“ sei. Auch die Start-up-Sprechstunde der Behörde sei inzwischen überlaufen. "Die Unternehmen haben das auf dem Schirm und werten es oft auch als Wettbewerbsvorteil", sagte Smoltczyk.
Doch die Zeit drängt. Berechtigte Sorge oder Sturm im Wasserglas also?
Für Handwerksbetriebe gibt der Zentralverband des Deutschen Handwerks ZDH ein Stück weit Entwarnung. Für seine Mitglieder gebe es nur geringen Handlungsbedarf, erklärte der Verband auf Anfrage. Die DSGVO bringe "inhaltlich nur sehr wenige praxisrelevante Änderungen mit sich". Dies gelte auch für die formalen, bürokratischen Anforderungen. "In der Sache kommt auf Betriebe, die bereits heute datenschutzkonform agieren, kein zusätzlicher Aufwand zu", ist der ZDH überzeugt.
Für wen sich viel ändert
Für Mitglieder der Industrie und Handelskammer IHK sieht es schon etwas anders aus: "Für unsere Mitglieder und insbesondere für die KMU bringt die EU-Verordnung eine Vielzahl an Neuerungen und Pflichten mit sich", erklärte Bettina Schoenau von IHK Berlin. Dabei erscheine "gerade die Fülle und Komplexität der Regelungen eine echte Herausforderung", wie es auch eine Blitzumfrage im März bestätigt habe.
Danach hatten sich 36 Prozent der befragten Unternehmen noch gar nicht mit der Umsetzung beschäftigt. Informationsbedarf gebe es etwa zu den Dokumentationspflichten beim Speichern von Kundendaten und darüber, welche Daten überhaupt gespeichert und wie Kundendaten intern verarbeiten werden dürften. Eines der großen Probleme sei aktuell jetzt die noch wenig verbleibende Zeit.
Für kleine Digital-Unternehmen und Startups könnte es deshalb langsam kritisch werden. Der Bundesverband Digitale Wirtschaft BVDW sieht auch vier Wochen vor Inkrafttreten der neuen Bestimmungen noch immer großen Aufklärungsbedarf. Man habe "sehr viel Energie in die Aufklärung investiert", sagte ein Sprecher. Die "komplexe Regulierung“ stelle viele Unternehmen aber vor ”große Herausforderungen", zumal die Verordnung viel Ermessensspielraum offenließe.
Praxis-Check für Ihre Daten nötig? Hier geht's zum neuen W&V Report.
Noch mehr Know-How für den Mittelstand gefällig? Dann besuchen Sie die W&V MAKE -Konferenz für mittelständische Entscheider am 8. Mai 2018 in Düsseldorf.
