Am 25. Mai tritt in Europa die neue Datenschutzgrundverordnung in Kraft.
Das Thema ist zwar sperrig, darf aber nicht auf die leichte Schulter genommen werden. Am 25. Mai tritt die europäische Datenschutz-Grundverordnung ( DSGVO ) in Kraft, die Unternehmen dazu verpflichtet, mit den Daten ihrer Kunden sorgsamer umzugehen. Gespeichert werden darf nur noch, was wirklich gebraucht wird - und die Nutzer müssen zustimmen. In ganz Europa sind viele Firmen auf die neue Regelung aber noch nicht vorbereitet.
Etlichen Managern treibt das neue Regelwerk Schweißperlen auf die Stirn, schließlich drohen bei Verstößen Strafen, die sich auf bis zu vier Prozent des Jahresumsatzes belaufen können. Vielerorts wurde unterschätzt, wie komplex die Umsetzung ist. "Vor allem kleine und mittlere Unternehmen wachen gerade auf. Wir bekommen viele Anfragen aus diesem Umfeld und viele sind erstaunt, welcher Aufwand durch die DSGVO auf sie zukommt", sagt Oliver Köppe, Partner bei der Wirtschaftsberatung KPMG. Die größte Veränderung sei, dass der Datenschutz nun aktiv von den Unternehmen betrieben werden müsse.
>>>Nachlesen: DSGVO: Alle Infos zum neuen Datenschutz
"Recht auf Vergessen" größte Hürde
Dies führt beispielsweise dazu, dass Kundenportale, in denen Nutzerdaten gespeichert sind, überarbeitet werden müssen. In der Praxis bitten viele Firmen ihre Kunden per Mail, dem Erhalt des Newsletters ausdrücklich zuzustimmen. Experte Köppe sieht die größte Hürde aber darin, das neu festgeschriebene "Recht auf Vergessen" zu realisieren: "Bisher war beim Softwaredesign eine technische Löschung von Daten oft gar nicht vorgesehen und auch nicht gewollt, sodass nunmehr größere technische und organisatorische Umbauten erfolgen müssen." So müssen soziale Netzwerke wie Facebook und Twitter oder Internetkonzerne wie Google künftig zumindest ihren europäischen Mitgliedern die Möglichkeit einräumen, ihre Daten einfach von den jeweiligen Plattformen zu entfernen.
Konzerne begrüßen die größte Überholung des Datenschutzes in Europa seit mehr als zwei Jahrzehnten nahezu einhellig. Bei der Deutschen Telekom heißt es: "Es geht um das Vertrauen der Menschen in die Digitalisierung. Dafür braucht es hohe Standards, die für alle Unternehmen gelten, die ihre Dienste hier anbieten." Herausforderungen bei der Umsetzung gebe es trotzdem, sagt eine Sprecherin und verweist darauf, dass viele Vorgaben aus Brüssel erst spät gekommen seien: "Die Aufsichtsbehörden bedenken dabei nicht, dass mit ihren Anforderungen oftmals Prozessänderungen oder Systemanpassungen in den Unternehmen einhergehen, die nicht einfach per Knopfdruck funktionieren."
Das hat Konsequenzen. Laut einer Studie des IT-Verbands Bitkom rechnet gerade einmal ein Viertel der deutschen Unternehmen damit, zum Stichtag regelkonform zu arbeiten. "Viele Unternehmen haben sich in der Vergangenheit zu wenig um den Datenschutz gekümmert und haben deshalb Nachholbedarf", sagt Bitkom-Präsident Achim Berg. Gleichzeitig seien aber auch die Aufsichtsbehörden in der Pflicht: "Bei der Auslegung der Datenschutz-Grundverordnung mangelt es von offizieller Seite bis heute an praktischen Hilfestellungen."
>>>Nachlesen: Regierung weicht neuen Datenschutz auf
Firmen können auf Nachsicht hoffen
Laut EU-Justizkommissarin Vera Jourova können Unternehmen durchaus auf Nachsicht hoffen, sollten sie die Anforderungen nicht sofort erfüllen. Darauf sind zum Beispiel Start-ups wie die Berliner Spieleschmiede Wooga angewiesen. Zwar arbeitet die Firma seit gut einem Jahr an der Umsetzung der neuen Regeln und hat sich auch externe Datenschützer ins Haus geholt. Aber erst nach dem 25. Mai werde sich genau zeigen, welche Anwendungen im Alltag am meisten Sinn machten, sagt die Leiterin der Rechtsabteilung bei Wooga, Cordula Zimmer.
Experten gehen davon aus, dass die deutsche Wirtschaft von der DSGVO profitiert, denn schon bisher hätten hierzulande strengere Regeln als in anderen EU-Ländern geherrscht. Nun komme es europaweit zu einer Anpassung. Die Unterschiede zu den USA oder asiatischen Staaten bleiben allerdings bestehen. "Außerhalb der EU gibt es einfach niedrigere Anforderungen, kaum Bußgelder und Abmahnrisiken", sagt Wooga-Managerin Zimmer, deren Firma weltweit aktiv ist.
Europa will allerdings noch einen Schritt weitergehen und tüftelt bereits an der sogenannten E-Privacy-Verordnung. Sie soll auf den Nutzer zugeschnittene Werbung erschweren. Die ersten Unternehmen protestieren bereits: So monierte Axel-Springer-Chef Mathias Döpfner unlängst, dieses Gesetz schütze "nicht den Verbraucher, sondern amerikanische Daten-Monopole".
>>>Nachlesen: DSGVO: Datenschützer schlecht gewappnet