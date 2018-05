Michael Riethmüller, der Geschäftsführer der Ravensburger Buchhandlung Ravensbuch ist sauer, richtig sauer. Und zwar wegen der Datenschutzgrundverordnung der Europäischen Union. Sie tritt am 25. Mai in Kraft und soll die „personenbezogenen Daten“ aller Bürger der EU besser schützen. Ein hehres Ziel, keine Frage, das meint auch der 63-jährige Einzelhändler aus Oberschwaben. „Und natürlich, keine Frage, der Missbrauch von Daten muss ausgeschlossen werden“, sagt Riethmüller. Aber: „Die neuen Regeln treffen vor allem die kleinen Unternehmen, doch wir sind gar nicht das Problem, das sind die Datenstaubsauger Amazon, Facebook und Google.“

Was den Buchhändler so aufregt, sind die neuen Regeln, die aus seiner Sicht kleinen und mittleren, oft inhabergeführten Firmen, aber auch größeren Familienbetrieben und Unternehmen große Schwierigkeiten machen. Betriebe müssen Datenschutzbeauftragte ernennen, müssen ihren Kunden Auskunft geben darüber, wie welche Daten genutzt werden. Sie müssen für die Verarbeitung die Einwilligung einholen, Daten besonders sichern, auf Verlangen löschen – und vor allem jeden Vorgang, der mit personenbezogenen Daten zusammenhängt, genau dokumentieren.

„Amazon wird nichts groß offenlegen, was mit den eingesammelten Daten passiert, das glaube ich einfach nicht, wir aber müssen alles umsetzen“, erklärt Riethmüller seine Befürchtungen, „Bei uns haben alle Interessenverbände geschlafen.“

Politik hat die Folgen unterschätzt

Fakt ist, dass das Europäische Parlament und der Ministerrat der Verordnung, die auf dem deutschen Datenschutzrecht beruht und maßgeblich von deutschen Beamten in Brüssel geschrieben worden ist, Anfang 2016 zugestimmt haben. In Kraft trat sie am 24. Mai 2016, rechtlich bindend ist sie vom 25. Mai 2018 an. Dennoch haben die Bestimmungen Tausende von Unternehmen in Deutschland in diesen Tagen überrascht, auch viele Politiker und die Vertreter von Verbänden haben es nicht vermocht, die Folgen der Verordnung richtig einzuschätzen.

Bei der Mittelstandsvereinigung der Union (MIT) melden sich seit Wochen täglich Unternehmer – um entweder ihren Frust über die Verordnung loszuwerden oder um aus Ärger über die verantwortlichen Politiker gleich aus dem Verband auszutreten. „Wenn so viele Mittelständler sich beschweren und mit zahlreichen Beispielen belegen, dass bei so vielen Auflagen kaum noch Zeit fürs Geschäft bleibt, dann sind die Regelungen offensichtlich praxisfern“, sagt der MIT Bundesvorsitzende Carsten Linnemann der „Schwäbischen Zeitung“.

„Wir müssen schleunigst sehen, inwieweit wir auf nationaler Ebene die Anwendung mittelstands-freundlich hinbekommen. Und falls das nicht reicht, müssen wir auch schnellstmöglich bei der EU-Verordnung nachbessern.“ Auch der CDU-Wirtschaftsrat hat in einem Positionspapier Stellung bezogen und kritisiert die neue Verordnung. „Das Datenschutzrecht entkoppelt sich immer weiter von der Wirklichkeit und wird dadurch zu einem Behördenmonster“, erklärt Generalsekretär Wolfgang Steiger.

Gerade für mittelständische Unternehmen sei das Regelwerk eine „enorme Belastung“, sagt Katharina Bill, Sprecherin der Industrie- und Handelskammer Ulm. Die Auskunftspflicht gegenüber Kunden und die damit verbundenen Dokumentationspflichten der Daten stelle viele Unternehmen vor „große technische und organisatorische Herausforderungen“. Hinzu komme aus Sicht der Kammer: „Die Bestellung eines externen betrieblichen Datenschutzbeauftragten kann hohe Kosten verursachen“, erklärt Katharina Bill.

Doch nicht nur die zusätzlichen Kosten sehen viele Betriebe als Problem der neuen Datenschutzgrundverordnung, sie kritisieren vor allem den gestiegenen Aufwand und die damit verbundene Bürokratie. „Es herrscht großes Unverständnis, dass die Unternehmen für die Abwicklung des normalen Geschäftsverkehrs denselben datenschutzrechtlichen Regeln unterliegen wie die großen Datenkraken Google oder Facebook“, sagt Alfred Huber, Rechtsreferent bei der Industrie- und Handelskammer Bodensee-Oberschwaben.

Vom 25. Mai an müssen alle Unternehmen, in denen sich mehr als neun Mitarbeiter mit personenbezogenen Daten beschäftigen, ihre betrieblichen Datenprozesse noch genauer durchleuchten und anpassen. „Vielen Betrieben ist noch gar nicht klar, wo genau Handlungsbedarf besteht“, befürchtet Gunter Maetze, bei der Handwerkskammer Ulm zuständig für die Bereiche Innovation und Technologie.

Datenschutzhinweise anpassen

Allen Verbänden ist bewusst, dass ihre Mitgliedunternehmen in den kommenden Wochen noch viel zu tun haben werden – sie müssen investieren und ihre IT nachrüsten, um die Anforderungen zu erfüllen. Und einen Blick auf den eigenen Internetauftritt werfen. „Die Unternehmen sollten unbedingt ihre Datenschutzhinweise auf der Homepage anpassen“, rät Sonja Zeiger-Heizmann, die für den Unternehmensservice verantwortliche Referentin der Handwerkskammer Konstanz. Denn die eigene Homepage sei – auch was den Datenschutz anbelange – wie ein Schaufenster des Unternehmens.

Um ihre Unternehmen zu unterstützen, stellen Verbände ihren Mitgliedsunternehmen Infomaterial zur Verfügung, laden zu Vorträgen und bieten Workshops an. Michal Riethmüller fühlt sich trotzdem im Stich gelassen – von den Vertretern der Wirtschaft und von der Politik. „So versuchen sie nur ihre Untätigkeit zu vertuschen“, sagt der Ravensburer Buchhändler. Dass der Deutsche Industrie- und Handelskammertag an dem Gesetz beteiligt war und keine bessere Lösung für kleine und mittelständische Betriebe aushandelte, bleibt für Riethmüller ein Rätsel. Ein Rätsel, unter dem er leidet.

Für Unternehmen ändert sich mit der neuen Datenschutzgrundverordnung der Umgang mit „personenbezogenen Daten“ im Geschäftsverkehr grundlegend. Hier die wichtigsten Regelungen:

Anonymisierung: Daten müssen, so weit es geht, anonymisiert werden. Unter personenbezogene Daten fallen auch jene Informationen, die von Unternehmen bereits anonymisiert, verschlüsselt oder pseudonymisert wurden, solange sie zur erneuten Identifizierung einer Person genutzt werden können. Die Verordnung verlangt, dass die Anonymisierung der Daten unumkehrbar ist, was zweifelsfrei nachgewiesen werden soll.

Transparente Dokumentation: Betriebe müssen die Methoden, wie sie Daten speichern und verarbeiten, ausgiebig dokumentieren.

Eingeschränkte Verarbeitung der Daten: Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies zur Erfüllung eines Vertrags oder aufgrund gesetzlicher Verpflichtungen notwendig ist oder wenn ein sogenanntes berechtigtes Interesse besteht. Das berechtigte Interesse ist im Zweifel sehr streng auszulegen. Bei einem Konflikt zwischen den Interessen des Datenverarbeiters und den schutzwürdigen Interessen des Betroffenen, überwiegt letzteres.

Komplizierte Einwilligung: Unternehmen müssen nachweisen können, dass betroffene Personen in die Verarbeitung ihrer Daten eingewilligt haben. Dazu empfiehlt sich, eine Datenbank anzulegen, in der Datum, Zeit und Inhalt der Einwilligung gespeichert sind.

Umfassendes Recht auf Datenlöschung: Alle verwendeten und verarbeiteten Kundendaten muss ein Betrieb auf Wunsch löschen, wenn keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen.

Komplizierte Weitergabe von Daten an Dritte: Die Verarbeitung von Daten durch Dritte muss vertraglich geregelt sein, worin auch festgehalten werden muss, dass der Anbieter die Richtlinien der Datenschutzgrundverordnung einhält.

Permanente Auskunftspflicht: Unternehmen müssen permanente Auskunft darüber geben können, ob und welche Daten sie von einer Person verwenden.

Benutzerfreundliche Technikgestaltung: Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen schützen. Bedeutet: Sobald ein Unternehmen Daten speichert, muss es diese verschlüsseln, pseudonymisieren oder gar anonymisieren. Zudem müssen bei Programmen die Voreinstellungen so gewählt werden, dass nur personenbezogene Daten verarbeitet werden, die unbedingt benötigt werden.

Ernennung eines Datenschutzbeauftragten: Haben mehr als neun Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung zu tun, muss das Unternehmen einen Datenschutzbeauftragten ernennen.