Datenschutzgrundverordnung: Was die neuen Datenschutzregeln für Nutzer und Unternehmen bedeuten
Die europaweit geltende Datenschutzgrundverordnung hilft Verbrauchern, aber macht vielen Firmen Probleme.
Der Countdown läuft. Keine hundert Tage dauert es mehr, dann tritt die Datenschutzgrundverordnung in Kraft. Das Wortungetüm wird von den meisten, die damit zu tun haben, mit den Buchstaben DSGVO abgekürzt. Und die haben es in sich. „Die Rechte der Bürger werden dadurch extrem gestärkt“, sagt die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltzcyk. Mit der Datenschutzgrundverordnung gebe es ab 25. Mai in ganz Europa ein einheitliches Schutzniveau.
Datenschutz per Voreinstellung
Vor allem aber soll es auch viel einfacher werden, die Rechte durchzusetzen und mögliche Verstöße zu ahnden. „Bislang musste man von Hinz zu Kunz und von Pontius zu Pilatus laufen“, sagt Smoltzcyk. Wer beispielsweise in Berlin ein Problem mit Facebook hatte, musste sich an die Hamburger Datenschützer wenden, denn dort hat das Unternehmen seine Deutschlandzentrale. Oft waren aber auch die Hamburger machtlos: Facebook verwies sie weiter zur Europazentrale nach Dublin. Allerdings waren die Datenschutzregeln in Irland deutlich weniger strikt, als die deutschen.
Das ändert sich ab Mai. Denn dann gibt es nicht nur einheitliche Rechtsstandards, sondern auch mehr Ansprechpartner. „Jeder Bürger kann sich dann an mich wenden“, sagt Smoltczyk. Die Berliner kümmern sich künftig um die Anliegen und versuchen sie - im Beispiel Facebook - gemeinsam mit den Kollegen in Hamburg und Irland zu klären.
Facebook droht eine Milliarde Bußgeld
Die lokalen Datenschützer wie Smoltczyk bekommen aber nicht nur mehr Zuständigkeiten sondern auch ganz andere Druckmittel. „Der große Unterschied ist, dass wir nun auch Sanktionsmöglichkeiten haben“, sagt Smoltzcyk. Sie kann Bußgelder bis zu 20 Millionen Euro verhängen und sogar noch viel höhere Strafen: Denn sie können bis zu vier Prozent des Jahresumsatzes betragen – für Facebook wäre das derzeit mehr als eine Milliarde Dollar. Sie merke schon jetzt, dass dies selbst bei den global agierenden Unternehmen für Respekt sorge, sagt Smoltzcyk. So bewirbt Facebook derzeit massiv die Möglichkeiten, in dem Netzwerk besser auf seine Privatsphäre zu achten und überarbeitet derzeit die entsprechenden Einstellungen. Denn künftig gilt das Prinzip Privacy-by-default: Übersetzt heißt das Datenschutz per Voreinstellung und bedeutet, dass Unternehmen von vornherein immer die Optionen aktivieren müssen, mit denen die Privatsphäre der Nutzer am meisten geschützt wird. Wer dann einem Dienst mehr Informationen zum Aufenthaltsort oder anderen Dingen zur Verfügung stellen möchte, muss dies selbst umstellen.
Doch bei vielen Unternehmen sorgen die neuen Regeln derzeit für Sorgen. „Es gibt eine hohe Unsicherheit in vielen Firmen“, sagt Hamburgs Datenschutzbeauftragter Johannes Caspar. „Die großen Player sind gut aufgestellt, doch viele kleine und mittlere Unternehmen haben häufig Probleme, das alles zu durchschauen.“ Zudem haben viele erst sehr spät auf die kommenden Änderungen reagiert, dabei steht die Umstellung schon seit fast zwei Jahren fest. Doch bei einer Erhebung des Digitalverbandes Bitkom im September hatten erst 13 Prozent der Unternehmen begonnen, die eigenen Prozesse anzupassen.
Unternehmen schaffen Anpassung nicht
So müssen Unternehmen ein Verzeichnis erstellen, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Wer mit besonders sensiblen Informationen arbeitet, muss eine Datenschutz-Folgenabschätzung durchführen. Und so ist bei vielen Unternehmen mit dem Jahreswechsel hektische Betriebsamkeit ausgebrochen. Während es vor wenigen Monaten noch kaum Informationsbedarf gab, klingelt bei der IHK Berlin täglich das Telefon. „Vielfach geht es um konkrete Auslegungsfragen“, sagt eine Sprecherin. Doch es gibt auch Firmen, die überhaupt wissen wollen, was auf sie zukommt. Der Deutsche Industrie- und Handelskammertag organisiert daher gemeinsam mit dem Bundeswirtschaftsministerium bundesweit Informationsveranstaltungen. Ein Termin in Berlin steht noch nicht fest, ist aber für Ende April geplant.
Solange sollten Unternehmen freilich nicht warten. Für alle, die sich bislang noch gar nicht mit dem Thema beschäftigt haben, wird es ohnehin knapp. „Wer jetzt bei Null startet, wird Probleme bekommen“, sagt Smoltzcyk. Auch Bitkom-Präsident Achim Berg erwartet Schwierigkeiten: „Die Mehrheit der Unternehmen wird es bis zum Stichtag nicht schaffen, alle Anforderungen umzusetzen."