Die DSGVO wird zum Schreckgespenst für viele deutsche Unternehmen

Ursprünglich sollte die neue DSGVO vor allem die großen Internet-Firmen zu mehr funktionierendem Datenschutz verpflichten und diese Giganten ein wenig in die Schranken weisen. Aber nun sind vor allem Tausende von mittelständischen Unternehmen unter Druck geraten.

Vielen Unternehmen wird im Prinzip erst jetzt bewusst, was die Datenschutzgrundverordnung auch für sie bedeutet, selbst wenn sie über einen Datenschutzbeauftragten verfügen. Zurzeit werden die Verbraucher geradezu mit Mails bombardiert, in denen sie darum gebeten werden, ihre Datenspeicherung zu autorisieren.

Und dazu macht sich sehr viel Unwissen breit: Ist es gestattet, dass ich die E-Mail-Adresse eines neuen Geschäftspartners in mein Geschäftskunden-Adressbuch übernehme? Was ist bei Whats-App in der Mitarbeiter-Kommunikation zu beachten? Sind Mailing-Aktionen überhaupt noch erlaubt?

Die Unternehmen werden allmählich panisch

Vor allem in kleineren Unternehmen sind die Führungsebenen stark überfordert. Auch wenn jeder schon sehr lange weiß, dass die DSGVO kommt, haben die meisten es immer wieder auf die lange Bank geschoben – und deren Ende ist nun erreicht. Jetzt haben viele Führungskräfte zwar praktikable To-do-Listen zur Hand – aber es fehlt überall an Personal und Budget. Viele treibt die blanke Not dazu, externe Berater anzuheuern. Und die können ihre Honorarsätze inzwischen beinahe nach Belieben in die Höhe schrauben. Viele der Betroffenen geben der europäischen Bürokratie die Schuld, dass sie nun so unter Druck stehen. Jetzt fragen sich Kleinbetriebe, Händler, Ärzte, Gastronomen oder Lieferdienste, inwiefern sie selbst betroffen sind, welche personenbezogenen Daten bei ihnen vorkommen und ob überhaupt Handlungsbedarf besteht. Der Konsument hingegen – sofern nicht beruflich selbst betroffen – sieht diesen Kelch an sich vorbeiziehen und fragt sich erstaunt, weshalb viele Dienstleister sich auf einmal so um seine persönlichen Daten kümmern.

Fast die Hälfte aller Fachhändler hat noch nichts unternommen

Ein Beitrag in der WELT zeigt anhand einer Studie der Unternehmensberatung Oliver Wyman auf, dass etwa 42 Prozent der Einzelhändler in Deutschland die neue Datenschutzrichtlinie bis zum Stichtag 25.05.2018 nicht umgesetzt haben werden. Dabei wissen 80 Prozent der Händler, dass Kundendaten ein sehr, sehr wichtiges Kapital sind. Und dass es fatal wäre, die nicht mehr nutzen zu dürfen. Selbst die onlineaffinen Start-ups haben ihre Hausaufgaben nicht gemacht: Laut Branchenverband Bitkom war Anfang Mai ein gutes Drittel der jungen Unternehmen noch meilenweit von einer Umsetzung der DSGVO entfernt. Nur neun Prozent der Firmen fühlten sich ausreichend vorbereitet. Und wenn man die fast schon verzweifelt formulierten Mails namhafter Marken liest, die um das Ja-Wort für die irgendwann einmal abgegebenen Kundendaten und die Newsletter-Zusendung ringen, wird man den Eindruck nicht los, auch hier seien ganze Unternehmensabteilungen auf den letzten Drücker am Werk.

Verunsicherung durch Androhung hoher Strafen

Es ist aber keineswegs das neuerliche Bewusstsein, verantwortlich mit sensiblen Daten umgehen zu müssen, das die Unternehmen jetzt so unter Druck geraten lässt. Vielmehr sind es die drakonischen Strafen, die seitens der Gesetzgeber in Aussicht gestellt werden. Denn die Unternehmen müssen von Strafgeldern ausgehen, die im Extremfall unternehmensgefährdend sind, und dazu von drastischen Kontrollmaßnahmen, vermutlich auch durch professionelle Abmahner. Bis zu 20 Millionen Euro können als Strafe festgesetzt werden oder bis 4 Prozent des Jahresumsatzes, das lässt natürlich aufhorchen. Eine große Neuerung, die viele besonders fürchten, ist die Beweislastumkehr der DSGVO: Nun muss nicht mehr der Geschädigte Beweise vorlegen, sondern das schädigende Unternehmen ist für den Nachweis verantwortlich, alles gesetzeskonform abgewickelt zu haben. Juristen sprechen daher schon von einer „Managerhaftungsfalle“. Konzerne sehen sich in der Pflicht, aber auch Kleinunternehmen und Mittelständler wissen zumindest, dass sie bei Nichtbefolgen von empfindlichen Sanktionen bedroht sind. Diese Angst ist übrigens ein EU-weites Phänomen. Und weil sich die DSGVO in vielen Punkten am strengen deutschen Datenschutzrecht orientiert, wirkt sie für einige unserer europäischen Nachbarn als Schikane aus Berlin.

Ein Nebeneffekt der DSGVO war in den vergangenen Wochen zu beobachten: Frei nach dem Motto „Noch dürfen wir“ sind die Konsumenten mit einer Flut von Rabattaktionen, Preisausschreiben und Gewinnspielen konfrontiert worden – jeder wollte noch mal schnell den eigenen Datenschatz vergrößern. Zwar ist seit nunmehr 24 Monaten bekannt, was Firmen ab dem 25. Mai 2018 zu erwarten haben, doch scheinen viele Manager noch immer darauf zu vertrauen, dass sie zunächst ungeschoren davonkommen. Ein wahres Paradies für Kunden eröffnete sich teilweise auf der anderen Seite: Wer sich beispielsweise damit einverstanden erklärt, mit ausdrücklicher Zustimmung Newsletter auf Basis personalisierter Nutzerprofile zu erhalten, wird mit lockenden Prämien und Gewinnen umgarnt. Unternehmen, die sich diese Rückversicherung nicht geholt haben, sitzen auf einmal auf ihren Daten fest. Persönliche Anschreiben, in denen etwa Zahnärzte ihre Patienten zur Vorsorgeuntersuchung auffordern, oder Kfz-Betriebe, die auf die fällige Durchsicht hinweisen – wer von ihnen kein Okay des Kunden hat, muss auf diesen gängigen Marketingkanal vorerst verzichten. Während die Großkonzerne in der Regel vorgesorgt haben und den Datenschutz mehr oder weniger aus der Portokasse bezahlen, ächzen kleine Betriebe über die neue Zumutung. Wie sich immer wieder gezeigt hat, ist der Verbraucher ohnehin eher geneigt, den Großen ungeachtet aller Skandale seine Daten anzuvertrauen und dem Laden an der Ecke besser nicht.

Noch ist nicht absehbar, wie konsequent kontrolliert wird

Wer noch gar nichts hinsichtlich der DSGVO unternommen hat, geht auf jeden Fall ein großes Risiko ein, sobald Kontrolleure auf der Matte stehen. Wie wahrscheinlich eine solche Kontrolle aber ist, darüber herrscht kein Konsens bei den Experten. Diese sind sich nicht einig darüber, wie intensiv die Kontrollbeamten dem neuen Recht zur Zwangsumsetzung verhelfen werden. Außerdem werden sich verschiedene Praktiken der Auslegung ergeben, sobald die ersten Kontrollen laufen. Das ruft natürlich viele auf den Plan, die sich als Berater ausgeben und für hohe Honorare vermeintliche Rechtssicherheit in Aussicht stellen. Das Fazit der aktuellen Situation lautet also wie so oft: vor dem Schaden klug sein, dann kann man sich in aller Ruhe zurücklehnen. Denn der neue Datenschutz ist zumeist eine einmalige Investition von Geld, Zeit und Kraft – und die zahlt sich im Wettbewerb aus.