Ab dem 25. Mai gilt der neue Datenschutz in Europa. Ab dann müssen Firmen Rekord-Bußen fürchten. Die Verbraucher können private Daten löschen lassen. Doch es gibt noch mehr Veränderungen.
Stuttgart/Brüssel - Die neue EU-Datenschutzgrundverordnung tritt im Mai in Kraft. Sie bringt Verbrauchern neue Rechte und Unternehmen neue Pflichten. Warum die EU-Verordnung persönliche Verbraucherdaten besser schützt – und Unternehmen über zusätzliche Kosten und Bürokratie klagen lässt:
Die Kommissarin
Wegen Vera Jourová herrscht große Aufregung in den obersten Etagen von Firmen und Behörden. Als EU-Kommissarin für Justiz und Verbraucherschutz ist sie dafür zuständig, dass ab dem 25. Mai in der Europäischen Union nicht nur eine Zeitenwende beginnt, sondern auch anhält – zumindest was den Umgang mit Daten angeht. Denn dann stärkt die Datenschutz-Grundverordnung die Rechte aller EU-Bürger erheblich, weil sie mehr Kontrolle über ihre persönlichen Daten erhalten. Für Unternehmen wiederum sollen beim europaweiten Handel statt 28 Gesetzen nur noch ein einziges gelten. 2,3 Milliarden Euro pro Jahr sollen die Unternehmen dadurch EU-weit einsparen – das verspricht zumindest die Kommission.
Jourová hat in Brüssel ihr Büro. Vom Sitzungszimmer im zwölften Stock des Berlaymont-Gebäudes aus gesehen breitet sich die Stadt klein und übersichtlich aus. Aus Jourovás Sicht könnte auch der neue Datenschutz ähnlich transparent und simpel sein, setzten die Firmen und Behörden die Verordnung schnell und sauber um. „Deutschland ist vorne dabei“, lobt die Kommissarin. Doch sie erkenne auch, dass es in manch’ kleinerem Mitgliedsstaat noch nicht rund laufe. Oft gebe es nicht das nötige Personal, um Firmen und Behörden verständlich über die Neuerungen zu beraten. „Wenn es in einem Land Tausende von Nachfragen gibt, dann wurde dort nicht verständlich informiert“, kritisiert sie. Dennoch bleibt sie zuversichtlich, dass ab dem 25. Mai tatsächlich die Zeitenwende kommt. „Ich werde auf jeden Fall helfen, wo ich kann.“
Die Verbraucher
Die Verbraucher sind die Gewinner des neuen Datenschutzes – und das EU-weit. Die Bürger müssen einer Verarbeitung der Daten eindeutig zustimmen und besser darüber informiert, wie ihre Daten verarbeitet werden. Voreinstellungen, wie es sie in sozialen Netzwerken gibt, sollen künftig dem Schutz der persönlichen Daten angepasst werden. Wer nicht möchte, dass private Daten verarbeitet werden, kann sie löschen lassen, falls kein gravierender Grund für eine Speicherung vorliegt – das so genannte „Recht auf Vergessenwerden“. Beim Wechsel zu einem anderen Anbieter können die persönlichen Daten wie Fotos oder Kontakte mitgenommen werden – auch „Portabilität“ genannt.
Auch nach Hackerangriffen – in Umfragen die größte Sorge der Bürger – werden die Verbraucher jetzt umgehend informiert, wenn ihre persönlichen Daten in Gefahr sind. Ein weiterer Vorteil ist, dass US-Unternehmen wie Facebook, Amazon oder Google dem neuen Datenschutz unterliegen. Bisher verlegten Konzerne ihre europäischen Niederlassungen gerne in Länder mit laxeren Bestimmungen – wie es zum Beispiel Facebook mit seinem Sitz in Irland tat.
Die Firmen
Sabine Hagmann ist ein Händlerkind. Die Eltern haben eine Bäckerei, seit Jahren ist sie Hauptgeschäftsführerin des Handelsverbandes Baden-Württemberg und macht sich jetzt wegen des neuen Datenschutzes große Sorgen. „Es gab noch nie einen größeren bürokratischen Einschnitt in die Wirtschaft. Gerade die kleinen Unternehmen werden überfordert.“ Hagmann zählt auf, was alles zu machen sei: Die Firmen müssten Verzeichnisse anlegen, wie Daten im Unternehmen verarbeitet werden. Sie müssten die Verträge für die Auftragsdatenverarbeitung anpassen. Nahezu alle Unternehmen müssten einen Datenschutzbeauftragten ausbilden, einstellen – oder einen Dienstleister von außen suchen. Selbst kleinere Unternehmen würde dies mehrere Tausend Euro kosten, schätzt sie. Und da seien noch die Bußgelder, die bis zu vier Prozent des Jahresumsatzes ausmachen könnten – „im allerschlimmsten Fall würde das eine Firma ruinieren“. Die Idee des neuen Datenschutzes sei ja gut, betont Hagmann, aber eigentlich habe sie Facebook & Co. im Visier der Datenschützer gesehen. „Jetzt aber wird mit Kanonen auf Spatzen geschossen.“
Andere Wirtschaftsverbände malen weniger schwarz. Grundsätzlich begrüßen sie die Verordnung: Sie modernisiere und vereinheitliche den Datenschutz der EU, heißt es beim Verband beim Verband der Automobilindustrie (VDA). Die IHK Region Stuttgart sieht Vorteile insbesondere für europaweit tätige Mitgliedsunternehmen. Ein einheitlicher Datenschutz beseitige Wettbewerbsverzerrungen, teilt der Landesverband der baden-württembergischen Industrie (LVI) mit. Gleichzeitig kritisieren die Verbände im Land den „deutlichen Mehraufwand“ für die Unternehmen, wie es der VDA formuliert. Die Handwerkskammer spricht von „einer enormen Herausforderung“ und die IHK beklagt das „Mehr an Bürokratie“. Viele der bisher rechtssicheren Geschäftsmodelle der Verlage liefen Gefahr, „auf Jahre ins Ungewisse gestürzt zu werden“, warnt der Verband Deutscher Zeitschriftenverleger.
Was die Unternehmen in Baden-Württemberg vorerst etwas beruhigen dürfte: Der kontrollierende Landesdatenschutz will am Anfang berücksichtigen, dass sich viele Firmen erst noch auf das neue Datenschutz-Zeitalter umstellen müssen – auch wenn es die Verordnung schon seit 2016 gebe.
Der Kontrolleur
Wie stark die neue Verordnung den Datenschutz verändert, sieht man an Stefan Brink. Der 52-Jährige leitet seit einem Jahr den Landesdatenschutz, der auch für die Durchsetzung der neuen Verordnung in Baden-Württemberg zuständig ist. Vor einem Jahr zählte die Behörde 34,5 Stellen und beaufsichtigte vor allem Behörden und Unternehmen. Jetzt ist sie auf 54,5 Stellen gewachsen und wird künftig vor allem beraten und bei Datenschutzverstößen Bußgelder verhängen. Ab Mai wird sie zur obersten Behörde erhoben und damit einem Ministerium gleichgestellt. Die alte Behörde gibt es dann de facto nicht mehr. Dafür gibt es jetzt mehr Aufgaben, die im Zusammenspiel heikel sind: Die Behörde muss künftig beraten, kontrollieren und Bußgelder verhängen. Brink geht damit pragmatisch um: „Wir werden die Bußgeldstelle von der Beratung strikt trennen.“
Die Behörde bietet Fortbildungen an und führt auch mit den großen Unternehmen Gespräche. „Der Beratungsbedarf bei den Unternehmen ist enorm“, sagt Brink. Dabei geht es auch um mögliche Bußgelder. Im Schnitt habe ein Bußgeld bei gravierenden Verstößen gegen den Datenschutz bisher 10 000 bis 15 000 Euro betragen. „Ein Verstoß wird künftig merklich teurer werden – und zwischen 50 000 und 100 000 Euro liegen.“ Das schärfste Schwert sei die maximale Strafe von vier Prozent des Jahresumsatzes bei einem schweren Verstoß, betont Brink. „Das hat in den Vorstandsetagen die Alarmglocken läuten lassen.“
Auch die öffentlichen Verwaltungen müssen ab Mai unabhängig von ihrer Größe örtliche Datenschutzbeauftragte stellen. Damit kommen für die Kommunen Belastungen zu. Diese suchten schon jetzt oft vergeblich nach dem passenden Know-how, sagt Brink: „Der Markt für externe Datenschutzbeauftragte ist leer gefegt.“
Wie es mit dem Datenschutz jetzt weitergeht
Verordnung Die neue EU-Datenschutz-Grundverordnung modernisiert ab dem 25. Mai die Datenschutzrichtlinie von 1995. Bisher haben nur Deutschland und Österreich alle Vorschriften umgesetzt. In diesen Ländern sind die Vorbehalte der Bürger, persönliche Daten weiterzugeben, auch besonders groß. In Deutschland kontrollieren die Landesdatenschützer die Einhaltung der Vorschriften.
Ausschuss Im Mai soll der europäische Datenausschuss mit den Datenschutzbeauftragten der EU-Mitgliedstaaten gebildet werden. Aus Deutschland nimmt die Bundesdatenschutzbeauftragte Andrea Voßhoff teil. Die Landesbehörden soll Hamburgs Datenschützer Johannes Caspar vertreten. Der Ausschuss soll als Bindeglied zwischen Brüssel und den Aufsichtsbehörden fungieren.