Viele Firmen werden die neue Datenschutzverordnung der EU bis zum 25. Mai noch nicht umgesetzt haben. Externe Datenschutz-Berater können die Nachfrage kaum noch bedienen. Dafür wittern Anwälte ein großes Geschäft.
Stuttgart - Thomas Lang ist Rechtsanwalt beim Handelsverband Baden-Württemberg und in Sachen Datenschutz der Mann der Stunde. Mehr als 10 000 Unternehmen zählt der Verband landesweit. Täglich telefoniert Lang für die Region Württemberg mit besorgten Händlern. Informiert, beruhigt oder warnt, wenn es um das Thema EU-Datenschutzgrundverordnung geht, kurz DSGVO. Die Verordnung ist derzeit eines der wichtigsten Themen in der Geschäftswelt, weil sie alle Firmen und Kunden betrifft. Ab dem 25. Mai ersetzt die EU-weit geltende Regelung das deutsche Datenschutzrecht.
Viele Händler werden die Umstellung nicht schaffen, obwohl es eine Übergangszeit von zwei Jahren gab. „Die allermeisten haben mit der Umsetzung angefangen, aber deutlich weniger als die Hälfte wird bis Mai damit fertig sein“, sagt Lang. Beim IT-Branchenverband Bitkom spricht man nach einer hauseigenen Studie gar von einer „Minderheit der Firmen“, die das Datum einhalten könnte – und das branchenübergreifend.
Das ist bedenklich. Denn bei einem Verstoß drohen Maximalstrafen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Im Schnitt habe ein Bußgeld bei gravierenden Verstößen bisher 10 000 bis 15 000 Euro betragen, heißt es dazu beim zuständigen Landesdatenschutz. Künftig würde ein Verstoß im Schnitt zwischen 50 000 und 100 000 Euro kosten.
Viele kleinere Firmen hinken bei der Umsetzung noch hinterher
Während die großen Unternehmen und Konzerne mit der Umsetzung schon vor zwei Jahren begonnen haben und an den Testläufen feilen, haben vor allem die kleineren und mittleren Firmen im Land oft noch viel zu tun. Sie müssen nun dokumentieren, wie Daten bei ihnen verarbeitet werden – zum Beispiel Gehaltsabrechnungen oder die Lebensläufe von Bewerbern. Das gilt auch, wenn Daten weitergegeben werden, wenn zum Beispiel ein externer Steuerberater hinzugezogen wird. Für diese so genannte Auftragsdatenverarbeitung müssten jetzt verpflichtend Verträge abgeschlossen werden, betont Lang. „Eigentlich wäre das allermeiste schon zuvor erforderlich gewesen“, sagt er – schließlich stünde für den EU-Datenschutz das deutsche Modell zu großen Teilen Pate. „Aber die allerwenigsten kleineren und mittleren Unternehmen haben das bisher gemacht.“
Neben verbindlicheren Praxishilfen sind die Kosten und Zeit für viele ein Problem. Firmen mit zehn oder mehr Mitarbeitern müssen einen Datenschutzbeauftragten stellen. Doch einen Mitarbeiter zu schulen, mache bei dieser Unternehmensgröße kaum Sinn, betont Lang. Die meisten Firmen kooperieren deshalb mit einem externen Berater. Auch Lang hilft bei der Vermittlung. Nach seinen Schätzungen belaufen sich die Kosten bei einem kleineren Unternehmen am Anfang auf 3000 bis 5000 Euro. Hinzu käme eine jährliche Pauschale von mindestens 2000 Euro, damit der Berater die Kunden auf den laufenden Stand halten und bei Datenpannen eingreifen könne – wenn sich zum Beispiel ein Kunde beschwere, weil er ohne seine Zustimmung einen Newsletter erhalten habe.
Die Branche der Datenschutz-Berater frohlockt – es geht um Milliarden Euro
Während die Firmen stöhnen, frohlockt die Datenschutz-Branche. Für sie wirkt die EU-Verordnung als gewaltiges Konjunkturprogramm. Rund 3,5 Millionen Unternehmen gibt es laut Statistischem Bundesamt in Deutschland, rund 3,4 Millionen beschäftigen weniger als 50 sozialversicherungspflichtige Mitarbeiter. Sie werden nach Meinung der Verbände am häufigsten auf externe Berater zurückgreifen. So gaben laut Bitkom in einer Befragung im Herbst 2017 die Firmen mit 20 oder mehr Beschäftigten an, sich bei der Umsetzung der DSGVO externe Hilfe geholt zu haben. All das könnten Umsätze bis in einen zweistelligen Milliarden-Bereich bedeuten.
Genaue Zahlen dazu gibt nicht. Fest steht, dass die Nachfrage nach externen Beratern stark gestiegen ist und viele keine Aufträge mehr annehmen könnten, wie es beim Berufsverband der Datenschutzbeauftragten Deutschlands heißt. Auch die Stuttgarter Firma Ensecur hat sich auf die Beratung in Sachen Datenschutz spezialisiert. „Im ersten Quartal dieses Jahres gab es fast so viele Anfragen wie im ganzen Jahr zuvor“, sagt Geschäftsführer Julian Häcker. Er beobachtet einen Berater-Boom: Vor allem Informatiker, Betriebswirte und Juristen würden in Sachen Datenschutz beraten, dazu gebe es auch viele Quereinsteiger. Nicht immer zum Vorteil ihrer Kunden, kritisiert Häcker. „Es gibt Anbieter, die vor allem über die Angst verkaufen. Die suggerieren, dass die Aufsichtsbehörde schon vor der Türe steht.“
Bei Ensecur haben sich Firmen aus allen Branchen gemeldet, so Häcker: Handels- und Industrieunternehmen, Handwerker, Vereine, Kommunen, Verbände, Werbeagenturen. Auch ein Tortenfabrikant, ein Autotuner und ein Golfclub zählten dazu.
Das Thema kommt in der Breite an, glaubt er, denn mit den neuen Datenschutzregelungen seien die Anforderungen und Risiken, für diejenigen, die bislang noch gar nichts gemacht haben, größer geworden. Außerdem entwickle sich die Technik und das Geschäft mit den Daten weiter. „Entwickelt sich ein Unternehmen gut, so besteht je nach Branche ein langfristiger Unterstützungsbedarf.“ Das heißt: Viele Firmen müssen beim Datenschutz Jahr für Jahr mit Mehrkosten planen.
Die Spannung ist groß, wie scharf die Kontrollen sein werden
In der Branche ist man gespannt, wie genau nach dem 25. Mai der zuständige Landesdatenschutz kontrolliert und in welcher Höhe er Bußgelder verhängen wird. Dessen Leiter Stefan Brink kann die Probleme der Firmen verstehen – weist aber auf die zweijährige Vorbereitungszeit hin. Ob er anfangs bei den Kontrollen Milde walten lasse? Es gehe darum, „weiter intensiv zu beraten, aber eben auch Fehlverhalten aufzudecken und abzustellen“, sagt Brink. „Wer sich bis zum 25. Mai nicht erkennbar auf den Weg gemacht hat, geht ein erhebliches Risiko ein.“
Schon deshalb wird das Thema für Juristen interessanter, hört man in der Branche. Anwälte stellen sich auf höhere Streitwerte ein, weil die Bußgelder bei Verstößen massiv steigen. Die Zahl der Spezialisten nehme stark zu, heißt es beim Verband Deutscher Anwälte in Stuttgart. „Der Bereich ,Datenschutz‘ ist mit Sicherheit ein Wachstumsmarkt, kombiniert mit Internet-Recht und IT-Recht,“ so der Verband. Das glaubt auch Häcker von Ensecur: „Wenn es zu spektakulären Bußgeldern kommt, so wird der Datenschutz für die Firmen auch auf lange Sicht ein Thema sein.“
„Für uns ist das ein extrem hoher Aufwand“
Das Bettwarengeschäft Schwäbische Traum-Fabrik zählt drei Filialen in Bad Boll, Echterdingen und Stuttgart und hat sich für den EU-Datenschutz gut aufgestellt: Schon Ende 2016 habe man mit einem externen Datenschutzbeauftragten zusammengearbeitet und eine eigene Mitarbeiterin für diesen Bereich geschult, heißt es. Das müsse sich auch ein 70-Leute-Betrieb erst einmal leisten können.
Die Datenschutzbeauftragte heißt Melanie Weinmann, trifft sich regelmäßig mit einem externen Experten und gibt das Wissen an alle Mitarbeiter weiter. Die Kosten für einen Datenschutzbeauftragten seien nicht zu unterschätzen, betont Weinmann. Außerdem sei für kleinere Firmen insbesondere die Bindung von personellen Kapazitäten ein großes Problem. „Selbst für uns ist das ein extremer Aufwand und eine große Hürde und schwer neben dem täglichen Geschäft zu bewältigen. Zudem gibt es noch einige Bereiche, die seitens der Gesetzgebung für eine perfekte Umsetzung durch die Unternehmen zu schwammig vorgegeben sind.“
„Das ist nicht ganz zu Ende gedacht“
Eberhardt Weber hat einen Lieferdienst für regionale Lebensmittel gegründet. Seit sieben Jahren ist Lieferladen.de in der Region Stuttgart aktiv. Im Zentrum steht die ausgeklügelte Software, die Strecken zu den Waren und Kunden optimal berechnet. Als Internethändler müsse man sich von Natur aus mit dem Thema Datenschutz beschäftigten, betont Weber.
Prinzipiell begrüßt Weber, dass der Datenschutz nun EU-weit gelte und verbindlich geworden sei. „Aber es gibt Schwächen im Detail.“ Die Verordnung verlange zum Beispiel, dass der Datenschutzbeauftragte keine Führungskraft sein dürfe. Außerdem genieße der Datenschutzbeauftragte Kündigungsschutz. Das sei schwierig für ein Unternehmen wie das seine, das aus zwei Geschäftsführern und Teilzeitkräften besteht, die wiederum großteils Studenten sind. „Ich kann keine Hilfskraft zum Datenschutzbeauftragten machen. Das ist nicht ganz zu Ende gedacht“, kritisiert Weber.
Inzwischen hat eine Mitarbeiterin aus der Verwaltung das Amt übernommen. „Das war ein glücklicher Zufall.“
Hintergrund: Die Datenschutz-Debatte
EU Die EU-Kommission wirbt, dass die Firmen mit dem neuen Datenschutz beim europaweiten Handel statt 28 Gesetzen nur noch ein einziges beachten müssten und auf diese Weise 2,3 Milliarden Euro pro Jahr EU-weit einsparen würden. Das mag für Konzerne wie Daimler und Bosch gelten, heißt es bei der Handwerkskammer Region Stuttgart. Einem Handwerker, der nur in der Region Stuttgart agiere, bringe es vor allem Kosten. Die neue Daten-Transparenz kann er als Kunden-Werbung nutzen – alle anderen aber auch.
Lob Die Wirtschaftsverbände im Land begrüßen im Wesentlichen die neue Verordnung: Sie modernisiere und vereinheitliche den Datenschutz der EU, heißt es beim Verband beim Verband der Automobilindustrie (VDA). Die IHK Region Stuttgart sieht Vorteile insbesondere für europaweit tätige Mitgliedsunternehmen. Ein einheitlicher Datenschutz beseitige Wettbewerbsverzerrungen, teilt der Landesverband der baden-württembergischen Industrie (LVI) mit.
Kritik Gleichzeitig kritisieren die Verbände den „deutlichen Mehraufwand“ für die Unternehmen, wie es der VDA formuliert. Die Handwerkskammer spricht von „einer enormen Herausforderung“ und die IHK beklagt das „Mehr an Bürokratie“. Viele der bisher rechtssicheren Geschäftsmodelle der Verlage liefen Gefahr, „auf Jahre ins Ungewisse gestürzt zu werden“, warnt der Verband Deutscher Zeitschriftenverleger.
Verbraucher Die Bürger erhalten mehr Rechte: So sollen Voreinstellungen, wie es sie in sozialen Netzwerken gibt, künftig dem Schutz der persönlichen Daten angepasst werden. Wer nicht möchte, dass private Daten verarbeitet werden, kann sie löschen lassen, falls kein gravierender Grund für eine Speicherung vorliegt.