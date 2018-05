Viele Firmen haben die neuen EU-Datenschutzregeln unterschätzt. Doch auf Nachsicht der Aufsichtsbehörden können sie nun nicht setzen.

Etlichen Managern treibt das neue Regelwerk Schweißperlen auf die Stirn, schließlich drohen bei Verstößen gegen die ab 25. Mai geltende europäische Datenschutz-Grundverordnung (DSGVO) Strafen, die sich auf bis zu vier Prozent des Jahresumsatzes belaufen können. Vielerorts wurde unterschätzt, wie komplex die Umsetzung ist.

Nicht zuletzt deshalb stellte EU-Justizkommissarin Vera Jourova kürzlich Unternehmen in Aussicht, sie könnten auf Nachsicht hoffen, sollten sie die Anforderungen nicht sofort erfüllen. Es könnte bis zu zwei Jahren dauern, bis alle Firmen die DSGVO übernommen haben müssten, sagte Jourova am Dienstag vergangener Woche in Berlin. Doch Datenschützer winken ab.

"Im Rechtsstaat ist die Exekutive an die Gesetze gebunden und steht nicht über ihnen. Damit ist eine weitere zweijährige Frist nicht nur unangemessen und für die Akzeptanz der Regelungen angesichts einer bereits zweijährigen Umsetzungsfrist absolut schädlich, sondern auch rechtlich unzulässig", sagte der Hamburger Datenschutzbeauftragte, Johannes Caspar, dem Handelsblatt. "Die Aufsichtsbehörden können künftig von Betroffenen als auch von Verbänden verklagt werden, wenn Sie den Beschwerden nicht nachgehen."

Auch die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, erteilte dem am vergangenen Dienstag bei einem Besuch in Berlin geäußerten Vorstoß Jourovas eine klare Absage. "Ein zweijähriger Verzicht auf das Instrumentarium würde dem Datenschutzrecht die Zähne ziehen, die es gerade erst bekommt", sagte Hansen dem Handelsblatt. "Hat die Kommission denn die letzten Datenskandale schon vergessen? Und wer sagt, dass nach zwei Jahren nicht die nächste Schonfrist ausgegeben wird?", fragte Hansen und fügte hinzu: "Nein, die Sachlage ist eindeutig: Die Datenschutz-Grundverordnung muss ab dem 25.05.2018 angewendet werden - gerade bei Beschwerden und Verstößen -, aber natürlich verhältnismäßig."

Die neuen Regeln verpflichten die Unternehmen, mit den Daten ihrer Kunden sorgsamer umzugehen. Gespeichert werden darf nur noch, was wirklich gebraucht wird - und die Nutzer müssen zustimmen. "Vor allem kleine und mittlere Unternehmen wachen gerade auf. Wir bekommen viele Anfragen aus diesem Umfeld und viele sind erstaunt, welcher Aufwand durch die DSGVO auf sie zukommt", sagt Oliver Köppe, Partner bei der Wirtschaftsberatung KPMG. Die größte Veränderung sei, dass der Datenschutz nun aktiv von den Unternehmen betrieben werden müsse.

Dies führt beispielsweise dazu, dass Kundenportale, in denen Nutzerdaten gespeichert sind, überarbeitet werden müssen. In der Praxis bitten viele Firmen ihre Kunden per Mail, dem Erhalt des Newsletters ausdrücklich zuzustimmen. Experte Köppe sieht die größte Hürde aber darin, das neu festgeschriebene "Recht auf Vergessen" zu realisieren: "Bisher war beim Softwaredesign eine technische Löschung von Daten oft gar nicht vorgesehen und auch nicht gewollt, so dass nunmehr größere technische und organisatorische Umbauten erfolgen müssen."

So müssen soziale Netzwerke wie Facebook und Twitter oder Internetkonzerne wie Google künftig zumindest ihren europäischen Mitgliedern die Möglichkeit einräumen, ihre Daten einfach von den jeweiligen Plattformen zu entfernen.

Konzerne begrüßen die größte Überholung des Datenschutzes in Europa seit mehr als zwei Jahrzehnten nahezu einhellig. Bei der Telekom heißt es: "Es geht um das Vertrauen der Menschen ...

