Handeln müssen Unternehmen jetzt, weil ab 25. Mai die neue Datenschutzgrundverordnung (DSGVO) anzuwenden ist. Diese Verordnung gilt in der Europäischen Union bereits seit Mai 2016 und ist inzwischen in deutsches Recht umgesetzt. Sie dürfte viele Fragen aufwerfen.

Der Datenschutz ist künftig ein „Top-Management-Thema“, wie es Wirtz nennt, da die Geschäftsführer nach dem Gesetz für die Sicherheit der personenbezogenen Daten verantwortlich sein werden. „Diese Verantwortung ist nicht delegierbar“, betont Wirtz. Neu ist auch, dass Unternehmen ab zehn Beschäftigten – je nach Art der Datenverarbeitung erhöht sich die Schwelle auf 20 – einen Datenschutzbeauftragten benennen müssen. Dieser hat die Mitarbeiter über die Datenschutzpflichten aufzuklären und muss etwa dokumentieren, wie der Datenschutz sichergestellt wird.

„Am Anfang sollte eine Analyse erfolgen: Wo stehe ich und wo sollte ich stehen? Wie groß ist mein Bedarf? Sehr schnell wird man sich der Tiefe des Themas bewusst“, sagt Wirtz. Nach seiner Erfahrung erklärt die Firmenleitung oft den technischen Administrator zuständig für die Analyse. „Da sieht man aber schnell: Dieser ist für diese Aufgabe weder qualifiziert, noch hat er hinreichend Zeit dafür.“

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) in Bonn weist darauf hin, dass der Datenschutz auch einem externen Beauftragten übergeben werden könne, was kleinen und mittleren Unternehmen entgegenkommen dürfte.

Wie ernst die Sache ist, zeigt sich bereits an den saftigen Strafen, die bei Verstößen drohen. Und zwar können bis zu vier Prozent des weltweit erzielten Umsatzes oder 20 Millionen Euro verhängt werden, je nachdem, welcher Wert höher ist. Bisher belief sich die Strafe auf maximal 300 000 Euro, und verhängt worden sei sie auch nur „moderat“, heißt es beim Branchenverband Bitkom.

Anykey-Geschäftsführer Wirtz schätzt, dass ein mittelständisches Unternehmen für eine Bestandsanalyse etwa zwei Tage benötigt. „Ein solches Assessment kostet 2000 bis 3000 Euro.“ Die anschließende Dokumentation der Prozesse im Unternehmen, die den Schutz der personenbezogenen Daten sicherstellen soll, dürfte im fünfstelligen Euro-Bereich liegen. „Man muss sich als Unternehmen auch schützen vor Dingen, die man gar nicht kennt.“Mit Virenscanner und Firewall, wie sie kleine Unternehmen meistens nur haben, wird es künftig nicht getan sein.

Strafbar macht sich eine Firma auch, wenn sie einen Datendiebstahl nicht sofort – das heißt innerhalb von 72 Stunden – den Aufsichtsbehörden sowie den betroffenen Personen meldet.

„80 Prozent der Türen, die Datendieben offenstehen, lassen sich schnell mit relativ einfachen Maßnahmen schließen. Aber das reicht nicht, um wirklich sicher zu sein“, sagt Wirtz. So müssten etwa USB-Sticks vor jeder Nutzung analysiert werden, um zu verhindern, dass Trojaner in ein Netzwerk eindringen.

Jedenfalls löst die Anwendung der Datenschutzgrundverordnung große Verunsicherung aus. Das beginnt schon bei der Frage, was alles personenbezogene Daten sind. Denn nach dem Gesetz fallen auch Cookiedaten darunter, die darüber informieren, welche Websites ein Nutzer besucht, und der Werbewirtschaft helfen, Profile von ihm zu erstellen. Aus diesem Grund kritisiert der Bundesverband Digitale Wirtschaft: Es sei „nicht gelungen, tatsächlich moderne und zukunftssichere Regeln für den Umgang mit Daten im 21. Jahrhundert zu schaffen. Vieles geht an den Realitäten und Anforderungen der Informationsgesellschaft vorbei“.

Auch Anykey-Geschäftsführer Wirtz sagt: „Das Gesetz schützt, aber es wird auch Kommunikation lähmen.“ Während der Verbraucher umfangreiche Auskunftsrechte über die Nutzung seiner Daten sowie einen Anspruch auf deren Löschung erhält, schrillen bei den Unternehmen die Alarmglocken. „Es besteht die Gefahr einer Abmahnwelle, sobald die DSGVO zur Anwendung kommt.“ Zumal künftig Verbandsklagen zugelassen sind: „Damit können auch staatlich nicht legitimierte Stellen klagen und in den Markt eingreifen“, befürchtet Wirtz.