Herne. . Am 25. Mai tritt das neue EU-Datenschutzrecht in Kraft. Viele Unternehmen könnten an der Umsetzung scheitern - die aufwendig und teuer ist.
Der Begriff ist sperrig: EU-Datenschutzgrundverordnung. Doch sie hat das Potenzial, sehr vielen Firmen große Probleme zu bereiten: Am 25. Mai tritt die neue Verordnung in Kraft. Doch „rund 80 Prozent aller Betriebe werden es möglicherweise nicht schaffen, alle Vorgaben pünktlich umzusetzen“, so Bernd Schulz, der als externer Datenschutzbeauftragter tätig ist.
Schulz hat in der vergangenen Woche im Auftrag der Wirtschaftsförderung 60 Teilnehmern den gesetzlichen Rahmen erläutert. Ein Termin Anfang des Jahres musste abgesagt werden - mangels Interesse. „Nach Umfragen hat sich die Hälfte aller deutschen Unternehmen mit dem Thema noch nicht befasst.“ Das ist auf Herne übertragbar. Nun wird die Zeit knapp, denn am 25. Mai läuft die zweijährige Übergangsfrist ab. Und bei Verstößen drohen Bußgelder.
Dabei sind die Änderungen laut Schulz einschneidend, zumal es grundsätzlich keine Rolle spielt, in welcher Branche ein Betrieb tätig ist oder wie groß er ist. Sobald regelmäßig personenbezogene Daten verarbeitet werden, sind die Vorgaben bindend. Selbst Vereine sind betroffen.
Auf die Unternehmen kommt ein erheblicher Mehraufwand zu: Sie haben umfassendere Informationspflichten, müssen ein „Verzeichnis der Verarbeitungstätigkeiten“ führen und haben bei hohen Risiken der Datenverarbeitung die Pflicht zu einer Datenschutz-Folgenabschätzung mit umfassendem Dokumentationsaufwand. Kunden haben auf der anderen Seite erweiterte Auskunftsrechte, sie haben nun das sogenannte „Recht auf Vergessen“, bei dem alle Daten gelöscht werden müssen, hinzu kommt ein Recht auf Datenübertragbarkeit, etwa beim Wechsel des Telefonanbieters. Gibt es Streit um den Umgang mit Daten, ist die Beweislast umgekehrt. Das Unternehmen muss nachweisen, dass es die Daten korrekt verarbeitet hat.
Schulz begleitet derzeit Unternehmen bei der Umsetzung und schätzt, dass es je nach Größenordnung allein neun Monate dauern kann, bis nur das Gröbste steht. Hinzu kommt, dass die Umstellung mit erheblichen Kosten für die Unternehmen verbunden ist, da sämtliche Datenverarbeitungsprozesse überprüft werden müssen, um den Anpassungsbedarf zu ermitteln.
Gerade wegen der Kosten und des Aufwands ist die Datenschutzgrundverordnung ein Reizwort bei Herner Unternehmen. Jörg Pieper, Geschäftsführer von Metallbau Pieper, ärgert sich über den hohen Bürokratieaufwand für seinen 12-Mitarbeiter-Betrieb. Dies stehe in völligem Gegensatz zum Ziel des Bürokratieabbaus. Was ihn ebenfalls auf die Palme bringt: dass der Staat selbst nicht in der Lage sei, seine Daten zu schützen - siehe Hackerangriffe auf Bundestag und Außenministerium. „Ich habe vor drei Wochen ein Seminar zur Verordnung mitgemacht, ich weiß nicht, wie ich das bis Mai umsetzen soll“, so Pieper.
Martin Klinger, Geschäftsführer der Kreishandwerkerschaft, kritisiert, dass dieses Thema viel zu lange stiefmütterlich behandelt worden sei. Offenbar haben auch zahlreiche Verbände den größten Teil der Übergangsfrist verstreichen lassen, ehe sie ihre Mitglieder auf das Thema aufmerksam gemacht haben.
Christian Stiebling, Inhaber des gleichnamigen Reifenhandels, fürchtet, dass findige Juristen in Stellung gehen und nach dem 25. Mai reihenweise Abmahnungen verschicken an Betriebe, die die Vorgaben nicht komplett umgesetzt haben. Sein Urteil fällt deutlich aus: „Das ist eins der Gesetze, die gerade Mittelständler Geld kosten, ihnen aber nichts bringen.“
Auch Norbert Assen, Vorstand der Isap AG, sagt eine Abmahnwelle voraus. Sein Unternehmen habe keine Probleme, weil es sich ständig mit dem Umgang mit Daten beschäftigt. Seit drei Monaten stellt er eine erhöhte Nachfrage von seinen Kunden - mittelständische Maschinenbauer - fest, weil diese das Thema zuvor vernachlässigt hätten. Es reiche ja bei weitem nicht, eine Datenschutzerklärung auf die Internetseite zu stellen. Isap hat nun aus einer internen Abteilung heraus die Intalogy GmbH gegründet, die unter anderem Hilfe bei der bei der Anpassung an das neue Datenschutzrecht bietet. Sie dürfte bis Ende Mai volle Auftragsbücher haben.
>> ELISABETH-GRUPPE IST VORBEREITET
Die Stadtwerke sehen sich auf einem guten Weg bei der Umstellung. Der Datenschutzbeauftragte habe auf die Frist hingewiesen. Seit Jahresbeginn beschäftige sich ein Team intensiv mit den diversen Aspekten.
„Wir arbeiten bereits seit einem Jahr an der Umsetzung“, so Ludger Weber, Datenschutzbeauftragter der St. Elisabeth-Gruppe. Allerdings gebe es bereits hohe Anforderungen an den Umgang mit Patientendaten.