Bremer Unternehmen und Datenschutz "Von der Politik im Stich gelassen"

Ein Viertel aller Firmen in Deutschland hat sich bisher noch nicht mit der EU-Datenschutzverordnung beschäftigt. Welcher Bremer Betrieb am Freitag wegen des Gesetzes seine Internetseite abschaltet.
22.05.2018, 22:05
Lesedauer: 6 Min
Zur Merkliste
Von Florian Schwiegershausen

Für manches Unternehmen wird es ein Wettlauf gegen die Zeit. Denn am Freitag tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Peer Rüdiger von der Bremer Druckerei Steintor-Presse im Medienhaven greift deshalb in zwei Tagen zum härtesten Mittel. Er wird die Internetseite für seinen Onlineshop abschalten. Er bittet darum, dass die Kunden von da an persönlich bei ihm vorbeischauen mögen. Es ist nicht so, dass er sich nicht rechtzeitig vorbereitet hätte. Aber für Rüdiger hat diese Verordnung so viele Fallstricke, dass er lieber den ganz sicheren Weg geht. Er sagt: „Gerade über Pfingsten habe ich mich bestimmt wieder 40 Stunden mit dieser Verordnung beschäftigt.“

Rüdiger sieht es so: „Die EU-Politiker wollten es ja wohl Facebook und den anderen Unternehmen so richtig schön zeigen. Das sind aber nur ein Prozent. Getroffen haben sie aber die restlichen 99 Prozent, und zwar so richtig zwischen die Augen. Das sind vor allem die kleinen Betriebe, die sich eine umfassende rechtliche Beratung nicht leisten können. Für einen Zwei-Mann-Shop kann das das Ende bedeuten. Das treibt die direkt zu Hartz IV“, sagt Rüdiger. Er hat sich durch die elf Kapitel mit den insgesamt 99 Artikeln durchgearbeitet. Für Rüdiger hat die Datenschutzgrundverordnung nicht nur Auswirkungen auf die Internetseite. „Wir drucken ja auch Visitenkarten und Briefpapier. Damit ich verantwortungsbewusst mit den Adressen umgehe, brauche ich nun auch abschließbare Mülltonnen, in die die Papierreste kommen, auf denen ja Adressen sein können.“

Einverständniserklärung für Hochzeitskarten

Und auch gegenüber den Kunden will der Geschäftsführer alles richtig machen und erntet momentan dafür noch Unverständnis. Dazu nennt er ein Beispiel: „Vergangene Woche war ein Pärchen bei mir, um Einladungskarten für eine Hochzeit inklusive Umschläge drucken zu lassen. Ich habe ihnen dann ein sechsseitiges Formular gegeben, das sie mir unterschreiben sollen. Damit sollten sie mir versichern, dass diejenigen, an die die Einladungen gehen, damit einverstanden sind, dass ich mit ihren Adressen arbeiten darf. Plötzlich war ich der Böse und wurde angeschaut, als ob ich mit den Daten etwas Verbotenes anstellen wolle“, sagt Rüdiger. Die Kunden hätten seine Druckerei verlassen und seien nicht wiedergekommen. „Die sind dann wohl zu jemand anderem gegangen, der das vielleicht etwas lockerer handhabt.“

Welche abstrusen Ausmaße die Verordnung hat, zeigt Rüdiger noch an einem anderen Beispiel: „Ich habe bei uns im Betrieb einen Kalender hängen, in den die Geburtstage von all meinen zwölf Mitarbeitern eingetragen sind. Diesen Kalender muss ich entsprechend der Verordnung jetzt abnehmen. Und wenn ich jetzt einem Mitarbeiter zum Geburtstag gratulieren will, brauche ich dafür vorher auch eine Einverständniserklärung, die mit in die Personalakte kommt.“

Kundendaten nach zwei Jahren löschen

Bei dem ganzen Thema fühlt sich Rüdiger von Ämtern und Politikern im Stich gelassen. „Die Verordnung ist in vielen Punkten so schwammig. Und Politiker sowie zuständige Datenschutzbeauftragte wissen ebenso nicht genug darüber, dass sie es sich einfach machen, indem sie sagen, dass man das den Gerichten und Anwälten überlassen sollte mit der Rechtssicherheit. Doch ‚Lieschen Müllers Strickshop‘ hat dafür kein Geld, um Anwälte zu bezahlen.“ Ein solches Geschäft müsse dann aufgeben. Rüdiger arbeitet mit einem selbstständigen Datenschutzbeauftragten in München zusammen. Der ist nun auch für sein Unternehmen zuständig. Denn gerade wenn größere Firmen wegen eines Auftrags bei der Druckerei im Viertel anfragen, fragten diese jetzt nach dem Datenschutzbeauftragten. Rüdiger verweist auf ein weiteres Beispiel aus der Verordnung: Diese verlange, dass Kundendaten spätestens nach zwei Jahren gelöscht werden, sollten die Kunden innerhalb dieser Zeit nichts mehr bestellt haben.

Dass der Informationsbedarf bei den Unternehmen groß ist, zeigen die Veranstaltungen der Bremer Handelskammer in den vergangenen Monaten. Die waren gut besucht, und für den kommenden Sprechtag zum Thema Datenschutz am Montag, 4. Juni, sind auch schon alle Termine ausgebucht. Bereits am 9. Mai hatte die Veranstaltungsreihe Klub-Dialog zum Thema Datenschutzverordnung in die Neustadt eingeladen. Auch hier kamen viele Besucher. Wobei das Interesse vielleicht deshalb so groß war, weil die Anwesenden an diesem Abend ihre Fragen zur Verordnung direkt an Imke Sommer stellen konnten – Bremens Datenschutzbeauftragte. Die Landesbeauftragte für Datenschutz hatte am Tag der Veranstaltung eine Orientierungshilfe zum Herunterladen auf ihre Internetseite gestellt. Bei der Bremer Handelskammer heißt es allerdings, dass bei der Verordnung einige Teile immer noch als vorläufig zu betrachten seien. Egal ob es um Internetseiten geht oder den Umgang mit Mitarbeiterdaten – der europäische Datenschutzausschuss kann Teile der Verordnung noch ändern oder muss sich zu einigen Dingen noch äußern.

Früh genug darauf vorbereitet

Zu den Firmen, die sich sehr früh mit dem Thema beschäftigt haben, gehört das Bremer Unternehmen Reimer Logistics mit seinen 450 Mitarbeitern. „Wir haben die Datenschutzgrundverordnung bei uns im Unternehmen entsprechend der gesetzlichen Regelungen umgesetzt“, sagt Geschäftsführer Simon Reimer. Das betreffe die Internetseiten sowie die Daten der Kunden und der Mitarbeiter. Reimer ergänzt: „Seit Monaten haben wir uns im Unternehmen damit beschäftigt. Denn seit drei Jahren ist es ja bekannt, aber nun ist es wie Weihnachten: Plötzlich ist es da!“ Um die Standards zu erfüllen, hat sich auch Reimer an einen externen Datenschutzbeauftragten gewandt. Aber was Logistikunternehmen angeht, haben die in ihren verschiedenen Bereiche ohnehin bereits Erfahrung mit Beauftragten. Schließlich ist für jede dieser Firmen auch ein Gefahrengutbeauftragter Pflicht.

Reimer sieht also der Zeit ab Freitag unaufgeregt entgegen – ungeachtet der Juristen, die sich nun ein lukratives Geschäft durch Abmahnungen erhoffen. Reimer sagt dazu: „Wenn da Abmahnungsvereine schon alles vorbereitet haben, um in der Nacht zu Freitag die Schreiben zu verschicken, wird die Bundesregierung ja wohl per Eilgesetz noch einen Riegel davor schieben.“

Umfrage: Ein Viertel von Deutschlands Firmen unvorbereitet

Dass viele Firmen dem Ziel zeitlich hinterherhinken, sieht auch Barbara Engels. Die Expertin für Industrieökonomik und Wettbewerb beim Institut der deutschen Wirtschaft in Köln sagt: „Viele deutsche Unternehmen haben die europäische Datenschutzgrundverordnung bislang noch nicht oder nur teilweise umgesetzt.“ So hatte im März etwa ein Viertel der Unternehmen in Deutschland noch nicht einmal angefangen, sich mit der Verordnung zu beschäftigen. Das ergab eine Befragung der Firma Absolit-Schwarz Consulting unter 606 Unternehmen (siehe Tabelle). Laut der Umfrage waren es vor allem Software-Unternehmen und Firmen aus der Weiterbildung, die die Umsetzung vor zwei Monaten bereits abgeschlossen hatten. In der Touristikbranche gab es zu diesem Zeitpunkt dagegen noch kein Unternehmen, das die Arbeiten für die Verordnung abgeschlossen hatte.

Zwei Jahre Zeit gehabt

Die neuen Vorgaben bereiten laut Engels vor allem kleinen Unternehmen und Selbstständigen Kopfzerbrechen, denn sie haben oft nicht die notwendigen Ressourcen, um sich mit einer EU-Verordnung und deren Umsetzung zu beschäftigen. Die Stärke der DSGVO, ihre Allgemeingültigkeit, sei damit gleichzeitig auch ihre Schwäche. Allein die Beratungskosten für betroffene Unternehmen liegen laut der Expertin schnell im vierstelligen Bereich. Engels gibt aber auch zu bedenken, dass die Unternehmen ja zwei Jahre Zeit gehabt hätten, um die Verordnung umzusetzen. Diese Zeit hatte die EU den Betrieben für den Übergang zugestanden. Dieses Argument lässt Peer Rüdiger wiederum nicht gelten: „Bei der Software ist es so, dass wir für die Programme, mit denen wir arbeiten, erst jetzt in diesen Tagen die entsprechenden Updates erhalten haben, durch die die Programme konform sind mit der Verordnung.“ Da habe es also nicht viel Zeit gegeben.

Bremer SWB gibt 100 000 wegen Verordnung aus

Was die Energiebranche und die Stadtwerke angeht, sagten in der Umfrage im März sieben Prozent der Firmen, dass sie ihre Prozesse bereits abgeschlossen hätten. Bis zum Stichtag am Freitag will auch die Bremer SWB ihre Hausaufgaben erledigt haben. Die Umsetzung sei beim Energieversorger im Vorstand angesiedelt gewesen. Der Vorstandsvorsitzende Torsten Köhne sagte: „Wie immer bei neuen Gesetzen ist auch hier der volle Umfang des Aufwands bis ins letzte Detail nur schwierig planbar. Auch die reinen Kosten zu beziffern ist kompliziert, weil viele Maßnahmen Bestandteil der täglichen Arbeit der Mitarbeiter in den einzelnen Fachbereichen sind. Pauschal und mit Blick auf die bisherigen Kosten würden wir von 100 000 Euro sprechen.“ Laut einer Studie des US-Softwareunternehmens Veritas rechnen deutsche Unternehmen im Schnitt mit 820 000 Euro Kosten für die Erfüllung der DSGVO. Das klingt nach viel. Teurer kann es aber bei Verstößen werden. Die können mit Geldbußen von bis zu vier Prozent des Jahresumsatzes bestraft werden. Das würde etwa für die SWB mehr als 53 Millionen Euro bedeuten, berechnet auf den Jahresumsatz von 2016.

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+