Nicht nur für Facebook und Co. gilt ab 25. Mai in der EU die neue Datenschutz-Grundverordnung (DSGVO). Auch Mittelständler und Freiberufler müssen sich daran halten. Wer gegen die neuen Regeln verstößt, riskiert hohe Strafen – bis zu 20 Millionen Euro beziehungsweise vier Prozent des Umsatzes. Wir sprachen mit Rita Bottler, Datenschutzexpertin bei der IHK für München und Oberbayern, darüber, ob und wie Firmen Kundendaten künftig noch erfassen und speichern dürfen.
-Nur ein Bruchteil der Unternehmen in Deutschland ist auf die neuen Datenschutz-Regeln vorbereitet. Das geht aus einer aktuellen Forsa-Umfrage hervor. Wie sieht es in Oberbayern aus?
Ähnlich. Die meisten großen Unternehmen haben sich vorbereitet, sie fürchten die Sanktionen. Klein- und Mittelständler wachen jetzt erst auf. Und manche lassen es darauf ankommen. Sie beschäftigen sich mit dem Thema erst gar nicht. Keine gute Strategie.
-Welche Daten dürfen Unternehmen denn künftig noch erfassen und speichern?
Die Frage treibt zurzeit eine Menge Unternehmer um. Es herrscht Verunsicherung, weil viele falsch informiert sind. Dabei ändert sich hier eigentlich mit der DSGVO nicht viel. Das exorbitante Datensammeln ist bereits heute verboten. Es ist und bleibt so, dass Unternehmen Daten erfassen und speichern dürfen, die sie zur Vertragserfüllung brauchen – zum Beispiel in einer Autowerkstatt die Angaben zur Person, aber auch zum Pkw. Das gilt für Daten, die digital erfasst werden, wie auch für eine handgeschriebene Kundendatei. Alles, was darüber hinausgeht, darf nur erfasst und gespeichert werden, wenn der Kunde schriftlich einwilligt.
-Ein Beispiel?
Zum Beispiel bei einer Kundenkarte – der Kunde gibt Daten preis, dafür bekommt er Rabatte. Eine Rechtsgrundlage für eine Datenverarbeitung ist auch dann gegeben, wenn diese im berechtigten Interesse eines Kunden erfolgt. Informiert zum Beispiel ein Onlinehändler seinen Kunden, dass er einen externen Lieferanten einsetzt, der die Ware zum Kunden bringt, und bestellt der Kunde Waren, darf der Onlinehändler die Kundendaten dem externen Lieferdienst geben. Eine zusätzliche Einwilligung zur Weitergabe der Kundendaten braucht der Händler in diesem Fall nicht.
-Können Kunden auf Grundlage der DSGVO verlangen, dass ihre Daten komplett gelöscht werden?
Das kommt darauf an. In vielen Fällen dürfen Unternehmen Kundendaten nicht einfach löschen. Es gelten schließlich gesetzliche Aufbewahrungsfristen – steuerrelevante Unterlagen wie Rechnungen und meist auch abgelaufene Verträge müssen zehn Jahre aufbewahrt werden, bevor sie vernichtet werden.
-In großen Unternehmen kümmern sich bereits heute Datenschutzbeauftragte um diese Themen. Wie sieht es bei Mittelständlern aus?
Die Sensibilität wächst. Es ist mittlerweile in den meisten Unternehmen angekommen, dass sie sich um das Thema kümmern müssen.
-Müssen Betriebe denn jetzt einen Datenschutzbeauftragten einstellen?
Nicht unbedingt. Es gibt zwar dazu Regelungen in der DSGVO, aber auch eine Öffnungsklausel, die der deutsche Gesetzgeber genutzt hat. Generell gilt in Deutschland die gleiche Regelung wie bisher: Wenn mehr als zehn Personen im Unternehmen IT-gestützt auf personenbezogene Daten Zugriff haben, braucht man einen Datenschutzbeauftragten. Der ist außerdem Pflicht, wenn Daten das Hauptgeschäft des Unternehmens darstellen (zum Beispiel bei einem sozialen Netzwerk) – oder wenn man eine sogenannte sensible Anwendung im Unternehmen hat. Das kann zum Beispiel eine öffentlich zugängliche Videoüberwachung in einem Supermarkt sein.
-Was die Daten angeht, die gespeichert werden dürfen, ändert sich für Firmen nicht viel. Was ist für Sie der Knackpunkt an der DSGVO?
Die Rechenschaftspflicht. Unternehmen müssen künftig nachweisen, dass sie die Datenschutzregeln erfüllen. Das klingt harmlos, ist es aber nicht. Auf die Firmen kommen Dokumentationspflichten zu, die viel Arbeitszeit und vielfach juristische Beratung kosten.
-Die EU argumentiert, dass sich Firmen nur noch mit einem und nicht mit 28 verschiedenen Gesetzen rumschlagen müssen. Und das spart Kosten – laut EU jährlich 2,3 Milliarden Euro.
Diese Argumentation kann ich nicht nachvollziehen. Zumal es keine EU-weit einheitliche Regelung gibt. Die zahlreichen Öffnungsklauseln in der DSGVO werden von den EU-Ländern genutzt für national unterschiedliche Regelungen – zum Beispiel zur Bestellpflicht für einen Datenschutzbeauftragten oder für Ausnahmen von den Betroffenenrechten.
Interview: Manuela Dollinger