Die Panik war groß vor der Einführung der DSGVO. Doch die Welle von Abmahnungen und Strafzahlungen ist ausgeblieben. Das muss aber nicht so bleiben, im Gegenteil. Für Unternehmen könnte es künftig deutlich ungemütlicher werden. KMU sollten das Thema daher keineswegs auf die leichte Schulter nehmen.
Seit dem 25. Mai 2018 gilt nun die Datenschutzgrundverordnung, kurz DSGVO, in Deutschland und Europa. Was war der Wirbel groß, als der neue Standard für den Umgang mit personenbezogenen Daten im Sommer in Kraft trat. Bürger und Vereine, teilweise sogar die öffentliche Verwaltung und vor allem eben Unternehmen wussten nicht so recht, was die Umsetzung der Gesetze in der Praxis bedeutete. Die Verunsicherung trieb wahrlich wilde Blüten. Erinnert sei nur an die bizarre Empfehlung des Zentralverbandes für Wohneigentum, die Namen der Mieter von Klingelschildern zu entfernen. Das war – mit Verlaub – Blödsinn und nichts anderes als Panikmache.
DSGVO: Große Unsicherheit bei Unternehmen
Für Unternehmen freilich sah die Drohkulisse anders aus – realistischer. Gerade kleine und mittelständische Betriebe sprachen vielfach von Überforderung. Die neuen Anforderungen an den Datenschutz seien hoch, dementsprechend auch der Aufwand, die Sachlage unklar. Es drohten horrende Bußgelder, im schlimmsten Falle bis zu 20 Millionen Euro oder ganzen vier Prozent des Umsatzes. Zudem befürchtete man Abmahnungswellen durch windige Kanzleien, wie man sie aus anderen Rechtsbereichen kennt.
Neun Monate später hat sich die Lage entspannt: Die Flut an Abmahnungen und Strafzahlungen ist ausgeblieben. Auch die anderen Schreckensszenarien haben sich noch nicht bewahrheitet. Klar ist nun, was unter die DSGVO fällt und geahndet wird – und was nicht.
Datenschutzstellen machen Ernst
Zurücklehnen sollten sich KMU nun aber nicht, im Gegenteil: Die ersten Bußgelder sind seit dem Winter verhängt. Und die Mahnbescheide der Behörden mehren sich. Bisher hatten die staatlichen Stellen vor allem auf Beratungen gesetzt und waren im Umgang mit den Betrieben doch eher zurückhaltend. Nun aber scheint sich die eingeräumte Schonfrist ihrem Ende zu nähern. Davon zeugen die deutlich gestiegenen Verfahrenszahlen. Immer mehr Betroffene melden den Datenschutzstellen Verletzungen ihrer Rechte, was Prüfungen nach sich zieht. Dabei gehen die Behörden der einzelnen Länder unterschiedlich rigoros vor. Deutlich aber wird überall das Signal: Der Datenschutz soll ernster genommen werden.
Nach wie vor besteht kein Grund, neue Panik oder Verunsicherung zu verbreiten. Klar sein muss aber: Mittelständler sollten die DSGVO-Umsetzung nicht auf die leichte Schulter nehmen. Denn die Analysen, die die Datenschützer nun nach den ersten Monaten des Gesetzes durchgeführt haben, zeigen: Zahlreiche KMU weisen immer noch erhebliche Defizite hinsichtlich Datenschutzrecht auf – sei es bei der Umsetzung oder wenn es um spezifische Fragestellungen wie etwa zu den oft genannten Informationspflichten geht. Hier sollten die staatlichen Stellen ihr Beratungsangebot ausbauen. Es braucht zusätzliches Personal – nicht nur in der Kontrolle.
Datenschutz als Chance wahrnehmen, nicht als Last
Und für die Umsetzung muss jeder Betrieb selbst sorgen. Dabei können die staatlichen Informationsquellen und Ansprechpartner unterstützen und sollten auch genutzt werden. Doch am professionellen Datenmanagement kommen die Unternehmen nicht vorbei. Hier sollten Mittelständler denselben hohen Anspruch an sich stellen, wie sie es auch in allen anderen Geschäftsbereichen tun. Unabhängig von der Branche digitalisiert sich die gesamte Wirtschaftswelt. Nicht von ungefähr stehen Daten daher hoch im Kurs. Wenn man den Schutz selbiger nicht nur als Last empfindet, sondern als Chance, können darin auch Potenziale für die Zukunft erwachsen.
Neun Monate nach Inkrafttreten der europaweiten Datenschutzgrundverordnung bleibt festzuhalten: Die ehrgeizige Gesetzgebung war mit dem Anspruch gestartet, einen Rahmen zu schaffen, in dem die persönlichen Freiheitsrechte gewahrt bleiben. Die beunruhigenden Möglichkeiten der großen datenwütigen Tech-Konzerne haben gezeigt, dass es modernerer Spielregeln als bisher bedarf. Mit den hohen Anforderungen an die Datensicherheit demonstriert die EU, dass sie auch noch proaktiv und nicht nur reaktiv handeln kann. Die DSGVO bietet die Möglichkeit, ein Standard zu werden, der weltweit Anerkennung findet. Perspektivisch kann das sogar zum Wettbewerbsvorteil für den Standort Europa werden, ist die Nachhaltigkeit vom Umgang mit Daten doch ein Thema, das in Zukunft an Bedeutung gewinnen wird. Der Mittelstand ist nun in der Pflicht und sollte das Potenzial, aber auch die Gefahren dieser Entwicklung erkennen.
Fakt ist auch: Ist das Datenmanagement nicht auf aktuellem Stand, handelt es sich um einen Rechtsverstoß. Und den werden die Behörden von nun an wohl vermehrt ahnden. Der gesamte Mittelstand sollte sich auf eine Welle von Abmahnungen gefasst machen, drakonische Strafen inklusive. Die Behörden können dabei zu Recht darauf verweisen, dass die DSGVO tatsächlich schon seit Sommer 2016 gilt und binnen zwei Jahren hätte umgesetzt werden müssen. Unternehmen wussten also im Großen und Ganzen, was auf sie zukommt. Da helfen keine Ausflüchte. Das gilt übrigens auch für die ePrivacy, eine Art Ergänzung der DSGVO, die entweder noch im Laufe des Jahres oder 2020 in Kraft treten wird. Im Kern geht es bei der ePrivacy darum, den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation – allen voran im Internet – besser zu schützen.
Über den Kapitalmarktblog:
Hier schreiben die Kapitalmarktexperten der Quirin Privatbank über die deutsche Wirtschaft und alles, was den heimischen Mittelstand bewegt. Das erfahrene Team der Quirin Privatbank hat die Entwicklungen rund um die Mittelstandsfinanzierung immer im Blick und zeigt auf, welche alternativen Finanzierungsformen für KMU interessant sind.