Die DSGVO – Große Investitionen, ein Berg voller Arbeit und viel Häme

Tick, tack, tick, tack… – die Uhr läuft. Schon übermorgen ist der Stichtag, auf den sich Unternehmen in Deutschland seit Wochen, Monaten und in einigen Fällen sogar Jahren vorbereitet haben: Die Schonfrist für die neue Datenschutzgrundverordnung endet am 25. Mai 2018 und verlangt den Marktteilnehmern alles ab. Und selbst große Branchen-Player scheinen nicht davon überzeugt zu sein, dass man sich als Unternehmen 100-prozentig absichern könne.

© photoschmidt – shutterstock.com

DSGVO – eine Abkürzung, die Händlern aller Art und Größe derzeit den Schweiß auf die Stirn treibt. Dabei muss man sich bewusst machen, dass kaum ein Unternehmen um die neuen Standards und Anforderungen herumkommt. Ob nun ein gigantischer Konzern mit Online-Plattform und hunderten Filialen, ein mittelständisches Unternehmen mit Webshop oder der kleinere Zahnarzt mit Praxis um die Ecke: Alle sind von den Neuerungen der Datenschutzgrundverordnung betroffen.

Der Aufwand ist zum Teil enorm

Obwohl viele Unternehmen betroffen sind, ist natürlich der Aufwand, den die DSGVO mit sich bringt, für Unternehmen unterschiedlich hoch, weiß auch Alexander Krull, VP Global Sales von Webtrekk: „Leite ich ein kleines Unternehmen, bin online kaum aktiv und betreibe ausschließlich einen B2B-Handel, ist der Aufwand gering. Kniffelig wird es, sobald ich mit Endverbraucher-Daten agiere. Wobei hier gilt – je sensibler die Kunden-Daten, umso besser muss ich vorbereitet sein.“ Besonders komplex sei die Umsetzung vor allem dann, wenn man als Marktteilnehmer mit Kreditkartendaten der Kunden oder vielleicht sogar mit Gesundheitsdaten zu tun hat.

Selbst jene Unternehmen, die im Alltag eigentlich keine Kundendaten erheben und nur wenig mit Datenschutz zu tun haben, sind betroffen: „Fälle, in denen man doch einmal mit Kundendaten agiert, z. B. bei Gewinnspielen oder ähnlichem, gibt es schließlich in jedem Unternehmen. Leider ist oft noch zu wenig Bewusstsein vorhanden für einen verantwortungsvollen Umgang mit Daten“, sagt Krull weiter.

Und die Kosten? – Zum Teil schätzungsweise sechsstellig

Dass die DSGVO grundsätzlich viel Arbeit mit sich bringt und auch Geld kostet, dürfte jeder wissen. Aber wie hoch sind denn nun die Kosten? Bei einer solchen finanziellen Aufstellung müssen natürlich alle Ressourcen, die bei der Umsetzung der DSGVO-Anforderungen eine Rolle gespielt haben, berücksichtigt werden. Zum Beispiel:

Prüfung, ob und in wie weit das eigene Unternehmen von der DSGVO betroffen ist

externe Dienstleister (juristische und z. T. auch technische), die zurate gezogen wurden

Erstellung und Einbindung neuer Rechtstexte (Datenschutzerklärung!)

Prüfung und Anpassung eigener Systeme

Prüfung und eventuelle Anpassung von Verträgen mit Dienstleistern; evtl: Suche nach und Vertragsschluss mit neuen Partnern bzw. Dienstleistern

Schulung der Mitarbeiter bzgl. neuer Dokumentationspflichten

Erarbeitung neuer Arbeitsabläufe bzgl. neuer Dokumentationspflichten

ggfs. Einstellung eines Datenschutzbeauftragten

Kunden informieren (neue Prozedere / Datenschutzerklärung etc.)

Und und und …

Eine ungefähre Ahnung der Arbeit, die die DSGVO mit sich bringt, gibt ein Statement von Google, das der unternehmenseigene Datenschutzjustiziar Peter Fleischer kürzlich mitteilte: Demnach habe Google bereits „500 Jahre Arbeit in die Vorbereitung gesteckt“. Und natürlich steht hinter jeder geleisteten Arbeitsstunde auch ein Mitarbeiter, der bezahlt werden muss. Die genauen Kosten zu berechnen, ist von daher ein schwieriges Unterfangen, doch Alexander Krull, VP Global Sales von Webtrekk, geht von teils hohen Beträgen aus:

„Um es vielleicht abschließend einmal in Kosten auszudrücken – ich halte es für wahrscheinlich, dass bei kleineren Unternehmen eine fünfstellige, bei größeren Unternehmen durchaus eine sechsstellige Summe zurückgelegt werden muss“, sagt der E-Commerce-Experte.

Viele Unternehmen geben sich zuversichtlich

Fragt man in der Branche herum, wie der Stand der Dinge ist, so scheinen viele Anbieter – zumindest nach außen hin – guter Dinge zu sein. Amazon sagte uns beispielsweise über einen Unternehmenssprecher: „Seit Langem zählt es zu Amazons wichtigsten Prioritäten, Kundenvertrauen durch den Schutz der Privatsphäre und die Gewährleistung von Datensicherheit zu wahren, und wir werden die DSGVO-Anforderungen erfüllen, wenn sie am 25. Mai in Kraft treten.“

Sohrab Mohammad und Torben Buttjer, Gründer des StartUps Reishunger, kommentierten auf Nachfrage: „Wir beschäftigen uns intern seit Anfang des Jahres damit: Die Anpassungen sind recht umfangreich, aber machbar.“ Das Unternehmen habe sich „rechtliche Hilfe von Juristen geholt, die uns Texte verfassen, und technische Unterstützung vom Webteam. Interne Mitarbeiter koordinieren das Ganze und etablieren neue Prozesse.“ Um den hohen Anforderungen gerecht zu werden, sei es grundsätzlich wichtig, dass „Datenschützer und Unternehmen Hand in Hand zusammenarbeiten“.

„Niemand kann von sich behaupten, dass er alles zu hundert Prozent sicher umgesetzt hat“

Nach außen hin geben sich viele Unternehmen verständlicherweise optimistisch und selbstbewusst. Nicht zuletzt, um ihre Seriosität gegenüber den Kunden und Wettbewerbern zu wahren. Dass es hinter den Fassaden dennoch mancherorts rumort, machte kürzlich einer der ganz großen Branchenplayer deutlich – einer, der selbst viel Kapital und spezialisiertes Fachpersonal im Rücken haben dürfte: Ceconomy.

Das Mutterunternehmen namhafter Händler wie Media Markt oder Saturn hat Mitte Mai im Zuge der Veröffentlichung der Unternehmenszahlen auch ein Statement bezüglich der DSGVO verlauten lassen… und dabei Zweifel geäußert, dass es Unternehmen überhaupt gelingen kann, sich lückenlos rechtssicher vorzubereiten:

„Wie alle anderen“ sei auch Pieter Haas, CEO von Ceconomy, sehr gespannt, was die Branche nach dem Stichtag erwartet. „Weil ich glaube, dass niemand von sich behaupten kann, dass er alles zu hundert Prozent sicher umgesetzt hat.“ Ceconomy selbst habe sich „in den letzten Monaten permanent mit den Datenschutzbehörden abgestimmt und erklärt, was wir machen und wo wir stehen und ich glaube, dass wir da insgesamt mit MediaMarktSaturn recht weit vorne mit dabei sind und auch ein sehr gutes Gefühl haben, dass wir da keine großen Fehler machen“, fasste der Unternehmenschef zusammen.

Kunden: Zwischen E-Mail-Flut und Ahnungslosigkeit

Während viele Unternehmen wahrscheinlich gerade an den letzten Feinheiten schleifen, um die Datenschutzgrundverordnung rechtssicher umzusetzen, werden die Verbraucher aktuell mit Mails quasi überflutet. Große und kleine Anbieter haben Sondernewsletter versendet, in denen sie erfahrungsgemäß zwei Aspekte abhandeln.

Zum einen informieren sie die Kunden über Neuerungen im Bereich des Datenschutzes. In vielen Fällen sind diese Infos auch an eine Bitte gekoppelt – zum Beispiel, den Empfang des Newsletters für die Zukunft noch einmal zu bestätigen, noch einmal die Zahlungsdaten zu hinterlegen oder gewisse Verbindlichkeiten noch einmal zu bestätigen.

Zum anderen scheinen viele Unternehmen in den Änderungen auch eine Möglichkeit zu sehen, sich bei den Kunden noch einmal als seriöser Anbieter ins Gedächtnis zu rufen, der den Datenschutz groß schreibt und dem man vertrauen kann.

Der Kaffeeröster Tchibo ließ in einem solchen Newsletter beispielsweise verlauten: „Die Verordnung dient dem Schutz Ihrer Grundrechte und Grundfreiheiten. Bei Tchibo verstehen wir es als Teil unserer unternehmerischen Verantwortung, die uns anvertrauten Informationen zu schützen.“ Auch der Handmade-Marktplatz Etsy folgt dieser Strategie. Dort hieß es jüngst: „Datenschutz nehmen wir sehr ernst. Und wir möchten, dass du genau verstehst, welche Entscheidungen du bei Etsy bezüglich deiner Daten treffen kannst und wie du deine Daten verwalten kannst.“ Grundsätzlich ist dies keine schlechte Strategie, um das Kundenvertrauen auch auf lange Sicht zu stärken.

Doch wissen Kunden überhaupt, wie ihre Daten genutzt werden und welche alten und neuen Rechte sie haben?

„Ein klares Nein“, beantwortet Alexander Krull von Webtrekk diese Frage. „Das wird bereits dadurch deutlich, dass man von neuen Rechten spricht. Dabei werden durch die DSGVO größtenteils nur bereits bestehende erweitert“, erläutert der Online-Experte. „Die oft ungeklärten Eigentumsrechte an Daten haben bis jetzt zu Einschränkungen geführt, die die Verordnung nun klärt. Das Datensubjekt wird sich verschieben, d. h. ich werde im stärkeren Maße Eigentümer der mich betreffenden Daten sein. Aber man muss vorsichtig sein, denn auch wenn ich theoretisch das Löschen oder Ändern von Daten einfordern kann, heißt das nicht, dass ich alles vom Webseitenbetreiber verlangen kann. Nicht zuletzt, da Nutzer ein oft zu einfaches Bild von der Verarbeitung ihrer Daten haben.“

Obwohl sich viele Kunden verständlicherweise nicht mit den juristischen Feinheiten der neuen Datenschutzgrundverordnung auskennen und manchmal noch nicht einmal etwas von der „DSGVO“ gehört haben, so bekommen doch einige mit, dass hier derzeit etwas passiert.

Spott, Häme und ein Hauch von Irrsinn

Schaut man sich dieser Tage beispielsweise in die sozialen Netzwerke um, wird deutlich, dass sich auch dort vieles um die neue DSGVO dreht. Von nützlichen Ratschlägen über Witze und sarkastische Beiträge bis hin zu Hilferufen findet man hier so ziemlich jede Gemütsregung.

Mir ist die #DSGVO inhaltlich tatsächlich ziemlich schnuppe. Aber ich sehe, was die Implementierung verursacht: jede Menge Blogs sind abgeschaltet, Vereine und Initiativen löschen ihre Seiten und werden damit unsichtbar. Der Schaden ist da. Wo ist der Nutzen? — Jens Scholz (@jensscholz) 19. Mai 2018

"Und wie erklären Sie die Lücke im Lebenslauf in April und Mai 2018?" "Da habe ich neuen Geschäftsbedingungen, Datenschutzbestimmungen und Newsletter-Abos zugestimmt." #DSGVO #GDPR — Stefan Evertz (@hirnrinde) 17. Mai 2018

Wie stark die DSGVO in den Alltag der Verbraucher eingreift und welche geradezu abstrusen Konsequenzen sie zu haben scheint, geht wohl aus folgenden Twitter-Beiträgen hervor:

So lustig und kurzweilig solche kritischen Beiträge auch sind: Sie verhindern nicht, dass zahlreiche Unternehmen Angst haben, aufgrund von Fehlern teure Abmahnungen zu erhalten, die schnell auch existenzgefährdend sein können. Und die Gefahr ist durchaus realistisch – schließlich hat die Vergangenheit deutlich gezeigt, dass es in der hiesigen Abmahnwelt immer wieder auch zu Missbrauch kommen kann.

EU-Kommissarin glaubt nicht an Abmahnungsmissbrauch

Von einem solchen Missbrauch will die EU-Justizkommissarin Věra Jourová übrigens nichts wissen. Ihre jüngsten Aussagen bildeten wohl einen vorläufigen Höhepunkt in den strittigen Vorbereitungen zur DSGVO. In einem Interview mit der Zeit brach die Politikerin das bisherige Daten-Prozedere auf ein einfaches Bild herunter: „Derzeit werden Nutzer in der digitalen Sphäre Dutzende Male pro Woche nach ihren Daten gefragt und wissen nicht, warum. Das ist so, als käme ein fremder Mann an Ihren Tisch im Restaurant und würde Sie fragen, wann Sie geboren seien, wie Ihre Schwester heiße, wo Sie wohnten und wie hoch Ihr Blutdruck liege.“ Dies wolle man in Zukunft verhindern.

Auf die Frage, ob die DSGVO eine Klagewelle auslösen wird, antwortete sie mit einem entschiedenen „Nein.“ Und: „Es gibt immer Verrückte, die Gesetze für ihren eigenen Vorteil nutzen wollen – Wettbewerber zum Beispiel oder ehemalige Mitarbeiter. Aber ich erwarte keinen massiven Missbrauch. Glücklicherweise sind die meisten Personen normal – sie haben andere Hobbys, als ihre Mitmenschen zu verklagen.“

Und das Fazit?

Keiner kann in die Zukunft schauen. Keiner kann sagen, wie groß das Abmahnproblem schließlich werden oder ob es überhaupt zu Abmahnungen kommen wird. Händlern, Dienstleistern und Unternehmen aller Art wird wohl nichts anderes übrig bleiben, als ihr Möglichstes zu tun, um die Standards zu erfüllen. Auch wir greifen unseren Leser mit entsprechenden Ratgebern, Checklisten und Nachschlagewerken unter die Arme und helfen ihnen bei den Vorbereitungen.

Am Ende lässt sich sagen: Niemand ist allein. Denn alle sitzen im gleichen DSGVO-Boot.