Tick, tack, tick, tack… – die Uhr läuft. Schon übermorgen ist der Stichtag, auf den sich Unternehmen in Deutschland seit Wochen, Monaten und in einigen Fällen sogar Jahren vorbereitet haben: Die Schonfrist für die neue Datenschutzgrundverordnung endet am 25. Mai 2018 und verlangt den Marktteilnehmern alles ab. Und selbst große Branchen-Player scheinen nicht davon überzeugt zu sein, dass man sich als Unternehmen 100-prozentig absichern könne.
DSGVO – eine Abkürzung, die Händlern aller Art und Größe derzeit den Schweiß auf die Stirn treibt. Dabei muss man sich bewusst machen, dass kaum ein Unternehmen um die neuen Standards und Anforderungen herumkommt. Ob nun ein gigantischer Konzern mit Online-Plattform und hunderten Filialen, ein mittelständisches Unternehmen mit Webshop oder der kleinere Zahnarzt mit Praxis um die Ecke: Alle sind von den Neuerungen der Datenschutzgrundverordnung betroffen.
Obwohl viele Unternehmen betroffen sind, ist natürlich der Aufwand, den die DSGVO mit sich bringt, für Unternehmen unterschiedlich hoch, weiß auch Alexander Krull, VP Global Sales von Webtrekk: „Leite ich ein kleines Unternehmen, bin online kaum aktiv und betreibe ausschließlich einen B2B-Handel, ist der Aufwand gering. Kniffelig wird es, sobald ich mit Endverbraucher-Daten agiere. Wobei hier gilt – je sensibler die Kunden-Daten, umso besser muss ich vorbereitet sein.“ Besonders komplex sei die Umsetzung vor allem dann, wenn man als Marktteilnehmer mit Kreditkartendaten der Kunden oder vielleicht sogar mit Gesundheitsdaten zu tun hat.
Selbst jene Unternehmen, die im Alltag eigentlich keine Kundendaten erheben und nur wenig mit Datenschutz zu tun haben, sind betroffen: „Fälle, in denen man doch einmal mit Kundendaten agiert, z. B. bei Gewinnspielen oder ähnlichem, gibt es schließlich in jedem Unternehmen. Leider ist oft noch zu wenig Bewusstsein vorhanden für einen verantwortungsvollen Umgang mit Daten“, sagt Krull weiter.
Dass die DSGVO grundsätzlich viel Arbeit mit sich bringt und auch Geld kostet, dürfte jeder wissen. Aber wie hoch sind denn nun die Kosten? Bei einer solchen finanziellen Aufstellung müssen natürlich alle Ressourcen, die bei der Umsetzung der DSGVO-Anforderungen eine Rolle gespielt haben, berücksichtigt werden. Zum Beispiel:
Eine ungefähre Ahnung der Arbeit, die die DSGVO mit sich bringt, gibt ein Statement von Google, das der unternehmenseigene Datenschutzjustiziar Peter Fleischer kürzlich mitteilte: Demnach habe Google bereits „500 Jahre Arbeit in die Vorbereitung gesteckt“. Und natürlich steht hinter jeder geleisteten Arbeitsstunde auch ein Mitarbeiter, der bezahlt werden muss. Die genauen Kosten zu berechnen, ist von daher ein schwieriges Unterfangen, doch Alexander Krull, VP Global Sales von Webtrekk, geht von teils hohen Beträgen aus:
„Um es vielleicht abschließend einmal in Kosten auszudrücken – ich halte es für wahrscheinlich, dass bei kleineren Unternehmen eine fünfstellige, bei größeren Unternehmen durchaus eine sechsstellige Summe zurückgelegt werden muss“, sagt der E-Commerce-Experte.
Fragt man in der Branche herum, wie der Stand der Dinge ist, so scheinen viele Anbieter – zumindest nach außen hin – guter Dinge zu sein. Amazon sagte uns beispielsweise über einen Unternehmenssprecher: „Seit Langem zählt es zu Amazons wichtigsten Prioritäten, Kundenvertrauen durch den Schutz der Privatsphäre und die Gewährleistung von Datensicherheit zu wahren, und wir werden die DSGVO-Anforderungen erfüllen, wenn sie am 25. Mai in Kraft treten.“
Sohrab Mohammad und Torben Buttjer, Gründer des StartUps Reishunger, kommentierten auf Nachfrage: „Wir beschäftigen uns intern seit Anfang des Jahres damit: Die Anpassungen sind recht umfangreich, aber machbar.“ Das Unternehmen habe sich „rechtliche Hilfe von Juristen geholt, die uns Texte verfassen, und technische Unterstützung vom Webteam. Interne Mitarbeiter koordinieren das Ganze und etablieren neue Prozesse.“ Um den hohen Anforderungen gerecht zu werden, sei es grundsätzlich wichtig, dass „Datenschützer und Unternehmen Hand in Hand zusammenarbeiten“.
Nach außen hin geben sich viele Unternehmen verständlicherweise optimistisch und selbstbewusst. Nicht zuletzt, um ihre Seriosität gegenüber den Kunden und Wettbewerbern zu wahren. Dass es hinter den Fassaden dennoch mancherorts rumort, machte kürzlich einer der ganz großen Branchenplayer deutlich – einer, der selbst viel Kapital und spezialisiertes Fachpersonal im Rücken haben dürfte: Ceconomy.
Das Mutterunternehmen namhafter Händler wie Media Markt oder Saturn hat Mitte Mai im Zuge der Veröffentlichung der Unternehmenszahlen auch ein Statement bezüglich der DSGVO verlauten lassen… und dabei Zweifel geäußert, dass es Unternehmen überhaupt gelingen kann, sich lückenlos rechtssicher vorzubereiten:
„Wie alle anderen“ sei auch Pieter Haas, CEO von Ceconomy, sehr gespannt, was die Branche nach dem Stichtag erwartet. „Weil ich glaube, dass niemand von sich behaupten kann, dass er alles zu hundert Prozent sicher umgesetzt hat.“ Ceconomy selbst habe sich „in den letzten Monaten permanent mit den Datenschutzbehörden abgestimmt und erklärt, was wir machen und wo wir stehen und ich glaube, dass wir da insgesamt mit MediaMarktSaturn recht weit vorne mit dabei sind und auch ein sehr gutes Gefühl haben, dass wir da keine großen Fehler machen“, fasste der Unternehmenschef zusammen.
Während viele Unternehmen wahrscheinlich gerade an den letzten Feinheiten schleifen, um die Datenschutzgrundverordnung rechtssicher umzusetzen, werden die Verbraucher aktuell mit Mails quasi überflutet. Große und kleine Anbieter haben Sondernewsletter versendet, in denen sie erfahrungsgemäß zwei Aspekte abhandeln.
Der Kaffeeröster Tchibo ließ in einem solchen Newsletter beispielsweise verlauten: „Die Verordnung dient dem Schutz Ihrer Grundrechte und Grundfreiheiten. Bei Tchibo verstehen wir es als Teil unserer unternehmerischen Verantwortung, die uns anvertrauten Informationen zu schützen.“ Auch der Handmade-Marktplatz Etsy folgt dieser Strategie. Dort hieß es jüngst: „Datenschutz nehmen wir sehr ernst. Und wir möchten, dass du genau verstehst, welche Entscheidungen du bei Etsy bezüglich deiner Daten treffen kannst und wie du deine Daten verwalten kannst.“ Grundsätzlich ist dies keine schlechte Strategie, um das Kundenvertrauen auch auf lange Sicht zu stärken.
„Ein klares Nein“, beantwortet Alexander Krull von Webtrekk diese Frage. „Das wird bereits dadurch deutlich, dass man von neuen Rechten spricht. Dabei werden durch die DSGVO größtenteils nur bereits bestehende erweitert“, erläutert der Online-Experte. „Die oft ungeklärten Eigentumsrechte an Daten haben bis jetzt zu Einschränkungen geführt, die die Verordnung nun klärt. Das Datensubjekt wird sich verschieben, d. h. ich werde im stärkeren Maße Eigentümer der mich betreffenden Daten sein. Aber man muss vorsichtig sein, denn auch wenn ich theoretisch das Löschen oder Ändern von Daten einfordern kann, heißt das nicht, dass ich alles vom Webseitenbetreiber verlangen kann. Nicht zuletzt, da Nutzer ein oft zu einfaches Bild von der Verarbeitung ihrer Daten haben.“
Obwohl sich viele Kunden verständlicherweise nicht mit den juristischen Feinheiten der neuen Datenschutzgrundverordnung auskennen und manchmal noch nicht einmal etwas von der „DSGVO“ gehört haben, so bekommen doch einige mit, dass hier derzeit etwas passiert.
Schaut man sich dieser Tage beispielsweise in die sozialen Netzwerke um, wird deutlich, dass sich auch dort vieles um die neue DSGVO dreht. Von nützlichen Ratschlägen über Witze und sarkastische Beiträge bis hin zu Hilferufen findet man hier so ziemlich jede Gemütsregung.
Ich lache immer noch :D#dsgvo pic.twitter.com/2Ct6wu0W9f
— Mike Karst (@karstmike) 17. Mai 2018
Mir ist die #DSGVO inhaltlich tatsächlich ziemlich schnuppe. Aber ich sehe, was die Implementierung verursacht: jede Menge Blogs sind abgeschaltet, Vereine und Initiativen löschen ihre Seiten und werden damit unsichtbar. Der Schaden ist da. Wo ist der Nutzen?
— Jens Scholz (@jensscholz) 19. Mai 2018
"Und wie erklären Sie die Lücke im Lebenslauf in April und Mai 2018?" "Da habe ich neuen Geschäftsbedingungen, Datenschutzbestimmungen und Newsletter-Abos zugestimmt." #DSGVO #GDPR
— Stefan Evertz (@hirnrinde) 17. Mai 2018
Wie stark die DSGVO in den Alltag der Verbraucher eingreift und welche geradezu abstrusen Konsequenzen sie zu haben scheint, geht wohl aus folgenden Twitter-Beiträgen hervor:
Gelebte #DSGVO an meiner Schule. Das Sekretariat wird seit heute zum Schutz mit der #Datenschutzkette abgeriegelt. #keinscherz #DigitaleBildung #SchuleDigitalBW #NetzBaWü #Twitterlehrerzimmer pic.twitter.com/G5kmk1NZk4
— Tobias Erles (@Mr_Airless) 17. Mai 2018
Unfassbar. #DSGVO pic.twitter.com/zLxZ8ZSAjP
— Alexander Dinger (@AlexanderDinger) 19. Mai 2018
So lustig und kurzweilig solche kritischen Beiträge auch sind: Sie verhindern nicht, dass zahlreiche Unternehmen Angst haben, aufgrund von Fehlern teure Abmahnungen zu erhalten, die schnell auch existenzgefährdend sein können. Und die Gefahr ist durchaus realistisch – schließlich hat die Vergangenheit deutlich gezeigt, dass es in der hiesigen Abmahnwelt immer wieder auch zu Missbrauch kommen kann.
Von einem solchen Missbrauch will die EU-Justizkommissarin Vera Jourová übrigens nichts wissen. Ihre jüngsten Aussagen bildeten wohl einen vorläufigen Höhepunkt in den strittigen Vorbereitungen zur DSGVO. In einem Interview mit der Zeit brach die Politikerin das bisherige Daten-Prozedere auf ein einfaches Bild herunter: „Derzeit werden Nutzer in der digitalen Sphäre Dutzende Male pro Woche nach ihren Daten gefragt und wissen nicht, warum. Das ist so, als käme ein fremder Mann an Ihren Tisch im Restaurant und würde Sie fragen, wann Sie geboren seien, wie Ihre Schwester heiße, wo Sie wohnten und wie hoch Ihr Blutdruck liege.“ Dies wolle man in Zukunft verhindern.
Auf die Frage, ob die DSGVO eine Klagewelle auslösen wird, antwortete sie mit einem entschiedenen „Nein.“ Und: „Es gibt immer Verrückte, die Gesetze für ihren eigenen Vorteil nutzen wollen – Wettbewerber zum Beispiel oder ehemalige Mitarbeiter. Aber ich erwarte keinen massiven Missbrauch. Glücklicherweise sind die meisten Personen normal – sie haben andere Hobbys, als ihre Mitmenschen zu verklagen.“
Keiner kann in die Zukunft schauen. Keiner kann sagen, wie groß das Abmahnproblem schließlich werden oder ob es überhaupt zu Abmahnungen kommen wird. Händlern, Dienstleistern und Unternehmen aller Art wird wohl nichts anderes übrig bleiben, als ihr Möglichstes zu tun, um die Standards zu erfüllen. Auch wir greifen unseren Leser mit entsprechenden Ratgebern, Checklisten und Nachschlagewerken unter die Arme und helfen ihnen bei den Vorbereitungen.
Am Ende lässt sich sagen: Niemand ist allein. Denn alle sitzen im gleichen DSGVO-Boot.