Seit Ende Mai gelten europaweit strengere Regeln zum Datenschutz. Unternehmen, Vereine und Behörden beklagen den immensen bürokratischen Aufwand. Doch die angedrohten Sanktionen stehen bisher nur auf dem Papier.
Stuttgart - Datenschutz ist auch eine Zeitfrage. Wer sich gründlich darum kümmern möchte, wo er in der virtuellen Welt Spuren hinterlässt und wer damit Geld verdient, der sollte sich dafür mindestens einen halben Tag freinehmen – allein für Google. So lange wird es schon dauern, die Hinterzimmer der Suchmaschine zu durchforsten, in denen die Datenschutzerklärung und eine Art privates Dossier zu den jeweiligen Aktivitäten lagern. Da gehen ständig neue Fenster auf – und gerade das macht es schwer, den Durchblick zu behalten. Die Wege zum ganz persönlichen Datenschutz führen durch ein Labyrinth, das zum 25. Mai renoviert wurde. Der Grund lässt sich mit fünf Buchstaben abkürzen: DSGVO. Sie stehen für einen Meilenstein des europäischen Rechts: die Datenschutz-Grundverordnung, wobei es sich um die erste EU-Norm handelt, die unmittelbar europaweit Rechtskraft erlangt hat. Was hat sich geändert? Es handelt sich um ein sehr komplexes Regelwerk. Die neuen Vorschriften umfassen 88 Seiten im Amtsblatt der Europäischen Union mit 173 Vorbemerkungen und 99 Artikeln. Zudem hatte jeder EU-Staat die einschlägigen nationalen Paragrafen anzupassen. Persönliche Daten dürfen ausschließlich dann gespeichert und verwendet werden, wenn der Betroffene zuvor ausdrücklich zugestimmt hat. Verbraucher und Internetnutzer müssen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ informiert werden. Unternehmen, die personenbezogene Daten speichern, müssen auf Anfrage Auskunft erteilen über deren Herkunft, Verarbeitungszwecke und die Dauer der Speicherung. Betroffene dürfen einer Nutzung widersprechen und verlangen, dass ihre Daten gelöscht werden. Kunden können andererseits verlangen, eine Kopie ihrer Daten in computerlesbarer Form mitzunehmen, wenn sie etwa den Stromanbieter oder die Telefonfirma wechseln. Was sind die Folgen? Die Aufsichtsbehörden wurden überschwemmt mit Nachfragen, Beschwerden und Pflichtmeldungen zu Datenpannen. Diese Pannenberichte hätten sich im ersten Quartal seit Inkrafttreten der neuen Vorschriften „mindestens verzehnfacht“, sagt Walter Krämer, der beim baden-württembergischen Datenschutzbeauftragten für Unternehmen zuständig ist. Maximal zehn dieser Pannen stuft er als gravierend ein, darunter fehlerhaft verbreitete persönliche Informationen von Banken und Versicherungen. „Wir sind förmlich abgesoffen“, meldet Thomas Kranig, Chef des Bayerischen Landesamtes für Datenschutzaufsicht. „Wir kommen an die Grenzen unserer Kapazitäten“, sagen die Kollegen in Nordrhein-Westfalen. Auch Unternehmen, Handwerkern, Schulen, Kliniken und Vereinen wird ein erheblicher bürokratischer Mehraufwand zugemutet. Sie sind nun verpflichtet, genau zu dokumentieren, welche Daten sie gespeichert haben und wie sie diese nutzen. Sobald in einem Unternehmen mehr als zehn Leute mit der Verarbeitung personenbezogener Daten beschäftigt sind, braucht es einen eigenen Datenschutzbeauftragten. Die neuen Vorschriften gelten auch für Firmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder Marktforschung hier betreiben. Zum Beispiel: Google. Wo gibt es Probleme? Jeder Einzelne wurde im Vorfeld des 25. Mai überflutet mit Datenschutzerklärungen. Laut einer aktuellen Umfrage ist es den meisten aber lästig, sich mit dem Kleingedruckten auseinanderzusetzen. Zwei Drittel lesen solche Bestimmungen „selten oder nie“, 23 Prozent ab und zu. Nur neun Prozent schauen genauer hin. Selbst die Patienten im Wartezimmer des Hausarztes blieben von solchem Papierkram nicht verschont. Bei Unternehmen herrsche „große Verunsicherung, Angst vor Sanktionen und Frustration“ wegen der zusätzlichen Bürokratie, so Christian Köhn von der Industrie- und Handelskammer Region Stuttgart. Viele Firmen hätten den Eindruck, „dass mit Kanonen auf Spatzen geschossen wird“. Zudem gebe es „nach wie vor eine große Rechtsunsicherheit bei Einzelfragen“. Laut FAZ haben Friseure bei ihren Kundinnen nachgefragt, ob sie die gewünschte Haarfarbe speichern dürfen. Aus Angst vor unliebsamen Konsequenzen haben Sportvereine ihre Homepages stillgelegt, weil dort ungenehmigt Fotos und Namen ihrer Mitglieder veröffentlicht wurden. Manche Vereine wollten ihre Spielberichte einstellen, um sich Ärger mit der Datenaufsicht zu ersparen, so der Württembergische Landessportbund. Für Vereine habe sich der Verwaltungsaufwand deutlich vergrößert. Das bereite vielen „große Sorgen“. In einigen Vereinen hätten einzelne Mitglieder die erforderliche Zustimmung zu Datenschutzerklärungen „kategorisch verweigert“. Solche Reaktionen zeigten, „dass die Verunsicherung und das Unwissen darüber, was erlaubt ist, groß ist“. Wie werden Verstöße bestraft? Nach den neuen Regeln droht bei Rechtsverstößen hohes Bußgeld: bis zu vier Prozent des Jahresumsatzes, im Maximalfall 20 Millionen Euro. In Baden-Württemberg hat die Datenschutzbehörde bisher auf harte Sanktionen verzichtet. Ein eigens abgestellter Staatsanwalt ist noch damit beschäftigt, Altfälle aufzuarbeiten, die vor dem 25. Mai aufgelaufen sind. „Ein Fall, bei dem sehenden Auges Datenmissbrauch betrieben wurde, ist uns noch nicht untergekommen“, erklärt Datenschützer Walter Krämer. Sein Kollege Kranig aus Bayern räumt ein: Der Verzicht auf Bußgeldbescheide sei „momentan eine Kapazitätsfrage“.