Verbraucherschutz EU-Grundverordnung: Datenschutz bereitet den Firmen Stress - Verbraucher gewinnen
Trier · Der 25. Mai ist für die Bürger in Europa ein besonderer Tag. Die EU-Datenschutz-Grundverordnung wird in nationales Recht umgesetzt: Sie soll Verbrauchern mehr Rechte einräumen. Die Unternehmen sind indes massiv gefordert.
Rund 40 000 Unternehmen und Freiberufler in der Region Trier stehen vor einer großen Herausforderung. Die EU-Datenschutz-Grundverordnung greift, Konzerne und Großunternehmen, Familienunternehmen, kleine Firmen und Freiberufler müssen sich darauf einstellen. Landesweit sind es sogar 160 000 Unternehmen.
Reinhard Neises, Leiter Recht, Steuern, Firmendatenmanagement bei der Industrie- und Handelskammer Trier (IHK), versucht die heimische Wirtschaft für das Thema zu sensibilisieren. „Das Schlimmste, was eine Firma tun kann, ist nichts zu tun.“ Denn mögliche Strafen oder die Attacken von Abmahnvereinen oder -anwälten drohen.
Mit der Verordnung werden für Unternehmen zahlreiche neue Informations- und Dokumentationspflichten eingeführt. Verletzen sie die Bestimmungen, drohen ihnen empfindliche Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes und bis zu 20 Millionen Euro.
Viel Zeit bleibt der Wirtschaft nicht mehr, um sich auf den Ernstfall vorzubereiten. Für viele Firmen bedeutet dies, sie brauchen einen Datenschutzbeauftragten. Während das in der Vergangenheit schon für viele mittlere und größere Unternehmen galt, kann das nun auch für kleine Betriebe verpflichtend sein.
„Der 25. Mai ist der Stichtag. Verordnungen gelten nach EU-Recht unmittelbar“, sagt IHK-Experte Neises. Mit einer To-Do-Liste können sich Unternehmen vorbereiten. Die erste Frage sollte dabei sein: Welche personenbezogenen Daten habe ich gespeichert? Also Informationen über Kunden, Lieferanten, Mitarbeiter. Und dann: Darf ich diese Daten erheben? Neises: „Welche Rechtsgrundlagen habe ich dafür? Also gibt es einen Vertrag, eine Einwilligung? Ist die Datenerhebung durch ein Gesetz geregelt?“
Firmen müssen sich zudem fragen: Wie lange darf ich Daten speichern? „Hier gilt der Grundsatz der Datenminimierung und der Datensparsamkeit“, erklärt Reinhard Neises.
Ganz wichtig, um später nicht in die Straffalle zu tappen: „Ein Unternehmen muss dokumentieren, dass es alles für den Datenschutz macht“, sagt Neises. Im Mittelpunkt stehen dabei die Informationspflichten und die Datenschutzerklärung. „Die sollte auf der Internetseite sehr sorgfältig eingearbeitet sein“, rät Neises. Eine sehr gute Mustererklärung gebe es von der Uni Münster (www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/Musterdatenschutzerk%C3%A4rung-nach-der-DSGVO.docx). „Hier kann jedes Unternehmen, groß oder klein, sich ansehen, was auf es zutrifft und so die eigene Datenschutzerklärung aktualisieren“, sagt Neises.
Doch die neue Verordnung bringt nicht nur Nachteile und Arbeit. Die Verbraucher sind die Gewinner des neuen Datenschutzes. Denn zukünftig müssen die EU-Bürger einer Verbreitung ihrer Daten eindeutig zustimmen und besser informiert werden, wie ihre Daten verarbeitet werden. Wer nicht möchte, dass seine Daten weiter verarbeitet oder verbreitet werden, kann sie löschen lassen, falls kein eindeutiger Grund für eine Speicherung vorliegt. „Das Recht auf Vergessenwerden ist in der neuen Verordnung ebenso verankert wie das Recht auf Portabilität“, erklärt der IHK-Experte. Portabilität bedeutet, dass der Bürger seine persönlichen Daten wie Kontakte, E-Mails oder Fotos zu einem anderen Anbieter mitnehmen darf. Zudem haben Kunden ein Recht auf sofortige Information bei Hacker-Angriffen etwa auf Handy- oder Bankdaten.
Auch für die Wirtschaft hat die Richtlinie nicht nur Nachteile. So argumentiert der Landesdatenschutzbeauftragte, Prof. Dr. Dieter Kugelmann: „Die Datenschutzregeln der EU gelten dann auch für amerikanische und andere Unternehmen, die in Europa ihre Dienste anbieten. Damit werden Wettbewerbsnachteile gegenüber Drittstaaten ohne vergleichbaren Datenschutz ausgeglichen.“ Also auch US-Unternehmen wie Facebook, Amazon oder Google unterliegen dann der neuen Datenschutzverordnung. Bisher verlegten Großkonzerne ihre europäischen Niederlassungen gerne in Länder mit schwachen Bestimmungen – wie Facebook mit seinem Sitz in Irland.
Dem Landesdatenschutzbeauftragten Kugelmann und der Behörde kommt dabei eine zentrale Rolle zu. „Der Landesdatenschutzbeauftragte kontrolliert die Einhaltung der Verordnung und geht Beschwerden nach“, erklärt Reinhold Neises. Für Unternehmen sei es dann wichtig, dass sie lückenlos aufzeigen können, was sie alles für den Datenschutz getan haben.
