Magdeburg l Mehr als 250 Seiten dick und voll gepackt mit Sachen, die das Leben aus Unternehmer- und Behördensicht nicht einfacher machen – das ist die EU-Datenschutz-Grundverordnung (DSGVO). Vor einem Jahr hat sie in Deutschland das Bundesdatenschutzgesetz (BDSG) abgelöst. Seitdem hat Sachsen-Anhalts Datenschutzbehörde sechs Bußgelder in Höhe von 11.730 Euro wegen Verstößen erhoben. Die höchste Strafe lag bei 3700 Euro. Die Beschäftigte eines Unternehmens hatte Gesundheitsdaten unverschlüsselt per E-Mail an Dritte übermittelt.

Bußgelder, Kontrollen, Beratungen – die Liste der Aufgaben wird immer größer. „Bei uns herrscht Land unter. Wir kommen nicht mehr hinterher, was die Fülle der Aufgaben angeht“, sagt Chef-Datenschützer Harald von Bose. Für 2019 hatte die Behörde zwölf neue Stellen beantragt. Doch Sachsen-Anhalts Regierung schlug dem Landtag nur vier Stellen vor. „Wir wünschen uns vom Land mehr Wertschätzung für den Datenschutz und unsere Aufsichtsbehörde“, so von Bose.

Große Angst vor Strafen

Als die Richtlinie wirksam wurde, herrschte bei vielen Unternehmern Panik. Hohe Strafen und häufige Kontrollen wurden befürchtet. Kleine Betriebe waren „massiv verunsichert“, so Burghard Grupe, Geschäftsführer der Handwerkskammer Magdeburg. Das mediale Echo rief Datenschutz bei vielen Betrieben überhaupt zum ersten Mal auf den Plan.

Doch die kolportierte Abmahnwelle blieb aus. „Die bisherigen Bestimmungen sind durch die DSGVO eher geschärft worden“, sagt IT-Rechtsexperte Lars Hänig. Unternehmen, die sich schon vorher intensiv mit Datenschutz auseinandergesetzt hätten, waren gut aufgestellt.

„Die größte Hürde sind die formalen Anforderungen und der Zeitaufwand“, so Grupe. Ein Beispiel: Martin Förster ist Geschäftsführer des Autohauses Neuling in Klötze mit 26 Mitarbeitern. Da besonders die Kfz-Branche mit vielen Kundendaten arbeitet, hat sich in der Arbeitsweise seiner Belegschaft nicht viel verändert. Die Datenerfassungssysteme wurden an die neuen Vorgaben angepasst. „Die administrativen Prozesse, vor allem bei der Dokumentation und Archivierung, haben hingegen extrem viel Zeit geraubt“, so Förster.

Größere Auskunfts- und Informationspflichten bescherten vielen Unternehmen ein neues Bürokratie-Monster. „Will man diese Vorgaben optimal erfüllen, haben Unternehmen einen riesen bürokratischen Aufwand“, sagt Sandra Froreck, Datenschutzbeauftragte bei der IHK Magdeburg. Das gilt auch für die 3000 Sportvereine im Land. „Ein große Bürde war das am Anfang“, sagt Steffen Hartwig, Vorsitzender von Eintracht Gommern. Ergebnis- und Teilnehmerlisten, Anmeldeformulare – alles musste angepasst werden. Jährlich veranstaltet der Verein den Malig-Lauf. Das Gruppenfoto gehört traditionell dazu. Ein einzelner Verweis, dass auf dem Gelände Fotos gemacht werden, reicht nicht mehr aus. „Also muss ich vorher für jedes Kind das Einverständnis der Eltern einholen“, sagt Hartwig. Datenschutz sei zum Dauerthema geworden.

Ausnahmen untauglich

Fragezeichen gab es zu Beginn vor allem bei Facebook-Seiten. Nach einem EuGH-Urteil sind auch Seitenbetreiber für die Datenverarbeitung verantwortlich. Kleine Firmen gingen auf Nummer sicher und damit erst einmal offline. Ein Problem, das vielen großen Unternehmen dank Datenschutzbeauftragten erspart blieb. Der ist in Firmen, in denen mehr als zehn Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung zu tun haben, verpflichtend. Auch ein Verarbeitungsverzeichnis müssen nur Unternehmen mit mindestens 250 Mitarbeiter führen. Es sei denn, die Verarbeitung erfolgt nicht nur gelegentlich. Da aber jede personalisierte Mail schon zur Datenverarbeitung zählt, gilt der Ausdruck „nicht nur gelegentlich“ schon gar nicht mehr. „Diese Ausnahmen greifen in der Praxis nicht“, sagt Froreck. Damit sei auch hier keine Erleichterung gegeben. Auch von Bose sagt: „Bei der Anwendung wird aktuell noch nicht ausreichend zwischen kleinen und großen Unternehmen unterschieden.“

Bis Mai 2020 muss die EU-Kommission eine erste Auswertung liefern, das Ziel sind Verbesserungen. Davon gibt es noch einige. Klar ist aber auch: Mit der DSGVO hat der Datenschutz an Stellenwert gewonnen.