Aktuell
Home | Lokales | Kleine Betriebe oft überfordert
Die zweijährige Übergangsfrist für die Datenschutz-Grundverordnung ist zu Ende. (Foto: photoschmidt - stock.adobe.com)
Die zweijährige Übergangsfrist für die Datenschutz-Grundverordnung ist zu Ende. (Foto: photoschmidt - stock.adobe.com)

Kleine Betriebe oft überfordert

Lüneburg. Yannik Harms ist einer der wenigen Unternehmer, denen das Thema Datenschutz-Grundverordnung (DSGVO) offenbar keine allzu großen Sorgen bereitet: „Was die DSGVO angeht, sind wir gut aufgestellt“, sagt der Geschäftsführer der gleichnamigen Lüneburger Bäckerei. „Was zu tun ist, haben wir erledigt.“ Die Lieferanten seien entsprechend der Verordnung angeschrieben, die Firmen-Homepage überarbeitet worden. Auch was die datenschutzrechtlichen Bestimmungen bei den Mitarbeitern betreffe, sei man auf Stand. „Verglichen mit der Allergen-Kennzeichnungspflicht, die seit 2014 gilt, macht uns die Umsetzung der Datenschutz-Grundverordnung deutlich weniger Arbeit“, bilanziert Harms.

Verabschiedet worden war die DSGVO vor zwei Jahren von der Europäischen Union (EU). Mit dem Ziel, dass die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen europaweit vereinheitlicht wird. Am Freitag, 25. Mai, endete die Übergangsfrist, tritt die Datenschutz-Grundverordnung in Kraft.

Unternehmen müssen Abläufe dokumentieren

Auf LZ-Anfrage erklärt Eckhard Sudmeyer, Hauptgeschäftsführer der Handwerkskammer Braunschweig-Lüneburg-Stade: „Ein zentrales Ziel der EU-Datenschutzgrundverordnung ist, dass der Verbraucher einen Überblick darüber hat, welche seiner Daten von wem verarbeitet werden. Konkret bedeutet das, dass jeder Betrieb seine Kunden darüber in Kenntnis setzen muss, welche Daten erhoben werden und was mit den Daten passiert.“

Betriebe sind demnach verpflichtet, sämtliche datenschutzrelevanten Betriebsabläufe zu dokumentieren. „Dies ist im Kern nicht neu“, so Sudmeyer, „die Erfüllung dieser Pflicht ist jedoch mit einem erheblichen bürokratischen Aufwand verbunden.“ Es sei deshalb sehr bedauerlich, dass das Europäische Parlament keine Ausnahmen für mittelständische Betriebe eingeführt habe, „wie es unsere Forderung und zudem der Vorschlag der Europäischen Kommission war“, so der Hauptgeschäftsführer. Die Kammer rate daher jedem Betrieb, sich trotz der formellen Hürden und des bürokratischen Aufwands mit dem Datenschutz zu befassen. „Die Nachfrage nach Informationen und Beratung zur neuen DSGVO zeigt uns, dass das Handwerk diese Notwendigkeit auch erkannt hat.“ Nicht zuletzt das Agieren internationaler Großkonzerne wie Google, Facebook oder Amazon hat den Datenschutz zu einem Thema gemacht – und die EU zum Handeln gezwungen.

Nicht genügend Ressourcen

Dass die Übergangsfrist nun abläuft, haben beileibe noch nicht alle Unternehmer verinnerlicht. „Etlichen Unternehmen ist erst zum Jahreswechsel richtig bewusst geworden, was mit der DSGVO auf sie zukommt“, hat auch Bernd Wiechel, Hauptgeschäftsführer des Arbeitgeberverbandes Lüneburg Nordostniedersachsen (AV), beobachtet. Sein Verband hatte deshalb im Frühjahr zu einer Info-Veranstaltung eingeladen (LZ berichtete.) „Es macht einfach nur endlos viel Arbeit und erzeugt hohe Kosten für die Berater, die man braucht, um alles richtig zu machen“, sagt Wiechel und fügt hinzu: „Selbst Juristen müssen Beratungsunternehmen einschalten, um alles richtig zu machen.“

„Gemacht ist das Regelwerk mit Blick auf die Weltkonzerne, aber treffen wird es auch den Ein-Mann-Betrieb.“ Udo Kaethner, Handwerkskammer

Auf den Punkt bringt das Problem Sandra Bengsch, Pressesprecherin der Industrie- und Handelskammer (IHK) Lüneburg-Wolfsburg. „Vor allem sind es Kleinunternehmen und kleine Dienstleister, die das Thema nicht auf ihrer Agenda hatten und nun mit der Umsetzung überfordert sind.“ Kleine Betriebe hätten große Probleme mit der Umsetzung der DSGVO, weil sie neben ihrem Kerngeschäft einfach nicht genügend Ressourcen dafür haben. Nach Einschätzung der IHK werden viele Betriebe die Umsetzung auch bis zum Stichtag nicht geschafft haben. „Was Unternehmer immer wieder kritisieren, sind die hohe Komplexität der Anforderungen und die vielen unbestimmten Rechtsbegriffe des Datenschutzrechts, die eine Umsetzung für Nicht-Experten erschweren“, erklärt Bengsch.

Diesen Eindruck seiner Kollegin kann Udo Kaethner von der Handwerkskammer nur bestätigen. Er sagt: „Gemacht ist das Regelwerk mit Blick auf die Weltkonzerne, aber treffen wird es auch den Ein-Mann-Betrieb.“ Mit den nun vorgeschriebenen Dokumentations- und Auskunftspflichten seien viele Unternehmen offenbar überfordert.

Unklare Rechtslage bei Schornsteinfegern

Und es gibt auch etliche weitere ungeklärte Fragen: Beispielsweise, wie die schwarze Zunft – die der Schornsteinfeger – die die Datenschutz-Grundverordnung umsetzen muss, denn: Schornsteinfeger übernehmen hoheitliche Aufgaben, führen das Kehrbuch, in dem Daten der Kunden erfasst werden. „Muss jetzt jeder Schornsteinfeger einen eigenen Datenschutz-Beauftragten beschäftigen?“, fragt Kaethner. Das hält der Handwerkskammer-Experte dann doch für weltfremd. Die Schornsteinfeger-Landesinnungskammer offenbar auch. Denn die habe sich laut Kaethner mit dieser Problematik bereits an die Landesdatenschutzbeauftragte gewandt.

Hintergrund

Worauf Unternehmen achten müssen

Im Wesentlichen müssen Betriebe mit Blick auf die DSGVO fünf Pflichten erfüllen:

  • 1. Informationspflicht gegenüber Ihren Kunden.
  • 2. Einwilligungen von Kunden einholen, wenn Sie mit diesen per E-Mail schreiben möchten.
  • 3. Auskunftspflicht, wenn ein Kunde wissen möchte, welche Daten Betriebe über ihn gespeichert haben.
  • 4. Dokumentationspflicht der Verarbeitungen (also der Programme, mit denen im jeweiligen Betrieb personenbezogene Daten verarbeitet werden, zum Beispiel das Erstellen und das Führen einer Kundendatei, der Lohnbuchhaltung und auch der Personalverwaltung.
  • 5. Überprüfen der Auftragsverarbeitungen (Website-Hosting-Dienstleister, eventuell Cloud-Anbieter) und Schließen entsprechender Verträge. Dies gilt ebenfalls für die Website, aber auch für die Lohnbuchhaltung, sofern diese extern geführt wird.

Von Klaus Reschke

5 Kommentare

  1. Die Datenschutz-Grundverordnung in Kraft , unausgegoren, unüberlegt , zusätzliche Kosten, die Produkte werden teurer und der Endverbraucher muß zahlen. Für eine aufwendige und sinnlose Bürokratie.
    .. und : bei LANZ konnte man nur staunen , was ein Undercover Journalist Abdullah Khan bei der BAMF so alles entdeckt hat … fehlerhafte Asylbescheide, Lug , Betrug und Manipulationen in der BAMF und dort gibt es keine Datenschutz-Grundverordnung ? ist ja staatlich , ist ja so gewollt …

    • Heinz-Rüdiger

      „Andreas“, wann werden Sie Ihre Ausbildung zum Gesellschaftsanalüticker bei Markus Lanz denn abgeschlossen haben? Lernt der Merkelkritiker dort auch, wie zwischen Lügenpresse-Sendungen und solchen, die den eigenen Vorurteilen vollumfänglich entsprechen, sicher zu unterscheiden ist?

    • Die DSGVO ist für Verbraucher ein Meilenstein zur Rückerlangung der informationelle Nicht Selbstbestimmung. Wie sie von diesem Thema auf die „bösen Ausländer“ kommen, bleibt Ihr trauriges Geheimnis.

  2. „2. Einwilligungen von Kunden einholen, wenn Sie mit diesen per E-Mail schreiben möchten“

    Ist einfach falsch. Die Verarbeitung von personenbezogenen Daten für die Vertragserfüllung und Erfüllung vorvertraglicher Pflichten ist und bleibt auch nach der DSGVO eine eigene Rechtsgrundlage und braucht KEINE Einwilligung, siehe Art 6 Abs 1 S 1 b) DSGVO. Ich würde mich freuen, wenn die LZ das korrigieren könnte, da sich die Mär von „alles braucht nun eine Einwilligung“ hartnäckig hält, obwohl sich in den meisten Fällen kaum etwas im Vergleich zur alten Rechtslage ändert. Die Einwilligung zur Nutzung über die Vertragserfüllung hinaus (Werbung, Kundenkonto) war auch schon nach dem alten BDSG einwilligungspflichtig.

  3. Norbert Kasteinecke

    Die Datenschutz-Grundverordnung ist da – und einige Nachrichtenportale aus den Vereinigten Staaten haben ihre ganz eigene Art darauf zu reagieren:

    Die „Baltimore Sun“, „New York Daily News“, „Los Angeles Times“, „Chicago Tribune“ oder „San Diego Union-Tribune“ lassen beispielsweise gar keinen Zugriff mehr auf ihre Seiten zu.

    Quelle : FAZ

    Aber vor wem meine Daten weiterhin ungeschützt bleiben:
    – Finanzamt
    – SCHUFA
    – GEZ
    – Post
    – Markus Söder
    – US-Behörden

    Vor wem meine Daten geschützt werden:
    – Sportverein Grüne Linde
    – Franzis HaarMonie
    – Krug zu den drei Eichen