Ewald Dotzauer fühlt sich zurzeit überfordert – zumindest, wenn es um Datenschutz geht. Dotzauer ist Chef einer kleinen bayerischen Firma, die sich auf Fotodruck, Bilderrahmen und Digitalposter spezialisiert hat und einen Webshop betreibt. Deshalb muss er spätestens in zwei Wochen eine neue Vorgabe der EU umsetzen, die Datenschutzgrundverordnung, kurz DSGVO. Sie regelt, dass Unternehmen künftig die Daten ihrer Kunden sicher verwalten müssen und sie nicht mehr ohne ausdrückliche Einwilligung zu Werbezwecken weitergeben dürfen; dass sie zudem Auskunft geben müssen, inwiefern Dritte die Kundendaten ebenfalls nutzen und wo sie gespeichert werden. Auf Kundenwunsch müssen sie die Kundendaten löschen.

All das klingt gut – jedenfalls für die Kunden. Dotzauer kauft selber gern im Internet ein und achtet darauf, wo seine Daten dann landen. Aber für ihn als Shopbetreiber sei die DSGVO derzeit der Horror, sagt er. Er regt sich fast jeden Tag darüber auf. "Ich habe das Gefühl, dass hier etwas umgesetzt wird, das für die großen Internetkonzerne wie Amazon, Google, Twitter und Co. gedacht ist – aber das im Grunde jeden betrifft, der im Netz unterwegs ist. Und gerade wir kleinen Händler sind die Gelackmeierten dabei."

Dotzauser hat inzwischen viel Zeit mit der Recherche verbracht, wo sein Webhoster seine Daten speichert und von ihm Bestätigungen einholen. Er musste Datenspeicherpläne und Löschpläne erstellen. "Und ich habe mich wochenlang durch Unmengen von Mails gelesen, die von den Anwälten unseres Internetshopbetreibervereins kamen. Die aber ehrlich gesagt kein Mensch auf Anhieb versteht." Ob er alles richtig ausgelegt und umgesetzt hat, weiß Dotzauer nicht. Er wird es sehen.

Nur wenige Mittelständler fühlen sich gut vorbereitet

Die strengeren Regelungen gelten bald für jeden, der Daten von Kunden, Mitarbeitern oder Geschäftspartnern erhebt und sie auch nutzt. Das betrifft Großkonzerne ebenso wie Freiberufler, die eine Webseite mit Newsletter betreiben. Sogar Vereine müssen künftig ganz anders mit Mitgliederdaten umgehen und dürfen im extremsten Fall keine Telefonlisten mehr für interne Veranstaltungen unter Mitgliedern herumschicken, wenn diese nicht vorher ihr Einverständnis gegeben haben. Und natürlich betrifft es alle, die das Internet nutzen, um Geschäfte anzubahnen oder Zahlungen abzuwickeln. Ein Versicherungsvertreter fragt sich zurzeit, ob er seinen Kunden überhaupt noch mit Mailings anschreiben darf oder ob er von jedem einzelnen seiner 3.000 Kunden dafür eine Erlaubnis einholen muss.

Vor allem Webdesigner und Webhoster stellt die DSGVO noch vor viele unlösbare Fragen. Sie betrifft nämlich sämtliche "personenbezogenen Daten", und dazu gehören auch IP-Adressen. Was also bedeutet die Verordnung künftig für Websitetools, die das Identifizieren und Verfolgen von IP-Adressen ermöglichen, für Affiliate-Links oder Google-AdSense?

Beinahe alle kleinen und mittelständischen Unternehmen hierzulande fühlen sich von den neuen Vorgaben überfordert, ergaben Umfragen von Technik- und Handelsverbänden sowie Unternehmensberatungen – obwohl sie mehr als zwei Jahre Zeit hatten, um sich auf die Umsetzung vorzubereiten. Im April sagte gerade einmal 13 Prozent der Kleinfirmen und Mittelständler, sie fühlten sich technisch und juristisch "auf der sicheren Seite", wenn am 25. Mai die DSGVO in Kraft tritt. Die restlichen 87 Prozent sind es offenbar noch nicht. Laut einer Umfrage des Versichererverbands GDV von Ende April gaben sogar 56 Prozent der Firmen zu, die DSGVO sei ihnen gar nicht bekannt oder sie hätten sich noch nicht darauf eingestellt. Nur 22 Prozent sagten, sie hätten bereits Vorbereitungen getroffen.

Dabei wissen fast alle Firmen, dass ihnen extrem hohe Geldstrafen drohen, wenn sie die neuen Regelungen nicht richtig umsetzen und sich Kunden oder Anwälte darüber beschweren. Wer die Vorgaben nicht anwendet, dem drohen Strafen von maximal 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Vertreter der Industrie und Handelskammern warnen bereits vor der großen Abmahnwelle. Viele Internetrechtsanwälte könnten ein gigantisches Geschäft wittern, indem sie jene verklagen, deren Datenschutzumsetzung noch lückenhaft ist. Und solche Lücken gibt es zuhauf, weil selbst die Firmen, die sich um eine gute Vorbereitung mühen, viele Fragen noch nicht beantworten können.