Ewald Dotzauer fühlt sich zurzeit überfordert – zumindest, wenn es um Datenschutz geht. Dotzauer ist Chef einer kleinen bayerischen Firma, die sich auf Fotodruck, Bilderrahmen und Digitalposter spezialisiert hat und einen Webshop betreibt. Deshalb muss er spätestens in zwei Wochen eine neue Vorgabe der EU umsetzen, die Datenschutzgrundverordnung, kurz DSGVO. Sie regelt, dass Unternehmen künftig die Daten ihrer Kunden sicher verwalten müssen und sie nicht mehr ohne ausdrückliche Einwilligung zu Werbezwecken weitergeben dürfen; dass sie zudem Auskunft geben müssen, inwiefern Dritte die Kundendaten ebenfalls nutzen und wo sie gespeichert werden. Auf Kundenwunsch müssen sie die Kundendaten löschen.

All das klingt gut – jedenfalls für die Kunden. Dotzauer kauft selber gern im Internet ein und achtet darauf, wo seine Daten dann landen. Aber für ihn als Shopbetreiber sei die DSGVO derzeit der Horror, sagt er. Er regt sich fast jeden Tag darüber auf. "Ich habe das Gefühl, dass hier etwas umgesetzt wird, das für die großen Internetkonzerne wie Amazon, Google, Twitter und Co. gedacht ist – aber das im Grunde jeden betrifft, der im Netz unterwegs ist. Und gerade wir kleinen Händler sind die Gelackmeierten dabei."

Dotzauser hat inzwischen viel Zeit mit der Recherche verbracht, wo sein Webhoster seine Daten speichert und von ihm Bestätigungen einholen. Er musste Datenspeicherpläne und Löschpläne erstellen. "Und ich habe mich wochenlang durch Unmengen von Mails gelesen, die von den Anwälten unseres Internetshopbetreibervereins kamen. Die aber ehrlich gesagt kein Mensch auf Anhieb versteht." Ob er alles richtig ausgelegt und umgesetzt hat, weiß Dotzauer nicht. Er wird es sehen.

Nur wenige Mittelständler fühlen sich gut vorbereitet

Die strengeren Regelungen gelten bald für jeden, der Daten von Kunden, Mitarbeitern oder Geschäftspartnern erhebt und sie auch nutzt. Das betrifft Großkonzerne ebenso wie Freiberufler, die eine Webseite mit Newsletter betreiben. Sogar Vereine müssen künftig ganz anders mit Mitgliederdaten umgehen und dürfen im extremsten Fall keine Telefonlisten mehr für interne Veranstaltungen unter Mitgliedern herumschicken, wenn diese nicht vorher ihr Einverständnis gegeben haben. Und natürlich betrifft es alle, die das Internet nutzen, um Geschäfte anzubahnen oder Zahlungen abzuwickeln. Ein Versicherungsvertreter fragt sich zurzeit, ob er seinen Kunden überhaupt noch mit Mailings anschreiben darf oder ob er von jedem einzelnen seiner 3.000 Kunden dafür eine Erlaubnis einholen muss.

Vor allem Webdesigner und Webhoster stellt die DSGVO noch vor viele unlösbare Fragen. Sie betrifft nämlich sämtliche "personenbezogenen Daten", und dazu gehören auch IP-Adressen. Was also bedeutet die Verordnung künftig für Websitetools, die das Identifizieren und Verfolgen von IP-Adressen ermöglichen, für Affiliate-Links oder Google-AdSense?

Beinahe alle kleinen und mittelständischen Unternehmen hierzulande fühlen sich von den neuen Vorgaben überfordert, ergaben Umfragen von Technik- und Handelsverbänden sowie Unternehmensberatungen – obwohl sie mehr als zwei Jahre Zeit hatten, um sich auf die Umsetzung vorzubereiten. Im April sagte gerade einmal 13 Prozent der Kleinfirmen und Mittelständler, sie fühlten sich technisch und juristisch "auf der sicheren Seite", wenn am 25. Mai die DSGVO in Kraft tritt. Die restlichen 87 Prozent sind es offenbar noch nicht. Laut einer Umfrage des Versichererverbands GDV von Ende April gaben sogar 56 Prozent der Firmen zu, die DSGVO sei ihnen gar nicht bekannt oder sie hätten sich noch nicht darauf eingestellt. Nur 22 Prozent sagten, sie hätten bereits Vorbereitungen getroffen.

Dabei wissen fast alle Firmen, dass ihnen extrem hohe Geldstrafen drohen, wenn sie die neuen Regelungen nicht richtig umsetzen und sich Kunden oder Anwälte darüber beschweren. Wer die Vorgaben nicht anwendet, dem drohen Strafen von maximal 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Vertreter der Industrie und Handelskammern warnen bereits vor der großen Abmahnwelle. Viele Internetrechtsanwälte könnten ein gigantisches Geschäft wittern, indem sie jene verklagen, deren Datenschutzumsetzung noch lückenhaft ist. Und solche Lücken gibt es zuhauf, weil selbst die Firmen, die sich um eine gute Vorbereitung mühen, viele Fragen noch nicht beantworten können.

Eindeutige Aussagen? Fehlanzeige

So zumindest geht es Armin Klein. Er ist Chef einer Spedition in Niedersachsen mit insgesamt 45 Mitarbeitern. Klassische Old Economy, mit dem Internet hat Klein wenig zu tun. Die Spedition hat zwar eine Webseite, aber Kundendaten sammelt sie darüber nicht. Die Aufträge kommen per Telefon rein. Trotzdem hat Klein ein Datenschutzproblem, oder besser: ein DSGVO-Problem. Denn er erhebt im täglichen Betrieb viele andere Daten. Ortungsdaten, damit er weiß, welcher Lkw wo ist, und dem Kunden Ankunftszeiten mitteilen kann. Lenk- und Ruhezeiten seiner Fahrer, damit Sicherheitsvorschriften eingehalten werden. Auch der Spritverbrauch und die Unfallhäufigkeit der Wagen werden erfasst, weil bei ihm jene Fahrer eine Prämie bekommen, die besonders umsichtig und umweltfreundlich unterwegs sind.

Bisher war das alles kein Problem. "Und viele dieser Daten muss ich auch für den Gesetzgeber erheben", sagt Klein. Jetzt aber muss er fragen: Wo dürfen diese Daten künftig gespeichert werden? Inzwischen muss er gezielt an seine Mitarbeiter Zugriffsrechte für die Exceltabellen auf den Firmenrechnern verteilen, früher konnte jeder Mitarbeiter sie einschauen. Klein muss Daten regelmäßig löschen, jedoch im unterschiedlichen Turnus. Denn alles, was für die Steuer relevant ist, muss länger aufgehoben werden als einzelne Mitarbeiterdaten oder Betriebsablaufdaten.

Und was ist eigentlich mit den Trackingdaten der Fahrzeuge? Muss er die auch regelmäßig tilgen? Darf er Ortungsdaten an Kunden herausgeben, wenn die dadurch Rückschlüsse ziehen könnten, welcher Fahrer auf dem Bock sitzt, oder könnte er dafür verklagt werden? Und wie verarbeiten die Ortungsfirmen diese Positionsdaten eigentlich selbst – vor allem, wo speichern sie die Daten? Womöglich auf Servern außerhalb der EU oder in der Cloud?

"Keine Ahnung, ob das am Ende richtig ist"

Was er Kunden künftig sagt, wenn die genau nach solchen Details fragen, das versucht Klein noch herauszufinden. "Eigentlich sollte ich mir mehr Gedanken über den Geschäftsbetrieb und meine Fahrer machen, statt über so etwas", findet er. Zumal er schon viele hundert Euro für eine technische Beratung ausgegeben hat. Ein Kollege zahlt 2.000 Euro monatlich dafür, sei aber auch noch nicht schlauer.

Natürlich hat er auch den Speditionsverband gefragt, und der hat sich an den Datenschutzbeauftragten des Landes gewandt. Eindeutige Aussagen habe es trotzdem nicht gegeben, sagt Klein. Die einzelnen Datenschutzbeauftragten der Länder beurteilten viele Details noch völlig unterschiedlich. Das ärgert ihn. "Das verzerrt doch den Wettbewerb, wenn wir in Niedersachsen künftig Dinge nicht mehr dürfen, die Speditionen in Nordrhein-Westfalen dann noch machen."

Auch Ewald Dotzauer wettert über die schlechte Information zur Auslegung der Regelungen: "Wir haben zwar ein Merkblatt der IHK speziell für Webshopbetreiber bekommen. An einigen Stellen stand: Klären Sie das bitte mit Ihrer zuständigen Aufsichtsbehörde." Er habe dann dort angerufen und gehört: "Wie dieser Punkt umzusetzen ist, wissen wir auch noch nicht genau. Dazu gibt es noch keine Gerichtsurteile." Darum findet Dotzauer: "Man wird völlig allein gelassen und reimt sich das alles irgendwie zusammen. Keine Ahnung, ob das am Ende richtig ist."

Ein Gefühl der Sippenhaft

In seinem Postershop geht es um offene Fragen wie: Wie soll das Speichern und vollständige Löschen von Daten vonstatten gehen? Fotodaten werden für den Druck benötigt und danach auch bisher schon turnusmäßig gelöscht. Was aber, wenn ein Kunde ausdrücklich die Löschung sämtlicher Daten verlangt? Seine Adressdaten aus dem Webshop zu tilgen ist leicht. Aber von allen Geschäftsprozessen werden Backups erstellt, also sind die Fotodaten selbst nach einer Löschung noch in alten Versionen vorhanden. "Es ist völlig illusorisch anzunehmen, dass man das einzeln tilgen könnte", sagt Dotzauer. "Da tritt man eine Kette los, die man gar nicht beherrschen kann."

Das sagt selbst der Chef eines Sieben-Mann-Unternehmens, das sich bemüht, alle Abwicklungsprozesse noch selbst in der Hand zu behalten und sie eben nicht an andere Dienstleister weiterzureichen. Selbst der Paketversender bekommt von ihm keine Kundendaten außer der Adresse, an die ein Päckchen geht. Lediglich die Zahlungsabwicklung erledigt digiposter über Kreditkartenfirmen, "weil wir das ohne viel zusätzliches Personal sonst nicht stemmen könnten". Der Webhoster des Postershops sitzt in Köln, wo auch dessen Server stehen.

Eigentlich geht Dotzauer also schon sehr gewissenhaft mit den Daten seiner Kunden um. "Ich fühle mich in Sippenhaft genommen", sagt er. "Nur weil es bei Facebook, Twitter, Google und Co. immer wieder zu Datenlecks kommt, wird jetzt mit Kanonen auf uns geschossen. Auf die Spatzen."

Anmerkung der Redaktion, 15. Mai 2018, 12 Uhr: In einer alten Version des Artikels hieß es, dass die Firma digiposter mit sieben Mitarbeitern bereits einen eigenen Datenschutzbeauftragten benennen muss, tatsächlich ist das erst ab zehn Mitarbeitern der Fall. Die Firma muss allerdings auf Basis von Artikel 37 der Datenschutz-Grundverordnung einen Ansprechpartner für Datenfragen benennen. Es handelt sich zudem um eine Verordnung der EU, nicht um eine Richtlinie. Das haben wir korrigiert. (muk)