Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft. Aber weit mehr als die Hälfte der europäischen Unternehmen ist bislang offenbar nicht ausreichend vorbereitet. "Die Uhr tickt", warnt die auf Onlinegeschäftsmodelle spezialisierte Herold -Unternehmensberatung (HUB) in Lübeck.
Laut einer Umfrage des Marktforschers IDC unter 700 kleineren und mittelgroßen Unternehmen aus sieben europäischen Ländern sieht erst ein Fünftel die hauseigenen Datenschutzsysteme und -bestimmungen im Einklang mit der neuen Verordnung, die in Deutschland sperrig EU-DSGVO, international GDPR (General Data Protection Regulation) abgekürzt wird. 59 Prozent haben demnach mit den Vorbereitungen begonnen, das Gros ist sich allerdings nicht im Klaren darüber, welche Auswirkungen die Richtlinie auf ihre Organisation haben wird und welche konkreten Maßnahmen innerhalb der nächsten drei Monate umgesetzt sein müssen. 21 Prozent der befragten Firmen gaben an, sie seien nicht vorbereitet oder hätten noch nie davon gehört.
Teure Angelegenheit
Für börsennotierte Gesellschaften kann das Ignorieren der neuen Bestimmungen durchaus kursrelevant werden, wie Beispiele aus dem Ausland zeigen. Das prominenteste: Nach dem mutmaßlich illegalen Zugriff auf 32 Millionen Kundenkonten reduzierte sich der Börsenwert von Yahoo über Nacht um 350 Millionen US-Dollar. Die ehemalige Yahoo-Chefin Marissa Mayer verzichtete sowohl auf die jährliche Prämie als auch auf den vereinbarten Aktienbonus in Höhe von insgesamt 14 Millionen US-Dollar.
Für Mayer mag das verschmerzbar gewesen sein, denn sie strich mittlerweile 23 Millionen Dollar Abfindung ein. Für Vorstände kleinerer und mittelgroßer Unternehmen in Deutschland kann es jedoch durchaus existenzgefährdend sein, sollten sie persönlich haftbar gemacht werden. Und das ist ausdrücklich vorgesehen: "Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden", heißt es in Paragraf 93 des Aktiengesetzes.
Bereits 2013 hat das Landgericht München I ein Vorstandsmitglied eines Konzerns, der es daran mangeln ließ, zur Zahlung von 15 Millionen Euro verdonnert. Cyberversicherer oder Anbieter von Managerhaftpflichtversicherungen könnten sich etwaigen Ansprüchen ihrer Kunden mit Hinweis auf grobe Fahrlässigkeit verweigern, sofern keine ausreichenden Vorkehrungen getroffen wurden.
Und das scheint der Fall zu sein. Ähnlich wie das Gros der Banken und Broker eine gewisse Sorglosigkeit hinsichtlich der Bestimmungen zur IT-Sicherheit an den Tag legt, scheinen auch die Datenschutzbestimmungen bei deutschen Unternehmen irgendwo unter "ferner liefen" auf der Agenda zu stehen. Doch viel Zeit bleibt nicht: Ab dem 25. März nächsten Jahres sind Unternehmen verpflichtet, ein Datenschutzmanagement einzuführen, um personenbezogene Daten zu sichern. "Zentrale Verfahren" sind dabei schriftlich zu dokumentieren - etwa die "Grundsätze für die Verarbeitung personenbezogener Daten" (Artikel 5), die "Rechtmäßigkeit der Verarbeitung" (Artikel 6) und die "Bedingungen für die Einwilligung" (Artikel 7). Sogar eine Datenschutzfolgeabschätzung muss durchgeführt werden, wenn "Rechte und Freiheiten des Betroffenen durch die Verarbeitung einem Risiko ausgesetzt sind" (Artikel 35). Das trifft "ganz besonders dann zu, wenn neue Technologien angewandt werden".
Das Ziel: Die "Sicherheit der Verarbeitung" (Artikel 32) - auch durch Dritte: Der Verantwortliche und der Auftragsverarbeiter sollen durch geeignete technische und organisatorische Maßnahmen ein "dem Risiko angemessenes Schutzniveau" bieten. Dabei sollen der Stand der Technik sowie Art, Umfang, Umstände und Zweck der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden. Artikel 33 verlangt eine Meldung von Datenpannen binnen 72 Stunden. Klappt das nicht fristgerecht, ist das zu begründen.
Bei Verstößen gegen die Bestimmungen oder bei Nichtbefolgung einer Anweisung drohen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, "je nachdem, welcher der Beträge höher ist". Die Aufsichtsbehörden sollen zur Verhängung von Sanktionen verpflichtet werden. In Artikel 83 sind "Allgemeine Bedingungen für die Verhängung von Geldbußen" definiert: "Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung (...) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."
Mediziner unter Beobachtung
In erster Linie soll die Richtlinie der zügellosen Weitergabe und -verbreitung von Kundendaten im Onlinemarketing und -handel Einhalt gebieten. Betroffen sind jedoch auch ganz andere Wirtschaftszweige außerhalb der Internet- und IT-Branche. In seinem jüngsten Tätigkeitsbericht etwa dokumentierte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann 100 anlasslose Kontrollen. Da er das Gesundheitswesen zu den "Mega-Themen der nächsten Jahre" zählt, könnten sich beispielsweise Arztpraxen, Krankenhäuser und Medizintechnikhersteller besonderer Aufmerksamkeit erfreuen.