Die Zeit ist abgelaufen. Vom Einpersonenunternehmer (EPU) über den Singverein bis zum Großkonzern müssen ab sofort alle die Bestimmung der EU-Datenschutzgrundverordnung (DSGVO) einhalten. Bei Verstößen drohen potenziell hohe Strafen. Vor allem kleine Unternehmen wurden dabei auf dem falschen Fuß erwischt.

Nur wenige Wochen zuvor waren viele Unternehmen "überraschend zuversichtlich", wie der Kreditschutzverband KSV1870 die Ergebnisse einer im März durchgeführten Befragung von mehr als 1.000 heimischen Betrieben präsentiert. Mehr als zwei Drittel der Befragten waren überzeugt, fristgerecht alle gesetzlichen Auflagen zu erfüllen.

Aber nur 13 Prozent hatten das geforderte "Verzeichnis der Verarbeitungen" bereits erstellt. Ein Drittel der Unternehmen hatte noch keine einzige Maßnahme gesetzt. Fast jeder zweite Betrieb gab an, mangelhaft oder gar nicht informiert zu sein.

IT-Berater ausgelastet

Kein Wunder, dass die Telefone bei den IT-Beratern heißlaufen: "Wir arbeiten von früh bis spät, und viele haben neue Mitarbeiter eingestellt, um mit den Anfragen zurechtzukommen", sagt Datenschutzexperte Sebastian Strimitzer von der IT-Agentur Casc. Das Team unterstützt Kleinunternehmen und Vereine bei der Vorbereitung auf die DSGVO. Seiner Erfahrung nach wurde die Hälfte der Kleinunternehmer von den neuen Regeln überrumpelt, schätzt Strimitzer, die andere Hälfte hat sich mit dem Thema aber bereits rechtzeitig auseinandergesetzt.

Vor allem für Vereine, die auf unterschiedlichen Ebenen, etwa nach Ländergruppen, organisiert sind und von Ehrenamtlichen geführt werden, sind die neuen Regeln ein Stolperstein.

Grund zur Panik gibt es aber nicht. Wer bereits gesetzeskonform mit persönlichen Daten umgegangen ist, muss keine größeren Umstellungen fürchten. Wichtig sei, die ersten Schritte abzuschließen, rät Strimitzer. Weil Behörden und Gerichte aber noch die eine oder andere schwammige Formulierung präzisieren müssen, sollten Betriebe und Vereine auch nach dem 25. Mai mit weiteren Anpassungen rechnen.

Ärzte ächzen

Für so manchen Freiberufler sind die neuen Regeln trotzdem eine erhebliche Herausforderung, vor allem wenn es um sensible Daten geht wie etwa im Gesundheitsbereich oder bei Anwälten und Notaren.

Die Ärztekammer sieht durch die DSGVO für niedergelassene Ärzte "zahlreiche und in Praxis belastende" Auswirkungen. Ein Problem, mit dem die Ärzteschaft zu kämpfen hätte, seien unklare Vorgaben in der Verordnung. So gibt es etwa strenge Prinzipien für die Übermittlung von Befunden. Aber welche Dienste diese erfüllen, ein bestimmtes Mailprogramm oder ein Messengerdienst etwa, ist nicht einfach nachzuvollziehen. Die Datenschutzbehörden hätten hier Aufholbedarf, sagen die Ärztevertreter.

Notare nörgeln

Der Schritt von der Theorie in die Praxis bei der DSGVO-Umsetzung fordert selbst Juristen heraus. "Wenn man sich nur das Gesetz durchliest, wird man nicht schlau", sagt ein Wiener Notar. Klar sei, dass für den Berufsstand der Aufwand mit den neuen Datenschutzregeln beträchtlich ist.

Ohne die Unterstützung der Notariatskammer hätte man den Betrieb zwei Wochen zusperren müssen, um alles rechtskonform einzurichten. Auch dann bleibt die aufwendige Führung einer zusätzlichen Datenbank. "Einige Kollegen gehen jetzt vorzeitig in Pension und tun sich das nicht mehr an." (slp, 25.5.2018)