Die meisten Firmen müssen nach Einschätzung der EU-Kommission wegen Verzögerungen bei der Umsetzung der neuen europäischen Datenschutzregeln nicht sofort Geldstrafen fürchten. "Meine Botschaft an die Unternehmen lautet: Verfallen Sie nicht in Panik", sagte EU-Justizkommissarin Vera Jourova der Nachrichtenagentur AFP.

"Die Firma, der es nicht von Tag eins an gelingt, alle Vorkehrungen zu treffen, die aber in gutem Glauben handelt", werde nicht gleich Ziel von Sanktionen werden, sagte Jourova.

Die Datenschutz-Grundverordnung der EU tritt am 25. Mai in Kraft. Sie macht Unternehmen europaweit gültige Vorgaben für die Speicherung und den Schutz von Daten und gibt Kunden und Nutzern mehr Möglichkeiten, gegen Missbrauch vorzugehen. Bei Verstößen drohen hohe Strafen von bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag der höhere ist.

Unternehmen mit Geschäftsmodell Daten

Sie erwarte ab dem 25. Mai keine Situation, "in der die nationalen Datenschutzbehörden sofort gegen jeden vorgehen und damit beginnen, Sanktionen zu verhängen", sagte Jourova. "Ich denke, sie werden sich erst auf die Unternehmen konzentrieren, die persönliche Daten im großen Stil verarbeiten und deren Geschäftsmodell darauf beruht, private Daten zu verkaufen und zu Geld zu machen."

Ziel müssten dabei die Firmen sein, "die das größte Risiko darstellen", sagte Jourova. "Ich sage nicht, dass eine kleine Firma ein kleines Risiko darstellt und eine große ein großes. So funktioniert das nicht. Es kann kleine Unternehmen geben, die Daten an Dritte verkaufen, was ein großes Risiko bedeuten kann." Diese Firmen müssten am 25. Mai auf jeden Fall bereit sein.

Zunächst Beratung und Aufklärung

In vielen anderen Fällen erwarte sie, dass die nationalen Datenschutzbehörden anfangs auf Beratung und Aufklärung setzen, sagte die Kommissarin. Sie nannte als Beispiele Blumengeschäfte, Buchhalterfirmen oder Nichtregierungsorganisationen, die zwar Kunden- und Mitgliederdaten speicherten, aber nicht an Dritte weitergäben. Sie müssten vor allem darauf achten, sichere und aktuelle Technik einzusetzen, um gegen Hackerangriffe und Datendiebstahl gewappnet zu sein.

Die Justiz- und Verbraucherkommissarin kritisierte gleichzeitig, dass acht Mitgliedstaaten es nicht mehr schaffen werden, die schon vor zwei Jahren beschlossenen EU-Regeln fristgemäß in nationales Recht umzusetzen. "Das wird die Lage in diesen Ländern nicht einfach machen", sagte die Tschechin. "Es wird eine Zeit rechtlicher Unsicherheit geben."

"Nachlässigkeit, nicht Widerstand"

Der Kommission zufolge gelingt in folgenden Ländern die Umsetzung nicht mehr rechtzeitig: Belgien, Bulgarien, Griechenland, Litauen, Slowenien, Tschechien, Ungarn und Zypern. "Ich denke, das ist Nachlässigkeit, nicht Widerstand" gegen die neuen Vorgaben, sagte Jourova. "Sie haben bis zum letzten Moment gewartet." Die Kommission werde den Ländern nun Hilfe anbieten und darauf drängen, die Umsetzung zu beschleunigen.