Wenn Katharina Gerlinger in ihrem Schuh- und Orthopädiefachgeschäft Gerlinger in Wien-Neubau einen Kunden mit dem Namen begrüßt, bewegt sie sich bereits in einer rechtlichen Grauzone. Legt man die Theorie ganz streng aus, darf sie das nicht, sofern sie Daten über diesen gespeichert hat. Warum? Wegen der vor 100 Tagen, am 25. Mai, in Kraft getretenen Datenschutzgrundverordnung (DSGVO). So streng ist die Praxis natürlich nicht, dennoch hat sich viel geändert, speziell in der Verwaltung.

Als orthopädischer Schuhmacher fällt die Firma Gerlinger in die Sparte der Gesundheitsberufe und arbeitet mit personenbezogenen Daten besonderer Kategorie. Diese hießen in Pre-DSGVO-Zeiten sensible Daten. "Jeder Kunde muss eine umfassende Einverständniserklärung unterschreiben, bevor wir irgendetwas machen können", sagt Gerlinger. Darin müssen alle möglichen Szenarien abgedeckt werden. Setzt eine externe IT-Firma die Unternehmenssoftware instand, kann sie auf die 50.000 gespeicherten Datensätze zugreifen. Dazu muss der Kunde im weitesten Sinn zustimmen. "Der entstandene Verwaltungsaufwand ist halt enorm", so Gerlinger weiter.

Neue Regeln seit Mai

Seit Ende Mai müssen sich jedes Unternehmen und jeder Verein an die neuen datenschutzrechtlichen Vorschriften halten. Eine pauschale Lösung, wie die Betroffenen damit umgehen müssen, gibt es allerdings nicht. "Es hängt stark von der Größe und der Tätigkeit eines Unternehmens ab. Wo Datenverarbeitung stattfindet, ist nicht immer gleich ersichtlich. Praktisch jede Frage und jeder Kunde ist ein spezieller Einzelfall", sagt Martin Pichler, Datenschutzrechtexperte bei der Anwaltskanzlei Brandl & Talos.

Viele Unternehmen würden mit den schwammigen Bestimmungen in der DSGVO hadern. Diese ließen sich meist unterschiedlich interpretieren, was regelmäßig zu Missverständnissen führe. Es gebe zwar Leitlinien des europäischen Datenschutzausschusses zur Auslegungshilfe, doch anhand dieser ließen sich in der Praxis nicht alle Sachverhalte zweifelsfrei lösen.

Als kompliziert gestaltet sich zum Beispiel der Verlust über die Datenkontrolle, ein sogenannter Data-Breach. Dieser muss innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Der auf Datensicherheit spezialisierte Unternehmensberater Christoph Riesenfelder hat damit bereits die ersten Erfahrungen gemacht: "Das Missbrauchsrisiko zu beurteilen ist in der Praxis sehr schwierig."

Weitere Probleme sieht er beim Datenschutzmanagement. Viele Unternehmen hätten die Einführung der DSGVO-Maßnahmen als Projekt gesehen. Jetzt gebe es keine Ressourcen mehr, um das Thema weiter zu betreuen. Weggehen werde es allerdings nicht mehr.

Österreichisches Schlawinertum

Und was wäre Österreich ohne Schlawinertum? Geht es nach der Bundesregierung, drohen die vorgesehenen Geldstrafen nur Wiederholungstätern. Pichler zufolge verfolgen viele den "Schau ma mal, dann seh ma eh"-Ansatz. Noch. "Europarechtlich wird eine Ermahnung bei Erstvergehen wohl nicht halten, das wird von der Schwere des Verstoßes abhängen. Viele wiegen sich in zu großer Sicherheit." Bisher wurden noch keine Strafen verhängt.

Aktuell sind bei der heimischen Datenschutzbehörde 109 Verwaltungsstrafverfahren anhängig. Das Bewusstsein der Bevölkerung hinsichtlich des Themas Datenschutz hat sich seit Inkrafttreten der DSGVO jedenfalls verstärkt. Laut Datenschutzbehörde gab es seit 25. Mai 697 Beschwerden, im ganzen Jahr 2017 waren es 531.

Unerwartete Änderungen

Durchaus ironische Szenarien lassen sich aus der neuen gesetzlichen Regelung auch ableiten. Möchte beispielsweise eine Kanzlei ihre Kunden zu einer Informationsveranstaltung über Datenschutz einladen, geht das nicht mehr einfach so. Von den wenigsten Menschen – auch wenn man sie bereits mehrmals eingeladen hat – hat man irgendwann eine Einverständniserklärung dafür eingeholt. Einladungsmanagement gestalte sich schwieriger, als man glaubt, auch in Bezug auf Fotos, so Pichler.

Wo es bisher Namenslisten gab, zog ebenso Veränderung ein – bei Fortbildungs- oder Informationsveranstaltungen zum Beispiel. Wer an Universitäten einen Kurs besucht oder wer welche Note bekommen hat, darf nicht mehr öffentlich ausgehängt werden.

So oder so teuer

Diese und ähnliche Probleme kennt auch Katharina Gerlinger. Sie ist jetzt – ohne eine große Wahl gehabt zu haben – zertifizierte Datenschutzbeauftragte für ihr Unternehmen. Die Ausbildung und die Prüfung kosteten sie mehr als 2000 Euro. Ihr Unternehmen DSGVO-fit zu machen, sprich: mit allen Vorbereitungen, Kursen und Protokollierungen, nahm in etwa 100 Arbeitsstunden in Anspruch. "Man hat in einem mittelständischen Unternehmen zwei Optionen: Entweder ein Mitarbeiter betreibt viel Aufwand oder man lagert das Thema Daten aus. Teuer kommt die Lösung so oder so", sagt die gebürtige Niederösterreicherin.

Das sieht auch Unternehmensberater Riesenfelder so: "Die DSGVO wurde definitiv nicht für österreichische Klein- und Mittelbetriebe geschrieben, sondern für große Unternehmen, die mit Big Data arbeiten. Für KMUs ist sie ein bürokratischer Moloch und der Aufwand unverhältnismäßig hoch." Es sei aber auch eine Chance, sich genauer mit seinen Daten auseinanderzusetzen und rauszufinden, ob besserer Schutz notwendig sei. (Andreas Danzer, 31.8.2018)