Gastkommentatorin Kerstin Moser warnt vor saftigen Strafen Darum sollten Handwerker die DSGVO jetzt zu 100 Prozent umsetzen

Seit dem 25. Mai 2018 ist die Umsetzung der DSGVO verpflichtend. Doch die anfängliche Panik vor hohen Strafen und Abmahnwellen ist laut Moser Software-Geschäftsführerin Kerstin Moser auch im Handwerk einem spürbaren Gleichmut gewichen – das könnte sich schon bald rächen. So handeln Sie jetzt richtig.

„ DSGVO? Das betrifft uns nicht.“ Es ist erstaunlich, wie häufig ich solche Aussagen im beruflichen Alltag zu hören bekomme. Noch im Frühjahr grassierte die Angst vor hohen Strafen und Abmahnwellen. Heute ist davon nicht viel geblieben. Eher das Gegenteil ist der Fall: Viele Verantwortliche reagieren mit Gleichmut auf das Thema DSGVO. Nur eine Minderheit der kleinen und mittelgroßen Handwerksunternehmen hat die Anforderungen der EU-Datenschutzgrundverordnung bereits so umgesetzt, dass sie auch eine Auditierung problemlos überstehen würden. Ein weiterer Teil wird sich der Situation allmählich bewusst und will die Vorgaben nun schnellstmöglich umsetzen. Aber der Großteil der Unternehmen reagiert überhaupt nicht. Häufigste Begründung der DSGVO-Verweigerer: siehe Anfang des Textes.

Dabei ist das Handwerk keine Ausnahme. Ende September sorgte eine Umfrage des Digitalverbandes Bitkom unter 500 Unternehmen für Aufsehen. Laut der Erhebung hatte erst ein Viertel von ihnen die DSGVO vollständig umgesetzt. Weitere 40 Prozent haben die Regeln größtenteils befolgt, drei von zehn (30 Prozent) teilweise. Gerade erst begonnen mit den Anpassungen haben fünf Prozent der Unternehmen. Wir sprechen hier wohlgemerkt von der Wirtschaft insgesamt. Meine Erfahrungen aus dem Handwerk zeichnen ein anderes Bild.

Krankenhaus in Portugal muss 400.000 Euro DSGVO-Strafe zahlen

Dabei ist es jetzt unverzügliches Handeln gefordert. Doch nach dem großen Aufruhr im Vorfeld des 25. Mai 2018 ist eine gewisse Lethargie eingekehrt, zumal die im Vorfeld befürchteten Abmahnwellen bislang ausgeblieben sind. Das könnte nun ein Ende haben, denn der EU-Datenschutzbeauftragte Giovanni Buttarelli hat jüngst angekündigt, die ersten Strafen noch vor Jahresende durchzusetzen. Ein Krankenhaus in Portugal ist ein erster Fall, in dem bereits eine spürbare Strafe in Höhe von 400.000 Euro verhängt wurde, weil nicht sorgsam mit den Daten umgegangen wurde. Abmahnanwälte scharren derweil mit den Hufen, halten sich aber noch zurück, bis die erste Rechtsprechung zum Thema erfolgt ist.

Das Handwerk hat Nachholbedarf in Sachen DSGVO

Um es an dieser Stelle deutlich zu sagen: Von der DSGVO sind alle Unternehmen ungeachtet ihrer Größe betroffen. Ausschlaggebend ist, dass personenbezogene Daten erhoben, geordnet, gespeichert oder sonstwie verarbeitet werden – und bei wem ist das nicht der Fall? Das fängt bei der Durchführung vorvertraglicher Maßnahmen wie der Erstellung und Übersendung eines Kostenvoranschlages an und zieht sich hin bis zu Daten, die für die Durchführung vertraglich vereinbarter Leistungen erforderlich sind. Das kann Kunden, Mitarbeiter, Lieferanten und Andere betreffen.

Der Gesetzgeber scheint an dieser Stelle nunmehr nach dem Prinzip „Wer nicht hören will, muss fühlen“ zu verfahren. In Artikel 83 Absatz 1 der DSGVO ist festgelegt, dass Geldbußen zukünftig wirksam, verhältnismäßig und abschreckend sein sollen. In den Absätzen 3 und 4 wird deutlich, was mit „abschreckend“ gemeint ist: Hier sind Strafzahlungen zwischen 10 und 20 Millionen Euro oder zwei bis vier Prozuent des jährlichen weltweiten Umsatzes möglich.

Materielle und immaterielle Schadenersatzansprüche sind möglich

Ein unterschätzter Aspekt bei dem Thema Geldbußen versteckt sich aber hinter Artikel 82 Absatz 1 der DSGVO. Dieser legt fest, dass nicht nur materielle, sondern auch immaterielle Schadenersatzansprüche geltend gemacht werden könnten.

Problematisch ist hier nicht der einzelne Anspruch, sondern der Umstand, dass solche Ansprüche in gleichgelagerten Fällen ebenfalls geltend gemacht werden können. Sprich: Nicht nur Kunde 1 zieht vor Gericht, sondern auch Kunde 2 bis 10. Hier sind dann schnell Summen denkbar, die ein Unternehmen empfindlich treffen können. Gleichwohl: Rechtsprechung zu dem Thema hat es noch nicht gegeben – es ist aber nur eine Frage der Zeit, bis es dazu kommt.

Mitarbeiter können im Rahmen der Arbeitnehmerhaftung persönlich belangt werden

Ein weiterer Aspekt bezieht sich nicht auf materielle oder immaterielle Folgen, sondern auf die Rechtspflichten natürlicher Personen. Der Datenschutzbeauftragte hat, das ist in Artikel 39 geregelt, eine gesetzliche Überwachungspflicht im Hinblick auf die Datenschutznormen. Im Falle einer groben Fahrlässigkeit können Mitarbeiter im Rahmen der Arbeitnehmerhaftung veranlagt werden.

Darüber hinaus gibt es ein ganz wesentliches Risiko, das in der Diskussion häufig vernachlässigt wird. Wird ein Verstoß gegen die Datenschutzvorschriften öffentlich, beispielsweise in der Presse, kann das betroffene Unternehmen spürbare Reputationsschäden davontragen. Wer möchte dort Kunde sein, wo nicht sorgsam mit den Daten umgegangen wird?

Zeit zu handeln für Handwerksunternehmer

Ich möchte an dieser Stelle keine Panik verbreiten – das ist vor dem 25. Mai 2018 bereits zu Genüge getan worden. Aber: Wer die Umsetzung der DSGVO schlichtweg ignoriert, setzt sich nicht unbeträchtlichen Risiken aus, die in keinem Verhältnis zur Umsetzung der Regularien stehen. Und es gibt durchaus Stellen, an denen von außen zu erkennen ist, ob ein Unternehmen DSGVO-konform arbeitet. Das ist beispielsweise bei der Datenschutzerklärung auf der Webseite – so sie denn überhaupt vorhanden ist – der Fall.

Trotz allem: Die EU-Datenschutzgrundverordnung ist als Thema nicht so groß wie es den Anschein hat – wenn ein Unternehmen zuvor den Datenschutz schon ernst genommen hat. Es gibt gewiss Fallstricke, nur die erstaunlich weit verbreitete Vogel-Strauß-Taktik löst das Problem nicht. Helfen kann nur eine konsequente Herangehensweise an das Thema, am besten unter Zuhilfenahme von externer Expertise.

Zur Autorin Kerstin Moser:

Kerstin Moser begann ihre berufliche Laufbahn mit einer, 1999 erfolgreich abgeschlossenen, Banklehre bei der Sparkasse Aachen . 2000 wechselte sie als Assistentin ihrer Mutter zunächst in den kaufmännisch-administrativen Bereich von Moser Software , bevor sie im Marketing - das sie seit 2005 alleinverantwortlich leitet, ihre wahre Berufung fand. Ihr Aufgabengebiet umfasst in der Hauptsache die Kundenkommunikation und Pressearbeit, die Konzeption von Messeauftritten und Werbemitteln sowie die Gestaltung und Pflege des Internetauftritts. Von 2008 bis 2012 absolvierte Kerstin Moser zugleich erfolgreich ein berufsbegleitendes Studium zum Bachelor of Arts (Schwerpunkte Marketing - Wirtschaftsinformatik) an der Hochschule Niederrhein . Seit dem 1. Juli 2017 ist sie Geschäftsführerin von Moser Software.