Mallorca zittert neuen Datenschutz-Regeln entgegen

Auch auf der Insel wächst die Nervosität: Am 25. Mai tritt eine EU-weite Verordnung in Kraft, die nicht nur für Facebook & Co. Konsequenzen hat

Frank Feldmeier | @FrankFeldmeier

07·05·18 | 01:00

0
In Ihrem Profil gespeicherter Artikel
Gespeicherte Artikel ansehen

Was das EU-Parlament 2016 verabschiedete, wird jetzt auch auf Mallorca umgesetzt. Grafik: AEPD, Montage: Dörr

„Ich habe eine große Bitte an Sie", meint Julián Prieto - und die rund 200 Zuhörer im Sitz des balearischen Unternehmerverbands (CAEB) in Palma hängen an den Lippen des Gastes von der spanischen Datenschutzbehörde.

„Schreiben Sie in Ihre Klauseln bitte keine unverständlichen bürokratischen Formulierungen wie: 'Gemäß dem Gesetz soundso ?'" Stattdessen wünscht sich Prieto ganz einfache Sätze. Sie sollen Auskunft geben, welche personenbezogenen Daten wozu gespeichert werden und an welche E-Mail man sich wenden kann, um zu widersprechen oder Auskunft zu erhalten.

Der Referent der Datenschutzbehörde wird in seinem Vortrag am Dienstag (24.4.) ständig von Fragen aus dem Publikum unterbrochen. Das Interesse an der Info-Veranstaltung war so groß, dass viele Kleinunternehmer keinen Platz erhielten. „Wir übertragen den Vortrag per Live-Stream nach Ibiza und Menorca", meint Mavia Isern, Projektverantwortliche bei der CAEB. Geplant seien zudem eine Wiederholung der Veranstaltung sowie auch ein Workshop.

Tagungen und Vorträge, Newsletter und Blogbeiträge, firmeninterne Schulungen - auch auf Mallorca geht die Nervosität angesichts der neuen Datenschutzregeln um. „In unserer Kanzlei stellen wir ein stetig steigendes Interesse fest, je näher der Stichtag am 25. Mai rückt", erklärt Rechtsanwältin Sonja Willner. „Auch die Verbraucher sind bezüglich des Umgangs mit ihren persönlichen Daten immer mehr sensibilisiert."

Ist Weihnachtspost erlaubt?

Nach dem Ende einer rund zweijährigen Übergangsfrist tritt die vom EU-Parlament erlassene Datenschutz-Grundverordnung (DSGVO, auf Spanisch RGPD - Reglamento General de Protección de Datos) am 25. Mai europaweit in Kraft. Dann müssen Unternehmen eine Reihe neuer Verpflichtungen bei der Datenerfassung und -verarbeitung umsetzen. Bereits bei der Herstellung von Produkten müssen Fragen des Datenschutzes berücksichtigt werden, die Datenverarbeitung muss transparent sein und genau dokumentiert werden.

Wem das zu abstrakt klingt, hier ein paar Beispiele: Wie wurden eigentlich die Empfängerdaten für den firmeneigenen Newsletter oder die Weihnachtspost erhoben? Sind die Klauseln auf der Website noch EU-konform? Was ist mit den Unterlagen von Bewerbern, die schon länger im Büro lagern? Und könnte ich Kunden auf Verlangen innerhalb eines Monats ein Dokument überstellen, in dem alle seine Daten aufgeführt sind? Dazu gehören nicht nur Name, Geburtsdatum oder E-Mail, sondern auch Angaben wie IP-Adresse, Steuernummer, Autokennzeichen oder Kontonummer. Neben diesen Informationen können Kunden zudem ein „Recht auf Vergessen werden" sowie ein „Recht auf Datenübertragbarkeit" einfordern, wenn es etwa um den Wechsel des Anbieters geht.

Werkeinstellung Privatsphäre In einem Land, in dem ungewünschte Werbung in Form von E-Mails, SMS und Anrufen noch immer zum Alltag gehört, wird die DSGVO zu einer echten Zäsur. Das in Spanien geläufige Argument, der Kunde habe nicht widersprochen, hat ausgedient, wie Prieto betont. Die Zustimmung zur Datenverarbeitung darf auch nicht mehr vorangeklickt sein. Stattdessen gelten Datensparsamkeit und privacy by default, also Datenschutz per Werkeinstellung, nicht als Sonderwunsch. „Wir wechseln von einem Extrem ins andere", meint der Geschäftsführer eines Unternehmens auf Mallorca über das jetzt nahende Ende des bisherigen Flickenteppichs beim Datenschutz in Europa. Es werde schier unmöglich sein, angesichts der plötzlich hohen Standards alles korrekt zu machen.

Nun ist es nicht so, dass in Spanien bislang in Sachen Datenschutz eine Laissez-faire-Politik galt. Die Datenschutzbehörde AEPD (Agencia Española de Protección de Datos) wachte auch bisher schon, sprach Sanktionen gegenüber Whatsapp und Facebook wegen Datenmissbrauch aus oder gab Ratschläge, wie man sich gegen unerwünschte Werbung wehren kann. Im Vorfeld des Inkrafttretens der EU-Regeln informiert die AEPD auf Tagungen über die Neuerungen, berät Kommunen mit einer fast 60-seitigen Checkliste über Vorschriften bei Einwohnermeldelisten oder Videoüberwachung und stellt eine Web-Anwendung bereit, die individualisierte Vorlagen für neue Klauseln erstellt (Kasten).

Das Problem sind weniger fehlende Informationen als deren Menge und Unübersichtlichkeit, mit der gerade kleinere Firmen mit wenig Ressourcen zu kämpfen haben. Auch wenn der Malermeister auf den ersten Blick wenig gemein mit einer Datenkrake wie Google oder Facebook hat - jede Firma verarbeitet personenbezogene Daten zu gewerblichen Zwecken. „Es ist jedem Unternehmen zu raten, die Erhebung, Verarbeitung und Nutzung von Daten rechtlich auf den Prüfstand zu stellen", sagt Rechtsanwältin Willner, die ebenfalls Vorträge zum Thema hält. Teilweise könnten massive Eingriffe in die Datenverarbeitungsprozesse erforderlich sein. Wobei es natürlich auch auf die Branche ankäme. „Die Behandlung der Daten eines Patienten in einer Arztpraxis ist nicht das Gleiche wie die Kundenkartei eines Schreiners."

Viele kleine Firmen warten erst einmal ab. Das neue Regelwerk sei zwar schon Thema gewesen, rangiere aber derzeit bei den Unternehmern nicht besonders weit oben auf der Prioritätenliste, meint Markus Liebscher, Initiator des Netzwerks Business de Baleares. Nicht nur das Geschäft zur Vorsaison halte die deutschen Kleinunternehmer auf Mallorca derzeit auf Trab. Generell sei es für Handwerker und Selbstständige schwierig, sämtliche Auflagen einer immer komplexeren Bürokratie zu erfüllen. Bei vielen herrsche deswegen die Einstellung „Schauen wir mal".

Liebscher verweist aber auch auf die Mallorca-Filialen oder Insel-Franchise-Firmen, die die Sorgen um nötige Schritte angesichts EU-weit einheitlicher Vorschriften der Muttergesellschaft in Deutschland überlassen - ein nicht zu unterschätzender Vorteil des neuen Regelwerks, wie auch Willner betont. „Die Grundverordnung gilt unmittelbar in allen EU-Mitgliedsstaaten und wird bei international operierenden Unternehmen mit verschiedenen Niederlassungen in Europa zu einem Bürokratieabbau führen."

„Die Umsetzung in die Praxis ist letztendlich nicht so kompliziert", meint Sandra Chinappen von der Firma bidari, die digitale Dienstleistungen anbietet. Auch wenn das Regelwerk als bürokratisches Labyrinth erscheine, viel Interpretationsspielraum bleibe und die Strafen (siehe unten) vielen Angst machten, habe sie nicht den Eindruck, dass Kleinunternehmer ins Visier der Datenschützer geraten - sofern sie guten Willen bei der Umsetzung zeigen und nicht passiv bleiben. Ohnehin muss noch das spanische Datenschutzgesetz angepasst werden. Das war bis 25. Mai geplant, klappt aber nicht rechtzeitig.

Die Stunde der Verbraucher

Verbraucher können sich im Gegenzug auf jede Menge Erleichterungen einstellen - ein Mentalitätswechsel, der sich schon jetzt erahnen lässt. Beispiel Werbe-SMS: Eigentlich hatte der Autokonzessionär die

Handy-Nummer erhalten, um Bescheid zu geben, wann das Auto nach der Reparatur abgeholt werden kann. Als wieder mal eine Nachricht über einen 20-Prozent-Rabatt beim Reifenkauf informiert, beschweren wir uns telefonisch. Im Callcenter verspricht eine Mitarbeiterin beflissentlich Abhilfe - und kurz darauf kommt eine schriftliche Bestätigung über das Ende der Werbepost.

Da nun eine explizite Einwilligung nötig werde, personenbezogene Daten zu verarbeiten, dürfte die Flut unerwünschter Werbung deutlich abnehmen, glaubt Willner. „Der Verantwortliche, der die Daten erhoben hat, muss nachweisen, dass eine entsprechende Einwilligung vorliegt." Freuen dürften sich Verbraucher insbesondere über die Vorschrift, dass Firmen ab 25. Mai leicht verständlich und übersichtlich darüber aufklären, was sie mit den Daten der Nutzer anstellen.

Auch die derzeitigen großen Facebook-Anzeigen, die über die Privatschutz-Einstellungen informieren, dürften mit dem nahenden Stichtag zu tun haben. US-Unternehmen, deren Angebote sich an EU-Bürger wenden, sind ebenfalls von der Verordnung betroffen. So bekommen Facebook-Nutzer derzeit die Aufforderung angezeigt, ihre Datenschutzeinstellungen zu überprüfen. So viel ist klar: Bleibt die Datenkrake nachlässig, kann es für sie wirklich teuer werden.

Pflichten, Kontrollen und Strafen

Neben den zahlreichen Vorschriften hat es besonders die Beweislastumkehr in sich: Nicht die betroffenen Kunden müssen die Datenschlamperei beweisen, sondern vielmehr verdächtige Betriebe ihr korrektes Datenmanagement. So sehen die verschärften Dokumentations- und Rechenschaftspflichten vor, dass Betriebe nachweisen, dass Kunden ihre ausdrückliche Zustimmung dazu gegeben haben, dass ihre Daten gespeichert und verwendet werden. Damit nicht genug: Ein eigenes Verzeichnis muss festhalten, wie die Daten verarbeitet und gelöscht werden, wer Zugriff hat und wie sie geschützt werden. Wer mit besonders sensiblen Informationen arbeitet, benötigt eine Datenschutz-Folgenabschätzung und einen Datenschutzbeauftragten.

Und damit große Konzerne Strafen nicht weiter aus der Portokasse zahlen, werden diese künftig in Abhängigkeit vom Jahresumsatz berechnet. Es drohen bei schweren Verstößen bis zu vier Prozent oder bis zu 20 Millionen Euro - wobei solche weniger für nachlässige Ersttäter als für nicht belehrbare Datenkraken gedacht sind. Allerdings geht die Sorge um, dass schlampige Firmen Opfer von Abmahnvereinen werden könnten, die in Schadensersatzforderungen ein neues Geschäftsmodell wittern.

Rechtsanwältin Willner verweist zudem auf Inspektionen, die es häufiger geben werde, sowie auch eine vorgeschriebene Meldepflicht für Unternehmen im Fall von Datenschutzverletzungen und -pannen - hier gilt eine Frist von 72 Stunden.