Das Wort Datenschutz ist zwischen Reihen mit Binärzahlen zu sehen | picture alliance/dpa/dpa-Zentralbild

Drei Jahre DSGVO "Zeitintensiver, mühsamer, teurer"

Stand: 25.05.2021 08:08 Uhr

Seit drei Jahren gilt die Datenschutzgrundverordnung. Trotz positiver Aspekte ärgern sich noch immer viele Firmen und Einrichtungen über Datenschutz-Bürokratie und Zusatzkosten.

Von Christian Kretschmer, SWR

"Zeitintensiver, mühsamer, teurer" - so beschreiben die Ärzte Udo Benner und Jens Dommermuth die Arbeit in ihrer Koblenzer Gemeinschaftspraxis, seitdem sie sich seit drei Jahren an die Datenschutzgrundverordnung halten müssen. Der Datenaustausch zwischen Praxen und Krankenhäusern sei deutlich komplizierter geworden.

Christian Kretschmer

"Wenn ein Patient mit einer Überweisung von seinem Hausarzt kommt, dann brauchen wir eine zusätzliche Einwilligung, um seine Daten zu speichern. Das geht oft leider nur per Fax oder postalisch", sagt Dommermuth. "Wir bearbeiten eine dreistellige Zahl an Befunden am Tag. Das erzeugt dann in der Summe sehr viel Arbeit."

Auch neue angeschaffte Computer und Software müssten immer wieder an die Verordnung angepasst werden, ergänzt Benner. "Das kann man sich kaum leisten, wenn man rechtssicher unterwegs sein will", meint er. Die Praxis habe in den vergangenen drei Jahren bereits einen fünfstelligen Geldbetrag wegen der DSGVO investiert.

Persönliche Daten einheitlich geschützt

Egal ob Arztpraxis, Kletterverein oder Automobilhersteller: Seit Mai 2018 gelten für alle, die hierzulande persönliche Daten speichern und verarbeiten, die Regeln der Datenschutzgrundverordnung. Sie soll den Schutz der persönlichen Daten europaweit einheitlich garantieren.

Bürgerinnen und Bürger haben beispielsweise den Anspruch zu erfahren, zu welchem Zweck ein Unternehmen die eigenen Daten speichert und mit wem diese geteilt werden. Außerdem müssen sie der Datenerfassung in den meisten Fällen vorher zugestimmt haben. Bei Verstößen drohen hohe Strafen: Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes können fällig werden.

Für Schlagzeilen sorgte vergangenes Jahr zum Beispiel ein Bußgeld von 1,2 Millionen Euro gegen die AOK in Baden-Württemberg. Die Krankenkasse hatte Kundendaten ohne Einwilligung zu Werbezwecken verwendet.

Beratungsindustrie - teils ohne Fachwissen

Damit es gar nicht erst so weit kommt, gibt es Menschen wie Dirk Treibich. Als externer Datenschutzbeauftragter ist er bei mehr als 20 Unternehmen in Rheinland-Pfalz tätig. Dabei kontrolliert er, ob die Vorgaben der DSGVO umgesetzt wurden, arbeitet Check-Listen in den jeweiligen Unternehmen ab.

Aber nicht alle in seiner Branche gingen gründlich vor, sagt Treibich. "Es ist seit 2018 eine Beratungsindustrie entstanden - mitunter ohne Fachwissen und ohne individuelle Betreuung vor Ort. Da gibt es leider viele schwarze Schafe", sagt der Experte.

Auskunftspflichten überfordern kleine Betriebe oft

Bei den Unternehmen seien in erster Linie kleinere Betriebe noch immer mit der DSGVO überfordert. Vor allem Auskunftspflichten könnten zur "fast nicht zu bewältigenden Herausforderung" werden. "Manchmal ist es beinahe unmöglich zusammenzutragen, was ein Unternehmen zum Beispiel über einen ehemaligen Mitarbeiter gespeichert hat: In welchen E-Mails sein Name auftaucht, oder wann er welchen Dienstwagen gemietet hat."

Viele Unternehmen zahlten deswegen lieber Abfindungen an ehemalige Mitarbeiter, um einem Rechtsstreit aus dem Weg zu gehen. Treibich sieht allerdings auch positive Aspekte: "Zum Schutz der Daten vor Großkonzernen wie Google oder Facebook ist die DSGVO sicherlich sinnvoll."

Wirtschaft kritisiert Behörden

Die DSGVO sei "gut gedacht, zum Teil schlecht gemacht", bilanziert Markus Jerger, Bundesgeschäftsführer des Bundesverbands mittelständische Wirtschaft (BVMW). Vor allem habe es die Politik verpasst, die Regelungen der Verordnung klar zu kommunizieren.

Jerger kritisiert auch die Landesdatenschutzbehörden, die für die Aufsicht über die Unternehmen in den jeweiligen Bundesländern zuständig sind. "Je nachdem, in welchem Bundesland man sich als Unternehmen bewegt, wird die DSGVO unterschiedlich interpretiert", sagt Jerger. Die Verordnung werde in den Ländern mal lockerer, mal strenger ausgelegt und damit häufiger oder seltener Bußgeld verhängt.  Dieser Föderalismus im Datenschutz sei ein Ärgernis für viele Unternehmen.

Bessere Zusammenarbeit in den Bundesländern

Auch der Bundesbeauftragte für Datenschutz spricht sich für eine bessere Abstimmung in den Bundesländern aus. "Die Datenschutzbehörden der Bundesländer entscheiden teils unabhängiger voneinander als die entsprechenden Behörden auf europäischer Ebene. Das kann so nicht bleiben", sagt Ulrich Kelber. Die Aufsichtsbehörden der Bundesländer müssten im gemeinsamen Gremium, der Datenschutzkonferenz, künftig verbindlicher zusammenarbeiten.

Auch einzelne Pflichten der Unternehmen sollten "entbürokratisiert" werden, ergänzt Kelber. "Wenn ich jemanden anrufe und der Anrufbeantworter geht dran, dann kann ich auch davon ausgehen, dass meine Nummer gespeichert wird, ohne darüber ausführlich vorab informiert zu werden", so Kelber. Insgesamt falle seine Bilanz nach drei Jahren zur DSGVO jedoch positiv aus. Viele Bürgerinnen und Bürger würden ihre Betroffenenrechte wahrnehmen, und die Unternehmen versuchten verstärkt, den Datenschutz zu berücksichtigen.

Der Bundesdatenschutzbeauftragte Ulrich Kelber spricht bei einer Pressekonferenz | dpa

Einzelne Pflichten der Unternehmen sollten "entbürokratisiert" werden, findet der Bundesdatenschutzbeauftragte Ulrich Kelber. Bild: dpa

Dass der Datenschutz, etwa der Schutz von Patientendaten, ein hohes Gut ist, findet auch Arzt Jens Dommermuth. Diese Daten seien aber ohnehin rechtlich geschützt, einen Zusatznutzen durch die Datenschutzgrundverordnung sehe er nicht. "Die DSGVO hat vieles komplizierter, aber wenig besser gemacht", lautet sein Fazit. 

Über dieses Thema berichtete MDR aktuell am 25. Mai 2019 um 06:08 Uhr.