/Business

Sind Startups bereit für den neuen Datenschutz?

Max Biederbeck 09.01.2018

Es bleiben keine vier Monate mehr und kaum ein deutsches Unternehmen ist bereit. Im Mai tritt die neue Datenschutzgrundverordnung (DSGVO) in ganz Europa in Kraft und dann drohen deutschen Startups heftige Bußgelder. Die ersten panischen Stimmen lassen nicht lange auf sich warten.

Im Handelsblatt spricht der Präsident des Bundesverbands Digitale Wirtschaft, Matthias Wahl, von einer „Existenz-Gefahr“ für deutsche Tech-Unternehmen. Bald drohen Rechtsstreitigkeiten, so glaubt er, die sich über Jahre hinweg hinziehen werden. Das könne „oftmals das Aus für Innovation bedeuten“. Aber ist die Sorge vor dem Wirtschaftsgau berechtigt?

Die DSGVO wird auf europäischer Ebene seit Jahren diskutiert. Mit ihr tritt im Mai eine Regelung in Kraft, die gegen den Einfluss zahlreicher Lobby-Gruppen die Rechte der EU-Bürger im Internet stärkt. Ein Gesetz, das einen Datenschutz aktualisiert, der aus dem Jahr 1995 stammt. Internetkonzerne wie Google und Facebook müssen demnach ausdrücklich die Zustimmung ihrer Nutzer einholen, wenn sie deren Daten verarbeiten wollen. Die Herausgabe an Dritte wird schwieriger. Bis zu 20 Millionen Euro muss bezahlen, wer sich nicht an den neuen Datenschutz hält, bis zu vier Prozent des weltweiten Jahresumsatzes sind es bei großen Unternehmen.

Außerdem müssen Tech-Firmen ihre Angebote von Grund auf datenschutzfreundlich gestalten. Nutzer haben jetzt ein Recht darauf, dass Unternehmen weder ihre Daten nutzen, noch Profile über sie anfertigen. Wenn jemand aus Facebook austreten möchte, dann soll das gehen, ohne Wenn und Aber. Und ohne digitale Überbleibsel. Auch wer den Anbieter wechseln will, muss die Möglichkeit haben, seine Daten mitzunehmen (Portabilität). All das können Nutzer ab Mai einfordern und die Firmen müssen mit inländischen Service-Zentren Folge leisten.

Anbieter aus dem Silicon-Valley haben die Verordnung schon lange auf dem Schirm. Facebook und Google stehen in der EU seit Jahren unter wachsendem öffentlichen wie politischen Druck. Kleinere Anbieter allerdings scheinen noch immer nicht mitbekommen zu haben, welche Änderungen da auf sie zukommen. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) bestätigte das bereits im September vergangenen Jahres, als er nach einer Umfrage feststellte: Nur rund 13 Prozent der Unternehmen haben sich bisher mit der DSGVO auseinandergesetzt.

„Es wird jetzt richtig eng, weil es schlicht länger als zwei Wochen dauern wird, die neuen Regeln umzusetzen“, sagt Rebekka Weiß, die bei Bitkom für Datenschutz und Verbraucherrecht zuständig ist. Vom Gründer bis zum erfahrenen CEO, sie alle müssen jetzt Verarbeitungsverzeichnisse über Daten anlegen, und die wiederum müssen klar abgesteckte Transparenzpflichten erfüllen – gerade Startups fehlt allerdings oft das Personal, um solche Aufgaben zu stemmen, vor allem nicht in so kurzer Zeit. Auch wer gerade neu gründet, vergisst gerne, dass sein Produkt jetzt von Gesetzwegen die Privatheit der Kundendaten garantieren muss.

Es gibt einen Hoffnungsschimmer, der die eingangs befürchtete Existenzgefahr zumindest in Deutschland noch einmal aufschieben könnte. Mehrere Branchenverbände sagten WIRED, die Datenschutzbehörden hätten signalisiert, die neuen Datenschutzregeln „mit Augenmaß“ durchsetzen zu wollen. Ein Sprecher der Bundesbeauftragten für Datenschutz bestätigte, „keine Behörde wird am ersten Tag ein Millionen-Bußgeld verhängen. Außerdem bietet das DSGVO sogar mehr Abstufungen für Sanktionen als bisher.“ Dennoch, es gehört auch zur Wahrheit, dass die Landesbehörden einzeln entscheiden werden, wie hart sie gegen Zögerer vorgehen wollen.

Startups sollten sich Hilfe holen, sagt Weiß. „Das geht bei Bitkom, das geht bei den Behörden und bei externen Datenschutzbeauftragten“. Der Markt habe außerdem eine gewisse „Selbstregulierungsfähigkeit“ – Unternehmen können auf Datenschutzlücken beim Konkurrenten aufmerksam machen und so die Behörden in die richtige Richtung lotsen. Wer sich am Markt halten will, wird Fehler vermeiden wollen.

Trotz der wenigen Restmonate wird das DSGVO von daher kaum ein Startup wirklich in Gefahr bringen, selbst wenn die Branche nur langsam reagiert. 2018 könnte aber noch eine weitere Regelung zum Problem für die Industrie werden: die neue E-Privacy-Verordnung. Das EU-Parlament hat sie bereits verabschiedet und steht gerade in Verhandlungen mit den Mitgliedsstaaten. Sie wird in vielen Punkten strenger sein als die DSGVO und deren Regeln auf weitere Bereiche ausdehnen. Vor allem aber enthält sie eine Do-Not-Track-Regel – Demnach dürfen Unternehmen Internet-Nutzer nicht mehr beim Surfen beobachten oder verfolgen, um ihr Online-Verhalten zu erfassen.

Eine Vielzahl von Daten-Startups und Anbietern verdienen genau mit diesem Tracking ihr Geld – ihre Dienste sind für die Kunden kostenlos. Machen sich diese Internet-Unternehmer, auch in Deutschland, keine Gedanken über alternative Geschäftsmodelle, könnte bald eine ähnliche Deadline auf sie zukommen, wie jetzt bei der DSGVO. Sie könnte aber wesentlich mehr Gründern das Geschäft kosten.