Kleingewerbe und die DSGVO: Droht mit dem Datenschutz die Klagewelle?

Ein Sonnabend in Schöneberg. Sylvia Schmunz steht an der Ladentheke der Akazienbuchhandlung und vertröstet einen Jugendlichen: Das Buch, das er suche, müsse sie erst bestellen.

Business as usual, könnte man meinen. Doch zum Bücherverkauf kam die Buchhändlerin zuletzt selten. Der Grund: Am 25. Mai wurde die europäische Datenschutzgrundverordnung (kurz: DSGVO) nach einer zweijährigen Übergangsphase scharf gestellt. Was Schmunz einen Haufen Arbeit in den vergangen Monaten gemacht hat: Die 48-Jährige ist die Datenschutzbeauftragten der Akazienbuchhandlung und der Schwesterfiliale in Charlottenburg und füllt damit nun einen Job aus, der ab Freitag Pflicht für jedes Unternehmen mit mehr als neun Mitarbeitern ist.

„Meine Kolleginnen waren froh, dass sie es nicht machen müssen. Das war keine Kampfkandidatur“, sagt Schmunz, die seit zwölf Jahren im Buchladen arbeitet. Die Akazienbuchhandlung beugt sich damit den neuen Datenschutzregeln. Etwas anderes bleibt ihr auch gar nicht übrig: Bei Verstößen drohen heftige Bußgelder bis zu 20 Millionen Euro oder, bei Großkonzernen, vier Prozent des weltweiten Jahresumsatzes.

Auf den letzten Drücker

Die Furcht vor Bußgeldern hat die Berliner Unternehmen aufgerüttelt: Denn die Verordnung trifft eben nicht alleine Konzerne und Internetdienstleister, sondern auch Kleingewerbe wie Friseursalons, Blumenläden – oder eben Buchhändler wie Sylvia Schmunz. Sie alle mussten sich in den vergangenen Monaten – notgedrungen – mit der Verordnung auseinandersetzen, und das kostet Zeit. Oder sie engagieren Berater – was wiederum Geld kostet. Zudem fürchten die Firmen, dass sie von Privatpersonen oder Mitbewerbern abgemahnt werden und Schadensersatz oder Strafgelder zahlen müssen.

Dass die Verordnung kommt, ist dabei lange bekannt. Schon 2016 einigten sich Europäischer Rat, Parlament und Kommission auf die Einführung – nun ist sie in den EU-Mitgliedstaaten umgesetzt worden. Doch viele Berliner Firmen haben die beiden Jahre verstreichen lassen, ohne sich auf die neue Verordnung vorzubereiten. Laut einer Umfrage der Berliner Industrie- und Handelskammer (IHK) gaben Ende März acht von 22 befragten Unternehmen an, dass sie sich noch gar nicht mit der DSVGO befasst hätten. Die Berliner sind keine Nachzügler – die Zahlen gleichen den Werten aus größer angelegten Umfragen in anderen deutschen Regionen.

Viele Unternehmer suchen Rat bei der Berliner IHK. „Bei uns klingeln die Drähte heiß“, berichtet die zuständige Sachbearbeiterin Bettina Schoenau. Die IHK dürfe jedoch aus rechtlichen Gründen keine Einzelfallberatung anbieten und verweise auf Checklisten des Bundeswirtschaftsministeriums und des Berliner Landesdatenschutzbeauftragten.

Auch die Akazienbuchhandlung hat die DSVGO lange verdrängt. „So etwas überfällt einen ja erst, wenn es kurz bevorsteht“, sagt Schmunz. Sie schätzt den zusätzlichen Arbeitsaufwand für sie selbst und ihre Kolleginnen in den vergangenen Wochen auf insgesamt mindestens 180 Arbeitsstunden: Sie haben sich durch Internetforen zur DSVGO geackert, die Geschäftsbedingungen auf der Webseite und dem Newsletter überarbeitet, die Verträge mit den Buchgroßhändlern und dem Dienstleister des Webshops angepasst und die eigenen Datenbanken nach Karteileichen abgesucht. Ihre Maßnahmen haben sie sorgfältig dokumentiert, wie es in der DSGVO vorgesehen ist. „Jetzt fehlen noch ein paar Feinheiten, dann sind wir fertig“, sagt Schmunz. Und doch ist sie unsicher, ob wirklich juristisch alles „wasserdicht“ ist.

Smoltczyk weist Kritik zurück

Doch eine Rechtsberatung ist teuer. Johanna Hahn, die Geschäftsführerin vom Börsenverein der Buchhändler, geht davon aus, dass sich die Kosten „locker im vierstelligen Bereich bewegen“. Sie fragt sich, ob der Mehraufwand für die Buchhändler in einem gesunden Verhältnis zum Nutzen der Verordnung steht. „Wenn Ihr Nachbar sieht, welches Buch Sie in der Buchhandlung bestellt haben, entsteht Ihnen nicht wirklich ein Schaden“, sagt Hahn, „im Gesundheitsbereich ist das anders – da sind die Daten viel intimer.“ Auch die IHK sieht in der zusätzlichen Bürokratie eine unnötige Belastung für die Einzelhändler.

Die Berliner Landesdatenschutzbeauftragte Maja Smoltczyk kennt diese Kritik – weist sie aber zurück. „Diese Vorgaben stellen den bewussten Umgang mit personenbezogenen Daten in Unternehmen und Verwaltung sicher“, teilte Smoltczyk auf Anfrage mit. „In Zeiten der Digitalisierung, in der Datenverarbeitungsprozesse immer komplexer werden, ist das eine wichtige Grundvoraussetzung für die Wahrung des Rechts auf informationelle Selbstbestimmung.“ Sie sieht vor allem die Vorteile für die Unternehmen: dass nun europaweit die gleichen Standards herrschen und laxer Datenschutz in anderen EU-Ländern nicht zum Standortnachteil für Berliner Unternehmer werden kann. Da das Niveau in Deutschland ohnehin hoch sei, gehe sie davon aus, dass die Anpassungen „überschaubar“ seien.

© Britta Pedersen/dpa

Vor großen Kontrollen müssen sich Berlins Unternehmen indes nicht fürchten: Smoltczyks Haus hatte 15 Stellen beantragt, die die Umsetzung der DSGVO kontrollieren sollen. Genehmigt hat die Senatsverwaltung davon allerdings nur zehn – wovon wiederum lediglich drei bislang besetzt sind. Aufgrund des „aktuell extrem hohen Bedarfs an qualifizierten Beschäftigten“ im Bereich Datenschutz sowohl im öffentlichen Bereich als auch in der Wirtschaft sei es zu diesem späten Zeitpunkt „nicht mehr leicht“, geeignete Bewerber zu finden. Auf die drei Kontrolleure wartet also eine Menge Arbeit: Allein in der Akazienstraße gibt es nach Schmunz' Schätzung mindestens 60 Gewerbe, die irgendwie mit personenbezogenen Daten arbeiten.

Wenn sich Privatpersonen über Verstöße beschweren, müssen Smoltczyks Prüfer jedoch aktiv werden. Bei Verstößen soll es allerdings nicht unmittelbar zu Bußgeldern kommen: Die Unternehmer bekommen demnach eine letzte Verwarnung und eine Frist, um ihr Geschäft an die DSGVO anzupassen.

Startklar zum Abmahnen

Doch fürchten die Unternehmer nicht nur Bußgelder von der Datenschutzbeauftragten, sondern auch juristische Auseinandersetzungen. „Die Abmahnkanzleien sitzen sicher schon in den Startlöchern, wie immer, wenn es neue Regeln gibt“, vermutet etwa Bettina Schoenau von der IHK. Buchhändlerverband und Datenschutzbeauftragte gehen ebenfalls von Abmahnversuchen aus. Die DSGVO ermöglicht Privatpersonen, dass sie Schadensersatz einklagen können, wenn ihre Daten gegen ihren Willen gespeichert und nicht gelöscht werden. Unternehmen können Mitbewerber abmahnen lassen, wenn die Datenschutzerklärungen auf ihren Webseiten unvollständig sind oder wenn sie ohne Einwilligung der Kunden Webtracking-Tools, sogenannte Cookies, verwenden.

Eine Nachfrage bei mehreren Kanzleien, die für Abmahnungen bekannt sind, zeigt: Die Sorge von Kammer und Verband vor Abmahnschikanen sind berechtigt. „Wir gehen aktuell davon aus, dass eine Vielzahl unserer Mandanten ihr Recht auf Auskunft durchsetzen wollen, um sodann – je nach Auskunft – weitere Rechte geltend zu machen, zum Beispiel Löschung und Schadensersatz“, schreibt etwa Philipp Brandt von der Kanzlei BaumgartenBrandt, „insoweit haben wir außergerichtliche Anwaltsschreiben bereits vorbereitet.“

Der Rechtsanwalt Daniel Sebastian hat nach eigenen Angaben keine Schreiben vorformuliert. Er will seinen Mandanten dabei helfen, Abmahnungen vorzubeugen: „Es lohnt sich, schon vorher für qualifizierten Rechtsrat etwas Geld in die Hand zu nehmen, das kann einem später viele böse Überraschungen ersparen.“ Damit beschreibt er ein Geschäftsmodell, das um die DSGVO entstanden ist und die Verunsicherung der Unternehmer nutzt: Im Internet werben Dutzende Anbieter mit Seminaren und Einzelfallberatungen. Die IHK rät abgemahnten Unternehmern davon ab, Unterlassungserklärungen in Panik zu unterschreiben. Oft seien die Verstöße rechtlich gar nicht eindeutig. Sobald die Erklärungen unterzeichnet seien, drohten jedoch Strafen. Betroffene Unternehmer sollten sich Rechtsberatung einholen, empfiehlt die IHK.

Trotz Mehrkosten und drohender Abmahnwelle: Die Landesdatenschutzbeauftragte bezeichnet die DSGVO schon jetzt als großen Erfolg: „Sie hat Wirtschaft, Verwaltung und Bürgerinnen und Bürger enorm für das Thema sensibilisiert“, heißt es aus dem Büro von Smoltczyk. Es ist allerdings auch ein Erfolg, der Kleinbetriebe ungleich schwerer belastet als Konzerne wie Google oder Facebook. Ein Erfolg zudem, der für kleine Gewerbetreibende noch teure Konsequenzen nach sich ziehen könnte.