In der EU gelten bald strengere Vorschriften für die Nutzung persönlicher Daten. Vielen Firmen fehlt der Überblick, wo Informationen liegen und wer sie nutzt.

Die Digitaluhr läuft: Noch etwas mehr als elf Monate dauert es, bis am 25. Mai 2018 die europäische Datenschutz-Grundverordnung (DSGVO) auch in Deutschland in Kraft tritt. Unternehmen dürfen künftig weniger Daten von Verbrauchern erheben, benötigen dafür häufiger eine Erlaubnis und müssen nachweisen, dass sie mit den Daten verantwortungsvoll umgehen. Bei Verstößen drohen Bußgelder, die sich am Umsatz orientieren und nicht gedeckelt sind.

Umfragen überbieten sich mit Schreckensmeldungen, wie wenige Firmen sich mit dem Thema aktuell beschäftigen. Zuletzt lieferte der Branchenverband Bitcom Zahlen: Nur jedes dritte Digital- oder IT-Unternehmen habe schon Maßnahmen im Hinblick auf die DSGVO ergriffen, jedes fünfte habe sich noch nicht einmal inhaltlich mit dem Thema auseinandergesetzt.

In traditionelleren Branchen liegen die Werte oft viel niedriger: „Für die allermeisten Firmen ist Datenschutz kein Kernprodukt. Das Thema wird da schon einmal stiefmütterlich behandelt“, sagt Achim Weiss, Gründer des Cloud-Hostin g-Anbieters Profitbricks. Das Problem: Die Anzahl der Daten ist in fast allen Unternehmen in den vergangenen Jahren explosionsartig gewachsen.

Informationen über Kunden, Personal, Zulieferer und Händler werden in einem Betrieb häufig von verschiedenen Softwaresystemen genutzt. Das ist zwar effizient. Doch es wird schwieriger, rechtliche Vorgaben für die Datennutzung im Blick zu behalten.  „Die Herausforderung wird durch die Cloud noch einmal deutlich erhöht“, sagt Stefan Henke, beim Softwareanbieter Veritas zuständig für das Zentraleuropa-Geschäft: „Weil die Daten in der Wolke verschwinden, wird die Gewährleistung der Transparenz vieler Informationen schwieriger.“

Dabei ist die Basis solide: Im europäischen Vergleich gilt das deutsche Bundesdatenschutzgesetz bereits als relativ weitreichend. Wer hier alle Regeln einhält, hat eine gute Ausgangslage für die neuen Vorgaben der DSGVO: „Der Prozess an sich ist klar strukturiert“, sagt Henke: „Daten lokalisieren, personenbezogene Daten identifizieren, Datenmenge minimieren, Daten schützen und fortlaufend beobachten.“ Doch besonders die ersten beiden Aufgaben sind häufig sehr aufwendig. Denn viele Firmen wissen gar nicht genau, wo intern und extern welche Daten geparkt sind – der Durchblick durch die eigene IT-Landschaft und die Daten-Wolke fehlt komplett.

Die sogenannte Schatten-IT erweist sich als eine große Baustelle: Viele Abteilungen haben in den vergangenen Jahren Software aus der Cloud angemietet, um spezifische Probleme zu bewältigen – nicht immer wusste die IT-Abteilung Bescheid. Henkes Mitarbeiter haben bei Firmen, die angeblich drei Cloud-Plattformen autorisiert hatten, häufig noch mehr als zehn weitere entdeckt. Daher müssen Firmen oft jahrelang geübte Prozesse umstellen, um in Zukunft rechtskonform arbeiten zu können. Verantwortlich sind für diese Projekte – wo sie denn angegangen werden – häufig Finanz- oder IT-Verantwortliche von Firmen.

Doch andere betroffene Fachbereiche müssen auch mitreden, weil es oft um ihre täglichen Arbeitsabläufe geht. Der Dienstleister Konica Minolta IT Solutions etwa hat ein Bauunternehmen in Datenschutzfragen beraten. Dabei stellte sich heraus: Jahrelang wurden komplette Personaldaten elektronisch verschickt, um Mitarbeiter ihren Baustellen zuzuordnen. Künftig wird das auf Rumpfdaten reduziert. Auf einen IT-Dienstleister abwälzen lassen sich mögliche Probleme nicht: „Grundsätzlich bin und bleibe ich als Unternehmen für die Daten verantwortlich“, sagt Bernd Goger, Geschäftsführer von Konica Minolta IT Solutions.

Wer einen Cloud-Dienstleister beauftragt – etwa für das Hosting von Software oder Daten – , muss darauf achten, dass der glaubhaft einen vertrauenswürdigen Umgang nachweisen kann. Das kann über Zertifikate wie ISO 27001 gelingen.  Stärker in den Fokus rückt auch der Standort des Rechenzentrums – personenbezogene Daten dürfen auch virtuell nicht die EU verlassen.

Ein zentrales Element des digitalen Datenschutzes: Die genaue Dokumentation von Datenablage und – zugriff. „Die Kette, wer was wann und wo mit den Informationen anstellt, muss lückenlos sein“, sagt Goger. Softwareanbieter wollen helfen, das neue Datendurcheinander mit ihren Programmen juristisch sicher zu sortieren. Es ist die Voraussetzung für alle weiteren Aufgaben: „Solange das für mich als Unternehmen nicht transparent ist, ist es ein wirklich weiter Weg“, sagt Goger.

Im Angebot sind Programme, die zunächst dabei helfen, eine Übersicht über den Ort und Inhalt aller Daten zu gewinnen – sowie Zugangsberechtigungen und automatische Löschregeln verwalten.  Die DSGVO verlangt etwa, dass alle Daten verschwinden, wenn ein Kunde oder ein Angestellter sich von einem Unternehmen verabschieden.

Andere Anbieter stellen Software bereit, die automatisch erkennt, wo sich persönliche Daten überhaupt befinden. „Noch herrscht an vielen Stellen die Denkweise vor, dass Daten sicher in abgeschotteten Bereichen sind“, sagt Oliver Schröder, Deutschland-Chef des IT-Dienstleisters Informatica. „Es ist wichtig zu wissen, wo schützenswerte Daten überall hingehen.“ Programme können dann dafür sorgen, dass ein Mitarbeiter im Callcenter beispielsweise nur noch die letzten vier Ziffern einer Kreditkartennummer sieht. So werden Informationen verschleiert oder maskiert und lassen nicht an jeder Stelle eine eindeutige Identifizierung eines Nutzers zu.

Branchenexperten gehen davon aus, dass die Aufsichtsbehörden gerade zu Beginn nicht überall ein Auge darauf haben können, ob alle Regeln beachtet werden.  Denn sie arbeiten noch mit sehr kleiner Belegschaft. Gleichzeitig aber besteht die Sorge, dass bei den ersten größeren Verstößen Exempel statuiert werden, um die Unternehmen aufzurütteln. Die strengen Regeln könnten auch dazu führen, dass Unternehmen unliebsame Wettbewerber abmahnen oder bei Behörden melden.

Vom verbesserten Datenschutz profitieren so in Zukunft nicht nur die Verbraucher – sondern auch die Anwälte: „Juristen reiben sich gewiss schon die Hände angesichts der nochmals gestiegenen Anforderungen an die Sorgfaltspflichten“, sagt Profitbricks-Gründer Weiss, „und nach dem Inkrafttreten der DSGVO ganz sicher auch.“

Erschienen im Handelsblatt am 22. Juni 2017.