Die neue Datenschutzgrundverordnung (DSGVO) ist bald ein Jahr in Kraft. Gab es am Anfang viel Aufregung um die neuen Regelungen, ist es nach zehn Monaten ruhiger geworden. Zeit, um nach den Auswirkungen für Bestattungsunternehmen zu fragen.


Was hat sich seit dem Inkrafttreten der DSGVO getan?

Nach außen hin haben die meisten Unternehmen reagiert. Die Webseiten wurden aktualisiert, mit SSL-Verschlüsselung gesichert und mit einer DSGVO-konformen Datenschutzerklärung ergänzt, um den Erfordernissen zu genügen. Zu groß wäre das Risiko, ins Visier der Behörden zu geraten oder von einem Mitbewerber abgemahnt zu werden.

Es gab zum Teil absurde Diskussionen in Foren und auf Facebook, die zeigen, wie groß die Verwirrung bei manchen war. Die neue Sensibilität für den Datenschutz hat dazu geführt, dass manche übervorsichtig geworden sind. Unternehmen, die mit den Daten anderer umgehen, gerieten so unter Generalverdacht, Daten zu mißbrauchen.

Das Handelsblatt recherchierte im Januar 2019, dass es bundesweit bisher in 41 Fällen Bußgeldbescheide wegen Verstößen gegen die DSGVO gab. Wenn man sich vergegenwärtigt, wie viele Unternehmen es in Deutschland gibt, ist das eine verschwindend geringe Zahl. Dennoch sollte man das Thema nicht auf die leichte Schulter nehmen. Maßnahmen, die nach außen hin nicht sichtbar sind, stehen bei einigen Unternehmen nach wie vor auf der ToDo-Liste. Dazu gehören die Überprüfung aller technischen und organisatorischen Maßnahmen im Betrieb, die geforderten Verträge zur Auftagsverarbeitung (AV) oder das Verfahrensverzeichnis.

Mit Inkrafttreten der DSGVO gibt es definitiv mehr zu tun. Es ist mehr zu dokumentieren. Man muss sich Zeit für ein Datenschutzkonzept nehmen. Informations- und Auskunftspflichten gegenüber Betroffenen sind zu organisieren. Wenn eine Datenpanne passiert, gibt es bestimmte Abläufe bei der Meldepflicht. Wer hier noch Nachholbedarf hat, sollte sich feste Termine für die DSGVO-Regelung im Kalender reservieren. Kundendaten zu schützen ist nicht nur eine Pflichterfüllung, sondern sorgt auch für eine gute Reputation.

Motivation dafür kann eine ganz andere Zahl sein, von der das Onlinemagazin Golem berichtet. Unternehmen sind verpflichtet, Datenpannen zu melden. In der EU sind mehr als 40.000 Datenpannen registriert worden, seit die DSGVO rechtskräftig geworden ist, die meisten davon in Deutschland, nämlich mehr als 12.000.

Die Nutzer sind bei Datenschutzfragen sensibler geworden

Insgesamt hat die Diskussion bewirkt, dass Verbraucher, Kunden, Mitarbeiter und Geschäftspartner sehr viel besser aufgeklärt sind als früher. Die neuen Regelungen bieten mehr Transparenz und manche fordern die Informationen, die über sie in einem Unternehmen gespeichert sind, tatsächlich an. Eine entscheidende Änderung hat die DSGVO mit sich gebracht: die Beweislast wurde umgekehrt. Nach dem nun geltenden Recht hat ein Unternehmen zu beweisen, dass es bei der Verarbeitung von personenbezogenen Daten alles richtig macht.

Immer wieder sind große Unternehmen in den Schlagzeilen, allen voran Facebook, in kurzer Zeit drei Mal. Das Unternehmen Cambridge Analytica hatte möglicherweise unberechtigt Zugriff auf Daten von 50 Millionen Facebook-Nutzern. Das Bundeskartellamt kritisiert Facebook, es missbrauche seine marktbeherrschende Stellung, wenn es Daten aus verschiedenen Quellen, etwa WhatsApp und Instagram, ohne Zustimmung der Nutzerinnen und Nutzer zusammenführe. Der jüngste Vorwurf gegen Facebook lautet, dass die Passwörter von Hunderten Millionen Nutzern intern im Klartext abgespeichert und für Mitarbeiter des Unternehmes zugänglich waren. Pannen gibt es auch anderswo: ob Onlinebanking, öffentlich einsehbare Gesundheitsdaten oder unverschlüsselt gespeicherte Passwörter. Solche Meldungen beeinflussen das Sicherheitsgefühl der Menschen ins Negative.

Die Nutzer handeln beim Datenschutz nicht immer logisch

Viele meinen, guter Datenschutz zahle sich für Unternehmen nicht aus. In der Onlinewelt sorgen miteinander verknüpfte Nutzerdaten für passgenaue Werbung. Wer das nicht nutzen kann, hat einen Wettbewerbsnachteil. Ein Grund dafür ist das "schizophrene" Verhalten der Konsumenten. Der Datenschutz wird zwar gerne gefordert. Am Ende ist aber nicht zu sehen, dass Dienste, die es mit dem Schutz personenbezogener Informationen nicht so genau nehmen, weniger genutzt würden.

Die Datenschutzgrundverordnung (DSGVO) stellt nun eine einheitliche Rechtsgrundlage für alle Mitgliedsländer der EU dar, die auch für Unternehmen aus Ländern gilt, die nicht der EU angehören, aber auf dem europäischen Markt aktiv sind. Ziel ist es, den Datenschutz für die Nutzer zu verbessern. Aber was nutzen die Regeln, wenn die Internetnutzer weiterhin bei Facebook oder WhatsApp bleiben, statt sich Alternativen zu suchen. Für den Bereich der Messenger gibt es mehrere alternative Anbieter, wie Threema oder Signal, die den Datenschutz wirklich ernst nehmen.

Datenschutz im Bestattungshaus

Im Raum stehen angsteinflößende Beträge, die bei einem Verstoß gegen die DGSVO fällig werden können: bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die wenigsten Bestattungshäuser werden 20 Mio. Euro Umsatz haben, aber 4% sind auch schon happig. Wenn man sich die DSGVO genauer anschaut, dann ist mit den neuen Regelungen die Wahrscheinlichkeit, dass man bewusst oder unbewusst eine Regel verletzt, massiv gestiegen. Wer meint, dass das eigene Unternehmen zu klein und unbedeutend ist, um überprüft zu werden, kann schnell eines Besseren belehrt werden.

Es muss nicht die Aufsichtsbehörde sein, die das Unternehmen von sich aus ins Visier nimmt. Es reicht ein unzufriedener Kunde, der die regelkonforme Speicherung seiner Daten anzweifelt oder ein ehemaliger Mitarbeiter, der sich bei den Aufsichtsbehörden beschwert, dass seine Personalakte unbewacht für Besucher zugänglich war. Die Sekretärin war kurz auf Toilette und das Büro unabgeschlossen. Da spielt es keine Rolle, ob derselbe Kunde oder Mitarbeiter selbst bereitwillig alle möglichen privaten Informationen auf Facebook preisgibt und mit seiner Fitness-App einem Onlineunternehmen gesundheitsrelevante Daten anvertraut. Solch widersprüchliches Verhalten lässt sich nur beobachten, nicht erklären.