Die Schonfrist läuft ab

Viel Arbeit hatten die Händler in Europa im vergangenen Jahr damit, ihre Betriebe konform zur DSGVO aufzustellen. Bislang ergingen über alle Branchen hinweg weniger als 50 Bußgeldbescheide. Allerdings läuft auch für kleinere Einzelhändler nun die Schonfrist ab.

Von Jose Pinto 30.07.2019

© Getty Images/Jorg Greuel

Sinnvoll, aber mit viel Arbeit verbunden: Die DSGVO.

Spricht Maximilian Severin über die Datenschutz-Grundverordnung (DSGVO), spürt man, dass der 37-jährige Chef des gleichnamigen Würzburger Traditionsmodehauses das Thema sehr ernst nimmt und sich intensiv damit beschäftigt. Herauszuhören ist aber auch, dass es ihn schon viel Zeit und einige Mühen gekostet hat. „Die Umsetzung hat uns einen Haufen Arbeit bereitet“, erinnert sich der studierte Betriebswirt, der das 1904 gegründete Unternehmen in bester Innenstadtlage in vierter Generation führt.

Vor gut einem Jahr trat die häufig als Bürokratiemonster geschmähte EU-Verordnung in Kraft. Oberstes Ziel: der sorgfältige und sparsame Umgang mit personenbezogenen Daten wie Name, Geburtsdatum, Adresse, Kontaktangaben und Kontonummern zum Schutz der Menschen in den Mitgliedsländern. Severins erste Bilanz fällt allerdings durchwachsen aus: „Im Grundsatz ist die DSGVO in Ordnung und sinnvoll – wenn sie denn europaweit und auch von den großen Internet- und Handelskonzernen wie Google, Amazon, Facebook und Co. eins zu eins umgesetzt würde.“ Aber genau hier sieht der Kaufmann ein Problem: „An die Großen kommt im Moment keiner heran.“

Severin selbst hingegen sieht sich in der Praxis vor kaum lösbare Probleme gestellt. Denn die Vorgaben hinsichtlich der Aufbewahrungs- und Löschfristen kollidierten massiv mit dem Steuer-, Arbeits- und Sozialrecht. Beispiel Mindestlohn: Eigentlich müssten laut DSGVO bestimmte Daten der Arbeitszeiterfassung nach verhältnismäßig kurzer Frist gelöscht werden. Gleichzeitig seien Unternehmen jedoch gehalten, sie aus steuerlichen Gründen über Jahre aufzubewahren. „In solchen Fällen muss ich entscheiden, ob ich es den Datenschützern oder dem Finanzamt recht machen will“, sagt Severin. Beides gehe häufig nicht zusammen.

„Im Grundsatz ist die DSGVO in Ordnung und sinnvoll – wenn sie denn europaweit und auch von den großen Internet- und Handels­­kon­zernen wie Google, Amazon, Facebook und Co. eins zu eins umgesetzt würde.“ – Maximilian Severin, Chef des Würzburger Traditionsmodehauses Severin

Verunsicherte Händler

Diese und weitere Probleme kennen viele Händler zur Genüge, die sich mit der DSGVO befassen. „Seitens der Händlerschaft gab und gibt es immer wieder Unsicherheiten bei der Umsetzung der Verordnung“, weiß Nils Gustke zu berichten. Der Prokurist der Gesellschaft für Personaldienstleistungen (GfP) in Kassel – einer auf Arbeits- und Datenschutz sowie Personalmanagement spezialisierten Einrichtung des Einzelhandelsverbandes Hessen Nord – war mit seinen Kollegen in den vergangenen 18 Monaten überwiegend in Sachen DSGVO unterwegs.

Die Erfahrung lehre, dass die Umsetzung der DSGVO zwar eine Herausforderung darstelle, diese jedoch zu bewältigen sei. „Viele Fragen rund um die DSGVO sind nicht allein juristisch zu bewerten, sondern müssen lösungsorientiert über alle betrieblichen Bereiche hinweg, die personenbezogene Daten verarbeiten, betrachtet werden“, ergänzt GfP-Geschäftsführer Dirk Schöttelndreier. Das Thema sei in der Tat sehr kompliziert und werde Einzelhandelsunternehmen noch eine Weile beschäftigen, prophezeit er.

Und somit natürlich auch Maximilian Severin. Zu einem „ganz fiesen Thema“, das zugleich „extrem komplex“ sei, hätte sich mit Inkrafttreten der DSGVO beispielsweise das Bewerbungsverfahren entwickelt. Denn streng genommen müsste jeder Bewerber über seine Rechte sowie die Verarbeitung seiner personenbezogenen Daten vorab informiert werden. Bei Initiativbewerbungen sei dies jedoch nicht praktikabel.

Völlig untersagen musste Severin auf Anraten von Experten die betriebliche Nutzung von WhatsApp; der Händler wich auf eine Alternative zu dem Messengerdienst von Facebook aus. „Sehr strengen Auflagen unterliegt zudem die Videoüberwachung“, weiß der Geschäftsführer. „Der Einsatz muss überzeugend begründet und den Kunden und Mitarbeitern an mehreren Stellen gut sichtbar angezeigt werden.“

Angesichts der vielen Themenfelder, die von der DSGVO berührt sind, nimmt es kaum wunder, dass bei der GfP die Telefone im vergangenen Jahr nicht stillstanden und das Team zeitweise einen Berg von Anfragen und Aufträgen vor sich herschob. Mittlerweile hat sich die Aufregung gelegt, ein Thema ist die DSGVO aber weiterhin und wird dies nach Einschätzung von Gustke auch weiterhin bleiben: „Viele Unternehmen sind bei Weitem noch nicht DSGVO-​konform aufgestellt oder sind mit dem Thema noch gar nicht gestartet.“

Einen Grund hierfür sieht der Prokurist in den kaum vorhandenen personellen und fachlichen Ressourcen für die Umsetzung der DSGVO in Unternehmen. „Uns hat das Thema mehrere Monate beschäftigt. Ohne professionelle Beratung wäre das für uns nicht zu schaffen gewesen“, erinnert sich auch Severin, der weniger als 50 Mitarbeiter beschäftigt.

Hürden genommen

Dass er die DSGVO nahezu vollständig umgesetzt hat und damit zumindest in der Einzelhandelslandschaft zu den Vorzeigeunternehmen in Sachen Datenschutz gehört, ist auch der engen Zusammenarbeit mit der GfP geschuldet. Der Geschäftsführer des Handelsverbandes Unterfranken, Volker Wedde, hatte seinerzeit den Kontakt zu den Nordhessen hergestellt. Wedde: „Wir arbeiten seit Jahren gut und vertrauensvoll mit der GfP zusammen und haben gemeinsam mehrere Veranstaltungen zur Vorbereitung auf die DSGVO für unsere Mitgliedsunternehmen durchgeführt.“

So wurden die Kasseler Spezialisten für Severin zu einer großen Hilfe: „Sie haben mich durch den Paragrafendschungel geführt, mir über manche Hürde geholfen und Hemmnisse beseitigt.“ l

Unter folgendem Link stellt der HDE exklusiv für seine Mitglieder Merkblätter zur Datenschutz-Grundverordnung zur Verfügung:

einzelhandel.de/dsgvo/617-merkblaetter

Harte Strafen

Die europäische Datenschutz-Grundverordnung (DSGVO) ist nach einer zweijährigen Übergangsfrist am 25. Mai 2018 in Kraft getreten. Seither drohen empfindliche Strafen, wenn Unternehmen die von ihnen gesammelten Kunden- und Nutzerdaten nicht lückenlos gesichert haben. Verstöße gegen den Datenschutz können mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes geahndet werden. Zudem gilt eine umfassende Dokumentationspflicht, alle Verarbeitungstätigkeiten müssen in einem Verzeichnis erfasst sein. Auch die Anforderungen an Einwilligungserklärungen durch Kunden und Nutzer wurden verschärft.

Schlagworte: DSGVO, Datenschutzgrundverordnung, Schonfrist

Kommentare

Ihr Kommentar