Wer personenbezogene Daten sammelt und verarbeitet, muss nun die betroffenen Verbraucher oder Kunden darüber informieren. Wenn Unternehmen das nicht tun, und Namen, E-Mailadressen und andere persönliche Daten ihrer Kunden speichern, machen sie sich grundsätzlich strafbar. Und in einem solchen Fall kann es teuer werden – es drohen Strafen bis zu vier Prozent des jährlichen Jahresumsatzes einer Firma.

Ob tatsächlich Bußgelder verhängt werden – und wenn ja, in welchen Fällen – ist noch nicht abzusehen. „Klar ist aber, dass der Druck auf die global agierenden Unternehmen wächst, die Betroffenenrechte zu wahren“, sagt Johannes Caspar, Hamburger Datenschutzbeauftragter und zuständig für Facebook in Deutschland.

Betroffene Kunden und Verbraucher müssen aber nicht nur informiert werden. Sie müssen sogar explizit dem Speichern und verwenden ihrer Daten zustimmen. Das kann zu ziemlich vertrackten Situationen führen. So kann im ungünstigsten Fall bereits die Annahme einer Visitenkarte zu einem datenschutzrechtlichen Problem mutieren. „Bei strenger juristischer Auslegung müsste man in dem Moment, wo ein Unternehmen eine Visitenkarte annimmt, den Betroffenen genau informieren, was mit seinen Daten passieren wird“, sagt Susanne Dehmel, Geschäftsleiterin für den Bereich Datenschutz und Sicherheit im IT-Verband Bitkom.

Und selbst wenn jemand mündlich sein Einverständnis gibt, kann es sein, dass er sich daran später nicht mehr erinnert. Nun liegt es künftig aber an den Unternehmen, das später auch zu beweisen. Die Umkehr der Beweislast ist eine entscheidende Bestimmung bei der neuen Verordnung: Unternehmen müssen in Zukunft jederzeit beweisen können, dass ihr Datenschutz auch funktioniert. All diese neuen Regeln haben im Vorfeld zu einiger Unsicherheit vor allem in kleineren Firmen, Betrieben und Vereinen geführt. Eine Umfrage des Bitkom-Verbandes hat ergeben, dass nur ein Viertel aller befragten Firmen angeben, auf die neuen Regeln ausreichend vorbereitet zu sein.

„Die Ergebnisse waren nicht erbaulich“, lautet das Fazit des Bitkom-Präsidenten Achim Berg. Zu einem ähnlichen Ergebnis kommt auch eine von Forsa durchgeführte Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft. Die Mehrheit der Befragten nehme den Datenschutz „immer noch auf die leichte Schulter“, resümiert Verbandschef Peter Graß.

Vor allem kleine und mittelständische Unternehmen fürchten den bürokratischen Aufwand und unverhältnismäßig hohe Strafen. Auf Grund der Unsicherheit appelliert Achim Berg an die zuständigen Behörden, ein „kulantes Verhalten“ an den Tag zu legen. Die meisten Unternehmen müssten nicht bestraft, sondern „an die Hand genommen und unterstützt werden“.

Eine Branche profitiert von dem neuen Regelwerk schon seit längerem: Kanzleien und Dienstleister, die andere Unternehmen in Sachen Datenschutz beraten. Denn jedes zweite Unternehmen lässt sich in diesen Fragen extern beraten. Experten befürchten, dass ebenso windige wie findige Kanzleien nun damit beginnen werden, gezielt nach Verstößen zu suchen. Die Folge könnte eine Lawine von Abmahnungen sein.

Die Aufsichtsbehörden versuchen zu beruhigen. Sie verweisen etwa darauf, dass rund 90 Prozent der Regeln bereits vorher in Deutschland gegolten hätten. So sagte vor einigen Tagen der hessische Datenschutzbeauftragte, Michael Ronellenfitsch: „Wir haben zwar Zähne bekommen, sind aber nicht bissig geworden“. Andere schon. Wenige Stunden nach Inkrafttreten jedenfalls gab es schon die ersten Verbraucherbeschwerden gegen Google und Facebook bei den Aufsichtsbehörden.