Datenschutz
Auswirkungen aktueller Entwicklungen auf Datenschutzstrategien
Text: Andreas Sutter | Foto (Header): © WavebreakMediaMicro – stock.adobe.com
Die Welt dreht sich auch seit dem 25.05.2018 weiter und ist noch nicht untergegangen. Dennoch ist sie für Unternehmer, Behörden und Verbraucher eine andere als vorher. Die Aufregung in den Unternehmen und die mediale Beachtung war vor dem Stichtag erheblich und scheint jetzt langsam abzuebben. Geblieben ist eine teilweise erhöhte Datenschutzsensibilität bei den Verantwortlichen, gepaart mit einer meist noch unzureichenden Umsetzung und dem Wunsch nach Klarstellung, der aber – wie zu zeigen sein wird – systembedingt auch in Zukunft unerfüllt bleiben wird.
Auszug aus:
Datenschutz für Praktiker
Ausgabe August 2018
Jetzt Leser werden
INHALTE DES BEITRAGS
Erste Verunsicherung: Die Überarbeitung der Übersetzung
Zweite Verunsicherung: Die Angst vor der Visitenkarte
Dritte Verunsicherung: Das Urteil des EuGH zu Facebook-Fanpages
Erstes Horror-Szenario: Abmahnung
Zweites Horror-Szenario: Behörden
Drittes Horror-Szenario: Anfragen von Betroffenen
Der Datenschutzbeauftragte
Der unerfüllte Wunsch nach vollständiger Klarstellung
Fazit
Insbesondere bei Klein- und Kleinstunternehmen ist ein sehr ambivalenter Umgang mit der DSGVO zu beobachten. Typische Reaktionen sind die Leugnung bestimmter Datenschutzrisiken und der verzweifelte Versuch, wenn überhaupt, nur so viel umzusetzen, wie es im Sinne einer „Feigenblatt-Strategie“ unbedingt notwendig ist. Anhand von einigen Beispielen möchte ich zeigen, wie sich die Welt im Datenschutz in den letzten Wochen geändert hat, und welche Konsequenzen sich daraus für Datenschutzstrategien ableiten lassen.
Insbesondere bei Klein- und Kleinstunternehmen ist ein sehr ambivalenter Umgang mit der DSGVO zu beobachten. Typische Reaktionen sind die Leugnung bestimmter Datenschutzrisiken und der verzweifelte Versuch, wenn überhaupt, nur so viel umzusetzen, wie es im Sinne einer „Feigenblatt-Strategie“ unbedingt notwendig ist. Anhand von einigen Beispielen möchte ich zeigen, wie sich die Welt im Datenschutz in den letzten Wochen geändert hat, und welche Konsequenzen sich daraus für Datenschutzstrategien ableiten lassen.
Erste Verunsicherung: Die Überarbeitung der Übersetzung
Am 19.04.2018 veröffentlichte die Europäische Union (EU) quasi in letzter Minute ein Corrigendum1, in dem Übersetzungsfehler von der englischen Ursprungsfassung in die jeweilige Landessprache berichtigt wurden. Für viele Rechtsanwender tauchten hier bereits die ersten Verständnisprobleme im Umgang mit europäischem Recht auf.
Anschaulich wird dies an der Berichtigung des Art. 25 Abs. 2 DSGVO, in dem das Wort „grundsätzlich“ gestrichen wurde. Dieses hatte sich durch eine vorher unzureichende Übersetzung ins Deutsche eingeschlichen. Das Wort hat nun aber in der deutschen Rechtssprache die übliche Bedeutung: Dies ist eine Regel, zu der es auch Ausnahmen geben kann. Nach der Berichtigung ist Art. 25 deutlich strenger zu verstehen.
Diese Bedeutung aus dem „Urtext“ entspricht auch einem der wichtigsten Grundprinzipien der DSGVO: dem Prinzip der Zweckbindung und Datenminimierung. Trotzdem hat die sehr kurzfristige sprachliche Korrektur zu einer weiteren Unsicherheit im Umgang mit der DSGVO beigetragen.
Die Grundprinzipien der DSGVO:
- Verantwortlichkeit
- Transparenz
- Risikobasiert
- Zweckbindung
- Treu und Glauben
Aus den Grundprinzipien lassen sich auch ohne detaillierte Kenntnisse jedes einzelnen Paragrafen sinnvolle Handlungsempfehlungen ableiten. Denn die Anwendung des Datenschutzrechts kann sich aus Gründen der Praktikabilität nicht nur an den Buchstaben von Geboten oder Verboten, sondern auch an der Zielerfüllung der zugrundeliegenden Prinzipien orientieren.2
Für die Frage der praktischen Anwendung lässt sich die Empfehlung ableiten, die Grundprinzipien der DSGVO in den Mittelpunkt der Unterrichtung von Mitarbeitern und Verantwortlichen zu rücken.
Zweite Verunsicherung: Die Angst vor der Visitenkarte
In den Medien und sozialen Netzwerken wurde mit einer bestimmten Leidenschaft die Frage der Visitenkartennutzung unter der DSGVO diskutiert.3 Ausgehend davon, dass angehende Geschäfts- oder Netzwerkpartner Ihre Kontaktdaten per Visitenkarte austauschen, wurde hier diskutiert, ob nicht bereits beim Austausch Verletzungen des Datenschutzrechts stattfinden.
Zwei Fragen standen im Raum:
- Ist die Verarbeitung von Kontaktdaten auf einer Visitenkarte ohne Einwilligung des Aushändigers überhaupt erlaubt?
- Wie sind die Informationspflichten nach DSGVO zu erfüllen?
Die erste Frage lässt sich mit Blick auf Art. 6 Abs. 1 Buchstabe b, f DSGVO leicht mit einem „Ja“ beantworten. Zudem ist die Übergabe der Visitenkarte sicher als konkludente Einwilligung zu werten.
Die zweite Frage dreht sich um die Informationspflichten nach Art. 13 DSGVO. Hiernach ist die betroffene Person vor der ersten Verarbeitung mit bestimmten Pflichtangaben zu informieren. Das folgt aus dem Transparenzprinzip der DSGVO. Nach sehr enger Auslegung ist die Entgegennahme der Visitenkarte bereits eine Datenverarbeitung, da es sich i. d. R. um eine Erhebung – sprich Beschaffung – von Daten handelt, die in einem Dateisystem gespeichert werden sollen (Art. 2 Abs. 1 und Art. 4 Punkt 2 DSGVO).
Diese Auslegung ist wenig praktikabel. Daher kommt die Berliner Datenschutzbehörde zu dem Ergebnis, dass die reine Entgegennahme einer Visitenkarte keine Datenverarbeitung darstellt, sondern erst die Erfassung im entsprechenden Dateisystem. Damit reicht es, wenn die Informationspflichten, z. B. per E-Mail, zu diesem Zeitpunkt erfüllt werden.
Dritte Verunsicherung: Das Urteil des EuGH zu Facebook-Fanpages
Das Urteil des EuGH zur Nutzung von Facebook-Fanpages hat ebenfalls erstaunliche Auswirkungen. Im Urteil4 vom 05.06.2018 stellt der EuGH klar, dass die Betreiber von Facebook-Seiten gemeinsam mit Facebook für die Einhaltung der Datenschutzregeln verantwortlich sind. Dahinter verbirgt sich, dass sich in der Konsequenz der gemeinsamen Verantwortung die Anwendung des Art. 26 DSGVO ergibt. Dort ist zwingend ein Vertrag zwischen den gemeinsamen Verantwortlichen vorgeschrieben, der bestimmte Mindestinhalte hat und der in Teilen den Betroffenen transparent gemacht werden muss. Diese Verträge zwischen Facebook und den Betreibern der Fanpages bestehen offenkundig nicht. Mit jedem weiteren Betreiben einer Fanpage begibt sich das verantwortliche Unternehmen also in das Risiko, gegen die DSGVO zu verstoßen. Die Konsequenz kann also aktuell nur die Empfehlung sein, die Seiten offline zu stellen.
Erstes Horror-Szenario: Abmahnung
Bekannt ist, dass es zu ersten Abmahnungen wegen der DSGVO gekommen ist. Dennoch ist zumindest fraglich, ob Verstöße gegen die DSGVO einem Mitbewerber genügend Rechtsgrund für eine Unterlassungsklage geben. Hier wird erst die Rechtsprechung der nächsten Jahre Klarheit bringen.
Trotzdem ist natürlich jedem Unternehmer zu raten, wenigstens bestimmte Mindestanforderungen an den Datenschutz seiner Website einzuhalten. Ohne langes Suchen findet man auch heute noch mühelos unverschlüsselte Seiten oder Datenschutzerklärungen, die nur aus dem Fülltext „Lorem Ipsum“ bestehen. Wer nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, muss sich die Frage nach dem „Make or Buy“ stellen. Lohnt es sich, diese Dinge selbst in die Hand zu nehmen, oder sich professionelle Hilfe zu holen?
Zweites Horror-Szenario: Behörden
Die astronomischen möglichen Ordnungsgelder der DSGVO kennt nun inzwischen fast jedes Kind. Die Verordnung hat den bisher „zahnlosen“ Aufsichtsbehörden Zähne verliehen. Nicht ganz zu Unrecht fürchten die Unternehmer nun auch Bisse. Auch wenn die Behörden aktuell unterbesetzt sind und sich in der gegenwärtigen Lage auch erst zurechtfinden müssen, rate ich dazu, die Aufsicht nicht zu unterschätzen. Eine gute Datenschutzdokumentation und ein konstruktiver Umgang mit den Behörden sind an dieser Stelle Gold wert.
Aktuell befragen einige Aufsichtsbehörden zufällig ausgewählte Unternehmen nach der Umsetzung der DSGVO5. Aus dem vermutlich vorhersehbaren Ergebnis, dass die Umsetzung überwiegend noch lückenhaft ist, wird man sicher bestimmte Schlüsse ziehen.
Drittes Horror-Szenario: Anfragen von Betroffenen
In den letzten Wochen sahen sich viele unserer Geschäftspartner einer teilweise unerwarteten Situation ausgesetzt. Ehemalige Kunden und unbekannte Dritte stellten Auskunftsanfragen nach Art. 15 DSGVO.
Die Reaktionen der Unternehmer waren unterschiedlich. Größtenteils war schnell offensichtlich, dass für diesen Fall keine Prozesse eingerichtet waren. Selbst diejenigen, die die Dokumentation nach DSGVO umgesetzt zu haben schienen, waren auf einmal hinsichtlich der erforderlichen Abläufe überfordert. Überforderung löst schnell auch Emotionen aus. Daher waren auch nicht immer nur wohlwollende Kommentare zu den berechtigten Anfragen der Kunden zu vermerken.
Hintergrund der DSGVO ist, das Grundrecht des Schutzes der persönlichen Daten zu wahren und nicht Schikane des Gesetzgebers. Dass dies dennoch oft so empfunden wird, erfordert bei den Beratern noch ein hohes Maß an Empathie und Überzeugungsarbeit.
Der Datenschutzbeauftragte
Der Datenschutzbeauftragte berät, unterstützt den Unternehmer und nimmt ihm Arbeit ab. Fast regelmäßig begegne ich der Frage: „Muss ich einen Datenschutzbeauftragten haben?“, und das mit dem Nachsatz: „Wenn ich nicht muss, nehme ich auch keinen.“ Fakt ist, dass die einzig harte Grenze die Personenzahl nach § 38 Abs. 1 Satz 1 BDSG ist. Werden weniger als zehn Personen mit der Datenverarbeitung beschäftigt, gibt es „weiche“ Kriterien nach § 38 Abs. 1 Satz 2 BDSG und Art. 37 Abs. 1 DSGVO.
Am Beispiel des Versicherungsmaklers, der aufgrund der Pflichten des Geldwäschegesetzes (GwG) Ausweiskopien und -daten, also biometrische Daten, über Jahrzehnte speichern muss, wird klar: Es kommt auf den konkreten Einzelfall an. Denn nicht jeder Versicherungsmakler betreibt Geschäfte, die unter die Pflichten des GwG fallen. Die Behörden sind bei konkreten Voranfragen auch nicht immer in der Lage, die Besonderheiten der entsprechenden Branchen zu beurteilen. Die Antworten lassen daher meist diverse Hintertüren offen.
Fakt ist auch, dass der größte Teil der Unternehmen vermutlich keine Pflicht zur Benennung eines Datenschutzbeauftragten hat. Aber gerade für diese meist Klein- und Kleinstbetriebe ist die freiwillige Benennung aus betriebswirtschaftlicher Sicht oft empfehlenswert. In der Auswahl ist auf die Kompetenz in technischen, juristischen und betriebswirtschaftlichen Themen zu achten. Ein Datenschutzbeauftragter, der die Branchenbesonderheiten kennt und mit modernen technischen Methoden arbeitet, kann meist sehr effizient helfen.
Der unerfüllte Wunsch nach vollständiger Klarstellung
Die DSGVO ist gespickt mit weichen Formulierungen und Begriffen. Alleine der Begriff „angemessen“ kommt fast 50 Mal vor. Der Wunsch nach Klarstellung muss daher unerfüllt bleiben. Die Ursache liegt v. a. im risikobasierten Ansatz der DSGVO. Der Verantwortliche soll die Risiken seiner individuellen Datenverarbeitung unter dem aktuellen Stand der Technik erkennen, bewerten und die daraus erforderlichen Maßnahmen in eigener Verantwortung bestimmen und umsetzen.
Für die Bewertung eines Datenschutzrisikos kann man folgendes Risikomaß zugrunde legen:
Risikomaß = Eintrittswahrscheinlichkeit x mögliche maximale Schadenhöhe
Fazit
Der Datenschutz ist in Bewegung geraten. Es bleibt insgesamt zu hoffen, dass das Interesse der Wirtschaft an diesem Thema nicht im Zuge der medialen Beachtung abebbt. Die Folgen wären fatal. Zur Wahrung einer guten Reputation gehört die aktive und strategische Beachtung des Datenschutzes, heute mehr denn je. Die Welt dreht sich weiter, auch unter der DSGVO. Einfach zur Tagesordnung übergehen können wir trotzdem noch lange nicht.
1 http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf
2 Man spricht hier vom sogenannten „prinzipienbasierten Recht“, das sich auch in anderen EU-Richtlinien wiederfindet, so z. B. im Bereich der Geldwäsche-Prävention im Rahmen des GwG (Geldwäschegesetz).
3 Exemplarisch: https://www.welt.de/wirtschaft/article176468214/DSGVO-Visitenkarten-werden-durch-neue-EU-Regel-zum-Datenschutz- Problem.html
4 Az. C 210/16, zu finden unter: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=298398
5 Zum Beispiel Niedersachsen laut Pressemitteilung vom 29.06.2018: www.lfd.niedersachsen.de/download/132358
6 Berichtet u. a. in: https://rp-online.de/nrw/panorama/jva-euskirchen-usb-stick-mit-mitarbeiter-infos-bleibt-verschwunden_aid- 23799423
Zur Person
Andreas Sutter
ist Datenschutzbeauftragter, Dozent und Unternehmensberater, A. Sutter berät Mandanten u. a. aus der Finanzdienstleistung, Wohnungswirtschaft und Rechtsberatung.