Auswirkungen aktueller Entwicklungen auf Datenschutzstrategien

INHALTE DES BEITRAGS

Erste Verunsicherung: Die Überarbeitung der Übersetzung
Zweite Verunsicherung: Die Angst vor der Visitenkarte
Dritte Verunsicherung: Das Urteil des EuGH zu Facebook-Fanpages
Erstes Horror-Szenario: Abmahnung
Zweites Horror-Szenario: Behörden
Drittes Horror-Szenario: Anfragen von Betroffenen
Der Datenschutzbeauftragte
Der unerfüllte Wunsch nach vollständiger Klarstellung
Fazit

Insbesondere bei Klein- und Kleinstunterneh­men ist ein sehr ambivalenter Umgang mit der DSGVO zu beobachten. Typische Reaktionen sind die Leugnung bestimmter Datenschutzrisiken und der verzweifelte Versuch, wenn überhaupt, nur so viel umzusetzen, wie es im Sinne einer „Feigen­blatt-Strategie“ unbedingt notwendig ist. An­hand von einigen Beispielen möchte ich zeigen, wie sich die Welt im Datenschutz in den letzten Wochen geändert hat, und welche Konsequen­zen sich daraus für Datenschutzstrategien ableiten lassen.

Insbesondere bei Klein- und Kleinstunterneh­men ist ein sehr ambivalenter Umgang mit der DSGVO zu beobachten. Typische Reaktionen sind die Leugnung bestimmter Datenschutzrisiken und der verzweifelte Versuch, wenn überhaupt, nur so viel umzusetzen, wie es im Sinne einer „Feigen­blatt-Strategie“ unbedingt notwendig ist. An­hand von einigen Beispielen möchte ich zeigen, wie sich die Welt im Datenschutz in den letzten Wochen geändert hat, und welche Konsequen­zen sich daraus für Datenschutzstrategien ableiten lassen.

Erste Verunsicherung: Die Überarbeitung der Übersetzung

Am 19.04.2018 veröffentlichte die Europäische Union (EU) quasi in letzter Minute ein Corrigendum¹, in dem Übersetzungsfehler von der englischen Ur­sprungsfassung in die jeweilige Landessprache berichtigt wurden. Für viele Rechtsanwender tauchten hier bereits die ersten Verständnisprobleme im Um­gang mit europäischem Recht auf.

Anschaulich wird dies an der Berichtigung des Art. 25 Abs. 2 DSGVO, in dem das Wort „grundsätz­lich“ gestrichen wurde. Dieses hatte sich durch eine vorher unzureichende Übersetzung ins Deutsche eingeschlichen. Das Wort hat nun aber in der deut­schen Rechtssprache die übliche Bedeutung: Dies ist eine Regel, zu der es auch Ausnahmen geben kann. Nach der Berichtigung ist Art. 25 deutlich strenger zu verstehen.

Diese Bedeutung aus dem „Urtext“ entspricht auch einem der wichtigsten Grundprinzipien der DSGVO: dem Prinzip der Zweckbindung und Datenminimie­rung. Trotzdem hat die sehr kurzfristige sprachliche Korrektur zu einer weiteren Unsicherheit im Umgang mit der DSGVO beigetragen.

Die Grundprinzipien der DSGVO:

• Verantwortlichkeit
• Transparenz
• Risikobasiert
• Zweckbindung
• Treu und Glauben

Aus den Grundprinzipien lassen sich auch ohne de­taillierte Kenntnisse jedes einzelnen Paragrafen sinnvolle Handlungsempfehlungen ableiten. Denn die Anwendung des Datenschutzrechts kann sich aus Gründen der Praktikabilität nicht nur an den Buch­staben von Geboten oder Verboten, sondern auch an der Zielerfüllung der zugrundeliegenden Prinzipien orientieren.²

Für die Frage der praktischen Anwendung lässt sich die Empfehlung ableiten, die Grundprinzipien der DSGVO in den Mittelpunkt der Unterrichtung von Mitarbeitern und Verantwortlichen zu rücken.

Zweite Verunsicherung: Die Angst vor der Visitenkarte

In den Medien und sozialen Netzwerken wurde mit einer bestimmten Leidenschaft die Frage der Visiten­kartennutzung unter der DSGVO diskutiert.³ Ausgehend davon, dass angehende Geschäfts- oder Netzwerkpart­ner Ihre Kontaktdaten per Visitenkarte austauschen, wurde hier diskutiert, ob nicht bereits beim Austausch Verletzungen des Datenschutzrechts stattfinden.

Zwei Fragen standen im Raum:

1. Ist die Verarbeitung von Kontaktdaten auf einer Visitenkarte ohne Einwilligung des Aushändigers überhaupt erlaubt?
2. Wie sind die Informationspflichten nach DSGVO zu erfüllen?

Die erste Frage lässt sich mit Blick auf Art. 6 Abs. 1 Buchstabe b, f DSGVO leicht mit einem „Ja“ beantworten. Zudem ist die Übergabe der Visitenkarte si­cher als konkludente Einwilligung zu werten.

Die zweite Frage dreht sich um die Informations­pflichten nach Art. 13 DSGVO. Hiernach ist die betrof­fene Person vor der ersten Verarbeitung mit bestimm­ten Pflichtangaben zu informieren. Das folgt aus dem Transparenzprinzip der DSGVO. Nach sehr enger Aus­legung ist die Entgegennahme der Visitenkarte bereits eine Datenverarbeitung, da es sich i. d. R. um eine Erhebung – sprich Beschaffung – von Daten handelt, die in einem Dateisystem gespeichert werden sollen (Art. 2 Abs. 1 und Art. 4 Punkt 2 DSGVO).

Diese Auslegung ist wenig praktikabel. Daher kommt die Berliner Datenschutzbehörde zu dem Ergebnis, dass die reine Entgegennahme einer Visitenkarte keine Datenverarbeitung darstellt, sondern erst die Erfassung im entsprechenden Dateisystem. Damit reicht es, wenn die Informationspflichten, z. B. per E-Mail, zu diesem Zeitpunkt erfüllt werden.

Dritte Verunsicherung: Das Urteil des EuGH zu Facebook-Fanpages

Das Urteil des EuGH zur Nutzung von Facebook-Fan­pages hat ebenfalls erstaunliche Auswirkungen. Im Urteil⁴ vom 05.06.2018 stellt der EuGH klar, dass die Betreiber von Facebook-Seiten gemeinsam mit Face­book für die Einhaltung der Datenschutzregeln ver­antwortlich sind. Dahinter verbirgt sich, dass sich in der Konsequenz der gemeinsamen Verantwortung die Anwendung des Art. 26 DSGVO ergibt. Dort ist zwin­gend ein Vertrag zwischen den gemeinsamen Ver­antwortlichen vorgeschrieben, der bestimmte Min­destinhalte hat und der in Teilen den Betroffenen transparent gemacht werden muss. Diese Verträge zwischen Facebook und den Betreibern der Fanpages bestehen offenkundig nicht. Mit jedem weiteren Be­treiben einer Fanpage begibt sich das verantwortliche Unternehmen also in das Risiko, gegen die DSGVO zu verstoßen. Die Konsequenz kann also aktuell nur die Empfehlung sein, die Seiten offline zu stellen.

Erstes Horror-Szenario: Abmahnung

Bekannt ist, dass es zu ersten Abmahnungen wegen der DSGVO gekommen ist. Dennoch ist zumindest fraglich, ob Verstöße gegen die DSGVO einem Mit­bewerber genügend Rechtsgrund für eine Unterlas­sungsklage geben. Hier wird erst die Rechtsprechung der nächsten Jahre Klarheit bringen.

Trotzdem ist natürlich jedem Unternehmer zu raten, wenigstens bestimmte Mindestanforderungen an den Datenschutz seiner Website einzuhalten. Ohne langes Suchen findet man auch heute noch mühelos unver­schlüsselte Seiten oder Datenschutzerklärungen, die nur aus dem Fülltext „Lorem Ipsum“ bestehen. Wer nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, muss sich die Frage nach dem „Make or Buy“ stellen. Lohnt es sich, diese Dinge selbst in die Hand zu nehmen, oder sich professionelle Hilfe zu holen?

Zweites Horror-Szenario: Behörden

Die astronomischen möglichen Ordnungsgelder der DSGVO kennt nun inzwischen fast jedes Kind. Die Verordnung hat den bisher „zahnlosen“ Aufsichts­behörden Zähne verliehen. Nicht ganz zu Unrecht fürchten die Unternehmer nun auch Bisse. Auch wenn die Behörden aktuell unterbesetzt sind und sich in der gegenwärtigen Lage auch erst zurechtfinden müssen, rate ich dazu, die Aufsicht nicht zu unter­schätzen. Eine gute Datenschutzdokumentation und ein konstruktiver Umgang mit den Behörden sind an dieser Stelle Gold wert.

Aktuell befragen einige Aufsichtsbehörden zufällig ausgewählte Unternehmen nach der Umsetzung der DSGVO⁵. Aus dem vermutlich vorhersehbaren Er­gebnis, dass die Umsetzung überwiegend noch lü­ckenhaft ist, wird man sicher bestimmte Schlüsse ziehen.

Drittes Horror-Szenario: Anfragen von Betroffenen

In den letzten Wochen sahen sich viele unserer Ge­schäftspartner einer teilweise unerwarteten Situation ausgesetzt. Ehemalige Kunden und unbekannte Drit­te stellten Auskunftsanfragen nach Art. 15 DSGVO.

Die Reaktionen der Unternehmer waren unterschied­lich. Größtenteils war schnell offensichtlich, dass für diesen Fall keine Prozesse eingerichtet waren. Selbst diejenigen, die die Dokumentation nach DSGVO um­gesetzt zu haben schienen, waren auf einmal hin­sichtlich der erforderlichen Abläufe überfordert. Überforderung löst schnell auch Emotionen aus. Da­her waren auch nicht immer nur wohlwollende Kom­mentare zu den berechtigten Anfragen der Kunden zu vermerken.

Hintergrund der DSGVO ist, das Grundrecht des Schut­zes der persönlichen Daten zu wahren und nicht Schi­kane des Gesetzgebers. Dass dies dennoch oft so emp­funden wird, erfordert bei den Beratern noch ein hohes Maß an Empathie und Überzeugungsarbeit.

Der Datenschutzbeauftragte

Der Datenschutzbeauftragte berät, unterstützt den Unternehmer und nimmt ihm Arbeit ab. Fast regelmäßig begegne ich der Frage: „Muss ich einen Datenschutzbeauftragten haben?“, und das mit dem Nachsatz: „Wenn ich nicht muss, nehme ich auch keinen.“ Fakt ist, dass die einzig harte Grenze die Personenzahl nach § 38 Abs. 1 Satz 1 BDSG ist. Wer­den weniger als zehn Personen mit der Datenver­arbeitung beschäftigt, gibt es „weiche“ Kriterien nach § 38 Abs. 1 Satz 2 BDSG und Art. 37 Abs. 1 DSGVO.

Am Beispiel des Versicherungsmaklers, der aufgrund der Pflichten des Geldwäschegesetzes (GwG) Aus­weiskopien und -daten, also biometrische Daten, über Jahrzehnte speichern muss, wird klar: Es kommt auf den konkreten Einzelfall an. Denn nicht jeder Ver­sicherungsmakler betreibt Geschäfte, die unter die Pflichten des GwG fallen. Die Behörden sind bei kon­kreten Voranfragen auch nicht immer in der Lage, die Besonderheiten der entsprechenden Branchen zu beurteilen. Die Antworten lassen daher meist diverse Hintertüren offen.

Fakt ist auch, dass der größte Teil der Unternehmen vermutlich keine Pflicht zur Benennung eines Daten­schutzbeauftragten hat. Aber gerade für diese meist Klein- und Kleinstbetriebe ist die freiwillige Benen­nung aus betriebswirtschaftlicher Sicht oft empfeh­lenswert. In der Auswahl ist auf die Kompetenz in technischen, juristischen und betriebswirtschaft­lichen Themen zu achten. Ein Datenschutzbeauf­tragter, der die Branchenbesonderheiten kennt und mit modernen technischen Methoden arbeitet, kann meist sehr effizient helfen.

Der unerfüllte Wunsch nach vollständiger Klarstellung

Die DSGVO ist gespickt mit weichen Formulierun­gen und Begriffen. Alleine der Begriff „angemessen“ kommt fast 50 Mal vor. Der Wunsch nach Klarstel­lung muss daher unerfüllt bleiben. Die Ursache liegt v. a. im risikobasierten Ansatz der DSGVO. Der Ver­antwortliche soll die Risiken seiner individuellen Datenverarbeitung unter dem aktuellen Stand der Technik erkennen, bewerten und die daraus erforderlichen Maßnahmen in eigener Verantwortung be­stimmen und umsetzen.

Für die Bewertung eines Datenschutzrisikos kann man folgendes Risikomaß zugrunde legen:
Risikomaß = Eintrittswahrscheinlichkeit x mög­liche maximale Schadenhöhe

Fazit

Der Datenschutz ist in Bewegung geraten. Es bleibt insgesamt zu hoffen, dass das Interesse der Wirtschaft an diesem Thema nicht im Zuge der medialen Beachtung abebbt. Die Folgen wären fatal. Zur Wah­rung einer guten Reputation gehört die aktive und strategische Beachtung des Datenschutzes, heute mehr denn je. Die Welt dreht sich weiter, auch unter der DSGVO. Einfach zur Tagesordnung übergehen können wir trotzdem noch lange nicht.

 

1 http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf

2 Man spricht hier vom sogenannten „prinzipienbasierten Recht“, das sich auch in anderen EU-Richtlinien wiederfindet, so z. B. im Bereich der Geldwäsche-Prävention im Rahmen des GwG (Geldwäschegesetz).

3 Exemplarisch: https://www.welt.de/wirtschaft/article176468214/DSGVO-Visitenkarten-werden-durch-neue-EU-Regel-zum-Datenschutz- Problem.html

4 Az. C 210/16, zu finden unter: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mo­de=req&dir=&occ=first&part=1&cid=298398

5 Zum Beispiel Niedersachsen laut Pressemitteilung vom 29.06.2018: www.lfd.niedersachsen.de/download/132358

6 Berichtet u. a. in: https://rp-online.de/nrw/panorama/jva-euskirchen-usb-stick-mit-mitarbeiter-infos-bleibt-verschwunden_aid- 23799423