Die DSGVO ersetzt das bislang geltende Bundesdatenschutzgesetz hinsichtlich der Verarbeitung personenbezogener Daten. Kürzlich bin ich mal wieder Tobias Müller-Zielke (unten TMZ) über den Weg gelaufen, den ich vor Jahren auf einer Messe kennen gelernt habe. Tobias bildet sich gerade zum externen Datenschutzbeauftragten weiter und hat sich intensiv mit der DSGVO auseinandergesetzt. Ich habe die Gelegenheit genutzt und ein paar Fragen an ihn gestellt:
MB: Wie lässt sich jetzt die aktuelle Situation kompakt zusammenfassen? Wie nervös muss ich mit Blick auf den 25.05. sein?
TMZ: Erst einmal muss ich natürlich sagen, dass das hier keine Rechtberatung sein soll – diese ist den Anwälten vorbehalten. Ich schildere hier meine persönliche Meinung und meinen Umgang mit dem Thema. Ganz kompakt würde ich es so ausdrücken: Bitte nicht abzocken lassen, weder von einem Abmahnanwalt, noch von einem Anbieter, der einem hilft. Die wichtigsten Punkte für den externen Auftritt sind überschaubar und einfach über eine Datenschutzerklärung auf der Homepage abzufangen. Natürlich ist das nicht die ganze Miete, sondern nur der extern sichtbare Teil. Dieser ist im Moment, insbesondere für kleine Unternehmen, der zeitkritischste. Schließlich sitzen die Abmahnanwälte vermutlich bereits in ihren kleinen goldenen Höhlen und wetzen ihre noch von der letzten Aktion blutigen Krallen.
MB: Welche Gefahr geht von den Abmahnanwälten konkret aus?
TMZ: Nun, zum 25.05. tritt die DSGVO endgültig in Kraft. Das heißt, dass Verstöße gegen geltendes Recht auch abgemahnt werden können. Das ist kein Weltuntergang, aber die Zeit und das Geld, das man darauf verwendet, kann man sich sparen. Laut Branchenexperten betragen die Kosten für eine Abmahnung bis zu 1500 Euro. Dieser Betrag sollte für jedes gesunde Unternehmen jeglicher Größe nicht der Weltuntergang sein, auch wenn es sicherlich schmerzt. Aufpassen muss man allerdings im Umgang mit den Abmahnanwälten. Mehr ist hier zu finden: www.it-recht-kanzlei.de/ido-verband-abmahnung-datenschutzerklaerung.html
MB: Was macht man denn dann am besten, wenn man bis zum 25.05. noch alles in trockenen Tüchern haben will?
TMZ: Erstmal auf jeden Fall das Interview bis zu Ende lesen. Ohne Scherz: Es gibt zwei sehr wichtige Baustellen: 1. Die externen Hausaufgaben, also was man auf seiner Website tun muss, um sich gegenüber Abmahnanwälten abzusichern. Hier sehe ich wie auch viele andere das größte Problem. Unternehmer und Websitebetreiber werden mit dem Drohszenario einer Abmahnung, gerne in Kombination mit der knackigen Maximalstrafe bei Gesetzesverstößen von 4% des weltweiten Jahresumsatzes, dazu gebracht, viel Geld für Anleitungen, Checklisten, Seminare, Webinare u.v.m. auszugeben. Die 4% allerdings dürften nur bei einer Prüfung durch eine entsprechende Instanz zur Wirkung kommen. Ich gehe davon aus, dass die Datenschutzbehörden da eher mal bei den Konzernen anfangen, die natürlich auch viel mehr personenbezogene Daten verarbeiten (lassen) als kleine Unternehmen. Dank der nun deutlich höheren Strafen dürfte man sich dort nun vermutlich auch mehr mit dem Thema Datenschutz auseinandersetzen, als es bisher leider teilweise der Fall war. Bisher beliefen sich die Strafen maximal auf 50 000 Euro. Das zahlt ein Konzern doch aus der Portokasse. Jetzt hat die mögliche Strafe die Höhe von 4% des weltweiten Jahresumsatzes – da wird dann vermutlich auch der selbstsicherste Konzernvorstand nervös, wenn die Prüfung angesetzt wird.
Zurück zum eigentlichen Thema: Unendlich viel Aufwand muss man als Firmeninhaber nicht in die Weiterbildung zum Thema DSGVO stecken. Denn sowohl die externen wie auch die internen Forderungen sind keine Raketenwissenschaft. Es sind klar nachvollziehbare Regelungen, die insbesondere auf Konzerne abzielen. Natürlich ist es teilweise lästige Fleißarbeit. Andererseits ist es aber auch nötig, dass Deutschland endlich aus dem Datenschutz-Schlaf aufwacht.
MB: Und was ist der ganz konkret erste Schritt, den man bei diesem Thema angehen sollte?
TMZ: Ich persönlich priorisiere mit Hinblick auf den nahenden Termin so, dass ich zuerst die externen Baustellen aufgeräumt habe bzw. aufräume, also meine Webseiten abmahnsicher mache. Das heißt, man muss in der Datenschutzerklärung alles offenlegen, was mit den Daten des Users gemacht wird. Das umfasst Google Analytics, Facebook Plugins, u.v.m. Dazu gibt es Generatoren im Internet, die nicht schlecht funktionieren. Auf Fallbasis sollte dennoch geprüft werden, ob auch wirklich alles enthalten ist, was die persönlichen Daten der Besucher von der Website „wegfunkt“. Genauso werden vermutlich die Abmahnanwälte vorgehen: Erst einmal Seiten suchen, die gar nichts gemacht haben. Dann erst werden vermutlich die Seiten auf Fehler geprüft, die bereits über eine Datenschutzerklärung verfügen.
Ich persönlich gehe davon aus, dass ich mit einer soliden Umsetzung wenig Gefahr laufe, Probleme zu bekommen. Aber das war auch, bevor ich mich hier schriftlich negativ über Abmahnanwälte geäußert habe. Wir werden sehen.
Sind alle vorgeschriebenen Dienste in der Datenschutzerklärung erfasst, können die Abmahnanwälte auf jeden Fall nicht abmahnen. Ganz einfach, weil es nichts abzumahnen gibt.
MB: Das hört sich machbar an. Und was ist in puncto Auftragsdatenverarbeitung zu tun?
TMZ: Erst einmal heißt es nicht mehr Auftragsdatenverarbeitung, sondern Auftragsverarbeitung. Es haben sich auch ein paar Punkte geändert. Die Bitkom hat da eine schöne Gegenüberstellung veröffentlicht. Unter anderem muss man mit jeder Firma, die die Daten von eigenen Kunden speichert, einen Vertrag zur Auftragsdatenverarbeitung haben. Das ist nichts Neues und sollte sowieso schon nach dem alten Datenschutzgesetz gemacht worden sein. In der Realität wird dies bis heute oft vernachlässigt, vergessen, oder ist schlicht nicht bekannt.
MB: Was heißt das konkret?
TMZ: Dass man erst einmal prüfen muss, wo personenbezogene Daten in Kombination mit Webdiensten genutzt werden. Dazu zählen Dinge wie Online-Mailanbieter (Google Mail, Outlook.com etc.), File-Sharing- bzw. Online-Speicherplatzdienste (Dropbox, Google Drive, Microsoft Onedrive u.v.m.), und insbesondere natürlich das CRM-System (Customer-Relationship-Management). Da ist ja völlig klar, dass personenbezogene Daten gespeichert werden. Die Form ist hierbei egal. Das kann sowohl eine Excel-Tabelle mit personenbezogenen Daten sein, oder eine E-Mail. Also etwas, das so gut wie jeder ganz sicher macht.
MB: Und was muss ich da machen?
TMZ: Man muss individuelle Verträge mit jedem Vertragspartner machen, die unter anderem abbilden, dass der Betreiber des genutzten Dienstes alles tut, um sicherzustellen, dass die Daten nicht in fremde Hände gelangen. Eigentlich sollte das eine Selbstverständlichkeit sein.
MB: Ist es aber nicht?
TMZ: Leider überhaupt nicht. Als wir vor einem Jahr versucht haben, so etwas mit Dropbox zu bekommen, weil unsere Kunden das oft für den Dateiaustausch nutzen, hat man uns eiskalt und unwissend abblitzen lassen. Hier ist das neue Gesetz ein Segen: Aufgrund des hohen Risikos, auch wichtige Kunden zu verlieren, sind jetzt alle Anbieter ganz fleißig und motiviert und können auf einmal alle etwas mit dem Thema anfangen. Wer mir hier übrigens von vorneherein sehr professionell wirkte, war tatsächlich Google, also das Unternehmen, das bei den Deutschen beim Thema Datenschutz vermutlich den schlechtesten Ruf hat. Hier ist die Paranoia definitiv nicht gerechtfertigt.
MB: Gibt es intern noch weitere Pflichten?
TMZ: Es gibt zahlreiche, insbesondere interne Aufgaben, die erledigt werden müssen. Diese alle hier auszuführen das würde den Rahmen sprengen. Um sich hier selbst weiterzubilden, empfehle ich den Ratgeber vom Internetportal t3n und dem bekannten Social Media Anwalt Dr. Thomas Schwenke aus Berlin (https://t3n.de/news/dsgvo-fuer-unternehmer-t3n-guide-911252/). Ich gehe davon aus, dass man wenig falsch machen kann, wenn man sich daran orientiert. Vermutlich ist es aber sinnvoller, sich einfach einen Experten ins Haus zu holen, der das basierend auf seinen existierenden Vorlagen und einem optimierten Prozess schnell und effizient durchführt.
MB: Vielen Dank Tobias.
Kontakte zu Tobias Müller-Zielke unter:
www.tmt-beratung.de und www.datenschutz-erlangen.de
Trainer & Coach für die Selbstmanagement-Methode Getting Things Done
Weitere Artikel mit Tobias Müller-Zielke:
Gewinnspiele als effizientes Online Marketing Tool – eine kurze Einführung
