DSGVO

Datenschutz-Grundverordnung – ewiges Kopfwehthema?

Ein kritischer Blick von Wern

[erechtshare]

Disclaimer: Alle folgenden Inhalte sind eine Wissenssammlung und Erfahrungswerte aus dem praktischen Arbeitsalltag. Sie bedeuten in keiner Hinsicht irgendeine Form von Rechtsberatung oder Empfehlung. Solltest du ernsthafte Fragen rund um das Thema Datenschutz haben, wende dich an einen Datenschutzexperten oder Rechtsanwalt.

Tjaja, die Datenschutz-Grundverordnung (DSGVO) – die einen hassen sie, und die anderen? Ja genau, die anderen auch. Bleiben höchstens noch die, die damit Geld verdienen, die lieben die DSGVO mit Sicherheit. Denn zum einen macht dieser halbgare Gesetzesentwurf jede Menge Arbeit und zum anderen ist kaum ein Unternehmer in der Lage, sich dauerhaft einen Überblick über Regelungen und Änderungen zu verschaffen. Man ist also fast schon ohne Alternative auf Spezialisten angewiesen, die bei der Umsetzung unterstützen.

Auch bei Social Movies sorgt die DSGVO für jede Menge Kopfschmerzen, aber nicht so, wie du jetzt denkst. Nein, wir finden die Idee der Datenschutzgrundverordnung eigentlich prima. Uns schmerzt ein ganz anderer Punkt – aber dazu später mehr. (Ooooh! Spannungsbogen!)

Historischer Ausflug:

Was, wer, wie, wo – Datenschutz-Grundverordnung?

Obwohl es angesichts immer wiederkehrender Aufschreie in Presse und Internet fast unmöglich scheint, scheint es noch Daten-Dinosaurier zu geben, die von der DSGVO noch nie gehört haben. Darum eine ganz kurze historische Abhandlung:

• Datenschutz-Grundverordnung (DSGVO); französisch: Règlement général sur la protection des données (RGPD); englisch: General Data Protection Regulation (GDPR)
• ersetzt die „Richtlinie 94/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (1995)
• ist der gemeinsame Datenschutzrahmen in der Europäischen Union
• trat am 25.05.2018 in Kraft
• gilt für alle EU-Mitgliedsstaaten
• ist ein Hybrid zwischen Richtlinie und Verordnung
• dürfte durch die Geheimverhandlungen zum Trade in Services Agreement (TiSA) durch Lobbyisten deutlich geschwächt sein
• dürfte durch das Zweite Datenschutz-Anpassungs-und Umsetzungsgesetz weitere Änderungen erfahren

Ist doch eigentlich ganz übersichtlich, oder?

Die Idee hinter der DSGVO

Überraschung: die Idee hinter der DSGVO ist großartig (finden wir), über die Umsetzung, Umsetzbarkeit und die Schlupflöcher, die sich die üblichen „Global Player“ aussuchen, kann man mit Sicherheit herrlich streiten. Doch zurück zur Idee:

Im Kern stecken 3 Grundsätze hinter der Datenschutzgrundverordnung, die ich so einfach und knapp wie möglich zusammenfassen möchte. Daraus lassen sich eigentlich alle Themen rund um die DSGVO ableiten:

1. Privacy by Design

Privacy by Design (zu deutsch: Datenschutz durch die technische Ausgestaltung bedeutet, dass datenschutzkonformes Vorgehen bereits bei der Planung und Konzeption eines Verarbeitungsvorgangs vorgesehen sein muss.

Hä? Was muss wo? Ein einfaches Beispiel:

Du möchtest ein Gewinnspiel starten und legst dazu Gewinnspielkarten aus, die Teilnehmer ausfüllen können. Bevor du den Druckauftrag zu den Karten gibst, solltest du überlegt und geplant haben, wer, wann, wie und wo die Daten deiner Teilnehmer verarbeitet, wie diese gesichert übergeben werden können und so weiter. Also ein durchaus sinnvoller Ansatz, der dafür sorgt, dass die Daten deiner Teilnehmer nicht in fremde und unberechtigte Hände gelangen können.

2. Privacy by Default

Privacy by Default ist der zweite Grundsatz und bedeutet so viel wie „datenschutzfreundliche Voreinstellungen“. Dieser Grundsatz fußt auf der Feststellung, dass zwar jeder gerne über mangelnden Datenschutz nörgelt, sich aber eigentlich so gut wie keine Gedanken über den Schutz seiner Daten macht und auch Eigeninitiative, sich in das Thema einzuarbeiten so gut wie inexistent beim „Datenspender“ (also dir, mir, uns allen – das sogenannte „Privacy Paradox“) ist. Darum sollen benutzerbezogene Daten grundsätzlich so früh wie möglich durch technische und organisatorische Maßnahmen anonymisiert werden.

Für unser Gewinnspiel bedeutet das: die Daten der Teilnehmer sollten so schnell wie möglich in eine gesicherte, nur definierten Personen zugängliche Datenbank übergeben werden, so dass du die ausgefüllten Karten vernichten kannst und, wenn der Gewinner ermittelt wurde, anonymisiert werden.

Das wiederum bedeutet wieder: du kannst sehr wohl festhalten, wie viele Menschen bei deinem Gewinnspiel teilgenommen haben (z.B. um herauszufinden, ob es sich lohnt, wieder ein Gewinnspiel zu veranstalten), aber diese Daten sollen anonymisiert vorliegen.

3. Datensparsamkeit und Datenminimierung

Der dritte Grundsatz ist eigentlich der, der uns Unternehmern und Marketeern am meisten auf die Finger klopft. Denn natürlich wollen wir für Unternehmensentwicklung und zielgruppenorientiertes Marketing so viele Daten wie möglich ansammeln (jaja, Big Data und so). Die Datenschutzgrundverordnung sieht aber vor, dass alle Handlungen unter den Aspekten „Datensparsamkeit“ und „Datenminimierung“ vorgenommen werden. Das bedeutet: wir sollen nur sammeln und vorhalten, was zwingend notwendig ist.

Auf unser Gewinnspiel bezogen bedeutet das:

1. Welche Daten muss ich erheben (eine Kontaktmöglichkeit zur Information zum Gewinn, und zwar wirklich eigentlich nur eine Telefonnummer oder eine E-Mail-Adresse)
2. Welche Daten muss ich nicht erheben (brauchst du einen Namen, um den Gewinner zu benachrichtigen? Nein. Brauchst du sein Geburtsdatum? Nein. Brauchst du seinen Familienstand? Nein.)

Wenn man an dieser Stelle einen kurzen Blick auf ein Gewinnspiel großer Unternehmen wirft, dass lässt sich schnelle erkennen, wie viel dort auf die Grundsätze Datensparsamkeit und Datenminimierung gegeben wird. (Warum nochmal genau braucht ein Automobilhersteller meine Schuhgröße um am Gewinnspiel rund um 4 Schneeketten die an meinem nicht vorhandenen SUV passen teilnehmen zu lassen?)

„Aber Hr. Google und Hr. Facebook – es sind doch meine Daten!“, sagte die kleine Meerjungfrau. Verarbeitung benutzerbezogener Daten in der Realität

Datenschutz in der Realität:

Aber Werner, das sind doch eigentlich super Ideen!

Stimmt, habe ich ja auch am Anfang schon geschrieben. Eigentlich sind das super Ideen. Aber wie sieht das in der Realität aus?

Beispiel Paypal

Vielleicht nutzt du ja auch Paypal? Und vielleicht interessiert es dich in diesem Zuge auch, an wen deine Daten (Was hast du bezahlt? Wann hast du bezahlt? An wen hast du bezahlt? Wer bist du eigentlich? Hast du eigentlich noch genug Geld zum bezahlen?) weitergegeben werden? Also los – aber sei gewarnt: Das ist harte Kost!

…ok. Jetzt hab ich die Schnauze voll! Das waren nur ein paar davon. Die vollständige Liste gibt es hier: paypal.com/third-parties-list

Das ist ja Datenschleuderei – und nicht Datensparsamkeit!

Natürlich ist es das. Mit benutzerbezogenen Daten werden Milliarden verdient. Dabei tauscht eigentlich jeder mit jedem Daten aus. Und ja, natürlich dürfen die das auch so irgendwie. Schließlich hast du genau das akzeptiert, als du die entsprechenden Häckchen bei der Eröffnung deines Accounts gesetzt und dem zugestimmt hast. Und ja, du kannst auch nicht sagen, dass du davon nichts gewusst hättest. Denn all genau diese Informationen sind für jeden zugänglich.

Ob das so richtig ist, ist eine ganz andere Frage. Kleine Lichtblicke dürften Geschehnisse wie die Prüfung von Google sein oder das Vorgehen des Bundeskartellamts gegen Facebook.

Ob das milliardenschwere Unternehmen wie Google und Facebook oder Datenschleudern wie Acxiom, arvato, EOS oder Burda auch nur am Hühnerauge am kleinen Zeh kratzt, ist eine ganz andere Frage.

Datenschutz in Hardware – die Trutzbox; Foto © Trutzbox / Comidio GmbH, Fotografie Pokorny

Insider-Tipp

Wer sich selbst einen Überblick verschaffen will, einen Blick „hinter die Kulissen“ werfen will, dem kann ich die Vorträge von Hermann Sauer, Dieter Carbon & Team (den Schöpfern der „Trutzbox“) nur dringlichst ans Herz legen.

Das Trutzbox-Team hat nicht nur mit der „Trutzbox PrivacyBox“ eine Hardware-Lösung entwickelt, die echten Schutz der eigenen Daten verspricht, sondern gibt mit Vorträgen und Workshops auch jede Menge Knowhow rund um das Thema Datenschutz an Interessierte weiter.

Jetzt aber zum Thema: DSGVO und Kopfschmerzen

Ok. Gut soweit. Die DSGVO ist also nicht nur böse, sondern eigentlich ganz sinnvoll. Und was genau macht euch daran jetzt Kopfschmerzen?

Kann ich dir, geschätzter Leser, verraten: es ist der Wildwuchs und das Halbwissen, dass mir Kopfschmerzen macht. Da wird frei Schnauze von diversesten Anbietern versprochen, alles DSGVO-konforme Leistungen anzubieten, gleichzeitig aber auf der Website des Anbieters „vergessen“, das Impressum im 1-Klick-Verfahren zugänglich zu machen.

Da werden von „Datenschutzexperten“ Handlungsanweisungen herausgegeben, wie wann wo und was seitens der Unternehmenswebsite umzusetzen wäre. Dabei wird geflissentlich übersehen, welche Systeme der Unternehmer einsetzt (wenn ich Google Analytics auf meiner Website nicht nutze, dann muss das auch nicht in der Datenschutzerklärung stehen!). Und plötzlich stehen wir als Video- und Marketing-Agentur da, und versuchen zwischen Unternehmer und externem Datenschutzbeauftragten zu vermitteln, weil der eine nicht weiß was er macht und der andere sich die Mühe nicht macht, sich das Ganze in Ruhe anzusehen.

Wir stolpern über Websites, die für überdurchschnittlich viel Geld Schulungen zum Thema Datenschutz anbieten und selbst noch nicht mal in der Basis ein rechtskonformes Impressum geschweige denn Datenschutzerklärung aufweisen.

Oder, mein aktueller Liebling: es wird einfach vollständig darauf verzichtet, im Unternehmen jemanden zum Datenschutzbeauftragten zu befähigen. Diesen Job drückt man wider besseres Wissen einfach dem IT-ler auf.

Ja, ist ja gut. Hör mal auf mit dem Getöse – was soll schon passieren?

Genau das ist der Punkt. Was soll schon passieren…

Showcase A

Du verlässt dich als Unternehmer auf die Aussage deines Marketing / Webdienstleisters, das würde schon alles so passen. Die Abmahnung a la Deutsche Wohnen (14,5 Millionen Euro) flattert ins Haus. Hättest du einen externen Datenschutzbeauftragten (für Unternehmen mit mehr als 20 Mitarbeitern, die Zugriff auf Benutzerdaten haben, vorgeschrieben), dann könntest du die Verantwortung jetzt dahin abwälzen, wo sie hingehört.

SHOWCASE B

Du schickst weiter Newsletter an Menschen, die sich zu diesem nie angemeldet haben. Dummerweise ist unter deinen Empfängern aber jemand, der sich ein bisschen mit dem Thema auskennt und vielleicht sogar noch Anwalt ist. Dein Datenschutzbeauftragter hätte dir vielleicht mitgeteilt, dass du das nicht darfst. Aber so? So wirds teuer:

Streitwerte für Newsletterzusendungen, LG Lübeck

• Einmalige Zusendung bei privatem Empfänger: 3.000,00 EUR
• Einmalige Zusendung bei gewerblichem Empfänger: 4.000,00 EUR
• Mehrfache Zusendung bei privatem Empfänger: 5.000,00 EUR
• Mehrfache Zusendung bei gewerblichem Empfänger: bis 7.000,00 EUR
• Ab fünf Zusendungen: zwischen 8.000,00 und 12.500,00 EUR

Und ganz ehrlich: ich finde, das ist noch viel zu billig. Denn selbst der Autor hat keine Lust auf Newsletter, die er nicht bestellt hat.

Showcase C

Und weil das alles noch nicht reicht, gibt es da vielleicht auch noch den einen Wettbewerber, der dich schon die ganze Zeit auf der Abschussliste hat. Der greift dann nicht nur zur Abmahnung auf Basis von Wettbewerbsrecht / Gesetz gegen den unlauteren Wettbewerb (UWG) sondern findet auch noch etwas, das er an den „Bundesbeauftragten für den Datenschutz und die Informationsfreiheit“ melden lassen kann – jaja, so eine Institution gibt es wirklich.

Prost. Mahlzeit. Neben der Tatsache, dass so ein Vorfall unzählige Stunden wertvoller Zeit verschlingt, kann das schlicht und einfach auch das Aus für ein Unternehmen bedeuten.

Datenschutz in Hardware – die Trutzbox

Was soll ich jetzt machen?

Wenn du jetzt feststellst, dass die Datenschutz-Grundverordnung doch ein ernstzunehmendes Thema ist und dich fragst, was du tun kannst, dann habe ich folgende Tipps für dich:

1. Mach dich mündig!

Informiere dich, welche Daten dein Unternehmen von Personen erhebt. Welche Software wird zur Auswertung deiner Online-Auftritte genutzt? Wo sind die Einwilligungen der Nutzer, die deinen Newsletter erhalten. Informiere dich. Werde erwachsen, verlasse die Gruppe der „Privacy Paradoxer“ und kümmere dich um dein Zeug!

2. Hol dir Hilfe!

Als Unternehmer mit mehr als 20 Mitarbeitern: bitte jemandem aus deinem Team, den Job des Datenschutzbeauftragten zu übernehmen. Gib ihm die finanziellen und zeitlichen Ressourcen, diesem Aufgabenbereich auch verantwortungsvoll nachgehen zu können. Und nein – es ist kein verdammter Praktikantenjob! Sorg dafür, dass mit Dienstleistern (z.B. Hosting-Anbietern, Anbietern von CRM-Systemen und Co. rechtskonforme Aufträge zur Datenverarbeitung abgeschlossen werden.

Ale Unternehmer mit weniger Mitarbeitern: Mach das selbe, es schadet sicher nicht!

3. Spare in der Menge!

Überlege, welche Daten du erheben musst, welche Daten du erheben kannst und welche Daten du tatsächlich erhebst. Alles was du weglassen kannst, macht dir das Leben leichter. Muss zum Beispiel Google Analytics auf deiner Website Daten sammeln, obwohl nie jemand eine Auswertung davon macht?

4. Kläre deine Kunden auf!

Sprich mit deinen Kunden, Klienten und Patienten. Informiere sie darüber, welche Daten du warum erhebst. Versetze deine Kunden in die Lage, erwachsen und mündig mit der Situation umzugehen. Ich bin davon überzeugt, dass jemand, der ehrlich aufgeklärt wurde, deutlich weniger dazu tendiert, dir an den Karren zu fahren, als jemand, der durch Zufall davon erfährt, dass du sein Geburtstagsdatum und seinen Familienstand versehentlich weitergegeben hast.

5. Hol dir Hilfe 2

Such nach einem Datenschutzexperten oder Rechtsanwalt, der dich professionell in all diesen Bereichen beraten kann. Datenschutz betrifft nicht nur Website, Facebook und Newsletter, sondern auch die interne Handhabung von Benutzerdaten innerhalb deines Unternehmens.

Jaja, ihr Grantler, und was macht ihr?

Richtig. Granteln ist einfach, aber man muss ja auch was tun, oder?

eRecht24 Agentur Partner

Grundsätzlich gehört Social Movies zu den eRecht24 Agentur Partnern. Wir dürfen also nicht nur diese hübsche Siegel führen, sondern geben auch eine gute Stange Geld dafür aus, unseren Kunden Entwürfe für ein rechtskonformes Impressum und Datenschutzerklärung für Website, Facebook & Co. anbieten zu können, die unsere Kunden vom Anwalt prüfen lassen können.

Wissen was funktioniert

Darüber hinaus sind wir gut informiert darüber, welche Erweiterungen z.B. für eine WordPress-Website, DSGVO-konforme Cookie-Erklärungen möglich machen und wie diese zu bedienen sind. Wie Google Analytics dazu gezwungen werden kann, IP-Adressen zu anonymisieren oder warum ein Facebook-Pixel zwar eine coole Sache ist, datenschutztechnisch aber höchst bedenklich ist.

Um hier auf dem aktuellen Stand zu bleiben, sammeln wir über verschiedene Quellen so viel Wissen wie möglich in unserer Agentur an.

In enger Zusammenarbeit

Wir verfolgen außerdem den Ansatz, lieber in enger Zusammenarbeit mit Kunden und deren Datenschutzbeauftragten zusammenzuarbeiten und Handlungsanweisungen kritisch zu hinterfragen, als einfach nur abzuarbeiten. So konnten wir mit jahrelangem Praxiswissen aus Web und Social Media schon das ein oder andere Missverständnis zwischen Datenschutz und unternehmerischen Bedürfnissen aus dem Weg räumen und Möglichkeiten finden, wie z.B. ein Newsletter datenschutzkonform verschickt werden kann.

Last but not least

Zu guter Letzt arbeiten wir aktuell an einem Prozess, der es uns in Kürze ermöglichen sollte, unsere Kunden auch ganz offiziell in Sachen Datenschutz, DSGVO und Co. beraten zu können. Also – stay tuned und abonniere doch unseren Newsletter, damit du nicht verpasst, wenn wir starten.

Wir erheben auch nur die Daten, die wir unbedingt brauchen, nämlich deine E-Mail-Adresse. Versprochen.

[erechtshare]