Datenschutzrecht für Unternehmer
So schön hat mir noch keiner erklärt, was man als Unternehmer vom Datenschutzrecht wissen und beachten muss, wie jetzt der Kollege Dr. Jochen Notholt*). In seinem jüngsten Blogbeitrag legt er seine Haltung zum Datenschutzrecht dar und spricht mir aus der Seele. Das schöne dabei: Während das bei mir mehr so einem dumpfes Gefühl ist, fußt die Haltung des Kollegen auf fachlichem Know How und jahrelanger praktischer Erfahrung in der Beratung von IT-Unternehmen.
Besonders interessant finde ich Notholts Ansatz, weil sein Beratungsschwerpunkt gerade nicht im Datenschutzrecht liegt, sondern bei ihm letztlich die Entwicklung des Geschäfts seiner Mandanten im Mittelpunkt steht. D. h. für ihn ist Datenschutz kein Selbstzweck.
Welche Daten sind geschützt?
Zunächst einmal stellt Notholt klar:
So ziemlich alle Informationen, die auch nur entfernt mit einer natürlichen Person in Bezug gebracht werden können, sind personenbezogen. (..) Alles, was ein Unternehmen mit diesen Informationen tut, ist zunächst mal illegal. Damit eine Verarbeitung rechtmäßig ist, muss ein Unternehmen einen Rechtfertigungsgrund haben und diesen im Zweifel dokumentieren und nachweisen können.
Aufsichtsbehörden und Bürokratie
Dabei sei die neue DSGVO ein „noch schlimmeres bürokratisches Ungetüm“ als das BDSG. Der zur Einhaltung aller Anforderungen nötige Aufwand steige weiter:
Unternehmen müssen jede Kleinigkeit im Bezug auf personenbezogene Daten dokumentieren (…). Tun sie dies nicht oder unzureichend, drohen irrwitzig hohe Strafen der Aufsichtsbehörden.
Dabei gehe es weniger um tatsächliche Datensicherheit, sondern vorrangig um die Dokumentation der Einhaltung gesetzlicher Anforderungen.
Diese extrem strikten Vorgaben vollständig einzuhalten (…) ist irgendetwas zwischen extrem aufwändig und unmöglich. Hinzu kommt, dass die einschlägigen Gesetze schlecht geschrieben und deshalb ziemlich schwer verständlich sind. Und dass die Aufsichtsbehörden in Zweifelsfragen dazu neigen, bei der Auslegung von Gesetzen die Interessen des Betroffenen (und nicht die der Unternehmen) höher zu gewichten. Zum Glück sind die Aufsichtsbehörden bisher personell äußerst schwach ausgestattet, sodass Verstöße in der Regel unentdeckt bleiben. (…) Es gibt wahrscheinlich keine anderen Gesetze, gegen die so häufig verstoßen wird, ohne dass dies jemals jemandem auffällt.
Auch wenn die Aufsichtsbehörden jetzt aktiver werden, würden „Horror-Bußgelder“ wohl eher die „Großen“ treffen, bei denen es mehr zu holen gibt. Denkbar sei aber, dass man als kleiner Unternehmer ins Visier der Aufsichtsbehörden gerate, wenn einem ein Konkurrent anschwärzt. Trotzdem bestehe kein Grund zur Panik.
Was sollen Unternehmer jetzt konkret tun?
Konkret empfiehlt Notholt kleinen Unternehmern, sich mit den Anforderungen der DSGVO zumindest grob vertraut zu machen und die weitere Entwicklung im Auge zu behalten.
Darüber hinaus solle man mit relativ geringem Aufwand die „DSGVO-Basics“ umsetzen:
- Datenschutzbeauftragten benennen (sofern erforderlich)
- Verarbeitungsverzeichnis erstellen
- Verträge zur Auftragsverarbeitung vereinbaren
- Datenschutzerklärung der Website aktualisieren
Klingt machbar.
Fortsetzung folgt
Notholt kündigt an, die Einzelheiten in weiteren Blogbeiträgen zu erklären. Und dass er nicht nur etwas von IT-Recht und Datenschutz versteht, sondern auch von geschicktem Online-Marketing, zeigt der Schlusssatz seines Blogbeitrags: „Falls Sie solange nicht warten können, nehmen Sie hierzu gerne schon jetzt Kontakt mit uns auf.“
Für Laien (und Kollegen) verständlich
Wie gewohnt spricht Notholt Klartext und gibt auch für Laien verständliche Empfehlungen. Und seien wir ehrlich: Auch als Anwalt sind wir – wenn nicht wie Notholt auf IT-Recht spezialisiert – datenschutzrechtlich auf dünnem Eis.
Gerade weil die Einhaltung aller datenschutzrechlichen Vorschriften „extrem aufwändig bis unmöglich“ ist, besticht der pragmatische Ansatz des Kollegen.
Ich empfehle immer, gerade als Anwalt den Datenschutz hoch zu halten – soweit das Mandatsgeheimnis betroffen ist ohnehin ein Muss. Bei der Akquise neuer neuer Mandate ist das aber letztlich nur ein Argument unter vielen und rechtfertigt keinen immensen bürokratischen Aufwand.
Der Blogbeitrag „Neues Datenschutzrecht ab Mai 2018, Teil 1: Unsere Haltung zum Datenschutzrecht“ von Dr. Jochen Notholt ist abrufbar unter https://comp-lex.de/unsere-haltung-zum-datenschutzrecht/
*) Ein Hinweis in eigener Sache: Ich bin mit Dr. Jochen Notholt gut bekannt und schätze seine Arbeit sehr (vgl. etwa schon hier). Von daher kann kann ich ihn als IT-Anwalt bestens empfehlen und tue das auch gerne. Um Erlaubnis gefragt habe ich ihn nicht. ;-)
Um die Verwirrung komplett zu machen: Derzeit herrscht große Verwirrung zum Thema User-Tracking im Internet via Matomo (ehemals Piwik) oder google analytics. Stichwort ist die noch nicht von der EU verabschiedete E-Privacy-Verordnung, diese regelt die Themen User-Tracking und Cookies.
Nach Ansicht der deutschen Datenschutzkonferenz muss jeder User einem Tracking explizit zustimmen, also ein Opt-In. Dieser Ansicht wiederspricht der Zentralverband der deutschen Werbewirtschaft (ZAW) und die Bitcom. Beide sehen die Lage verständlicherweise anders.
Was erschreckend an dieser Sache ist, ist dass das Bayerische Landesamt für Datenschutzaufsicht jede Auskunft zu diesem Thema verweigert. Obwohl sie im Frühjahr angekündigt haben Webseiten automatisch zu prüfen.
Selbst die Behörden wissen nicht was sie machen sollen.
Derzeit gibt es noch keine gesetzliche Grundlage für den Umgang mit Tracking und Cookies. Hierbei handelt es sich um das Telemediengesetzes (TMG), dieses muss erneuert werden und zwar auf Grundlage der E-Privacy-Verordnung.
Quellen:
https://www.golem.de/news/dsgvo-eu-kommission-kritisiert-fake-news-zur-datenschutzreform-1805-134403.html
https://www.golem.de/news/ab-ende-mai-datenschuetzer-fordern-zustimmung-fuer-tracking-1805-134200.html