25. Mai 2018 – Millionen von Unternehmern halten den Atem an. Alle sind verunsichert – keiner weiß, das kommt.
25. Mai 2019 – 365 Tage lang beobachtete Rechtsanwalt Giel das bunte Treiben auf dem Gebiet des Datenschutzes und stellt anlässlich des DSGVO-Geburtstags seinen Faktencheck vor:
01 Abwahnwelle oder was?
Gab es eine Abmahnwelle nach dem 25. Mai 2018?
Nein, von einer Abmahnwelle kann niemand ernsthaft sprechen. Es gab wohl einzelne Versuche einer Abmahnung. Allerdings keine systematischen Serienbriefe an eine Vielzahl von Empfängern.
Warum gab es keine Abmahnwelle?
Die „Abmahner“ beginnen erst dann, wenn es eine gefestigte Rechtsprechung zu einem Thema gibt. Dann fühlen sie sich sicher genug, um massenhaft abzumahnen. Weil das Risiko dann verhältnismäßig überschaubar ist. Diese gefestigte Rechtsprechung gibt es aber zurzeit noch nicht – also auch keine Abmahnwelle.
Kann die Abmahnwelle noch kommen?
Definitiv ja. Meines Erachtens aber nicht mehr in 2019, weil die Gerichte noch nicht so weit sind. Einzige Hoffnung: Der Gesetzgeber. Er plant ein Gesetz zum Verbot missbräuchlicher Abmahnungen. Wenn das kommt, verschiebt sich eine eventuelle Abmahnwelle noch das eine oder andere Jahr nach hinten, weil dann erst mal vor Gericht „getestet“ werden muss, ob dieses Gesetz von den Gerichten im Bereich der Datenschutzabmahnungen auch angewendet wird.
02 Datenschutzbeauftragter – für die Katz?
Jeder sollte im Mai 2018 noch schnell einen Datenschutzbeauftragten bestellen. Was hat der gebracht? Ist der noch nötig?
Es gibt mittlerweile eine Gesetzesänderung, die Grenze für die Pflicht, einen Datenschutzbeauftragten zu bestellen, von 10 auf 20 Personen zu erhöhen. Das Gesetz muss aber noch ausgefertigt werden etc. Ist also noch nicht in Kraft. Ausdrücklich wurde nur diese „Zahl“ geändert. Es bleibt aber weiterhin dabei, dass ALLE Unternehmen unabhängig von der Anzahl der Mitarbeiter Datenschutz (DSGVO + BDSG) umsetzen müssen – mit oder ohne Datenschutzbeauftragten.
Im Internet kursieren ohnehin viel zu viele „Besserwisser“, die angeblich genau wissen, was Sache ist… Dann lieber den Fachmann im Haus.
Der Datenschutzbeauftragte kostet doch nur Geld…
In den vergangenen 12 Monaten haben die Unternehmen mit Datenschutzbeauftragten die Vergütung eingesetzt für Beratungsleistungen, für Mitarbeiterschulungen und insbesondere für die Anfertigung von Dokumenten, Informationsblättern und Richtlinien. Dieser Aufwand hätte ohnehin an eine externe Person vergütet werden müssen. Folglich gab es in den meisten Fällen gar keine relevanten Mehrkosten für die Erfüllung der Formalie.
03 Datenschutzerklärung auf der Homepage
Vor dem 25. Mai 2018 wurden Millionen von Datenschutzerklärungen auf Internetseiten eingestellt, aktualisiert oder überarbeitet. Hat das was gebracht?
Offensichtlich ja, denn Unternehmen mit aktuellem Datenschutzhinweis sind definitiv nicht abgemahnt worden und geraten auch nicht in das Visier der Aufsichtsbehörden. Dieser öffentlich sichtbare und weltweit abrufbare Hinweis ist quasi der sichtbarste Aushang des Unternehmens zum Thema Datenschutz. Wer hier schludert, hat offensichtlich den Mai 2018 verschlafen. Auch in Zukunft sollte hier besonderes Augenmerk auf eine stets aktuelle Fassung gelegt werden. Ich biete mittlerweile die „Datenschutzerklärung Version 2.0“ an. Darin sind die Erkenntnisse der letzten 12 Monate verarbeitet. Nur wer aktuell bleibt, zeigt nach aussen, dass er es mit dem Datenschutz ernst meint. Beispielsweise hat sich die Adresse von google geändert von den USA auf Ireland. Solche Änderungen sollten von kundiger Hand vorgenommen werden. Meinen Mandanten biete ich diese Überarbeitung an.
Reicht diese Datenschutzerklärung im Internet aus für das gesamte Unternehmen?
Definitiv nein! Solche Erklärungen müssen für alle Betroffenen (z. B. auch die Mitarbeiter) gelten. Die Erklärung im Internet bezieht sich im Wesentlichen auf Internetbesucher. Die haben es mit Cookies, IP-Adressen, Kontaktformularen, Faceboook-Like-Buttons und Webseitentracking zu tun. Unternehmen, die ein Ladengeschäft betreiben, sprechen aber auch Kunden an, die nicht über das Internet kommen. Daher empfehle ich hier eine Art „Offline-Erklärung“, die im Geschäft ausgelegt oder ausgehängt wird. Eine komplett andere Erklärung ist für die Beschäftigten anzufertigen. Die ist nicht öffentlich, sondern bekommen lediglich die Mitarbeiter ausgehändigt.
04 Was ist mit Facebook?
Zum Thema Facebook-Fanpage gab es ganz erheblich Aufregung. Es hat sich viel getan, aber leider ist das Thema noch nicht durch.
Höchstrichterlich ist entscheiden worden, dass der Facebook-Account-Inhaber zusammen mit Facebook ein sog. „Gemeinsamer Verantwortlicher“ ist. Das ist ein spezieller Begriff aus der DSGVO. Facebook hat daraufhin ein paar Zeilen AGB ergänzt und meinte, die Sache sei damit beendet. Pustekuchen! Die obersten Datenschützer sagen: Die paar Zeilen reichen nicht aus. Die Fanpages sind nach wie vor rechtswidrig.
Allerdings passiert ist bislang nichts passiert. Den Aufsichtsbehörden ist auch klar, dass sie jetzt nicht gegen die „kleinen Leute“ vorgehen können, dann würde Facebook über Nacht Millionen von Fanpages verlieren. Soweit man der Presse Glauben schenkt ist geplant, gegen ein paar Große vorzugehen und dann erst einmal höchstrichterlich klären zu lassen, was Sache ist. Solange würde man Private und Kleinunternehmer in Ruhe lassen.
05 Gab es Bussgelder?
Bussgelder können nur von Aufsichtsbehörden verhängt werden. Und zwar nach DSGVO jetzt bis zu 20 Mio. € oder 4% des weltweiten Vorjahresumsatzes. Natürlich nicht bei den KMU, sondern als Obergrenze bei sehr großen Konzernen bei sehr großen Datenschutzverstößen. Wurden im letzten Jahr Bußgelder ausgesprochen?
Ja, allerdings gibt es keine konsolidierten Zahlen. Die „Welt“ erfragte angeblich 81 Bußgelder in Deutschland mit einer Gesamtstrafe von fast 500.000 €. Das wäre eine durchschnittliche Strafe von 6.000 €. Diese Zahl täuscht allerdings. Die höchste Strafe in Deutschland lautete auf 80.000 €. Wesentlich großzügiger zeigten sich benachbarte Aufsichtsbehörden. Zu verlange beispielsweise die französische Aufsichtsbehörde im Januar 2019 50 Mio. € von Google und die portugiesische Behörde 400.000 € gegen ein Krankenhaus.
Kommt da noch mehr?
Definitiv ja. Die meisten Behörden hatten bis ca. Ende 2018 noch mit „Altfällen“ vor der Zeit der DSGVO zu tun. Erst nach und nach werden die Beschwerden nach der DSGVO abgearbeitet. Die Anzahl der Beschwerden hat enorm zugenommen. Daher verlängert sich die Bearbeitungsdauer pro Beschwerde auch massiv. Ich rechne im Laufe des Jahres 2019, spätestens 2020 mit deutlich ansteigenden Bußgeldfällen.
Wen knüpft sich die Aufsichtsbehörde vor?
Generell werden alle Beschwerden geprüft. Wenn schwere Vorwürfe im Raum stehen, rücken die Behördenmitarbeiter aber auch schon mal innerhalb von wenigen Tagen aus. So insbesondere dann, wenn eine unzulässige Videoüberwachung bemängelt wird. Generell gilt: Je sensibler die Daten und je schwerer der Verstoß, desto wahrscheinlicher ist ein Bussgeld der Behörde.
Schickt die Behörde sofort einen Bußgeldbescheid?
Nein, der Unternehmer bekommt immer erst einmal das Recht, sich zu äußern und Stellung zu nehmen. Wer zu diesem Zeitpunkt mit der Behörde kooperiert, kommt eventuell ohne Bußgeld davon.
06 Mitarbeiterschulung – ist das nötig?
Auch wenn keine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, müssen alle Unternehmer die Vorschriften der DSGVO und des BDSG umsetzen. Dazu gehört auch, die Personen zu sensibilisieren, die mit personenbezogenen Daten umgehen.
Die Schulung der Beschäftigten ist effektive Reduzierung des Haftungsrisikos des Unternehmers. Viele „Datenpannen“ passieren nicht dem Chef, sondern einem Beschäftigten. Schulungen sind nachweislich dazu geeignet, dieses Risiko zu senken. Mitarbeiter sind sich des Umgangs mit sensiblen Daten bewusster, handeln überlegter und begehen weniger vermeidbare Fehler. Typischer Fall ohne Schulung: In der Eile öffnet der Vertrieb eine äußerlich unscheinbare Mail mit einem Word-Anhang. Darin versteckt sich Schadcode, der nun beginnt, sein Unwesen zu treiben. Wäre die Mail sofort gelöscht worden, wäre nichts passiert.
Wie häufig muss ich schulen?
Die wichtigste Schulung ist die erste Schulung. Nach einem Jahr kann man sich bei einigen Beschäftigten mal umhören, ob Interesse an einer Fortsetzung besteht bzw. ob sich in der Zwischenzeit Fragen ergeben haben. Spätestens nach zwei Jahren hat sich der Alltragstrott wieder so eingeschlichen, dass eine erneute Schulung eine enorme Verbesserung bringt.
Wie lange dauert eine solche Schulung?
Typischerweise werden ca. 1,5 – 2,5 inklusiv Fragenrunde dafür reserviert.
07 Dokumentation muss sein
Die DSGVO erfindet nicht das komplette Datenschutzrecht neu, aber an einer Stelle wird tatsächlich mit der Tradition gebrochen. Neu ist die Rechenschaftspflicht. Bedeutet: Der Unternehmer muss von sich aus nachweisen, dass er Datenschutzrecht einhält. Daher ergibt sich die Pflicht zur Dokumentation.
In der Tat tun sich viele Unternehmer schwer mit der Dokumentation. Aus diesem Grund habe ich meinen Auftraggebern eine praktische Hilfe an die Hand gegeben. Den Ordner „DATAMOG DATENSCHUTZ DOKUMENTATION„.
Er besteht aus einem DIN-A 4-Ordner mit 12 Registern und 12 Themengebieten. Zu jedem Themengebiet gibt es eine ausführlich Erläuterung sowie vorgefertigte Fragen und Freifelder, in die man ohne großen Zeitaufwand individuelle Angaben dokumentieren kann. Herumfliegende Datenschutzerklärungen, Richtlinien und Auftragsverarbeitungsverträge sind in wenigen Minuten an der richtigen Stelle einsortiert und lassen sich strukturiert wiederfinden. Meine Prognose: Wer diesen Ordner halbwegs sauber führt, hat von der Aufsichtsbehörde so gut wie nichts zu befürchten.
08 Und was jetzt?
„Kopf-in-den-Sand-stecken“ ist keine Alternative. Mit meinen Mandanten zusammen setzen wir Datenschutz zielgerichtet und mit Augenmaß um – zu überschaubaren Kosten. Die absolut wichtigsten Punkte noch einmal in der Zusammenfassung:
- Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss
- Datenschutzerklärungen für Internet, Social-Media, Kunden, Lieferanten, Mitarbeiter
- Auftragsverarbeitungen (Zusammenarbeit mit Dritten) klären.
- Mitarbeiter schulen
- Bestandsaufnahme
- Dokumentation beginnen
Bildnachweise: 01 + 02 – inmagine; 03 – 07 – juergenwolf.com