Titelbild Blog-Artikel: Datenschutz ignorieren geht nicht

Thema Datenschutz – unbeliebt, aber wichtig

Datenschutz gehört zu den Themen, mit denen sich die wenigsten Menschen wirklich gut auskennen, geschweige denn sich gerne damit befassen mögen. Jasmin Lieffering von LITC ist da die große Ausnahme. Sie arbeitet als selbstständige Datenschutzbeauftragte und hat mir im Interview erklärt, worauf auch Selbstständige und kleine Unternehmen achten müssen.

Simone Maader: Liebe Jasmin, zum Thema Digitalisierung gehört auch unbedingt der Datenschutz. KMU sind dafür häufig schon sensibilisiert, haben aber trotzdem einige Lücken, Einzelkämpfer und ganz kleine Unternehmen sind aber oft damit überfordert. Was denkst Du, warum ist das Thema Datenschutz so schwierig?

Jasmin Lieffering: Datenschutz war schon immer schwer zu fassen. Dafür gibt es eine Reihe von Gründen. Häufig wird Datenschutz mit Datensicherheit verwechselt. Datensicherheit ist ein Bestandteil von Datenschutz. Wobei Datensicherheit die technischen Aspekte betrifft. Wie sichere ich meine Daten vor Verlust (rein physisch, z. B. vor Verlust durch Feuer, Wasser), vor unbefugtem  Zugriff etc. Im Datenschutz hingegen geht es um die Risiken, denen wir Menschen durch die Verarbeitung von Daten aussetzen.

Dann gibt es noch den Mythos, dass man sich nicht um Datenschutz kümmern muss, wenn man Einzelunternehmer oder sehr klein ist. Das stimmt nicht, nur man braucht nicht unbedingt einen Datenschutzbeauftragten.

Ein weiterer Grund ist, dass Datenschutz keinen Umsatz bringt. Zumindest scheint es so. Es kostet Geld und man kann das nicht Umsatz umwandeln. Obwohl Kunden schon dafür sensibilisiert sind: Durch die ganzen Cyber-Attacken und den Verlust von Kundendaten bei großen Unternehmen steigt die Angst bei Kunden, irgendwann selber betroffen zu sein. Also ist es schon ein Verkaufsargument.

Was den Datenschutz aber tatsächlich schwierig macht, ist die Herangehensweise. Häufig wird versucht, einzelne Themengebiete umzusetzen. Man kann sich dabei ganz schön verzetteln. Ein Datenschutzbeauftragter arbeitet mit einer festen Struktur. Themen werden erst dann relevant, wenn die Grundlagen, die Basis, vorhanden ist.

Was sind denn aus Deiner Erfahrung die typischen Fehler oder Fallstricke beim Datenschutz? Stichwort: Auftragsdatenverarbeitung.

Einer der größten Fallstricke ist fehlendes Bewusstsein. Ich meine damit, dass sich viele Unternehmer gar nicht darüber im Klaren sind, was sie da eigentlich tun. Gerade unter der DSGVO wird diesem Aspekt viel mehr Bedeutung zu gewiesen.

Du hast ja in deiner Frage schon auf Auftragsdatenverarbeitung (unter DSGVO Auftragsverarbeitung) angespielt. Darunter können auch Auftragsverhältnisse mit Dienstleistern fallen, wie Virtuelle Assistenz oder auch Buchhaltungsbüros. Aber viel wahrscheinlicher ist die Nutzung von Software oder einer Cloud. Die Digitalisierung bringt eben auch mehr Pflicht zum Datenschutz mit sich.

Ein weiterer Fallstrick ist die Unwissenheit über Meldepflichten. Das betrifft auch fast jedes Unternehmen. Häufig ist sich die Unternehmensführung nicht bewusst, wann sie welche Meldepflichten hat. Von den Informationspflichten haben die meisten schon was gehört, aber was zu tun ist, wenn der Ernstfall eintritt, wissen die wenigsten.

Puh, Buchhaltungssoftware, Meldepflichten. Da besteht ja wirklich noch großer Aufklärungsbedarf. Ich weiß von vielen, dass es auch große Unsicherheiten beim Versand von Newslettern über amerikanische Anbieter wie Mailchimp gibt. Wie ist die Lage da aus Deiner Sicht als Datenschützerin?

Eigentlich könnte man ja meinen es ist alles in Butter. Privacy Shield hat seine Überprüfung bestanden. Ok, die Kommission hat geprüft, ohne die EU-Datenschutzbeauftragte hinzuzuziehen, aber was soll‘s. Du merkst ich werde ironisch. Ich habe da ein gespaltenes Verhältnis dazu.

Auf der einen Seite kann ich verstehen, warum amerikanische Software so beliebt ist. Und ich habe auch nichts gegen amerikanische Unternehmen. Allerdings besteht da ein Konflikt. Denn in diesem Verhältnis wird der Datenschutz politisch.

Das Privacy Shield und die EU-Standardvertragsklauseln beruhen auf dem Grundsatz, dass EU-Recht eingehalten wird. Die Unternehmen verpflichten sich dazu. Allerdings ist das ein wenig Augenwischerei. Denn im Freedom-Act der USA besteht die Möglichkeit, dass US-Behörden Einsicht in Daten nehmen können, wenn ein Verdachtsfall besteht.

Die jetzige US-Regierung hat schon das ein und andere Mal versucht, an Daten heranzukommen, zum Beispiel bei einem Portal wo sich Gegner von Trump ausgetauscht haben. Auch die US-amerikanische Wirtschaft nutzt Datenschutz, um die Regierung auszubremsen.

So verstecken sich die Tech-Unternehmen hinter dem Datenschutz und lassen die eine und andere Strafverfolgungsbehörden im Regen stehen. Dass dann Grundsatzentscheidungen beim Supreme Court landen, ist für beide Seiten ein Risiko.

Um die Frage zu beantworten, wie die Lage aus Sicht einer Datenschützerin ist, kurz und knapp: unberechenbar. Das gilt aber nicht nur für E-Mail-Tools, sondern für die gesamte Software der amerikanischen Unternehmen.

Das heißt also für uns, dass wir weiter wachsam sein müssen. Was erwartet mich denn ab Mai 2018, wenn die Regelungen der EU-Datenschutz-Grundverordnung (DSGVO) greifen? Wird dann alles noch strenger?

Viele empfinden es wohl als streng. Was eigentlich nur zeigt, wie wenig sich mit Datenschutz in der Vergangenheit auseinander gesetzt wurde. Die DSGVO macht einen totalen Reset. Wir sind keine Insel mehr.

Das bedeutet, die jetzige Rechtsprechung ist dann nicht mehr gültig. Das ist für uns Deutsche etwas verwirrend. Denn vieles, was im Bundesdatenschutzgesetz stand, wurde mit in die DSGVO übernommen. Es wurde nur anders genannt. Aber die Auslegung der DSGVO nach unserem jetzigen Recht ist einfach falsch.

In der DSGVO gibt es Erwägungsgründe, die erläutern, welche Intentionen sich hinter den einzelnen Artikeln verbergen. Die Aufsichtsbehörden sind gefordert, das nun detailliert auszuführen. Also als Datenschützer nimmt man heute den Artikel, schaut sich dazu den Erwägungsgrund an und schaut ob die Aufsichtsbehörden dazu schon ein Whitepaper verfasst haben. Im Grunde sind unsere jetzigen Aussagen eine Auslegung ohne Gewähr.

Was schon anders ist, ist die Bedeutung des Verarbeitungszwecks und der Risikobewertung. Diese beiden Punkte tauchen immer wieder auf. Das lässt den Schluss zu, dass man sich als Unternehmer ganz klar darüber sein sollte, warum, also mit welchem Ziel, man Daten verarbeitet und was für ein Risiko diese Verarbeitung für die betroffene Person bedeutet.

Um das wirklich genau zu bewerten, ist vermutlich der Profi-Blick eines Datenschützers sinnvoll. Wann genau ist eigentlich ein Datenschutzbeauftragter Pflicht und muss man dafür dann jemanden einstellen oder dürfte ich grundsätzlich auch mit Externen wie Dir zusammenarbeiten?

Nicht jeder Unternehmer braucht einen festangestellten Datenschutzbeauftragten. Diesen kann man für eine längere Laufzeit mit monatlichen Raten extern buchen. Das mit der längeren Laufzeit ist schon richtig so, denn ein Datenschutzbeauftragter hat immer parat zu stehen.

Wenn man keinen Datenschutzbeauftragten braucht, kann man sich trotzdem beraten und eine Dokumentation erstellen lassen, um auf Nummer sicher zu gehen.

Ansonsten gilt: Es braucht nicht zwangsläufig eine Neueinstellung. Ein Datenschutzbeauftragter kann intern benannt werden. Allerdings muss man hier aufpassen, dass kein Interessenskonflikt besteht. Angestellte aus der IT, dem Personalwesen oder dem Marketing sind ausgeschlossen, da diese sich dann selbst kontrollieren müssten.

Man kann aber grundsätzlich auch einen externen Datenschutzbeauftragten benennen. Dadurch spart man sich eine Menge Geld, denn Datenschützer haben hohe Weiterbildungskosten, was sich ja nicht nur monetär bemerkbar macht, sondern auch zeitlich.

Und wann muss ich unbedingt einen Datenschutzbeauftragten benennen – egal ob intern oder extern?

Hier gibt es mehrere Möglichkeiten:

  1. Man hat nach Bundesdatenschutzgesetz (BDSG) mehr als 9 Mitarbeiter, die sich regelmäßig mit automatisierter Datenverarbeitung beschäftigen.
  2. Man verarbeitet besondere personenbezogene Daten. Das sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
  3. Die Datenverarbeitung an sich ist so risikobehaftet, dass sie überwacht werden muss. Das wäre der Fall, wenn eine Datenschutzfolgeabschätzung (DSFA) durchgeführt werden muss. Dazu soll noch eine Blacklist rauskommen, also eine Liste mit Verarbeitungstätigkeiten, die eine DSFA erfordern.

Was auf jeden Fall gemacht werden sollte, ist eine interne Analyse ob ein Datenschutzbeauftragter benannt werden muss. Dies sollte immer mit Dokumentation erfolgen. Die Aufsichtsbehörde kann das anfordern. Ob einer benannt werden muss, hängt von der Tätigkeit des Unternehmens oder des Selbstständigen ab, also von der Verarbeitung an sich. Natürlich gilt der eben genannte Punkt 1 weiter.

Aber es gibt halt Grenzfälle die ich erläutern möchte:

  • Kerntätigkeit: Verarbeitung von personenbezogenen Daten (Art 37 Abs. 1 b+c DSGVO in Verbindung mit Erwägungsgrund 97 erläutert):
    Gemeint ist die Haupttätigkeit, also die wichtigsten Arbeitsabläufe, die zur Erreichung der Ziele erforderlich sind. Diese Verarbeitung muss einen untrennbareren Bestandteil der Tätigkeit darstellen.Ein Beispiel wäre ein privates Sicherheitsunternehmen, das private Einkaufszentren und öffentliche Plätze überwacht. Die Überwachung ist nicht möglich, ohne eine Verarbeitung von personenbezogenen Daten.Auch Marketer können darunter fallen, denn ihre Kerntätigkeit ist das vermarkten von Produkten, was sie nicht ohne eine E-Mail-Liste oder ähnliches tun können. Unterstützende Tätigkeiten, wie die Entlohnung von Mitarbeitern fällt nicht darunter.

 

  • Dann gibt es die Umfangreiche Verarbeitung (nach Art. 37 Abs. 1 b+c in Verbindung mit Erwägungsgrund 91). Bedeutet:
    • Anzahl der betroffenen Personen ist bestimmbar in Zahl oder Anteil der Bevölkerung,
    • Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten,
    • Dauer oder Permanenz der Datenverarbeitungstätigkeit,
    • geografische Ausdehnung  der Verarbeitungstätigkeit.

Hier geht es aber tatsächlich um große Werte. Schwellenwerte sollen noch bestimmt werden.

 

  • Ein weiterer Grenzfall ist die regelmäßige und systematische Überwachung.

Dieser Punkt ist besonders interessant (in Erwägungsgrund 24 wird er erläutert). Hiermit ist die Beobachtung des Verhaltens von betroffenen Personen gemeint.

Das betrifft jede Form der Verfolgung und Profilerstellung im Internet, darunter auch zu Zwecken der verhaltensbasierenden Werbung.

    • Was bedeutet regelmäßig? Fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend; immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend; ständig oder regelmäßig stattfindend.
    • Was bedeutet systematisch? Systematisch vorkommend; vereinbart, organisiert oder methodisch; im Rahmen eines allgemeinen Datenerfassungsplans erfolgend; im Rahmen einer Strategie erfolgend.

Beispiele:

      • Betrieb eines Telekommunikationsnetzes,
      • Anbieten von Telekommunikationsdienstleistungen,
      • verfolgende E-Mail-Werbung,
      • datengesteuerte Marketingaktivitäten,
      • Typisierung und Scoring zu Zwecken der Risikobewertung (Kreditvergabe, Versicherungsprämie),
      • Standortverfolgung (Mobilfunkanwendungen, also Apps),
      • Treueprogramme,
      • verhaltensbasierte Werbung,
      • Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten über in Kleidung integrierte Geräte (Wearables),
      • Überwachungskameras,
      • vernetzte Geräte (intelligente Stromzähler, intelligentes Auto, intelligente Haustechnik, also klassisches Internet-of-Things, IoT).

 

  • Der nächste Grenzfall sind Auftragsverarbeiter. Auch sie müssen unter Umständen einen Datenschutzbeauftragten benennen. Ein Beispiel:Ein im Vertrieb von Haushaltswaren in einer einzelnen Stadt tätiges kleines Familienunternehmen nimmt die Dienste eines Auftragsverarbeiters in Anspruch, dessen Kerntätigkeit in der Bereitstellung von Website-Analysediensten und der Unterstützung bei zielgruppenorientierten Werbe- und Marketingmaßnahmen besteht.Bei den Tätigkeiten des Familienunternehmens und seiner Kunden fällt in Anbetracht der geringen Kundenzahl und der vergleichsweise beschränkten Tätigkeiten keine „umfangreiche Verarbeitung“ von Daten an.

    Die Tätigkeiten des Auftragsverarbeiters hingegen, der über eine große Zahl an Kunden wie diesem Kleinunternehmen verfügt, ergeben zusammen eine durchaus als umfangreich einzustufende Verarbeitung. Der Auftragsverarbeiter ist daher zur Benennung eines Datenschutzbeauftragten nach Artikel 37 Absatz 1 Buchstabe b verpflichtet. Für das Familienunternehmen hingegen besteht eine solche Pflicht nicht.

Also, für einen Laien ist das alles tatsächlich schwer einzuschätzen. Ich vermute, es kommt viel Arbeit auf Dich zu. 😉 Worauf sollte ich bei der Wahl des Datenschutzbeauftragten achten? Es ist ja schwierig, Kompetenz auf einem Gebiet zu bewerten, auf dem man sich selbst gar nicht auskennt.

Auch wir Datenschützer müssen uns mit der Digitalisierung auseinandersetzen. Vor allem mit den vielen neuen Geschäftsmodellen. Ein Kriterium ist nämlich das Verständnis für das Geschäftsmodell.

Leider finden sich viele Leute bei mir in der Beratung wieder, die falsch beraten worden sind, weil das Geschäftsmodell gar nicht verstanden wurde.

Häufig findet man auch auf den Webseiten der Datenschützer schon Spezialisierungen. Falls das nicht der Fall ist, solltest Du immer danach fragen.

Ein Datenschutzbeauftragter muss zertifiziert sein. Das bedeutet nicht, dass er unbedingt Jurist sein muss. Ein Datenschutzbeauftragter muss von einer anerkannten Stelle zertifiziert sein. Das können zum Beispiel der TÜV oder die DEKRA sein, es gibt noch andere. Wenn jemand allerdings seine Zertifizierung für 500 € irgendwo gemacht hat, dann kannst Du schon davon ausgehen, dass es kein seriöser Anbieter war.

Wenn Du jetzt einen passenden Datenschutzbeauftragten gefunden hast, dann sollte derjenige im Erstgespräch Fragen stellen, wie:

  • Welches Geschäftsmodell haben Sie? Also was machen Sie?
  • Sind sie Auftragsverarbeiter?
  • Haben Sie Mitarbeiter?
  • Woher bekommen Sie ihre personenbezogenen Daten und wer sind die betroffenen Personen?
  • Welchen Zweck hat die Datenerhebung, warum wird sie durchgeführt?
  • Haben Sie sich mit IT-Sicherheit auseinander gesetzt? Haben Sie einen Dienstleister?
  • Geben Sie Daten weiter? Vielleicht ins Ausland?

Ein Datenschützer sollte niemals die Geschäftsmodelle seiner Klienten bewerten. Das soll heißen, ich als Datenschutzbeauftragter darf zwar persönlich das Geschäftsmodell meines Klienten blöd finden, allerdings darf sich das nicht auf meine Arbeit auswirken.

Ein Beispiel: Ich persönlich finde viele Dinge aus dem Smart Home Bereich datenschutzrechtlich sehr bedenklich, aber wenn mein Klient aus diesem Bereich kommt, darf ich ihn nicht blockieren. Ich muss Lösungen mit ihm zusammen finden, um Datenschutzprobleme zu eliminieren.

Liebe Jasmin, vielen Dank, dass Du Dir die Zeit für dieses sehr ausführliche Interview genommen hast. Ich denke, das Thema Datenschutz wird uns alle weiterhin sehr beschäftigen.


Wenn Du jetzt für Dein Unternehmen prüfen möchtest, wie es in Sachen Datenschutz aussieht, dann kannst Du Jasmin Lieffering eine E-Mail an info@litc.de schicken und einen Termin für ein Erstgespräch vereinbaren.

Mit ihrem Unternehmen Lieffering IT Consulting bietet sie außerdem einen Datenschutzcheck an und hat auf ihrer Seite eine Datenschutz-Checkliste zum kostenlosen Download hinterlegt.

Jasmin Lieffering ist seit 2015 vom TÜV zertifizierte Datenschutzberaterin. Sie ist auf Online-Business, Projektarbeit und datenbasierte Geschäftsmodelle spezialisiert und hilft innovativen Unternehmern (vom Solopreneur bis zu KMU), Ideen  und Prozesse auf eventuelle Datenschutzverstöße zu prüfen und Lösungen zu erarbeiten.

Mehr dazu unter www.litc.de

 

Diesen Beitrag kommentieren