10.12.2019

Das Datenschutz-ABC: Von Auskunft bis Zukunft

Datenschutz – Mit einem Bein im Knast?

Die Datenschutz-Grundverordnung (DSGVO) feiert bald ihren zweiten Geburtstag. Trotzdem sind die gestellten Anforderungen an Unternehmen für viele noch ein Buch mit sieben Siegeln und sorgen für Verunsicherungen.

Was müssen Unternehmen bei ihrer Webseite beachten, dürfen Cookies überhaupt noch verwendet werden und wenn ja, welche? Muss in den sozialen Netzwerken irgendwas beim Thema Datenschutz beachtet werden? Warum und wie sollen Mitarbeiter beim Thema Datenschutz fit gemacht werden?

Bei diesen und vielen weiteren Fragen besteht nicht nur viel Unsicherheit bei Unternehmen, sondern auch kursieren viele Gerüchte. Müssen wirklich Strafen, Bußgelder und Abmahnungen gefürchtet werden oder kann man die DSGVO getrost ignorieren?

„Unternehmer müssen sich über einen wichtigen Fakt im Klaren sein: Datenschutz soll nicht Daten schützen – sondern die Menschen, denen diese Daten gehören.“ berichtet Rahel Fischer-Battermann, Rechtsanwältin und Gründerin von GIDA. Sie erklärt wichtige Fakten rund um das Thema Datenschutz.

Auskunft oder Löschung von Kundendaten

Die Hoffnung vieler Unternehmen, dass ihre Kunden keine Auskunft oder Löschung ihrer Daten fordern werden, die im Unternehmen gespeichert wurden, wird Unternehmen viel Zeit, Geld und Nerven kosten. Das neue "Recht auf Vergessenwerden", wonach Verbraucher eine vollständige Löschung ihrer Daten verlangen können, kann längst nicht jedes Unternehmen zusichern. Es kann jederzeit passieren, dass ein Geschäftspartner oder Kunde im Rahmen der DSGVO Auskunft darüber erhalten möchte, welche Daten von ihm im Unternehmen gespeichert sind. Wenn dies der Fall ist, müssen alle Unternehmen innerhalb von 4 Wochen reagieren. Wenn nicht Kunden sich beim Unternehmen melden, dann wird sicherlich ein Konkurrent anklopfen. Außerdem darf nicht vergessen werden, dass europäische Behörden sich häufig über Bußgelder finanzieren und somit gern mal bei Unternehmen vorbeischauen. Ignorieren Unternehmen solche Anfragen, werden sie schnell Bekanntschaft mit Verbraucherschutzverbänden und Landesdatenschutzbeauftragten machen.

Bußgelder

Ein weit verbreiteter fataler Irrtum ist, dass die DSGVO nur für Unternehmen mit mehr als 10 Mitarbeiter verbindlich ist. Die DSGVO gilt aber unmittelbar für jedes Unternehmen, egal wie groß das Unternehmen ist. Bei Verstößen gegen die DSGVO kann es auch für Ein-Mann-Unternehmen richtig teuer werden. Die Strafen liegen bei bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Auf die Gnade der Behörden zu hoffen, dass die ein Auge zudrücken, wäre ein riskantes Spiel.

Cookies

Die Richter des EuGH haben geurteilt, dass Cookies immer dann auf Webseiten genutzt werden dürfen, wenn sie für den technischen Betrieb der Webseite (sog. First-Party-Cookies) erforderlich sind. Eine Einwilligung des Webseitenbesuchers ist dafür nicht erforderlich. Alle anderen Cookies von Drittanbietern (Third-Party-Cookies) dürfen – unabhängig davon, ob diese personenbezogenen Daten erheben und verarbeiten - jedoch nur genutzt werden, wenn der Webseitenbesucher vorher seine Einwilligung freiwillig dazu erteilt hat.

Datenschutzverletzungen

Probleme bereitet vor allem der Umgang mit Datenschutzverletzungen beispielsweise durch den Verlust personenbezogener Daten, die künftig binnen 72 Stunden gemeldet werden müssen. Zudem schätzen fast alle Unternehmen die Aufteilung der Verantwortung für Daten in der Cloud zwischen Cloud-Anbieter und -Nutzer falsch ein – sie sehen die Verantwortung ausschließlich bei ihrem Cloud-Betreiber.

Mitarbeiterschulungen

Anders als noch das Bundesdatenschutzgesetz (BDSG) schreibt die DSGVO Mitarbeiterschulungen zum Datenschutz vor. Mitarbeiterschulungen zum Datenschutz sind jedoch nicht nur ein lästiger Pflichttermin. Durch geschulte Mitarbeiter wird ein Unternehmen auch vor Datenklau von außen oder Angriffe aus dem Mitarbeiterkreis selbst geschützt. Außerdem haftet bei Verstößen gegen den Datenschutz bei ungeschulten Mitarbeitern in erster Linie der Arbeitgeber, nicht der einzelne Mitarbeiter. Daher ist Mitarbeiterschulung im Datenschutz aktive Haftungsvermeidung. Zum Beispiel: Das Unternehmen 1&1 soll laut Medienberichten jetzt 9,6 Millionen Euro Geldbuße zahlen, weil von Mitarbeitern Nutzerdaten am Telefon weitergegeben wurde.

Social Media Marketing

Die Impressumspflicht besteht auch bei Social-Media-Profilen, die zum Unternehmensmarketing genutzt werden, egal welches Netzwerk genutzt wird.

Bei der Einbindung von Social-Media-Buttons auf Webseiten müssen Unternehmen viele Details beachten, um rechtssicher im Internet ihre Kunden anzusprechen. Durch das direkte Einbinden Social-Media-Buttons bekommen Facebook und Co einen unbeschränkten Zugriff auf die Daten der Webseitenbesucher, auch wenn der Besucher nicht einmal in seinem Profil eingeloggt ist oder überhaupt über einen Account hat. Der Webseitenbesucher willigt nicht in die Verarbeitung seiner Daten ein, zumeist merkt er noch nicht einmal, dass seine Daten von den Social Media Netzwerken abgegriffen werden.

Um hier das Problem der fehlenden Einwilligung zu lösen, sollte auf die Zwei-Klick-Lösung oder die Sharif-Methode zurückgegriffen werden. Damit werden die Buttons auf inaktiv gesetzt und müssen vom Seitenbesucher zunächst aktiviert werden.

Die Einbindung von Social-Widgets und Social-Media-Inhalten auf der Webseite ist datenschutzrechtlich erlaubt, solange es sich um öffentlich zugängliche Posts handelt. Social-Widgets sollen normalerweise eine Listung nur öffentlich einsehbarer Beiträge erlauben. Eine konkrete Rechtsprechung gibt es hierzu jedoch noch nicht.

Transparenz

Mögliche Verstöße gegen den Datenschutz bleiben bei keinem Unternehmen zukünftig mehr unentdeckt. Die neue DSGVO fordert von Unternehmen so viele Transparenz, dass ein Unternehmen garantiert sofort auffliegt. So muss etwa einen Datenschutzbeauftragten der Aufsichtsbehörde Verstöße gegen den Datenschutz und auch der betroffenen Personen melden. Wenn sich ein Kunde über ein Unternehmen beschwert, dann muss die Aufsichtsbehörde gegen dieses Unternehmen ermitteln. Es gibt auch keinen Bonus für kleine Unternehmen. Außerdem ist einem verärgerten Kunden die Unternehmensgröße egal, wenn es darum geht, dass ein Unternehmen Schadenersatz zahlen sollen.

Zukunft

Insgesamt besteht noch immer große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen. Es gibt eine Reihe von Irrtümern in den Unternehmen, die zügig ausgeräumt werden müssen – "die Uhr tickt".

Aus diesen Gründen müssen alle Unternehmen der Wahrheit ins Auge blicken: Die neuen Anforderungen an den Datenschutz lassen sich weder ignorieren noch wegdiskutieren.

Unternehmen können jedoch auch die DSGVO als Marktvorteil nutzen, indem Verträge mit Lieferanten im Rahmen der DSGVO-Anpassung neugestaltet und optimiert werden, um sich eine bessere Wettbewerbsposition zu sichern.

Alle Unternehmer müssen, um mit der DSGVO überhaupt beginnen zu können, sich zunächst einen Überblick verschaffen, welche Daten sie überhaupt in ihrem Unternehmen verarbeiten. Hier kommt oft Ungeahntes ans Licht, denn sowohl mit Daten der Mitarbeiter als auch mit Kundendaten, kommt eine große Anzahl Daten zusammen, über deren Umfang sich Unternehmer meist gar nicht im Klaren sind. Nur mit einem Sachstand über alle Datenvorgänge können die neuen Vorschriften der DSGVO angewandt werden. Unternehmer sollten daher zunächst einmal sichten, welche Daten im Unternehmen verarbeite werden, um dann mit der eigentlichen Umsetzung der DSGVO beginnen zu können.

Es kann daher nur dringend geraten werden, sich richtig und umfassend zu informieren, welche Regeln auf das Unternehmen zutreffen.

Kurzporträt: Die Kanzlei Fischer-Battermann berät Unternehmen unterschiedlichster Branchen bei allen Fragen rund um die Themen Datenschutz und Wettbewerbsrecht. 2018 wurde von ihr der Datenschutz-Bot GIDA gegründet. Dieser unterstützt Agenturen, IT-Unternehmen und Anwälte und liefert eine automatisierte Datenschutzerklärung, das Impressum & rechtssichere Cookiebanner und bindet all das selbstständig in die Webseite ein. Sie möchten eine rechtssichere Datenschutz-Lösung oder wollen Ihren Kunden einen erstklassigen Service bieten? Durch den Einsatz dieses Tools sichern Sie sich als Nutzer und Dienstleister eine 100%-Lösung.