Data Security - alles Zauberei? Aufräumen mit weitverbreiteten Mythen im Datenschutz

Data Security - alles Zauberei? Aufräumen mit weitverbreiteten Mythen im Datenschutz

Im Interview mit Marc Oliver Giel von Datamog.

Datamog | Datenschutz IT Recht wurde im Jahr 2017 von Rechtsanwalt Marc Oliver Giel ins Leben gerufen, um speziell kleinen und mittleren Unternehmen (KMUs) aus dem Bereich der Informationstechnologie eine kompetente Anlaufstelle in Bezug auf Datenschutz und Compliance-Anforderungen zu bieten. Seine über 16 Jahre juristische Erfahrung und insbesondere Fach-Expertise im IT-Recht ermöglicht es Unternehmen, Datenschutzrichtlinien effizient und kostengünstig zu implementieren. Bei Datamog können Unternehmensverantwortliche eine Vielzahl von Datenschutzlösungen in Anspruch nehmen. Darunter Audits, Auftragsverarbeitungsverträge (AV-Verträge), Beratungsdienste, Erstellung von Datenschutzerklärungen, Datenschutz-Management-Systeme sowie Schulungen und mehr. Gerade bei kleineren Firmen erhält das Thema Datenschutz häufig nicht die notwendige Aufmerksamkeit. Für Organisationen mit 20 oder mehr Mitarbeitern bietet Datamog die Möglichkeit eines externen betrieblichen Datenschutzbeauftragten, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Im Interview sprechen wir heute mit dem Experten insbesondere über gängige in der Businesswelt existierende Datenschutz-Behauptungen oder -Vermutungen, zu deren tatsächlichem Wahrheitsgehalt es einmal konkret aufzuklären gilt.

DIGITAL FUTUREmag: Herr Giel, welche weitverbreiteten Mythen gibt es bezüglich Datenschutz, die in der Öffentlichkeit und im Netz kursieren und warum halten sich diese zum Teil kuriosen Vorstellungen so lange?

Marc Oliver Giel: Ein Mythos kommt mir immer wieder unter, und zwar: Unternehmen mit weniger als 10 oder 20 Beschäftigten müssten im Datenschutz nichts machen. Dabei handelt es sich um „gefährliches Halbwissen“. Denn es gab früher mal die 10er-Regel, dass nur Unternehmen mit 10 oder mehr Beschäftigten einen Datenschutzbeauftragten bestellen müssen. Mit einer Gesetzesänderung im Jahre 2019 wurde die Schwelle auf 20 oder mehr Beschäftigte angehoben. Offenbar haben einige Geschäftsleitungen angenommen, der Datenschutzbeauftragte müsse sich um die Einhaltung von Datenschutz im Unternehmen kümmern und wenn ein solcher nicht bestellt werden muss, gibt es auch keine To-dos. Dies ist allerdings falsch. Auch wenn kein Datenschutzbeauftragter bestellt werden muss, hat sich die Geschäftsleitung selbst um die Umsetzung des Datenschutzes zu kümmern. Für Kleinstunternehmen gibt es keine Gesetzesausnahme.

DIGITAL FUTUREmag: Welche praktischen Tipps haben Sie für Firmen mit weniger als 20 Leuten, um sich dem Thema Datenschutz sinnvoll und vor allen Dingen professionell zu nähern?

Marc Oliver Giel: Ich sehe immer wieder, dass sich Geschäftsleitungen mit Vorlagen von Verbänden, aus dem Internet oder sogar von Mitbewerbern versorgen und annehmen, wenn auf dem Dokument ihr Firmenname stünde, wären alle Aufgaben erledigt. In vielen Fällen muss man als Experte aber feststellen: Es besteht meist gar kein Verständnis, welche Pflichten es überhaupt gibt und wie diese effektiv erfüllt werden können. Eine Auflistung an dieser Stelle würde den Rahmen des Beitrags sprengen. Daher ist mein Geheimtipp so einfach wie simpel: Lassen Sie sich von einem Datenschutzbeauftragten oder einem Rechtsanwalt mit Schwerpunkt Datenschutz individuell beraten. Schon nach ein bis zwei Stunden steht eine grobe To-do-Liste mit den 10 wichtigsten Aufgaben und die Geschäftsleitung versteht, warum was gemacht werden muss. Sie sagen Ihrem Facharbeiter, der mit Maschinen arbeitet, ja auch nicht: „Frag nicht warum, aber drück jeden Tag um 12 Uhr auf den blauen Knopf!“ Besser ist zu erklären, warum er das machen soll und welche Auswirkungen der blaue Knopf hat.

DIGITAL FUTUREmag: Weshalb ist es wichtig, dass B2B-Betreiber personenbezogene Daten achten und schützen müssen?

Marc Oliver Giel: Kess gesagt: Weil es im Gesetz steht. Aber im Ernst: Datenschutz ist kein bürokratischer Selbstzweck, sondern die Umsetzung des Rechts auf informationelle Selbstbestimmung. Die einfache Übersetzung dazu lautet: Jede Person soll selbst entscheiden dürfen, wie mit ihren Daten umgegangen werden muss. Wenn ein Unternehmen Datenschutz ernst nimmt, wertschätzt es gleichzeitig seine Kunden, Lieferanten, Geschäftspartner und vor allem seine Beschäftigten. Manche Datenschutzverstöße von Unternehmen lassen mich ratlos zurück: Wie kann man nur seine eigenen Mitarbeiter illegal per Video überwachen? Ich frage mich dann: Was nützt es dem einzelnen Mitarbeiter, wenn er einerseits über Mindestlohn vergütet wird, monatliche Tankgutscheine und betriebliche Altersvorsorge erhält, andererseits aber bei seiner täglichen Arbeit ausspioniert wird? Das ist grotesk!

DIGITAL FUTUREmag: Ist Datenschutz wirklich eine Lokomotive? Welche Vorteile bringt er für Kunden, Lieferanten, Geschäftspartner oder Mitarbeiter und wieso sollte man ihn nicht als bürokratische Schikane betrachten?

Marc Oliver Giel: Um in Ihrem Bild der Lokomotive zu bleiben: Das technische Prinzip hinter einer Dampflok ist simpel. Die Bedienung aber gleichwohl nur etwas für erfahrene Personen. Ähnlich läuft es im Datenschutz. Der Kern des Datenschutzes ist glasklar: Der Schutz der informationellen Selbstbestimmung von uns Menschen. Eine vollständige Datenschutz-Compliance bedarf der Beratung durch Experten. Mit anderen Worten: Datenschutz kann ein Bremsklotz sein, wenn man sich damit nicht auskennt und es in Eigenregie auf „Gut Glück“ versucht. Seien wir mal ehrlich: An einen Industrieroboter lassen wir doch auch nur top ausgebildete und erfahrene Mitarbeiter. Stellen Sie sich vor, die kaufmännische Geschäftsführung würde versuchen, einen solchen zu programmieren. An allen Ecken und Enden lagern wir Unternehmensaufgaben an Spezialisten (Unternehmensberater, Werbeagenturen, Rechtsanwälte, Steuerberater) aus. Warum nicht im Datenschutz? Bereits letztes Jahr, also nur vier Jahre nach Beginn der Datenschutz-Grundverordnung (DSGVO), habe ich bei Mandanten erlebt, wie Datenschutz zu einem echten Wettbewerbsvorteil wird: Ein Lieferant machte die weitere Zusammenarbeit mit meinem Mandanten davon abhängig, dass ein Datenschutz-Audit erfolgreich durchlaufen wird. Es wurden Fragen gestellt und am Ende eine Bewertung vorgenommen. Unterschreitet die Bewertung eine gewisse Schwelle, gibt es keine weitere Zusammenarbeit. Mein Mandant hat zum Glück bestanden.

DIGITAL FUTUREmag: Welche Empfehlungen geben Sie KMUs, um den Datenschutz effektiv durchzuführen, und warum ist die Auswahl eines kompetenten Datenschutzbeauftragten von Bedeutung?

Marc Oliver Giel: Wurde in einem Unternehmen in Sachen Datenschutz noch gar nichts gemacht, gibt es eine sogenannte Aufbau- und eine Erhaltungsphase. In der Aufbauphase dominiert die Projektarbeit. Ich empfehle meinen Mandanten kleine Arbeitspakete, die in einer bestimmten Zeit umzusetzen sind. Danach gibt es das nächste Paket. So kommt man beständig voran, ohne den Betrieb lahmzulegen. In der Erhaltungsphase sind nur noch ein bis zwei Besprechungen pro Jahr nötig. Einen guten Datenschutzberater erkennen Sie daran, dass er Ihnen in kurzer Zeit eine To-do-Liste erstellt und mit Ihnen strukturiert umsetzt. Im Übrigen achte ich darauf, meine Mandanten nicht zu überfordern. Mein Motto lautet diesbezüglich: Lieber dauert die Aufbauphase etwas länger, als dass die Geschäftsleitung nicht versteht, worum es geht und was zu tun ist.

DIGITAL FUTUREmag: Welche Rolle spielt die Einwilligung von Personen in die Verarbeitung ihrer persönlichen Daten im Kontext des Datenschutzes? Wie sollten Unternehmen sie rechtmäßig einholen und verwalten?

Marc Oliver Giel: Leider wurde die Einwilligung zur Einführung der DSGVO im Jahre 2018 häufig als Allheilmittel missbraucht. Von überall kamen Zettel auch auf mich zu mit den Worten „Das müssen Sie jetzt wegen dem neuen Datenschutz unterschreiben“. Aus fachlicher Sicht war das leider Quatsch, denn wenn ich beispielsweise bei einem Onlinehändler etwas bestelle, werden Name und Anschrift zwingend zur Belieferung benötigt. Da ist die Einholung einer Einwilligung grober Unfug. Wenn wirklich eine Einwilligung gebraucht wird, muss sie freiwillig abgegeben werden, sie muss informiert, nachweisbar und für einen bestimmten Zweck abgegeben und sie kann jederzeit widerrufen werden. Als Beispiel einer Newsletterbestellung lassen sich alle Voraussetzungen auch für Laien nachvollziehbar darstellen: Ich abonniere den Newsletter freiwillig, ich unterliege keinem Zwang. Die verlinkte Datenschutzerklärung informiert mich über den Zweck und welche Rechte mir zustehen. Über das Newslettersystem wird meine Anmeldung protokolliert, ist also nachweisbar. Und über den Abmeldelink in jedem Newsletter kann ich jederzeit „widersprechen“, mich also abmelden.

DIGITAL FUTUREmag: Wie können Unternehmen sicherstellen, dass sie bei der Datenerhebung und -verarbeitung die Grundsätze der Datensparsamkeit und Zweckbindung einhalten, um den Datenschutz zu gewährleisten?

Marc Oliver Giel: In Kontaktformularen und Anmeldebögen empfehle ich, die Pflichtangaben mit einem * zu kennzeichnen. Dadurch weiß die betroffene Person, was zwingend nötig ist und welche Daten, etwa die Handynummer, freiwillig mitgeteilt werden. Beim Einsatz von CRM-Systemen ist die Aufgabe etwas schwieriger. Früher kannte ich es, dass der Vertrieb hier gerne umfassende private Informationen zum Geschäftspartner oder Kunden hinterlegt. Solche Profilbildungen genügen in der Regel nicht mehr der Anforderung „Datensparsamkeit“ und sind aufzulösen. Die Zweckbindung erreiche ich häufig durch den Einsatz separater Ablagen (bei analogen Systemen) oder separater Datenbanken (bei digitaler Verarbeitung). Beispiel: Die Daten aus einem Newslettersystem (Name, E-Mailadresse) darf ich nicht einfach in mein CRM- oder ERP- System kopieren. Stellen Sie sich einen großen Schrank mit vielen kleinen Schubladen vor. Jede Schublade steht für einen „Zweck“. Wenn Sie Daten in eine Schublade hineinstecken, dürfen Sie diese nicht später herausnehmen und in eine andere Schublade umsortieren. Das wäre ein Verstoß gegen die Zweckbindung. Wenn Sie die Daten in einer anderen Schublade zwingend benötigen, müssen diese dafür „erhoben“ werden. Deshalb sind Datenschutzerklärungen heute auch so lang und teilweise kompliziert. Denn dort sollten sich alle diese „Zwecke“ wiederfinden.

Noch ein Beispiel: Wenn Sie das Geburtsdatum Ihrer Kunden erheben, um zu prüfen, ob diese volljährig sind, stecken Sie das Geburtsdatum gleichsam in die Schublade „Altersverifikation“. Wenn Sie später Kunden am Telefon identifizieren möchten und fragen, wie ihr Geburtsdatum lautet, ist das illegal. Denn die Identifizierung ist ein anderer Zweck, also eine andere Schublade und das Geburtsdatum darf eben nicht einfach umsortiert werden.

DIGITAL FUTUREmag: Inwiefern hat die zunehmende Digitalisierung und der Einsatz von Technologien wie Künstliche Intelligenz (KI) und Big Data Analytics die Herausforderungen im Datenschutz verändert? Welche Maßnahmen sind erforderlich, um damit Schritt zu halten?

Marc Oliver Giel: Klar ist: Der Datenschutz hinkt der technischen Entwicklung von KI-Systemen hinterher. Auf europäischer Ebene wird gerade eine KI-Verordnung vorbereitet. Diese enthält u.a. detaillierte Regelungen für sog. „Hochrisiko-KI-Systeme“. Auf nationaler Ebene wurden ganz aktuell zwei Hilfestellungen aus datenschutzrechtlicher Sicht veröffentlicht. Der Landesbeauftragte für Datenschutz Baden-Württemberg ist Herausgeber eines 32-seitigen Diskussionspapiers „Rechtsgrundlagen im Datenschutz beim Einsatz Künstlicher Intelligenz“. Der Hamburgische Beauftragte für Datenschutz brachte eine 5-seitige Checkliste zum Einsatz LLM-basierter Chatbots heraus. In Zukunft werden wohl noch weitere Veröffentlichungen folgen. Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen möchten, sind gut beraten, solche Hilfestellungen zu nutzen.

Möchten Unternehmen mal „auf die Schnelle“ KI-Systeme ausprobieren, sollten sie auf die Übermittlung personenbezogener Daten verzichten. In der Diskussion wird von mancher Seite vorgeschlagen, die KI-Nutzung so lange auszusetzen, bis der rechtliche aber auch der ethische Rahmen nachgezogen wurde. Allerdings besteht dagegen der berechtigte Einwand, in der Zwischenzeit den technologischen Anschluss zu verlieren. Mein pragmatischer Ansatz lautet daher: Bis Spezialregelungen kommen müssen alle bestehenden DSGVO-Vorschriften beim KI-Einsatz so vollständig wie irgend möglich eingehalten werden. Dazu können ebenfalls Datenschutzbeauftragte beraten.

Das Thema Big Data ist datenschutzrechtlich schon etwas älter und daher gereifter. In den wenigsten Fällen ist der Datenschutz der „Show-Stopper“. Mit anderen Worten: Für sehr viele Anwendungsfälle gibt es praktikable Lösungen.

DIGITAL FUTUREmag: Vielen Dank für das gemeinsame Aufräumen und Reinemachen in Sachen Datenschutz. Ich glaube, wir konnten hier einiges gemeinsam klären und etwas Licht ins Dunkel bringen.

 dfmag17 kontakt datamog