Für die Juni-Ausgabe des x-trakt Magazins haben wir wieder ein Interview gegeben. Diesmal ging es um das Thema Datenschutz. Den Artikel können Sie hier nachlesen:
Am 25.05.2018 ist die Datenschutzgrundverordnung in Kraft getreten. Wir haben mit einem Experten für Datenschutzrecht über unsinnige Regeln und notwendige Maßnahmen gesprochen.
xtrakt: Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung. Dürfen wir überhaupt noch miteinander reden ohne dass wir zuvor Datenschutzerklärungen abgeben?
RA Chan-jo Jun: In diesen verrückten Tagen werden Sie wahrscheinlich auch jemanden finden, der für ein Interview eine Datenschutzerklärung mit Auskunft über die zuständige Beschwerdestelle verlangt. Wir erleben gerade, dass der gesunde Menschenverstand nicht mehr die Messlatte für juristische Notwendigkeiten ist.
xtrakt: Haben Sie ein Beispiel dafür?
Jun: Nehmen wir an, Sie betreiben eine Arztpraxis. Wenn ein Patient anruft, um einen Termin zu vereinbaren, müssen Sie ihm nach dem Gesetz jetzt in allen Einzelheiten schon bei Beginn des Gespräches erklären, was Sie mit seinen Daten vorhaben und wo er sich gegen Sie beschweren kann. Dazu gehört auch die Nennung der einschlägigen Artikel aus der Verordnung. Wenn man Aufsichtsbehörden fragt, ob das der Ernst sei und wie man das umsetzen soll, erhält man als Antwort, dass die Auskunftspflichten grundsätzlich wörtlich umzusetzen sind, weil der Gesetzgeber keine Ausnahmen vorgesehen hat. Der praktische Tipp beschränkt sich dann darauf: Man könne ja einen Anrufbeantworter vorschalten, der das dreiseitige Merkblatt vorliest. Ich würde sagen, der Menschenverstand zieht hier den Kürzeren.
xtrakt: Wie wird Datenschutz umgesetzt?
Jun: Große Unternehmen hatten schon vor zwei Jahren mit der Umsetzung begonnen. Kleinere Unternehmen haben zum Teil erst mit der Berichterstattung im Mai bemerkt, dass hier wirklich ein Handlungsbedarf besteht. Diese sind natürlich bis heute nicht fertig geworden. In unserer Kanzlei mussten wir Wartelisten für neue Mandanten führen.
xtrakt: Das klingt nach einem lukrativen Geschäft für Anwälte.
Jun: Ich persönlich kann mir spannendere Themen vorstellen als den Entwurf von Datenschutzerklärungen und Verfahrensverzeichnissen, aber eingefleischte Datenschützer haben gerade die beste Zeit Ihres Lebens und genießen, dass ihr ansonsten sprödes Thema mit der Androhung drakonischer Bußgelder seine Pflichtaufgabe avanciert ist wie Buchhaltung und Lohnabrechnung.
xtrakt: Die Justizministerin kritisierte zu Recht, dass manche Berater Unternehmen mit unnötigen Beratungen abzocken.
Jun: Leider ist es derzeit unheimlich schwer, notwendige von unnützen Maßnahmen zu unterscheiden, wenn ein Unternehmen die Einhaltung sämtlicher gesetzlicher Pflichten anstrebt, was ja eigentlich kein vermessener Anspruch sein sollte, bekommt er von den Beratern ein riesiges Programm aufgebrummt. Eine Beschränkung mit Augenmaß und gesundem Menschenverstand erfordert Erfahrung, über die kaum jemand verfügt.
xtrakt: Welche Auswirkung hat das neue Datenschutzrecht für Verbraucher?
Jun: Endanwender werden in diesen Tagen überschüttet mit neuen Datenschutzerklärungen und Einverständniserklärungen. Jeder von uns hat in den letzten Tagen vermutlich E-Mails von Unternehmen erhalten, von denen er längst vergessen hatte, dass er dort mal einen Account eröffnet hatte. Ein Großteil der Änderungen ist harmlos und enthält nur Selbstverständlichkeiten, die man sich auch ohne Erklärung hätte denken können. Manche Unternehmen nutzen aber die Gunst der Stunde, um den Nutzern unverschämte Zustimmungen abzufordern. Führendes Negativbeispiel ist wieder der Facebook-Konzern der bei dieser Gelegenheit die Gesichtserkennung bei Facebook zur Bedingung macht und von Whatsapp-Nutzern verlangt, dass sie alle auf dem Handy gespeicherten Daten preisgeben sollen. Das verstößt zwar gegen den Grundsatz der datensparsamen Voreinstellungen (Privacy by default), die Unternehmen setzen aber wieder darauf, dass sie zu groß sind, um wirksam reguliert zu werden. Während einige kleine Portale zum 25.05.2018 offline gegangen sind, weil sie sich Datenschutz nicht leisten konnten, haben die Großen das Gesetz genutzt, um den Datenschutz der User stärker auszuhöhlen.
xtrakt: Ist die DS-GVO dann nach hinten losgegangen?
Jun: Für ein solches Fazit ist es noch zu früh. Der Gesetzgeber hatte es gut gemeint, wenn er für einschneidende Verarbeitungsvorgänge ausdrückliche Zustimmungen erfordert hat. Da er aber die gleiche Pflicht auf für Bagatellverarbeitungen vorgesehen hat, kann der Nutzer gar nicht mehr unterscheiden, ob er bloß die notwendige Versandanschrift mitteilt, oder gerade seine Seele und die all seiner Freunde verkauft. Datenschutzrecht wurde von Dogmatikern geschrieben, die sich bei den Begriffen Bagatellgrenzen, Ausnahmen oder Verhältnismäßigkeit in ihrer Ehre verletzt fühlten.
xtrakt: Kommen jetzt Abmahnwellen und Bußgelder?
Jun: Es gab schon vor dem Inkrafttreten der DS-GVO Abmahnungen wegen angeblicher Datenschutzverletzungen von Abmahnanwälten. Es gab in den letzten Jahren aber auch Abmahnungen, weil Bücher ohne Gewichtsangabe verkauft wurden oder irgendwelche Steuernummern im Impressum fehlten. Einzelne Aktionen dieser Art werden immer wieder für Aufregung sorgen, aber der 25.05.2018 war nicht der Startschuss für eine europaweite Abrechnung. Die Aufsichtsbehörden selbst geben sich erstaunlich gelassen. Sie sind selbst mit ihren Hausaufgaben noch nicht fertig geworden und können beispielsweise die digitale Meldung von Datenschutzbeauftragten noch nicht entgegennehmen. Sie bitten daher darum, die Datenschutzbeauftragten auch nicht auf Papier zu melden, sondern die Online-Meldemöglichkeit abzuwarten. Mit Bußgeldern muss man daher auch noch nicht rechnen.
xtrakt: Was müssen Unternehmer jetzt noch erledigen?
Jun: Wer Prioritäten setzen muss oder will, fängt bei öffentlich einsehbaren Datenschutzerklärungen an. Diese müssen auf den aktuellen Stand gebracht werden. Es gibt im Internet Online-Generatoren, die für einfache Sachverhalte passen und mit einiger Einarbeitung auch selbst angepasst werden können. Der nächste Schritt ist schon etwas aufwendiger. Jedes Unternehmen braucht Verfahrensverzeichnisse, in denen die einzelnen Datenverarbeitungsvorgänge katalogisiert werden. Wer Daten an andere Unternehmen weitergibt, sollte diese Vertragsbeziehungen genauer prüfen und Auftragsverarbeitungsverzeichnisse aufstellen oder aktualisieren. Wir sollten uns nichts vormachen: Selbst wer die unstreitigen notwendigen Maßnahmen ergreift, betreibt einen Aufwand, der so groß ist wie eine Steuererklärung. Wer hingegen alles umsetzt, was im Gesetz steht, muss sein Unternehmen so gründlich durchleuchten, als wenn er es verkaufen wollte. Das muss jeder selbst entscheiden, sollte sich aber nicht von panikverbreitenden Beratern einschüchtern lassen. Wer allerdings gar nichts unternimmt, verhält sich grob fahrlässig.
xtrakt: Danke für dieses Gespräch.