Die DSGVO: ein ungemütliches Thema. Obwohl sie schon lange angekündigt war, kam sie für viele doch überraschend und manchmal erscheint sie uns sogar jetzt noch wie eine unüberwindbare Aufgabe. Jan-Hendrik Mammen, Krsitin Benedikt und Alexander Buckel haben mit ihrem Buch „DSGVO und ePrivacy-VO auf Websites umsetzten“ Licht ins Dunkel gebracht und machen die DSGVO für jedermann verständlich. Alle drei Autoren sind beim Bayerischen Landesamt für Datenschutzaufsicht beschäftigt. Ihr Werk unterscheidet sich durch Checklisten und einem Fragen-Antwort-Aufbau des Textes von anderen Sachbüchern zum Thema Datenschutz. Wir haben sie interviewt und einige Fragen zur Thematik und ihrem Buch gestellt:
Die Autoren des Buches: Alexander Buckel, Jan Hendrik Mammen und Kristin Benedikt
Das Inkrafttreten der DSGVO ist bereits einige Monate her. Warum ist die Thematik immer noch aktuell?
Erst mit dem Start der DSGVO am 25.05.2018 wurde vielen Unternehmen bewusst, dass Datenschutz kein Thema ist, das man „mal nebenbei“ behandeln und schnell abhaken kann. Denn der Datenschutz muss auch bei kleinen Betrieben richtig angegangen und umgesetzt werden. Leider haben geschätzte 90% der Unternehmen die zweijährige Umsetzungszeit zur DSGVO nicht oder nur kaum genutzt und stehen jetzt deshalb relativ unvorbereitet vor der Herausforderung, Vorgaben eines schwer verständlichen Gesetzes selbst umsetzen zu müssen. Die DSGVO ist an den meisten Stellen sehr abstrakt gehalten, weshalb Unternehmen oft Hilfestellung zur Interpretation und konkreten Umsetzung benötigen.
Hinzu kommt, dass trotz eines halben Jahres seit Anwendung der DSGVO, kaum Rechtsprechung existiert. Hierdurch könnte in manchen Fällen Sicherheit geschaffen werden und klar werden, welche Datenverarbeitungen zulässig oder unzulässig wären. Im Gegenteil verunsichern die wenigen Urteile, die bereits gefällt wurden, die Unternehmen noch weiter: Zum Beispiel hat der Europäische Gerichtshof entschieden, dass bei Einsatz von Facebook Fanpages das jeweilige Unternehmen gemeinsam mit Facebook für die Datenverarbeitung verantwortlich ist – mit allen rechtlichen Konsequenzen. Was das im Alltag konkret bedeutet, wissen viele Unternehmen nicht.
Gleichzeitig versuchen immer noch viele Scharlatane erfolgreich, durch Panikmache bezüglich Abmahnungen und existenzbedrohenden Bußgeldern eine Drohkulisse aufzubauen, um gerade bei kleinen Betrieben Kasse machen zu können.
Dies alles führt dazu, dass uns das Thema Datenschutz bzw. DSGVO in Europa höchstwahrscheinlich auch noch die nächste Zeit intensiv beschäftigen wird.
Auf welche Bereiche bzw. Themen sollten KMUs besonders im Rahmen der DSGVO achten?
Das Wichtigste ist, die eigenen Prozesse und Verarbeitungen im Unternehmen zu kennen. KMUs, aber auch Einzelunternehmer, sollten sich deshalb auf das Wesentliche konzentrieren: Wo verarbeiten sie überhaupt personenbezogene Daten? Zu welchem Zweck? Meist handelt es sich um Kundendaten und Beschäftigtendaten, und die Verarbeitungsprozesse sind dabei recht überschaubar.
Da durch die DSGVO auch viele Bürger, d. h. betroffene Personen, hinsichtlich ihrer eigenen Rechte sensibilisiert wurden, sollten KMUs auf alle Fälle gerade die Bereiche ihrer Datenverarbeitung rechtlich und technisch sauber ausgestalten, die auch „von außen“ Kunden und Behörden ersichtlich sind. Ein zentrales Thema ist daher die Website jedes Unternehmens, da diese das digitale Aushängeschild darstellt und von jedem eingesehen und dadurch auch hinsichtlich der korrekten Umsetzung der gesetzlichen Vorgaben geprüft werden kann.
Was passiert bei einer Missachtung der Richtlinien?
Verstößt ein Unternehmen gegen die Datenschutzvorgaben, drohen unterschiedliche Konsequenzen. Kunden können sich beschweren, ihr Recht auf Auskunft geltend machen und womöglich Schadensersatz fordern. Was dabei gerade für KMUs ärgerlich sein dürfte, ist der Imageschaden, wenn ein Verstoß bei der Presse aufschlägt. Denn nach dem Vertrauens- und Imageverlust werden sich wahrscheinlich auch viele Kunden verabschieden.
Die Aufsichtsbehörden dagegen haben durch die DSGVO einen neuen, unheimlich großen Bußgeldspielraum erhalten. Sie können nun Bußgelder auch im Millionenbereich verhängen, was aber gerade für KMUs überhaupt nicht realistisch ist. Bislang gibt es in ganz Europa kaum Sanktionen wegen Verstöße gegen die DSGVO. Allerdings fängt es jetzt gerade an, dass erste Bußgelder wegen unterschiedlichen Verstößen ausgesprochen werden. In Portugal wurde beispielsweise schon die Summe von 400.000 EUR in einem Verfahren gegen ein Krankenhaus verhängt.
Ab spätestens Anfang nächstes Jahr ist damit zu rechnen, dass auch in Deutschland verstärkt über Bußgelder gesprochen wird. Jetzt, Ende des Jahres 2018, hat bspw. das Bayerische Landesamt für Datenschutzaufsicht mit den ersten flächendeckenden Prüfungen nach neuem Recht begonnen. So wurden schon hunderte Websites in Bayern hinsichtlich ihres Content Management Systems und eingesetzten Online-Shops kontrolliert und dabei diejenigen angeschrieben, die unsichere und veraltete Software einsetzten. Sollte sich Websitebetreiber weigern, einen geeigneten Zustand zum Schutz der Nutzerdaten herzustellen oder einfach nicht auf die Behörde reagieren, wird die Bußgeldstelle der Aufsicht sicher nicht untätig bleiben.
Ein Unternehmer, der eine eigene Website betreibt, muss sich im Hinblick auf die DSGVO vielen Herausforderungen stellen. Welche sind das?
Wir sind der Meinung, dass gerade für KMUs die Anforderungen der DSGVO überschaubar sind. Man darf nicht vergessen, dass einige der gesetzlichen Vorgaben bereits unter dem „alten“ Bundesdatenschutzgesetz (BDSG) für Unternehmen verpflichtend waren – viele hatten dies einfach nicht auf dem Schirm.
Zentrale Herausforderung für Websites ist es, eine verständliche, aber vollständige Datenschutzerklärung anzubieten. Meist sind diese Texte völlig überladen und beinhalten Falschangaben oder sie sind von einem Online-Muster eins-zu-eins kopiert, was nicht ausreichend ist.
Aber auch die Sicherheit der Websites spielt eine immer größere Rolle: Nach der DSGVO sind die Unternehmen verpflichtet, einen sicheren Betrieb der Website zu gewährleisten. Immer häufiger aufkommende Presseberichte über erfolgreiche Cyberattacken machen dies deutlich. Gerade wenn Websites über Formulare, z. B. zur Kontaktaufnahme oder Terminvereinbarung, verfügen, einen Shop haben oder Nutzer-Accounts anbieten, sind diese besonders attraktive Ziele für Cyberattacken.
Wie können eventuelle Hürden überwunden werden?
Wichtig ist für jeden Websitebetreiber, dass er nicht blind durch „copy/paste“ eine Datenschutzerklärung von einem Muster ungeprüft kopiert. Jede Datenschutzerklärung muss für die jeweilige Website maßgeschneidert sein. Natürlich kann man sich an Mustern und Vorlagen orientieren und einige Elemente übernehmen, jedoch nie ohne sie an die eigenen Gegebenheiten anzupassen.
Aus Gründen der Sicherheit ist bei Websites einiges zu beachten: Von der richtigen HTTPS-Konfiguration über ein geeignetes Backupkonzept bis hin zum passendem Patch Management, um Sicherheitsupdates einzuspielen. Zum Glück werden die meisten dieser Punkte von Unternehmen auch im eigenen Interesse umgesetzt, damit die eigene wirtschaftliche Existenz nicht gefährdet wird.
Am besten verfolgt man regelmäßig Veröffentlichungen von Behörden oder liest Fachbücher, die alle wesentlichen Informationen zusammenfassen.
Buchcover
Sie haben ein Buch zur DSGVO und zur ePrivacy-Verordnung veröffentlicht. An welche Lesergruppe richtet sich das Werk?
Wir haben selbst sehr viele Fachbücher zur DSGVO gelesen und merkten dabei recht schnell, dass fast jedes dieser Bücher ausschließlich für Datenschutzexperten und Rechtsanwälte geschrieben war. Gleichzeitig waren die Autoren entweder fachfremd und haben gewagte Aussagen getroffen, oder die Autoren waren so tief im Thema eingearbeitet, dass sie aus unserer Sicht nicht in der Lage waren, ihr Wissen verständlich auch an den Leser zu vermitteln, der nicht die Zeit hat, alles zum Datenschutz zu verfolgen.
Wir haben uns daher gedacht: Wir drehen den Spieß um. Als Datenschutzexperten mit langjähriger Datenschutzerfahrung aus einer europäischen Aufsichtsbehörde richten wir uns an alle, die irgendwie mit Websites zu tun haben oder dafür verantwortlich sind. Somit ist unser Buch für alle Webmaster, Developer und Designer, Blogger, Datenschutzbeauftragte, Geschäftsführer, Vereinsvorstände, Studenten, Mitarbeiter aus IT und Marketing sowie alle anderen, die mit Websites zu tun haben, geschrieben worden, damit diese Praxistipps für die eigene Website erhalten.
Was zeichnet ihr Buch besonders aus?
Wir haben im Buch den Ansatz verfolgt, stets praxisnah und lösungsorientiert zu schreiben. Man muss also weder Jurist noch Datenschutz-Crack sein, um das Geschriebene zu verstehen. Wir denken, gerade das macht das Buch als Datenschutzlektüre einzigartig.
Damit das Buch einen starken Praxisbezug hat, führt es durch eine kleine Geschichte rund um den fiktiven Charakter „Mike“. Der Leser begleitet Mike durch seinen Alltag als Webmaster. Mike möchte als neuer Mitarbeiter im Unternehmen alles richtig machen, stößt aber auf viele ungeklärte Fragen zum Thema Datenschutz bei Websites. Gemeinsam mit Mike lernt der Leser dann in leicht verständlichen Schritten die datenschutzrechtlichen Anforderungen für Websites kennen.
Das Buch besteht im Hauptteil daher aus einem Frage-und-Antwort-Teil. Wir liefern als Autoren die jeweils passenden, rechtlich geprüften Antworten mit exklusiven Insider-Kenntnissen aus den EU-Datenschutzaufsichtsbehörden. Zahlreiche Best Practices zur DSGVO, Ausblicke zur ePrivacy-Verordnung sowie Checklisten zur Eigenanwendung sollen dem Leser dabei konkrete Hilfestellungen zur einfachen und schnellen Umsetzung der DSGVO geben.
Alleinstellungsmerkmal ist sicher, dass wir nicht nur auf die DSGVO Bezug nehmen, sondern bereits die ePrivacy-Verordnung thematisieren. Uns war das besonders wichtig, denn wir wollten keine Antworten oder Empfehlungen geben, die vielleicht in einem halben Jahr nicht mehr aktuell sind. Stattdessen versuchen wir Websitebetreibern Tipps zu geben, wie sie sich bereits jetzt mit wenig Aufwand darauf vorbereiten können.
Können Sie uns einen kurzen Ausblick auf die ePrivacy-Verordnung geben? Was beinhaltet sie und was löst sie aus?
Unternehmen haben unserer Wahrnehmung nach die ePrivacy-Verordnung (ePrivacy-VO) bislang überhaupt nicht auf dem Radar, auch wenn viele von ihr betroffen sein werden. Unser Motto ist seit langem: Nach der DSGVO ist vor der ePrivacy-VO. Die ePrivacy-VO ist schließlich seit zwei Jahren in der Diskussion und mittlerweile in den finalen Entwurfsfassungen. Es ist damit zu rechnen, dass sie 2019 oder spätestens 2020 kommen wird.
Die ePrivacy-VO wird ein Regelwerk, das die DSGVO ergänzt und näher spezifiziert. Sie befasst sich hauptsächlich mit der Kommunikation über das Internet, insbesondere mit den Themen Tracking, Werbung und Einwilligung. Somit steht fest: Sie wird wesentliche Bereiche im Internet für die EU neu regeln. Aus diesem Grund wollen wir durch unser Buch frühzeitig über diese Themen berichten und sensibilisieren, damit Unternehmen keine wertvolle Zeit verlieren und sich rechtzeitig vorbereiten können.
Vielen Dank für das Interview!
Ihr wollt das Buch?
