Peter Hammerschmidt, Präsident der Wirtschaftsgemeinschaft, begrüßte mehr Gewerbetreibende als bei der jüngsten Jahreshauptversammlung ©Foto: Rainer Sander | nh24
Vortrag vom Rechtsanwalt
BAUNATAL Die EU setzt zum 25. April 2018 mit der Datenschutzgrundverordnung die Vereinheitlichung des Datenschutzes um. Die sicherlich gravierendste Veränderung im Datenschutz seit er gesetzlich geregelt ist.
Damit die Baunataler Gewerbebetriebe gewappnet sind, hatte die Wirtschaftsgemeinschaft für Montagabend zu einer Informationsveranstaltung mit Rechtsanwalt Sascha John aus Göttingen eingeladen. Wie interessant und wichtig das Thema ist, konnte Peter Hammerschmidt, Präsident der Wirtschaftsgemeinschaft Baunatal, schon daran erkennen, dass ungefähr doppelt so viele Mitglieder gekommen waren, wie zur letzten Jahreshauptversammlung.
„Das schöne ist“, begann der Jurist seinen Vortrag, „es gibt noch kein einziges Urteil dazu.“ Es ist tatsächlich noch vieles unsicher und im Grunde kehrt das Gesetz das aktuelle Recht um. Die Verordnung ist unmittelbar bindendes Recht und zwar ab 25. Mai. Sie macht das Bundesdatenschutzgesetz nicht überflüssig, das regelt dann aber nur noch die europäisch nicht vereinheitlichten Punkte.
„Datenschutz ist nicht sexy…“
Der neue Grundsatz ist ganz einfach: Es ist beim Datensammeln alles verboten, was nicht erlaubt ist. Ohne plausiblen Grund gibt es also zukünftig keine rechtliche Absicherung mehr für das Speichern personenbezogener Daten. Auch die IP Adresse von Besuchern auf einer Internetseite darf nicht mehr gespeichert werden, ohne dass dafür auf derselben Internetseite auch ein Grund angegeben wird. Und so ein Grund darf auch nicht einfach verändert werden, wenn eine Einwilligung vorliegt.
Rechtsanwalt Sascha John aus Göttingen referiert ©Foto: Rainer Sander | nh24
Vorbei sind also die Zeiten, in denen Internet-Anbieter ihren Datenschutz immer wieder lockern und stilles Einverständnis voraussetzen, wenn kein Widerspruch erfolgt. Zukünftig muss dann erneut eine Einverständniserklärung abgegeben werden. Für eine Einwilligung gilt grundsätzlich, dass sie freiwillig ist, dass darüber informiert wird, dass die Daten um die es geht bestimmt sind und dass sie jederzeit widerruflich ist.
„Datenschutz ist nicht sexy“, sagte Sascha John. Besonderen Schutz genießen Gesundheitsdaten und hier ist die Definition, was darunter fällt ausgesprochen weit gesteckt: auch Fotos mit Brille sind möglicherweise bereits Gesundheitsdaten, schließlich verraten sie eine Sehschwäche. Dürfen also Bewerbungsfotos noch abgespeichert werden? Das wird vermutlich irgendwann ein Gericht zu klären haben.
Es ist nicht alles verboten!
Rechtmäßig ist es immer dann, Daten zu sammeln, wenn gleichzeitig eine Pflicht dafür vorliegt. Unternehmen unterliegen der Buchführungspflicht und müssen diese Daten mindestens zehn Jahre aufbewahren. Also dürfen auch Belege mit personenbezogenen Daten abgespeichert werden.
Damit in jedem Unternehmen eine Person über die Einhaltung der Richtlinie wacht, ist ab neun Mitarbeitern – einschließlich Geschäftsführer – ein Datenschutzbeauftragter zu benennen. Dieser muss geschult werden, darf weder in der IT-Administration oder der Geschäftsführung arbeiten und durch seine Funktion nicht in Konflikt geraten. Wer überhaupt keine Daten speichert, ist aus der Nummer raus, wer sensible Daten verarbeitet oder wenn die Verarbeitung der Unternehmenszweck ist, muss auch bei weniger als neun Beschäftigten der Datenschutz ran.
Hier entsteht eine ganz neue Branche, externe Datenschutzbeauftragte bieten sich bereits an.
Die Datenschutzerklärung
Wer über seine Internetseite Daten sammelt, muss in einer Datenschutzerklärung alles aufführen, was dort passiert oder analysiert wird. In jedem datensammelnden Betrieb muss ein Verzeichnis aller Verarbeitungstätigkeiten vorhanden sein. Betriebe unter 250 Mitarbeitern können verzichten, aber dann nicht, wenn sie Daten speichern müssen und das ist schließlich bereits bei einer Kundendatei der Fall.
Auch hier wird es neue Geschäftsfelder geben: Abmahnvereine werden sich genau auf dieses Thema stürzen, denn bis zum 25. Mai werden mitnichten alle Internetseiten aktualisiert und die Firmen alle Bedingungen erfüllt haben.
Datenschutz ist Wettbewerbsschutz
Wichtig, so John, ist der Umstand, dass bei Unternehmen eine Verletzung des Datenschutzes auch immer eine Verletzung des Wettbewerbsrechtes ist. Es kann also fürchterlich teuer werden, wenn Wettbewerber Verstöße entdecken. Und es wird Suchmaschinen im Internet geben, die genau bei dieser Geschäftsidee Hilfestellung leisten.
Daten übertragen
Jeder, dessen Daten gespeichert werden, darf darüber auch Auskunft verlangen, die Daten sehen, sie löschen lassen oder einschränken. Ganz wichtig: er darf auch die Übertragung der Daten verlangen! Und damit wird es spannend selbst Facebook müsste die Daten an ein anderes soziale Netzwerk übertragen, wenn der Nutzer dies wünscht, natürlich auch jeder Handwerker seine Kundendaten an die Konkurrenz…
An einem solchen Punkt wird die Tragweite der gesetzlichen Änderung sehr plastisch. Ein paar praktische Dinge sind zukünftig auf jeden Fall nicht mehr erlaubt:
- Großer Mailverteiler im CC
- Gesundheitsdaten im Mitarbeiteraushang (also keine Fotos mehr mit Brille)
- Diensthandy ohne Zugangssperre
- Bewerbungen im offenen Mailordner
- kein geschützter Zugriff auf dienstliche PC
- Laptop-Nutzung im Zug (wenn alle auf den Bildschirm sehen können)
- Fehlende Sicherheitsupdates
- Fehlende Datenverschlüsselung des Kontaktformulars
Bußgelder drohen
Bis zu 20 Millionen Euro oder 4 Prozent des Weltjahresumsatzes drohen großen Online-Konzernen. Die Verhältnismäßigkeit und die Wirksamkeit eines Bußgeldes müssen aber immer gegeben sein. Ein paar Hundert oder Tausend Euro werden es allerdings auch bei kleineren Verstößen mittelständischer Unternehmen schon sein.
Also: die Wettbewerber werden bald die größten Feinde sein, Suchmaschinen werden nach den Stichworten Datenschutzerklärung und Datenschutzgrundverordnung suchen, es wird Massenabmahnungen geben und viele, die meinen es dürfe nichts mehr gespeichert werden, werden die Hotlines und Kundendienst-Mitarbeiter in ihrer Zeit so lange binden, bis einigermaßen Routine eingekehrt ist.
Großes Interesse in der Diskussion
Voller Veranstaltung-Saal in der Stadthalle ©Foto: Rainer Sander | nh24
Großes Interesse gab es in der anschließenden Diskussion und dabei behaupten noch einige spannende Fragen auf. Darf man Daten in einer Cloud im außereuropäischen Ausland speichern? Nur dann, wenn die Daten dort so sicher sind, wie in der EU. Darüber müsste dann ein Vertrag bestehen. In Amerika könnte die Sicherheit schon deshalb gefährdet sein, weil die Daten dort grundsätzlich den Geheimdiensten zur Verfügung stehen müssen.
Nur eines schien am Ende sicher: Es besteht Beratungsbedarf und selbst ein kleines Unternehmen kommt ohne externe Hilfe kaum rechtssicher im neuen Datenschutz zu Recht. (rs)
Wegzehrung für den Heimweg nach Niedersachsen: Peter Hammerschmidt und Sascha John aus Göttingen ©Foto: Rainer Sander | nh24