Interview mit dem Medienrechtler Prof. Dr. Stephan Ory zur neuen EU-Datenschutz-Grundverordnung
Das DHB im Gespräch mit dem Anwalt und Medienrechtler Prof. Dr. Stephan Ory aus Püttlingen zu den Auswirkungen der neuen europäischen Datenschutzgrundverordnung (DSGVO) auf Handwerksbetriebe
DHB: Worum geht es beim Datenschutz?
Ory: Für den Praktiker geht es um drei Punkte, auch wenn die jeweils ein rechtliches Eigenleben haben. Da ist der Schutz persönlicher Angaben durch zum Teil als formalistisch und übertrieben empfundene Vorgaben – aber es geht meinen Nachbarn ja wirklich nichts an, wie ich vom Handwerker mein Schlafzimmer streichen lasse. Dann geht es um Datensicherheit, an der auch der Handwerksbetrieb selbst interessiert ist – wenn die mühevoll erstellten Konstruktionspläne nach einem Angriff wie etwa durch Schadprogramme wie beispielsweise WannaCry weg sind, ist der Schaden groß. Um am Ende geht es um Investitionsschutz, denn Ihr Auftraggeber fände es unschön, wenn das neue Produkt, für das Sie ein Bestandteil bauen, vorzeitig durch ein Datenleck der Konkurrenz bekannt würde.
DHB: Was ist neu durch die europäische Datenschutz-Grundverordnung ab dem 25. Mai 2018?
Ory: Unter dem Strich ändert sich für Unternehmer in Deutschland gar nicht so sehr viel. Das Problem in der Praxis ist häufig eher, dass der Datenschutz häufig vernachlässigt wurde, weil er nicht so präsent war. Das europäische Recht gilt nun wortgleich für Handwerker in Frankreich oder Polen. Die neuen Gesetzesformulierungen haben in den vergangenen Monaten viele aufgeschreckt. Insofern ist das jetzt eine gute Gelegenheit, die eigene Geschäftspraxis auf den neuesten Stand zu bringen. Insbesondere Alt-Verträge mit anderen Unternehmen sollten dabei in Bezug auf den Datenschutz überprüft werden. Auch die Wirksamkeit von Alt-Einwilligungen ist ein Thema, das im Moment vielen Unternehmen Sorge bereitet.
DHB: Braucht jeder Handwerksbetrieb einen Datenschutzbeauftragten?
Ory: Nein, in der Regel muss ein Handwerksbetrieb keinen Datenschutzbeauftragten benennen. Bei größeren Unternehmen, in denen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personen-bezogenen Daten zu tun haben, muss man handeln. Es gibt noch andere Aufgreifkriterien. Hier gilt wie in allen Zweifelsfragen: Man sollte die individuelle Sachlage von jemand prüfen lassen, der im Thema ist.
DHB: Was müssen Handwerksbetriebe beachten?
Ory: Vielfach werden Fehler unbeabsichtigt und aufgrund ungeschickter Formulierung gemacht. Für die Durchführung von Verträgen darf man die persönlichen Daten des Kunden speichern, dann wäre eine Einwilligung unnötig und könnte sogar zur Unklarheit führen. Man muss den Kunden aber im Datenschutzhinweis informieren. Der sollte nicht mit allgemeinen Geschäftsbedingungen vermischt werden. Wichtig ist die Bindung von Daten an einen Zweck – nur dafür darf man personenbezogene Angaben nutzen und eben nicht für einen anderen, auch wenn man das so praktisch finden würde. Das sogenannte Koppelungsverbot will zum Beispiel verhindern, dass man Verträge nur dann abschließt, wenn man sich Daten einräumen lässt, die man eigentlich für diesen Zweck gar nicht braucht.
DHB: Was gilt bei Mails und Webseiten?
Ory: Für E-Mails und Newsletter braucht man in bestimmten Fällen eine Einwilligung, bei der unaufgeforderten telefonischen Werbung ist eine solche sogar regelmäßig nötig. Und ein Newsletter muss immer die Möglichkeit zum Abbestellen haben. Auf der Website sind je nach Angebot besondere Pflichten zu beachten – die Datenschutzerklärung ist hier ein sehr wichtiges Thema. Häufig werden auf der eigenen Webseite mehr Daten verarbeitet als der Webseitenbetreiber denkt – ob man Kontaktformulare zur Verfügung stellt, im Hintergrund Analyse-Tools laufen oder auch nur der Hoster ganz selbstverständlich Server-Logfiles zu Fehlerbehebungszwecken speichert. Manches überschneidet sich mit anderen Transparenzverpflichtungen oder Widerrufsrechten.
DHB: Wie soll ein Handwerksbetrieb da den Überblick behalten?
Ory: Richtig, dass kann verzwickt werden im Detail, allen Transparenzvorschriften aus Datenschutz, Verbraucherschutz und je nach Gewerk aus Sicherheitsgesichtspunkten gerecht zu werden. Deshalb sollte man jetzt die Gelegenheit wahrnehmen, Formulare, Hinweise und Texte auf Webseiten überprüfen zu lassen. Wenn man am Geschäftsmodell etwas ändert – etwa einen Shop im Web anbietet, sollte man das aus diesem Anlass dann später noch einmal machen lassen. Oft passieren Fehler, wenn man eben mal am Wochenende Formulare oder Webseiten bei diesen kritischen Punkten umbaut.
DHB: Was sind die wesentlichen Rechte, die Kunden gegenüber Handwerksbetrieben haben?
Ory: Zu beachten sind die Informationspflichten, also die Beschreibung welche Daten warum und auf welcher Grundlage benutzt werden. Jeder hat ein Auskunftsrecht über die Daten, die im Betrieb über ihn gespeichert oder sonst wie verarbeitet werden. Falsche Daten sind zu berichtigen, nicht mehr benötigte Angaben zu löschen. Bei schwerwiegendem Datenverlust sind Behörden und Betroffene zu informieren – etwa wenn Kreditkartenangaben gehackt werden. In einer Reihe von gesetzlichen Rechtfertigungsgründen für die Datenverarbeitung gibt es Widerspruchsrechte, meist als Opt Out bezeichnet. Widerrufsrechte stehen hinsichtlich einer zuvor erteilten Einwilligung etwa für Werbeanrufe.
DHB: Welche Konsequenzen drohen, wenn man sich nicht an den Datenschutz hält?
Ory: Meist hört man von horrenden Bußgeldern, die die Datenschutzbehörde erlassen darf. Das ist richtig, aber auch da wird sich für den Handwerker gegenüber bisher nicht allzu viel ändern. Die hohen Millionenbeträge richten sich an die großen Internetplattformen. Für den gewerblichen Bereich sind vielmehr die sonstigen Durchsetzungsmöglichkeiten gefährlich. Sowohl Verbraucherschützer als auch Konkurrenten im Rahmen von UWG-Klagen könnten Verstöße gegen Transparenzgebote, Datenschutz oder Verbraucherschutz aufgreifen. Es sind auch Schadenersatzansprüche der betroffenen Personen denkbar, zu deren Nachteil ein Verstoß passiert.
DHB: Was empfehlen Sie Handwerksbetrieben, in welcher Reihenfolge soll jetzt was getan werden?
Ory: Schritt eins ist die Aufstellung, welche Datentöpfe man wofür eigentlich nutzt – bislang als Verfahrensverzeichnisse bezeichnet. Das schließt ein, woher die Daten kommen, was die Rechtsgrundlage dafür ist und wann die Daten gelöscht werden, wenn ihr Zweck erfüllt ist. Schritt zwei ist die Prüfung, ob die Datenschutzhinweise dafür korrekt sind und ob gesetzliche Rechtfertigungsgründe ausreichen oder man eine Einwilligung benötigt. Schritt drei im Fall der notwendigen Einwilligung ist die Prüfung, ob die richtig formuliert ist und auch dokumentiert werden kann. Schritt vier ist der Bereich Datensicherheit und die Prüfung, ob die Firewall stimmt und die Software auf dem neuesten Stand ist, so dass bekannte Angriffe ausgeschlossen sind. Am Ende geht es um die Schulung der Mitarbeiter, damit niemand am Telefon sensible Daten ausplappert, keine Passwörter mit Klebezettel am Bildschirm hängen und es einen Notfallplan gibt, wenn der Computer spinnt, weil ein Angriff wie damals bei WannaCry die Festplatte verschlüsselt. Gerade das zeigt, dass es trotz aller Fallstricke nicht um lästige Formalien geht, sondern um den eigenen Schutz des Handwerkers und darum, dem Kunden Qualität abzuliefern. Der verantwortliche Umgang mit persönlichen Daten und vertraulichen Informationen wird von Kunden als Qualitätsmerkmal verstanden.
DHB: Worum geht es beim Datenschutz?
Ory: Für den Praktiker geht es um drei Punkte, auch wenn die jeweils ein rechtliches Eigenleben haben. Da ist der Schutz persönlicher Angaben durch zum Teil als formalistisch und übertrieben empfundene Vorgaben – aber es geht meinen Nachbarn ja wirklich nichts an, wie ich vom Handwerker mein Schlafzimmer streichen lasse. Dann geht es um Datensicherheit, an der auch der Handwerksbetrieb selbst interessiert ist – wenn die mühevoll erstellten Konstruktionspläne nach einem Angriff wie etwa durch Schadprogramme wie beispielsweise WannaCry weg sind, ist der Schaden groß. Um am Ende geht es um Investitionsschutz, denn Ihr Auftraggeber fände es unschön, wenn das neue Produkt, für das Sie ein Bestandteil bauen, vorzeitig durch ein Datenleck der Konkurrenz bekannt würde.
DHB: Was ist neu durch die europäische Datenschutz-Grundverordnung ab dem 25. Mai 2018?
Ory: Unter dem Strich ändert sich für Unternehmer in Deutschland gar nicht so sehr viel. Das Problem in der Praxis ist häufig eher, dass der Datenschutz häufig vernachlässigt wurde, weil er nicht so präsent war. Das europäische Recht gilt nun wortgleich für Handwerker in Frankreich oder Polen. Die neuen Gesetzesformulierungen haben in den vergangenen Monaten viele aufgeschreckt. Insofern ist das jetzt eine gute Gelegenheit, die eigene Geschäftspraxis auf den neuesten Stand zu bringen. Insbesondere Alt-Verträge mit anderen Unternehmen sollten dabei in Bezug auf den Datenschutz überprüft werden. Auch die Wirksamkeit von Alt-Einwilligungen ist ein Thema, das im Moment vielen Unternehmen Sorge bereitet.
DHB: Braucht jeder Handwerksbetrieb einen Datenschutzbeauftragten?
Ory: Nein, in der Regel muss ein Handwerksbetrieb keinen Datenschutzbeauftragten benennen. Bei größeren Unternehmen, in denen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personen-bezogenen Daten zu tun haben, muss man handeln. Es gibt noch andere Aufgreifkriterien. Hier gilt wie in allen Zweifelsfragen: Man sollte die individuelle Sachlage von jemand prüfen lassen, der im Thema ist.
DHB: Was müssen Handwerksbetriebe beachten?
Ory: Vielfach werden Fehler unbeabsichtigt und aufgrund ungeschickter Formulierung gemacht. Für die Durchführung von Verträgen darf man die persönlichen Daten des Kunden speichern, dann wäre eine Einwilligung unnötig und könnte sogar zur Unklarheit führen. Man muss den Kunden aber im Datenschutzhinweis informieren. Der sollte nicht mit allgemeinen Geschäftsbedingungen vermischt werden. Wichtig ist die Bindung von Daten an einen Zweck – nur dafür darf man personenbezogene Angaben nutzen und eben nicht für einen anderen, auch wenn man das so praktisch finden würde. Das sogenannte Koppelungsverbot will zum Beispiel verhindern, dass man Verträge nur dann abschließt, wenn man sich Daten einräumen lässt, die man eigentlich für diesen Zweck gar nicht braucht.
DHB: Was gilt bei Mails und Webseiten?
Ory: Für E-Mails und Newsletter braucht man in bestimmten Fällen eine Einwilligung, bei der unaufgeforderten telefonischen Werbung ist eine solche sogar regelmäßig nötig. Und ein Newsletter muss immer die Möglichkeit zum Abbestellen haben. Auf der Website sind je nach Angebot besondere Pflichten zu beachten – die Datenschutzerklärung ist hier ein sehr wichtiges Thema. Häufig werden auf der eigenen Webseite mehr Daten verarbeitet als der Webseitenbetreiber denkt – ob man Kontaktformulare zur Verfügung stellt, im Hintergrund Analyse-Tools laufen oder auch nur der Hoster ganz selbstverständlich Server-Logfiles zu Fehlerbehebungszwecken speichert. Manches überschneidet sich mit anderen Transparenzverpflichtungen oder Widerrufsrechten.
DHB: Wie soll ein Handwerksbetrieb da den Überblick behalten?
Ory: Richtig, dass kann verzwickt werden im Detail, allen Transparenzvorschriften aus Datenschutz, Verbraucherschutz und je nach Gewerk aus Sicherheitsgesichtspunkten gerecht zu werden. Deshalb sollte man jetzt die Gelegenheit wahrnehmen, Formulare, Hinweise und Texte auf Webseiten überprüfen zu lassen. Wenn man am Geschäftsmodell etwas ändert – etwa einen Shop im Web anbietet, sollte man das aus diesem Anlass dann später noch einmal machen lassen. Oft passieren Fehler, wenn man eben mal am Wochenende Formulare oder Webseiten bei diesen kritischen Punkten umbaut.
DHB: Was sind die wesentlichen Rechte, die Kunden gegenüber Handwerksbetrieben haben?
Ory: Zu beachten sind die Informationspflichten, also die Beschreibung welche Daten warum und auf welcher Grundlage benutzt werden. Jeder hat ein Auskunftsrecht über die Daten, die im Betrieb über ihn gespeichert oder sonst wie verarbeitet werden. Falsche Daten sind zu berichtigen, nicht mehr benötigte Angaben zu löschen. Bei schwerwiegendem Datenverlust sind Behörden und Betroffene zu informieren – etwa wenn Kreditkartenangaben gehackt werden. In einer Reihe von gesetzlichen Rechtfertigungsgründen für die Datenverarbeitung gibt es Widerspruchsrechte, meist als Opt Out bezeichnet. Widerrufsrechte stehen hinsichtlich einer zuvor erteilten Einwilligung etwa für Werbeanrufe.
DHB: Welche Konsequenzen drohen, wenn man sich nicht an den Datenschutz hält?
Ory: Meist hört man von horrenden Bußgeldern, die die Datenschutzbehörde erlassen darf. Das ist richtig, aber auch da wird sich für den Handwerker gegenüber bisher nicht allzu viel ändern. Die hohen Millionenbeträge richten sich an die großen Internetplattformen. Für den gewerblichen Bereich sind vielmehr die sonstigen Durchsetzungsmöglichkeiten gefährlich. Sowohl Verbraucherschützer als auch Konkurrenten im Rahmen von UWG-Klagen könnten Verstöße gegen Transparenzgebote, Datenschutz oder Verbraucherschutz aufgreifen. Es sind auch Schadenersatzansprüche der betroffenen Personen denkbar, zu deren Nachteil ein Verstoß passiert.
DHB: Was empfehlen Sie Handwerksbetrieben, in welcher Reihenfolge soll jetzt was getan werden?
Ory: Schritt eins ist die Aufstellung, welche Datentöpfe man wofür eigentlich nutzt – bislang als Verfahrensverzeichnisse bezeichnet. Das schließt ein, woher die Daten kommen, was die Rechtsgrundlage dafür ist und wann die Daten gelöscht werden, wenn ihr Zweck erfüllt ist. Schritt zwei ist die Prüfung, ob die Datenschutzhinweise dafür korrekt sind und ob gesetzliche Rechtfertigungsgründe ausreichen oder man eine Einwilligung benötigt. Schritt drei im Fall der notwendigen Einwilligung ist die Prüfung, ob die richtig formuliert ist und auch dokumentiert werden kann. Schritt vier ist der Bereich Datensicherheit und die Prüfung, ob die Firewall stimmt und die Software auf dem neuesten Stand ist, so dass bekannte Angriffe ausgeschlossen sind. Am Ende geht es um die Schulung der Mitarbeiter, damit niemand am Telefon sensible Daten ausplappert, keine Passwörter mit Klebezettel am Bildschirm hängen und es einen Notfallplan gibt, wenn der Computer spinnt, weil ein Angriff wie damals bei WannaCry die Festplatte verschlüsselt. Gerade das zeigt, dass es trotz aller Fallstricke nicht um lästige Formalien geht, sondern um den eigenen Schutz des Handwerkers und darum, dem Kunden Qualität abzuliefern. Der verantwortliche Umgang mit persönlichen Daten und vertraulichen Informationen wird von Kunden als Qualitätsmerkmal verstanden.