Rechtsanwältin Dr. Franziska Wahedi im Interview mit on-collect
Wie lange darf sich ein Unternehmen Zeit lassen für die Beantwortung eines Auskunftsbegehrens?
Das ist nicht ganz klar geregelt. In der DSGVO heißt es: „unverzüglich, spätestens innerhalb eines Monats“. Manche Gerichte haben entschieden, dass das bedeutet, dass es eine Frist von einem Monat gibt, die es zu wahren gilt.
Es gibt aber auch Stimmen, die sagen, dass es sich bei der Monatsfrist um eine maximale Frist handelt, die allenfalls in komplexen Fällen ausgereizt werden darf und dass in einfachen oder normalen Fällen ausschließlich die Frist „unverzüglich“ zum Tragen kommt.
Im deutschen Recht bedeutet „unverzüglich“ nicht, dass man sofort tätig werden muss, aber dass man nicht schuldhaft zögern darf. Hiernach hätte man wohl je nach Fall so ca. eine Woche für die Beantwortung Zeit. Da diese Frage noch nicht klar geregelt ist, bietet es sich an, das Auskunftsbegehren so schnell wie möglich zu beantworten.
Im Webinar am 24.04. gehe ich auf dieses Thema konkret ein.
Macht sich ein Unternehmen schadensersatzpflichtig, wenn es die Auskunft nicht erteilt?
Damit ein Schadensersatzanspruch bestehen kann, muss es einen Verstoß gegen die DSGVO geben und einen Schaden. Wenn die Auskunft nicht rechtzeitig erteilt wurde, so liegt ein DSGVO-Verstoß vor. Ob automatisch ein Schaden entsteht, beispielsweise in Form einer Beeinträchtigung des Persönlichkeitsrechts, nur weil die Auskunft zu spät erteilt wurde, ist nicht ganz geklärt. Unter den Gerichten herrscht diesbezüglich keine Einigkeit
Ist ein Hacking-Angriff ebenfalls als Datenschutzvorfall einzustufen?
Eine Datenschutzvorfall liegt immer dann vor, wenn der Schutz von personenbezogenen Daten verletzt ist und das Unternehmen dieses auch erkannt hat.
Da bei einem Hacking-Angriff meistens auch Daten abgegriffen werden, wird es sich sehr häufig um einen Datenschutzvorfall handeln.
Wenn eine solche Verletzung des Schutzes personenbezogener Daten vorliegt, bedeutet das im Regelfall, dass man dies der Datenschutzbehörde melden muss. Dies sagt aber noch nichts darüber aus, was anschließend passiert. Insbesondere heißt ein Datenschutzverstoß noch nicht per se, dass es zu einem Bußgeld kommen wird.
Wie lange hat man für diese Meldung an die Datenschutzbehörde Zeit?
Im Grundsatz 72 Stunden. Es gibt ein paar Ausnahmen, etwa wenn dazwischen ein Wochenende oder ein Feiertag liegt oder es gute Gründe für die Verzögerung gibt.
Man sollte sich hier also immer beeilen. Die 72 Stunden einzuhalten dürfte fast unmöglich sein, wenn man die MitarbeiterInnen nicht vorher geschult hat, was in einem solchen Fall zu tun ist, welche Informationsketten eingehalten werden müssen, welcher Mitarbeiter welchen Vorgesetzten informiert etc.
Wie kann ein Unternehmer seine Mitarbeiter sensibilisieren, richtig mit Datenschutzvorfällen umzugehen, bzw. diese überhaupt als solche zu erkennen?
Wichtig ist es, überhaupt erstmal eine Sensibilität für das Thema zu schaffen und den Mitarbeitern in der täglichen Arbeit bewusst zu machen, wo überall Fallstricke liegen können. Häufig helfen Anwendungsbeispiele, die konkret auf das Unternehmen zugeschnitten sind, um Fehlern vorzubeugen.
Es gibt in diesem Bereich auch Onlineschulungen. Möglich ist es zum Beispiel, jeden Mitarbeiter, der neu in das Unternehmen hinzukommt, zu verpflichten, eine solche Online-Schulung zu durchlaufen.
Je nach Größe des Unternehmens kann es sich auch anbieten, möglicherweise ab und zu „Fallen“ zu stellen, um zu schauen, ob genug Sensibilität bei den Mitarbeitenden vorhanden ist, um nicht hineinzutappen. Wer einmal glaubt, einen Datenschutzverstoß begangen zu haben, ist wahrscheinlich beim nächsten Mal vorsichtiger – auch, wenn es sich nicht um einen echten Datenschutzverstoß gehandelt hat, sondern nur um eine „Falle“. Oder man setzt eher auf positive Belohnung – jeder, der nicht in die Falle getappt ist, erhält beispielsweise eine Tafel Schokolade.
Datenschutz wird von vielen Unternehmen / Geschäftsführern auf externe Datenschutzbeauftragte ausgelagert. Sind sie damit im Haftungsfall „fein raus“ oder sollten sie sich dennoch Zeit für dieses Thema einplanen?
Vor dieser Einstellung würde ich mich hüten. Externe Datenschutzbeauftragte sind nicht komplett in die Arbeitsabläufe der Unternehmen eingebunden. Sie wissen nicht von sich aus, wo ihre „Baustellen“ sind, wo es zu Reibungen kommt und welche Fragen sich in ihrem Alltag stellen. Man kann sagen: Ein Datenschutzbeauftragter kann nur die Fragen beantworten, die Sie stellen und kann nur die Baustellen aufdecken, die Sie offenbaren.
Darüber hinaus sollte man zumindest auch prüfen, ob der Datenschutzbeauftragte seine Arbeit ordentlich macht. Natürlich müssen Sie nicht schlauer sein als der Datenschutzbeauftragte – dann bräuchten Sie ihn ja auch nicht – aber kontrollieren, dass er ansprechbar ist und Lösungen für Probleme findet, sollten Sie.
Weiter ist auch wichtig, dass die Geldbußen aus der DSGVO Sie treffen und nicht den Datenschutzbeauftragten. Möglicherweise haben Sie einen Schadensersatzanspruch gegen den Datenschutzbeauftragten, wenn dieser seinen Job nicht ordentlich gemacht hat. Diesen durchzusetzen dürfte aber aufwändiger sein, als von vornherein am Ball zu bleiben, dass alles ordnungsgemäß läuft.
Welche Punkte im Datenschutz erfordern Ihrer Meinung nach besondere Aufmerksamkeit?
Ich halte die Datensparsamkeit für besonders wichtig – übrigens nicht nur ich. Es handelt sich auch um ein wesentliches Grundprinzip der DSGVO. Wenn man von Anfang an darauf achtet, nur die Daten zu erheben oder zu speichern, die man tatsächlich braucht oder brauchen wird, dann hat man gleich viel weniger Daten, auf die man aufpassen muss, hinsichtlich derer ein Fehler passieren kann und bei denen man sich überlegen muss, wie lange man diese Daten aufheben darf und muss.
Was wird immer falsch gemacht?
Schwierig ist es meiner Meinung nach, es weder zu übertreiben noch zu untertreiben. Der Wunsch, es immer richtig zu machen, kann schnell in das Gegenteil driften.
Beispielsweise muss man unverzüglich (wir haben vorhin darüber gesprochen) die Auskunft über die Datenverarbeitung erteilen. Man darf diese Auskunft aber nicht erteilen, wenn man sich nicht sicher ist, dass die Person, die das Auskunftsbegehren gestellt hat, auch tatsächlich die Person ist, die sie vorgibt zu sein. Wenn man beispielsweise eine E-Mail bekommt von Maxmustermann@email.de und hierin aufgefordert wird, eine Auskunft zu den Daten von Max Mustermann zu erteilen, so sollte man zunächst prüfen, ob die E-Mail-Adresse tatsächlich zu Max Mustermann gehört. Das gilt vor Allem dann, wenn die E-Mailadresse Maxmustermann@email.de bisher nicht in den eigenen Akten vermerkt ist.
Würde die E-Mail-Adresse nämlich zu jemand anderem gehören und teile ich dieser Person Informationen über Max Mustermann mit, dann habe ich im schlimmsten Fall durch die Auskunftserteilung einen Datenschutzvorfall begründet.
Man könnte beispielsweise an die E-Mail-Adresse eine Aufforderung schicken und um Übersendung einer Kopie des Personalausweises bitten. Solange die Identität nicht zweifelsfrei geklärt ist, darf ich die Auskunft auch schlichtweg verweigern. Nur sollte man die E-Mail nicht einfach ignorieren.
Gibt es eine Art Grundstock, den man sich z. B. bei Firmengründung bereithalten sollte wie z. B. Impressum Website, AGBs, …?
Es kommt ganz darauf an, was für eine Art von Geschäftsmodell man zu starten beabsichtigt. Wenn man viele Verträge abschließen wird, dann bietet es sich an, Musterverträge und AGB zu entwerfen. Wenn man eine Webseite betreiben möchte, dann gibt es eine Impressumspflicht, hier sollte man genau prüfen, was in das Impressum gehört. Gegebenenfalls bräuchte man dann auch noch Cookie-Banner und eine Datenschutzbelehrung.
Diese Frage im Allgemeinen zu beantworten, ist sehr schwierig bzw. unmöglich, weil es immer auf das Modell ankommt. Wenn ich Klempnerin bin und bei Leuten den Wasserhahn reparieren möchte, keine Internetseite habe und nur im Telefonbuch stehe, brauche ich natürlich ganz andere Dinge, als wenn ich einen Online-Shop mit einem regelmäßigen Newsletter betreiben möchte.
Gibt es einen Trick, um die Erlaubniserfordernis von Kunden für z. B. Newsletter oder Produktneuheiten zu werben einfach zu erhalten und die gesetzlichen Anforderungen dennoch einzuhalten?
Wenn man Newsletter versenden möchte, muss man in Zweifel beweisen können, dass der Empfänger eingewilligt hat, einen solchen Newsletter zu bekommen.
Viele Unternehmen lösen dieses Problem mit dem sogenannten Double-opt-in-Verfahren.
Hier gibt der Kunde seine E-Mail-Adresse online ein, etwa um sich für einen Newsletter anzumelden. Anschließend übersendet das Unternehmen an diese E-Mail-Adresse eine erste E-Mail, in der ein Link enthalten ist, wenn der Kunde auf diesen Link klickt, wird verifiziert, dass der Kunde tatsächlich über die E-Mail-Adresse verfügt und dieses Klicken auf den Link wird dann als nachweisbare Zustimmung des Berechtigten gezählt.
Früher wurde teilweise vertreten, dass man auch nachweisen muss, dass die erste E-Mail auf eine Aufforderung des Kunden hin versendet wurde. Hiervon ist die Rechtsprechung aber inzwischen abgekommen.
Welchen Tipp haben Sie für den Umgang mit datenschutzrechtlichen Auskunftsbegehren und mit Datenschutzvorfällen ?
Den ersten Tipp haben wir vorhin schon etwa beleuchtet. Sowohl datenschutzrechtliche Auskunftsbegehren als auch Datenschutzvorfälle sind zeitkritisch. Wenn die Mitarbeiter nicht geschult sind und nicht erkennen, dass es sich hier um Themen handeln, die zwingend fristgemäß zu bearbeiten sind, dann wird eine adäquate Reaktion nicht gelingen. Nur wenn man im Vorfeld weiß, was im Bereich des Datenschutzes passieren kann, kann man sich entsprechend darauf vorbereiten. Kommunikationsstrukturen innerhalb des Unternehmens sollten klar mitgeteilt werden. Es sollte dann auch stets einen Plan B geben, etwa um zu wissen, wen man informiert, wenn der konkrete Mitarbeiter, der sich eigentlich um diese Themen kümmern sollte, im Urlaub oder krank ist.
Ich glaube auch, dass es sehr sinnvoll ist, in einen regelmäßigen Austausch mit den Mitarbeitern zu kommen. Wenn der Chef nicht versteht, warum es schwierig ist, etwas richtig zu machen, dann kann er sich auch keine Lösung ausdenken. Wenn etwa die Anweisung kommt, dass Kunden keine Gespräche mit anderen Kunden mitbekommen sollen, dann ist das auf den ersten Blick eine sinnvoll umzusetzende Anweisung. Wenn sich dies aber in Großraumbüros, in denen ständig laut telefoniert werden muss, nicht umsetzen lässt, dann ist es wichtig, ein Klima zu haben, in denen Mitarbeitende zu ihren Vorgesetzen gehen und sich trauen das Thema anzusprechen und die Anweisung nicht einfach ignorieren, weil sie sich denken, es sei schlicht unmöglich umzusetzen.
Datenschutz ist ein Thema, das man recht gut in den Griff bekommt, solange man nicht das Kind aus dem Brunnen herausholen muss. Man sollte auch die Angst davor verlieren. Zwar sind in der DSGVO exorbitant hohe Strafen vorgesehen. Diese sind aber vor allem für die großen internationalen Unternehmen vorgesehen oder für Unternehmen, die sich beharrlich weigern, sich rechtskonform zu verhalten, weil sie glauben, das stünde ihrem Geschäftsmodell entgegen.
Dr. Franziska Wahedi
angestellte Rechtsanwältin e-rechtsanwälte.eu