Datenschutz im Mittelstand:
E-Privacy für Dummies: "Was ist, wenn ich gar nichts mache?"
Datenschutz löst bei vielen Mittelständlern Unbehagen aus. Zwei EU-Verordnungen stehen kurz bevor. Hier sind elf Antworten auf ganz grundlegende Fragen.
„Ist Ihr Unternehmen fit in Sachen E-Privacy?”
Wir haben mit Nils Christian Haag gesprochen. Der promovierte Jurist berät seit über zehn Jahren kleine und mittelständische Unternehmen und internationale Konzerne in Datenschutz, IT-Sicherheit und IT-Forensik. Haag ist Vorstand der intersoft consulting services AG in Hamburg und arbeitet selbst als externer Datenschutzbeauftragter für Unternehmen.
Herr Haag, am 25. Mai dieses Jahres tritt die Datenschutzgrundverordnung in Kraft. Nach den ursprünglichen Plänen der EU soll zeitgleich die so genannte E-Privacy-Verordnung in Kraft treten. Das verändert die Anforderungen an Unternehmen im Umgang mit Datenschutz. Herr Haag, was raten Sie kleineren, mittelständischen Unternehmen?
Kleine und mittelständische Unternehmen sind automatisch betroffen, sobald sie eine Website betreiben. Denn Cookies und zielgerichtetes Marketing durch Retargeting setzt mittlerweile fast jede Firma ein. Das Thema betrifft also nicht ausschließlich werbungtreibende Unternehmen. Es müssen zum Beispiel rechtliche Hinweise angepasst werden. Möglicherweise muss man auch technische Veränderung am Tracking und der Websiteanalyse vornehmen.
Was passiert, wenn man gar nichts macht?
Das ist riskant, weil man als Unternehmen mit seiner Website eine volle Außenwirkung hat. Gesetzliche Anforderungen des Datenschutzes werden oft nicht erfüllt. Aber gerade bei Websites kann das jeder von außen sofort sehen. Die Aufsichtsbehörden nehmen sich am ehesten die Website vor. Ärger kann man aber nicht nur durch die Kontrolle der Aufsichtsbehörden bekommen, sondern auch durch Abmahnungen von Wettbewerbern.
Wie hoch sind die Bußgelder?
Die E-Privacy-Verordnung bezieht sich auf die Datenschutzgrundverordnung. Die Obergrenze liegt hier bei 20 Millionen Euro pro Verstoß oder vier Prozent des weltweiten Konzernumsatzes. Großen Konzernen drohen also durchaus deutlich höhere Bußgelder als 20 Millionen Euro. Das ist eine drastische Erhöhung zur momentanen Gesetzeslage.
Werden diese Bußgelder überhaupt eingetrieben?
Das kann niemand genau sagen. Es ist zumindest nicht damit zu rechnen, dass bei einem Mittelständler die Obergrenze angetastet wird. Aber Behörden werden wohl härter zugreifen als bisher. Auch um Exempel zu statuieren. Die Bußgelder können künftig durchaus weh tun. Bisher war das nicht der Fall. Da lag ein Bußgeld mal bei 1000 Euro bei einem kleineren Unternehmen. Das haben die meisten mit eingepreist. Das wird sich wohl ändern.
Wenn man sich bisher nicht um das Thema gekümmert hat: Ist es dann nicht schon zu spät, um sich fit für die DSGVO und die E-Privacy-Verordnung zu machen?
Es ist sicherlich zu spät um bis Mai dieses Jahres eine perfekte Umsetzung zu bekommen. Allerdings sind die Anforderungen so hoch, dass es ohnehin kaum Unternehmen geben wird, die solch eine perfekte Umsetzung schaffen. Aber man sollte das Thema keinesfalls ignorieren. Die Datenschutzgrundverordnung ist ab dem 25. Mai geltendes Recht. Die E-Privacy-Verordnung wird frühestens Ende dieses Jahres verabschiedet. Außerdem erhalten die Unternehmen eine ein- bis zweijährige Übergangsfrist. Das heißt: Im frühesten Fall wird man die E-Privacy-Verordnung im Jahr 2020 anwenden müssen. Vermutlich noch ein bisschen später.
Sie sagen, es werde kaum Unternehmen geben, die eine perfekte Umsetzung der gesetzlichen Anforderungen schaffen. Wo sind die wesentlichen Knackpunkte?
Die neue Datenschutzgrundverordnung und auch die E-Privacy-Verordnung haben in erster Linie die ganz großen Konzerne im Fokus, wie Apple, Facebook und Google. Für die sind viele Vorgaben geschrieben worden. Aber der Mittelstand muss diese Anforderungen formal genauso erfüllen. Die Schwierigkeiten liegen zum Beispiel bei sehr umfangreichen Dokumentationspflichten. Und man muss viele Prozesse einführen für Meldungen bei Verstößen. Die Anforderungen sind so hoch, dass auch viele gut aufgestellte Konzerne sagen, dass sie das nicht bis Mai schaffen können. Wichtig ist jetzt eine maßvolle Umsetzung, die zum Unternehmen passt und wesentliche Basics angeht. Je nach Branche kann das unterschiedlich sein. Zum Beispiel, dass ich externe Dienstleister, mit denen ich arbeite, datenschutzrechtlich verpflichte und einen Grundstock an Dokumentationen habe. Ich rate zu einer pragmatischen grundlegenden Umsetzung.
Geht es dabei vor allem um lästige Formalitäten?
Auch. Und es geht um technische Absicherung. Wenn ich zum Beispiel eine Website mit einer hinterlegten Kundendatenbank habe, dann muss ich technisch sicherstellen, dass Daten nicht unbemerkt abfließen können. Solche praktischen technischen Fragen spielen eine immer größere Rolle, weil hier auch immer mehr passiert.
Was ist mit den Daten, die ich bereits erhoben habe und die, zum Beispiel, in meiner CRM-Datenbank liegen? Darf ich die weiterhin für Marketingzwecke nutzen?
Das ist nicht so einfach zu beantworten. Aber letztlich sind die Anforderungen, die ab Mai gelten, gar nicht so anders als die bisher geltenden. Zum Beispiel: Auch jetzt schon darf ich nicht einfach Kunden aus meiner Datenbank anrufen. Dafür brauche ich eine Einwilligung, also ein Opt-in. Die Anforderungen an Direktmarketing, Telefon- und E-Mail-Werbung werden sich nicht wesentlich ändern.
Muss jedes Unternehmen einen Datenschutzbeauftragten haben?
Schon jetzt muss jedes Unternehmen ab zehn Mitarbeitern, die mit personenbezogenen Daten arbeiten, einen Datenschutzbeauftragten bestellen. Die Schwelle ist also extrem niedrig. Das betrifft zum Beispiel praktisch jedes Unternehmen aus der Verlags- und Werbebranche.
Muss man dafür extra Spezialisten einstellen?
Nein. Man kann das intern lösen, und das muss keine Vollzeitstelle sein. Aber man kann auch einen externen Datenschutzbeauftragten bestellen.
Manche Unternehmen haben regelrecht Angst vor den Folgen der E-Privacy-Verordnung. Können Sie sich das erklären?
Ich glaube, manche erliegen einem Missverständnis. Wenn ich auf eine Website gehe, ist es bisher so, dass ich informiert werden muss, dass mein Surfverhalten für Werbezwecke getrackt wird. Und ich habe eine Möglichkeit, das abzustellen. Der jetzige E-Privacy-Entwurf sieht vor, dass bereits in den Browser-Voreinstellungen abgeklärt wird, ob man damit einverstanden ist. Wenn ich ablehne, darf mich keine Website mehr tracken. Dieser Punkt sorgt in der Werbebranche derzeit für extrem viel Unruhe. Aber nicht tracken zu dürfen heißt nicht, dass ich keine Werbung mehr schalten darf. Auch auf Endgeräte von Nutzern, die Nein gesagt haben, darf ich Werbebanner schalten. Ich darf sie nur nicht mehr individualisiert ansprechen. Das wird oft missverstanden. Man darf das nicht vergleichen mit dem Aufkleber am Briefkasten, auf dem steht: Bitte keine Werbung.
Wie sieht das Worst-Case-Szenario aus der Sicht von Konzernen, Agenturen und Werbeplatzhändlern aus? Lesen Sie dazu Statements und mehr zu den Folgen der DSGVO und der E-Privacy-Verordnung in der aktuellen W&V. Mehr zum Thema E-Privacy und Datenschutz finden Sie auch hier.