Datenschutz, das klingt nach staubtrockener Materie, die man aus Kostengründen als Unternehmen besser nicht anfasst. Doch weit gefehlt. In dieser Folge sprechen wir über die zunehmend wirklich empfindlichen Konsequenzen von fehlendem Datenschutzmanagement. Was ändert sich alles für Sie vor dem Hintergrund der europäischen Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 und was bedeutet das für Sie? Dies und viel mehr erfahren Sie in einem Interview mit Dr. iur. Christian Borchers, Geschäftsführer der Datenschutz Süd GmbH. Vor allem aber: was hat Ihr Staubsauger damit zu tun?
Literaturempfehlung:
- Laue, et al.: Das neue Datenschutzrecht in der betrieblichen Praxis. 2016
- Kühling, Buchner: Datenschutz-Grundverordnung: DS-GVO. 2017
Webempfehlung:
————————–
Wenn Ihnen unsere Folgen gefallen, dann freuen wir uns über eine 5-Sterne-Bewertung auf Ihrer Wunschplattform, damit auch andere auf diesen Podcast aufmerksam werden und wir das Angebot weiter verbessern können. Zeitaufwand: 1-2 Minuten.
In diesem Sinne: keep connected.
Herzlichst
Ihr
Axel Winkelmann
ERP-Podcast, Folge 33. Was die Europäische Datenschutz-Grundverordnung mit ihrem Staubsauger zu tun hat. Datenschutz mit Dr. Christian Borchers, Geschäftsführer der Datenschutz-Süd GmbH.
Datenschutz. Das klingt nach staubtrockener Materie, die man aus Kostengründen als Unternehmer besser nicht anfasst. Doch weit gefehlt.
In dieser Folge sprechen wir über die zunehmend wirklich empfindlichen Konsequenzen von fehlendem Datenschutzmanagement. Was ändert sich alles für Sie vor dem Hintergrund der Europäischen Datenschutz-Grundverordnung im Mai 2018? Und was bedeutet das für Sie? Vor allem aber, was hat Ihr Staubsauger damit zu tun? Herzlich willkommen zum ERP-Podcast. Dem Podcast für alle, die sich aktiv mit dem Einsatz und der Gestaltung von Unternehmenssoftware und den daraus entstehenden Veränderungen und Potenzialen in Unternehmen auseinandersetzen wollen.
Mit diesem Podcast möchte ich Sie mit eigenen Gedanken und Interviews bei der Gestaltung moderner IT-Konzepte nebenbei, also zum Beispiel beim Spazierengehen oder Autofahren, begleiten. Damit möchte ich Ihnen in dieser von technologischen Veränderungen geprägten Zeit Informationen anbieten, die sich in Zeitschriften, Fachbüchern und wissenschaftlichen Artikeln in dieser Form nicht darlegen lassen und für die sich im hektischen Alltag ohnehin nicht die Zeit findet. Mein Name ist Axel Winkelmann.
Ich bin Professor für Betriebswirtschaftslehre und Wirtschaftsinformatik an der Universität Würzburg. Ja, herzlich willkommen wieder zurück zum ERP-Podcast. Ich sitze hier in einem wunderschönen Büro und Sitzungszimmer mit Blick auf einen grünen Baum und die noch grünen Weinberge im Hintergrund.
Ich bin heute bei der Datenschutz Süd eingeladen. Herr Dr. Borchers, er ist Geschäftsführer des Unternehmens und praktischerweise der Name verrät es. Es geht heute um Datenschutz und was sich zurzeit alles in den Unternehmen, in der Unternehmenssoftware verändern muss.
Herr Borchers, herzlich willkommen bei uns im ERP-Podcast. Vielen Dank. Herr Borchers, mögen Sie sich kurz vorstellen.
Wer sind Sie? Was machen Sie? Ja, Namen haben Sie genannt. Christian Borchers ist mein Name. Ich bin Jurist, habe ganz normal ursprünglich mal die juristische Laufbahn hier in Würzburg begonnen mit einem Studium.
Und da habe ich natürlich im Studium selber kaum Angriffspunkte zum Datenschutzrecht gehabt. Das ist eine Disziplin, die im Studium keine Rolle spielt, mit Ausnahme von ein paar exotischen Angeboten, die aber nie Pflichtkurse sind. Bin dann mal über das Thema meiner Dissertation nach dem ersten Examen zum Datenschutzrecht gekommen und das hat mich irgendwie wieder losgelassen.
Es ist zwar selten, dass man als Jurist über eine Dissertation auf ein späteres Berufsleben stößt. Bei mir war das tatsächlich so. Ich habe später komplett von Anfang an die Beratung im Datenschutzrecht dann quasi gesucht oder sie hat mich gesucht und gefunden, sodass ich jetzt mittlerweile seit 2005 ausschließlich im Datenschutzrecht tätig bin.
Und das jetzt hier als Geschäftsführer der Unternehmensberatung mit einem Team von derzeit 15 Vorjuristen von zwei Standorten aus Mache. Und wir beraten dann letztendlich Unternehmen jeglicher Größe, jeder, jeglicher Branche in allen Fragen des Datenschutzrechts und das zu 90% aus dem Amt des betrieblichen Datenschutzbeauftragten heraus, was man eben auch extern vergeben kann. Können Sie da mal ein Beispiel vielleicht geben von Ihrem Arbeitsalltag? Also Datenschutz kann sich jeder natürlich was darunter vorstellen, aber ich glaube die Palette an Tätigkeiten, die Sie da als Fachexperte haben, die ist ja sehr groß.
Naja, man muss es grundsätzlich sagen an der Stelle, es gibt kein Unternehmen, was nicht personenbezogene Daten in irgendeiner Art und Weise erhebt und verarbeitet. Das fängt dabei an, dass jedes Unternehmen Beschäftigte hat und somit die Prozesse rund um die Verarbeitung und Erhebung von Beschäftigtendaten natürlich bei jedem Unternehmen auch rechtskonform gestaltet sein müssen. Das hat starke Überschreitungen zum Arbeitsrecht.
Was darf der Arbeitgeber überhaupt fragen in einem Bewerbungsgespräch? Welche Möglichkeiten hat er über Social Media sich vorab über Bewerber zu informieren? Welche zulässigen Datenauswertungen, Analysen kann er fahren, um die Produktivität seiner Mitarbeiter später im Berufsleben zu messen? Darf er das denn überhaupt? Was macht er, wenn er den Verdacht hat, dass ein Mitarbeiter ihn potenziell vielleicht betrügt oder dem Unternehmen schadet? Das sind Themen, die jedes Unternehmen beschäftigen muss. Unternehmen hängt es dann von der Branche ab und auch ob es sich um Business-to-Business oder Business-to-Customer-Geschäft handelt. Bei Business-to-Customer habe ich natürlich eine zweite große Betroffenengruppe, die Kunden, die Verbraucher als natürliche Personen, deren Daten in CRM-Systemen, auf Webseiten erhoben werden, in Customer-Support.
Und natürlich durch Marketing versucht man zu erreichen die einzelnen Zielgruppen. Man will immer mehr von seinen Kunden wissen, um die noch besser ansprechen zu können. Und das sind alles Spielflächen, bei denen da Anschlussrechtliche Vorschriften eine wichtige Rolle spielen und die wir dann dementsprechend rechtlich prüfen.
Wir als kleine, feine Datenschutzrechts-Boutique prüfen für unsere Kunden, wem da Rechtskonformität gehalten wird. Geben Sie dann Gestaltungsempfehlungen, wie es am besten umzusetzen ist? Sonst würde man nicht zu einer Unternehmensberatung gehen, wenn man nur gesagt bekommt, was man alles nicht darf, ist man danach kein Stück schlauer. Das ist gerade sozusagen das, was auch unsere Mandanten oder Kundenunternehmen von uns erwarten.
Es geht hier an der Stelle schlichtweg darum, zu sagen, was muss ich beachten? Wie kann ich mein Ziel erreichen? Und im Idealfall schaffen wir es durch eine gute, konstruktive Beratung, Rechtskonformität zu wahren. Das Verarbeitungsziel, das ist jetzt ein sperriger Begriff aus dem Datenschutzrecht, also das Ziel, das das Unternehmen eigentlich erreichen wollte, auch tatsächlich erreichen zu können mit einer Datenauswertung, aber durch Einhaltung von ein, zwei Vorgaben letztendlich das ganze Rechtskonform zu schaffen. Also das hört sich ja erstmal total langweilig an.
Also wenn ich so aus Unternehmensperspektive gucke, mein Fachbereich ist Unternehmenssoftware, ERP maßgeblich und jetzt kommt da irgendeiner, der will mit mir über Datenschutz reden. Das ist fast so wie Dokumentation in der Programmierumgebung. Können Sie mal so ein paar Beispiele geben, wo ganz klar ist, das ist problematisch, wenn ich eben nicht den Datenschutz berücksichtige im Unternehmen? Ich denke, dass unser Thema etwas ist, was per se aus Unternehmenssicht und aus Sicht der einzelnen Fachbereiche eines Unternehmens nicht so sexy ist, weil man damit potenziell kein Geld verdient.
Auf jeden Fall unsere Kundenunternehmen verdienen damit kein Geld. Das liegt auf der Hand und oftmals ist es auch so, dass die Ansprechpartner bei den Kundenunternehmen natürlich gewisse Besitzstandwahrungsgedanken da sind. Man möchte seine Prozesse nicht anpassen, nicht ändern, man möchte nichts weggenommen bekommen.
Das ist klar, das ist immer die Grundsituation, auf die wir bei jeder Beratung treffen und man kann an der Stelle immer nur wieder versuchen, die Einsicht zu erzeugen in der Beratung, dass das Unternehmen in seiner Ganzheit einfach in einem Boot sitzt. Das ist gesetzliche Anforderungen neben Kartellrecht, Strafrecht, Unternehmensumweltstrafrecht, was es alles noch geben kann, was man beachten muss, branchenspezifisch, Lebensmittelhygiene. Es gibt so viele Vorschriften, wo sich ein Unternehmen je nach Branche dran halten muss, ist einfach Datenschutzrecht.
Eine Compliance-Disziplin, wie viele auch auch und das Unternehmen, wenn es rechtskonform aufgestellt sein muss, muss genau da den Ansatz wählen. Das ist immer mein Argument zu sagen, Leute, wir sitzen hier in einem Boot, wir verstehen es immer als integrativer Bestandteil unseres Grundunternehmens und das Ziel muss es ja sein, auch Arbeitsplätze zu sichern, um dementsprechend keinen Skandal in einem Unternehmen zu haben, um keine Umsatzeinbußen zu haben, Datenschutzrecht zu gewährleisten als Qualitätsmerkmal, als Verbraucherschutzmerkmal. Wenn man ein Unternehmen mit Verbraucherkontakt ist, kann das auch etwas sein, dass man sagt, hey, ich gehe in diesen sozialen Dienst rein oder ich gehe zu diesem Unternehmen rein, weil ich dort vielleicht zum Beispiel weniger beworben werde oder weiß, dass es mit meinen Daten viel, viel besser gegangen wird.
Ich nehme mal ein Beispiel raus, was ich bei Ihnen auf der Webseite gefunden habe von Ihrer Kollegin Jessica Richter. Datenschutznotizen nennt sich ihr Blog, was auch eine Art kleinerer Podcast ist und sie schreibt dort, und so habe ich auch die Folge genannt, was der Staubsauger zu Hause eigentlich alles über dich verrät. Und zwar geht sie da von diesem Roomba-Modell aus, also ein automatischer Staubsauger für zu Hause.
Wer die nicht kennt, das sind so runde Teller, die durch das Wohnzimmer oder durch die ganze Wohnung fahren. Auf denen dann immer die Katze oben drauf rumfährt. Genau.
Und das letztendlich auch erfasst, wo ist was im Zimmer bzw. im Haus und wie ist eigentlich der Grundriss, um optimal natürlich die Fläche absaugen zu können. Was sind jetzt die Probleme dabei? Das ist ein sehr gutes Beispiel, weil wir in Zeiten von Smart Home einsetzen oder Kochküchen marschieren, Rührgeräte, berühmter Hersteller, die auch kochen können, die heutzutage im Internet am WLAN hängen.
Meine Frau ist da ganz begeistert von. Aus User-Sicht einfach immer nur die Usability im Vordergrund steht, aber was im Nachgang mit diesen Daten, die auch dabei einfach anfallen. Bleiben wir mal bei dem Staubsauger-Beispiel.
Wie oft wird gesaugt? Jetzt mal als ganz primitiver Ansatz. Könnte ja was aussagen über die Sauberkeit in der Wohnung. Wie groß ist die? Könnte was zum sozialen Status aussagen.
Und diese Daten, die fallen erstmal an. Die fallen in der Software an und die werden ins Steuergerät, weil das Gerät tatsächlich im WLAN hängt. Wir wollen ja heute alles mit dem Smartphone bedienen und starten können.
Diese Daten werden übermittelt an die eigentlichen Herstellerfirmen und merklicherweise wissen das die meisten gar nicht, die sich solche Smart Home oder intelligenten Industrie 4.0 Anwendungen und Clients und Geräte ins Haus schaffen. Und mir geht es an der Stelle als sensibilisierter Datenschützer natürlich darum, den Leuten das erstmal überhaupt bewusst zu machen. Deswegen auch dieser Artikel im Blog, der natürlich erstmal so ein bisschen reißerisch das Ganze aufsetzt, um dann zu gucken, war ihnen das überhaupt bewusst, darf das Unternehmen das eigentlich? Die Unternehmen, also gerade in dem konkreten Beispiel haben sich, das war ein amerikanischer Hersteller, ja auch dahinter geschützt und gesagt, naja, wir kennen den Namen der Kunden ja gar nicht.
Also die sind ja für uns anonym, deswegen sei das gar kein Problem. Das Problem ist, wenn sie allerdings immer mehr Daten von einem User, von einem Kunden haben, aus verschiedensten Schnittstellen, weil sie auch ein Multikonzern sind, dann ergibt sich irgendwann ein sehr konkretes Bild dieser natürlichen Person. Da ist es mit der Anonymität nicht mehr so einfach, die nachzulassen.
Ich glaube in dem Beispiel geht es ja sogar noch ein bisschen weiter, dass in den neuen Modellen über die Sprachsteuerung, also die Einbindung Lexer, Siri und so weiter und so fort, die Daten eben nicht nur bei dem Hersteller landen, sondern auch noch weitergegeben werden? Wenn es verknüpft ist an der Stelle mit Schnittstellen zu den angesprochenen Google- oder Amazon-Mikrofonen und Steuerungen, dann ist das natürlich so, dann wird unter Umständen was weitergehen, was man aber im Einzelfall gar nicht weiß. Also die Kooperationsvereinbarung für diese Anwendung zwischen einem Anbieter, dieses Smart-Staubsauger-Roboters und Amazon, die sind Ihnen als Kunden ja unter Umständen gar nicht geläufig. Sie werden da in der Anschlusserklärung nur recht schwangige Formulierungen finden, geschweige denn, dass Sie sie lesen, das muss man dazu sagen.
Und auf der anderen Seite, schönes Beispiel mit diesen Mikrofonen, die lauschen ja permanent. Also hier sitzen wir jetzt beide gegenüber und wissen, da steht das Mikrofon und wissen genau, was wir wiedergeben. Diese Mikrofone von Amazon oder Google, die zeichnen permanent auf, übermitteln auch ständig an die Server, weil sie ja immer auch auf Achtstellung sagen müssen, spiel dieses Lied noch einmal.
Das heißt, es muss sofort verknüpft sein. Was passiert mit diesen Aufzeichnungen? Was sagt das aus? Und was weiß man dann über den Kunden dieses Lautsprechers? Vor 25 Jahren hätten wir da alle noch mit den Augen gerollt und an die Stasi gedacht und heute wird das über Fernsehwerbung verkauft. Das ist halt bedenklich aus meiner Sicht.
Das heißt, ich kriege über den Staubsauger-Robotron mal von Amazon plötzlich Möbelstücke empfohlen, die bei mir im Wohnzimmer 47,5 Quadratmeter gerade fehlen. Das könnte es natürlich so sein. Ob das konkrete Beispiele dahin führt in der Anwendung, das kann ich jetzt an der Stelle natürlich nicht sagen.
Aber es gibt halt einfach das Beispiel, wenn Sie einen Google-Mail-Account allein schon haben. Das hat jetzt gar nichts mit der Anwendung zu tun, aber dann wundern Sie sich, dass Sie Werbung im Google-Mail-Account angezahlt bekommen, der ungefähr Bezug nimmt auf das, was Sie da kommuniziert haben. Das heißt, jemand greift auf Ihre Inhalte zu.
Das ist natürlich eine Maschine. Da sitzt kein Mensch und liest Ihre Mails weg, aber jemand analysiert Ihr User-Verhalten und bietet Ihnen dafür dann auf Basis dieser Inhalte Produkte an. Ganz plastisch, aus meiner Referendarzeit noch, hatte ich einen Kollegen, der selbst seine Anwaltskost oder ein Google-Mail-Konto abgeregelt hat und an der Stelle natürlich beispielsweise im Feast-Text der E-Mail einen Bezug zum Erbrecht hatte für seinen Mandanten und dann wiederum ihm Bücher zur neuesten Erbrechtsentscheidung als Werbung angezeigt worden sind.
Das sind die Erfahrungspunkte, die man da sammelt, dass das User-Verhalten einfach analysiert wird und ich dann Produkte angezeigt bekomme, die dort relevant sind. Und diese Daten, die werden von den großen Playern wahrscheinlich niemals gelöscht. Das ist der Aspekt, den man dann sehen muss.
Jetzt sind wir Deutschen, gerade im Datenschutzrecht, glaube ich, in der Vergangenheit schon das ein oder andere Mal bescholten worden, weil wir die Sache sehr früh schon sehr gründlich angegangen sind, in ganz, ganz vielen Gesetzen, Verordnungen versteckt. Wo sind denn eigentlich hier in Deutschland die historischen Wurzeln des Datenschutzes? Gut, die rechtshistorischen Wurzeln sind dadurch gegeben, dass das Hessische Landesdatenschutzgesetz von 1977 das erste normative beschriebene Gesetz überhaupt war, was sich ausdrücklich dem Datenschutz gewidmet hat, wobei man dazu sagen muss, dass es dort noch eine andere Schutzrichtung war. Da ging es mehr darum, Daten, die ich als Unternehmen habe, vor in irgendeiner Art und Weise unbefugten Zugriff zu sichern bzw.
vor Verlust zu schützen. Also der Wert des Datums als solches, der muss geschützt werden. Es ging aber weniger darum, darf ich dieses Datum denn überhaupt haben? Und das hat sich rechtshistorisch erst durch einen Urteil vom Bundesverfassungsgericht aus dem Jahr 1983 entwickelt, dem sogenannten Volkszählungsgesetzurteil, das nämlich damals das Bundesverfassungsgericht gesagt hat, das Volkszählungsgesetz 1987, was damals Gegenstand dieser Verfassungsbeschwerde war, das verstößt in seiner Reichweite, was der Bürger in diesem Zensus damals von sich preisgeben musste, einfach gegen Verhältnismäßigkeitsgrundsätze, mit der Folge, dass der Bürger vielleicht Angst hat, weil er nicht weiß, was der Staat und so weiter anfängt.
Angst hat sich ganz normal frei zu bewegen und frei zu verhalten und dementsprechend hat jetzt unser Verfassungsgericht diesen Grundsatz des informationellen Selbstbestimmungsrechts, das ist dieser schwierige Terminus technikus, entwickelt und gesagt, wenn der Mensch nicht mehr frei indessen ist, was mit seinen Informationen passiert, dann ist er nicht mehr frei in dem, wie er sich verhält und was er denn so macht. Das hört sich jetzt vielleicht ein bisschen hochtragend an, das lässt sich aber auf die heutige Zeit durchaus projizieren. Wenn Sie einen Facebook-Account haben und sagen, ach, ich fühle mich da nicht wohl, mit Klarnamen unterwegs zu sein oder mit echtem Foto, sondern ich benutze da mal lieber ein Avatar-Foto und einen Pseudonym-Namen, ja, dann passen Sie Ihr Verhalten ja schon an, weil es Ihnen irgendwie unangenehm ist, was Facebook wohl als zu den Daten macht.
Und das ist ein klein kleines Gleiche, was das Bundesverfassungsgericht damals so als Grundlage hatte und was wir in historischen Beispielen wie im Kontext der DDR mit der Stasi auch sehen mussten, wenn ich nicht wusste, wer da wann zuhört, dann habe ich mich nicht frei geäußert aus Angst vor Repressalien. Und das Gleiche haben wir in der heutigen Zeit auch. Dadurch hat das Datenschutzrecht einen Grundsatz, natürlich der Rechtshistoriker auch, der dem gilt, nämlich Unternehmen und Behörden dürfen Daten nur dann verarbeiten, wenn entweder der Betroffene auf Basis einer ausweichenden Informiertheit und Transparenz freiwillig einwilligt oder eben ein konkretes Gesetz diese Datenverarbeitung für diese Zwecke als legitim bewertet und erlaubt.
Also ich glaube, wir können uns in Deutschland, solange die Daten hier bleiben, noch relativ gut, zumindest aus rechtlicher Perspektive, geschützt fühlen, Daten geschützt fühlen. Aber ich blicke jetzt einfach mal in die weite Welt und da sind wir dann sicherlich ganz schnell bei den technologischen Technologiekonzernen in den USA. Da gab es ja auch diverse Abkommen zwischen Europa und den USA, wenn es darum geht, Daten auszutauschen.
Wie sieht es da aus, darf man die Daten überall abspeichern? Das würde ich gerne in zwei Stufen quasi diesem Thema nähern. Wir haben natürlich neben dem deutschen Datenschutzrecht in Europa schon immer so einen gewissen gemeinsamen Mindeststandard gehabt, zumindest seit 1995 durch eine europäische Richtlinie, wo sich damals alle EU-Mitgliedstaaten vereinigt haben, darauf zu sagen, okay, das ist unser gemeinsames Mindestverständnis von Umgang mit Daten. Da waren Themen wie Datenverarbeitung nur bei Einwilligung und nur bei gesetzlicher Erlaubnis natürlich schon verankert oder auch Zweckbindung der Datenverarbeitung danach und jedes Land hat das dann irgendwie wieder umgesetzt und durfte nicht unter diesen Standard gehen.
Deutschland war über diesen Standard umgesiedelt. Das ist sozusagen das rechtshistorische in Europa. Also auch in Europa können wir neben Deutschland von einem recht einheitlichen beziehungsweise zumindest guten Sicherheitsstandard der datenschutzrechtlichen Gesetzgebung ausgehen.
Und dann kommen die sogenannten Drittstaaten, wie es im Sprech der EU-Kommission und des Europäischen Parlaments heißt, nämlich Staaten außerhalb Europas, wo man von Fall zu Fall bewerten muss, ob das Land einen gewissen Mindeststandard im Datenschutzrecht hat. Jetzt haben Sie die großen Tech-Konzerne angesprochen, die sind natürlich die Silicon Valley und Co. Meistens in den USA haben sie dort ihre Wurzeln und tatsächlich ist es so, dass es in den USA kein einheitliches Bundesrecht von jeher gab und es dementsprechend keinen allgemeinen Datenschutzanspruch gab, der den europäischen Standards dann auch nur annähernd entsprochen hätte.
Und deswegen haben schon vor über zehn Jahren die Europäische Kommission in einer Verhandlung mit den Amerikanern ein gemeinsames Abkommen erlassen, das hieß Safe Harbor, sicherer Hafen, mit dem Ziel, dass sich Unternehmen, US-Unternehmen mit Sitz in den Staaten danach selbst zertifizieren konnte, um dann auf Basis dieser Zertifizierung sich auf eine Liste setzen zu lassen, eine Safe Harbor-Liste, und dann sich verpflichtet hatten, in diesem Selbstzertifizierungsprozess europäische Datenschutzregeln einzuhalten. Kurzum, zusammenfassend, wenn ein US-Unternehmen auf dieser Liste stand, die bei öffentlichem Abruf war über das Internet, dann konnten Sie als Europäischer Player sagen, ich darf den Service von diesem Unternehmen nutzen, ich darf an dieses Unternehmen für gewisse Zwecke, die ich vorher natürlich definiere, Daten weitergeben, damit die Daten hosten, aufbereiten, wie auch immer, und das Ganze wird unbedingt sein. Jetzt hat uns die Lebenswirklichkeit durch die Whistleblower-Affäre um Edward Snowden einfach eingeholt und hat durch diese Geheimdienst-Affäre, Edward Snowden war ja ein Subunternehmer, quasi mit CIA Auftragnehmer, Agent kann man im Sinne schlecht sagen, aber er war für den CIA beauftragt und dort tätig, und hat dann herausbekommen oder geliebt, dass die US-amerikanischen Heimdienste vollkommen außer Acht lassen, ob es irgendwelche Abkommen gab, sondern der Zugriff seit den Terrorakten von 2001, der Zugriff auf solche Daten allumfassend war.
Man hat sogar US-Techriesen seitens der US-Illustration gezwungen, Schlitzstellen zu schaffen, auf deren Server und Systeme um jederzeit frei düngen, ohne die Form von Rechtskontrolle, Rechtsaufsicht, Rechtsbehelf, Daten aushalten zu können. Und das ist geliebt worden und hat in einem Prozess gegen Facebook dazu geführt, dass der EuGH sich mit der Rechtsfrage auseinandersetzen musste, ob Facebook mit seinem europäischen Sitz in Irland überhaupt zulässigerweise die Daten der User aus Europa auf Basis dieses Safe-Hour-Abkommens in den US-amerikanischen Rechenzentren posten können, wenn dort der Schutz der europäischen Daten nicht gewährleistet ist. Und der EuGH kam zu dem Fall und zu dem Beschluss und Urteil, nein, das kann nicht mehr geschehen, das Safe-Hour-Abkommen ist quasi nur noch nichtig, weil in der Fläche der Beweis erbracht war, dass diese Abkommen einfach nicht eingehalten werden, sowohl von dem US-Konzern, weil sie gezwungen werden von der US-Strafverfolgungsbehörden, Home Security, etc.
Und das macht es sozusagen aus, dass wir dort erst mal einen riesen Umbruch hatten 2015. Es gibt ein Folgeabkommen, es wurde ein bisschen geflickwerbt daran, jetzt heißt es EU-US-Privacy-Shield. Es sollte ursprünglich Safe-Hour-Aber-2 nennen, hat man gedacht, das ist ein vorbelasteter Begriff, jetzt heißt es halt anders, aber grundlegend, es gibt ein paar mehr Rechtsbehälter für die Bürger, für die EU-Betroffenen, allerdings bleibt die grundsätzlich Kritik erhalten, ob sich die Unternehmen daran halten, man weiß es nicht.
Und deswegen kritisieren Datenschützer aus meiner Sicht bis heute sehr berichtigterweise, ob das denn auch überhaupt Bestand haben wird. Jetzt ist es ja so, dass wir natürlich einerseits Daten haben, die hier in Deutschland anfallen und von deutschen Firmen in Deutschland oder zumindest Europa abgespeichert werden, aber wenn ich zum Beispiel an soziale Netzwerke denke, Facebook, haben Sie ja eben selber schon gesagt, weiß man, wo diese Daten abgespeichert werden, was sind denn generell die Herausforderungen der Informationsgesellschaft? Ja, also das Thema, wo werden bei Cloud-Computing überhaupt meine Daten gespeichert, ist natürlich das eine, da kann ich natürlich als Verbraucher auf Service-Provider achten, die mir zumindest eine europäische Cloud anbieten, mit dem datenweisen zertifizierten Rechenzentrum, zum Beispiel ISO 27001, aber darüber hinausgehend haben wir auch ganz andere Informationsanforderungen oder beziehungsweise Anforderungen an die moderne Informationsgesellschaft, die sich beispielsweise daraus ergeben, dass sich eine Digitalisierung der analogen Welt beobachten lässt. Wenn ich als User seit Web 2.0, seit 2005 ungefähr, im Internet unterwegs bin, dann ist mir relativ bewusst, dass ich Spuren hinterlasse, in digitaler Art, sei es durch Cookies, sei es durch irgendwelche Zielpixel.
Ich kann getrackt werden, ich kann das teilweise unterbinden, aber letztendlich kann man es immer wieder auf IP-Adresse auch bei dynamischem zurückverfolgen für eine gewisse Zeit lang und man kann es meinem Browsersystem quasi zuordnen. Das ist das eine. Wir waren uns aber immer relativ sicher, dass sofern ich Bargeld verwende und kein elektronisches Geld und mich dann nur so durch die Gegend bewege, dass ich dann vielleicht mal in einem Supermarkt von einer Videokamera erfasst werde.
Das mag sein, aber dass ich ansonsten dort nicht verfolgt werden kann. Und das ändert sich momentan massiv. Wir haben ja alle immer unsere Smartphones dabei, die sind oftmals mit aktivierten WLAN-Antennen eingestellt, weil man natürlich bequem, Stichwort Usability, jederzeit freie WLAN-Access-Points ersehen können möchte.
Und diese Technologie wird einfach ausgenutzt, indem Firmen in ihrem Sales-Bereich beispielsweise in der Verkaufsfläche eine Vielzahl von Access-Points installieren. Mit der Folge, dass je nach Signalstärke meiner WLAN-Antenne meines Smartphones bestimmt werden kann, wo steht denn dieses Smartphone gerade, was sich durch diese Netzwerkfläche bewegt. Bei dieser Technologie wird aber auch die MAC-ID des Gerätes mit ausgelesen und gespeichert.
Und wenn ich jetzt noch eine andere Datenquelle habe, beispielsweise weil ich eine App installiert habe von diesem Einzelhandelsunternehmen und dabei meine MAC-ID auch schon hinterlegt worden ist, auf der App beispielsweise, in der App, die ich installiert habe dafür, dann kann ich das schon zusammenführen. Und dann wüsste ich ganz genau, wo bewegt sich der Verbraucher, konkret sogar vielleicht der Kunde Christian Borchers, durch diesen Laden. Und das sind Umstände, die sind uns oftmals nicht bewusst.
Da wird im Laden unter Umständen nicht ausreichend drüber aufgeklärt. Man kann sich das auch schwer vorstellen, wie soll das laufen. Vorne an der Schiebetür eine sehr, sehr lange folierte Folie mit, wenn Sie das Geschäft hier betreten, dann bitte beachten Sie folgendes, ist kaum praktikabel.
Oder ich muss es zumindest in einer App, in einer Datenschutzerklärung der App, der ich vorher zustimmen müsste, in irgendeiner Art und Weise abbilden. Und so gibt es eine Vielzahl von Beispielen, wo das analoge Leben immer stärker durchdrungen wird. RFID-Technologie ist etwas, was zur Warensicherung eingesetzt wird, oftmals bei vielen Artikeln per se, irgendwo in die Kleidung eingebracht ist.
Oftmals auch gar nicht so, dass wir es sofort entdecken. Es wird zum Abkassieren genutzt mittlerweile, nicht mehr zur Warensicherung. In Würzburg war ich neulich erst in einem großen Sportbegleitungsgeschäft spezialisiert, eine französische Kette, und habe mich da gewundert, warum ich alle meine Artikel dann quasi zu einer Schütte schmeißen sollte.
Und da habe ich gedacht, das muss die Dame doch alles wieder rausheben und einscannen. Pustekuchen, die Gesamtsumme hat sich sofort an der Kasse ergeben, weil in jedem Artikel RFID-Tech ist. Und wenn ich die nicht entferne, dann kann ich ja auch überall auslesen, was zum Beispiel Aussagen, wie wertig ist denn die Kleidung, die jemand trägt.
Dann wundern Sie sich vielleicht, wenn Sie ein Bükalsgeschäft betreten und dort die Informationen Ihrer RFID-Techs ausgelesen werden, dann wundern Sie sich vielleicht, Sie von einer Bedienung sehr schnell begrüßt werden und sehr freundlich mit Ihnen umgegangen wird, weil man sieht, da trägt jemand einen Bossanzug für 500 Euro, das ist ein interessanter Kunde, oder trägt jemand eine Supermarktjeans, darum ist mir nicht so zu kümmern, der lässt nicht viel Geld hier. Also ich glaube, den Konsumenten ist noch am ehesten klar, dass kommerzielle Firmen, sei es jetzt Amazon rein digital oder aber auch Firmen, die Brick-and-Mortar machen, also stationäre Einzelhandel, dass die natürlich ein großes Interesse daran haben, Daten zu verwerten, Daten zu kombinieren, Daten aus allen möglichen Bereichen dazuzubekommen. Also ein großes Thema ist die Zeit Ultraschall, ja auch neben WLAN-Ortung.
Das ist, glaube ich, offensichtlich, aber es gibt ja noch viele, viele andere Player, die auch eine Motivation haben, Daten für ganz unterschiedliche Zwecke zu speichern. Es gibt natürlich, da muss man nach den Institutionen so ein bisschen differenzieren, es gibt natürlich auch staatlicher Seite Behördeninstitutionen der Strafverfolgung, der Gefahrenvermeidung, Nachrichtendienste etc. Die Interesse an Daten haben, weil es als Allheilmittel gesehen wird, um beispielsweise in Zeiten des Terrors sogenannte Gefährder zu ermitteln. Dort werden natürlich Grundrechte oftmals durch Sicherheitsgesetze immer mehr ausgehöhlt. Und mit der Argumentation, es diene der Sicherheit aller, werden die Daten von einer unglaublichen Vielzahl von Personen per se mitgetrackt, mit aufgezeichnet.
Wir erleben es immer wieder kaum, dass es irgendwo eine Gewalt hat. Es schreien viele Parteien nach noch mehr Videoüberwachung. Das sind so Themen, also liberale Bürger- und Freiheitsrechte werden da immer schnell heutzutage hinten angestellt.
Und wenn es diese Gesetze einmal gibt, das ist das Problem von Gesetzgebungen in Deutschland, dann sind die in Kraft. Und ob es dann politische Wellen gibt, die im Nachhinein wieder zu kassieren, diese Gesetze was daran zu ändern, das ist dann immer relativ schwierig, weil Gesetze keine Halbwertszeit haben. Man könnte ja auch darüber nachdenken, zu sagen, man erlässt jetzt erstmal so ein Sicherheitsgesetz, verspricht sich eine gewisse Wirkung davon, mehr Terrorverdächtige zu identifizieren und Terroranschläge zu vermeiden.
Und wenn man feststellt, man hat gar keine Treffer durch diese Datenanalysen, dann wäre es ja ganz gut, wenn das Gesetz per se nach fünf Jahren beispielsweise auslaufen würde und sich die aktuellen politischen Tagesgeschehen wieder auseinandersetzen müsste. Wollen wir das noch? Ansonsten fällt das beispielsweise in sich zusammen, das Gesetz, weil es einfach nicht mehr wirksam wäre. Aber diese Player gibt es auf der einen Seite.
Und auf der anderen Seite gibt es natürlich, denken wir an Fitness-Wearables, gibt es natürlich Krankenversicherungen, die sagen, das ist doch interessant. Heutzutage laufen viele junge Leute, die sehr fitnessbegeistert sind, mit irgendwelchen Fitnessanwendungen rum, messen damit ihre tägliche Schrittzahl, ihr Lauf- und Sportverhalten, ihren Puls etc., die Wege. Und wenn ich an diese Daten rankomme, dann kann ich mir als private Krankenversicherungsgesellschaft aussuchen, ob ich einen speziellen, günstigeren Tarif anbiete für solche Leute.
Und wenn das am Ende so ist, dass fast die Vielzahl solcher Tarife am Verhalten beknüpft ist und es nur noch wenige Basistarife gibt, wo jetzt der Otto Normalbürger, der vielleicht auch viel Sport macht, aber der das nur nicht messen lassen möchte, dann ist er schon fast gezwungen und benachteiligt, weil er seine Daten nicht zur Verfügung stellt. Und diese Beispiele, dass sie sich vorführen in Zeiten von Smartcars, von Blackbox, die sie ins Auto installieren können an einer Schnittstelle, mit einer SIM-Karte versehen, Daten vom Fahrverhalten übertragen, da gibt es jetzt auch schon die ersten Anbieter von Kfz-Versicherungen, die sagen, ich biete einen speziellen Tarif an. Und wenn du dich als vorausschauender Fahrer generierst und das messen lässt zu Kontrollzetten, dann hast du sehr günstige Kfz-Versicherungen.
Dann kannst du ein paar hundert Euro sparen. Das ist verführerisch für den Kunden. Da muss man aber genau in die AGBs reinschauen wiederum.
Was passiert denn, wenn ich in Zeiten des Unfalls mich forschungsmäßig verhalten habe, nicht zu schnell war, aber in den Tagen, Wochen davor vielleicht irgendwo mal zu schnell gefahren bin oder zu viel gebremst habe, zu viel beschleunigt habe. Könnte ich nicht meine Versicherungsbedingungen so stricken, dass ich sage, naja, da hast du dich aber außerhalb des Tarifmodells bewegt. Und somit hast du selbst im Schadensfall, auf jeden Fall bei Kasko-Schäden, im Schadensfall, beim Vollkasko-Schaden, trotzdem keinen Anschluss.
Denkbar. Aber auch das ist der Fakt, der Druck entsteht immer mehr, sich diesen Technologien, sich darauf einzulassen und das mitzumachen als Verbraucher, weil man sich sonst peu à peu benachteiligt sieht. Das heißt, wir gehen immer mehr aus dem Kollektiv heraus, was ja letztendlich auch der Zweck der Versicherung war, in der individuellen 1 zu 1 Versicherung letzten Endes.
Schränkt das nicht maßgeblich, Sie haben es vorhin schon erwähnt, das Recht auf individuelle Persönlichkeit ein, die informationelle Selbstbestimmung ein? Das tut es natürlich. Jetzt bin ich natürlich als Betroffener im Idealfall ja Herr meiner Daten. Und wenn ich das bewusst und aufgeklärt mache, ein Service Nutzer der Daten von mir möchte, dann ist das ja jedem selbst überlassen.
Das Problem in der heutigen Zeit ist oftmals aus meiner Sicht zumindest, dass es zu wenig transparente Aufklärung gibt seitens der Anbieter, des Service Provider, dass gezielt dem Kunden manche Sachen verschleiert nur mitgeteilt werden, sehr abstrakt oder gar nicht, weil man eben Angst hat, dass der User sonst abspringt und sagt, das mache ich nicht, das finde ich nicht gut. Und auf der anderen Seite, der User denkt, es betrifft ja nur seine Daten in dem und dem Umfeld und nicht weiß, inwieweit Daten weitergegeben werden oder was mit Daten noch so alles gemacht wird. Und da fängt das Problem an, dass selbst wenn ich formell von Facebook nach einer Einwilligung und Zustimmung der Facebook-Userbedingungen gefragt werde, wenn ich die auch als Jurist versuche zu lesen, weiß ich nicht wirklich, was die alles mit den Daten machen.
Und das ist das Hauptproblem. Ich habe nochmals die Möglichkeit, mich zu informieren. Aber eigentlich, zumindest hier in Deutschland, sollte man durch das Datenschutzrecht regeln, was mit den Daten passiert.
Darauf direkt die Frage, was regelt der Datenschutz eigentlich? Das sind die Spielregeln der Datenverarbeitung letztendlich. Das sind die äußeren linken und rechten Grenzen. Und das Datenschutzrecht setzt quasi dieses informationelle Selbstbestimmungsrecht um, in der Art und Weise, dass eben gesagt wird, was sind die Voraussetzungen einer wirksamen Einwilligung, aufgeklärter Transparenz, vorherige Einholung einer Einwilligung, freie Widerruflichkeit.
Wenn ich eine Einwilligung ergebe, dann habe ich auch jederzeit das Recht, sie wieder zu wiederholen. Und das muss natürlich genauso einfach möglich sein, wie ich sie vorher erklären konnte. Wenn ein Unternehmen es sich sehr leicht macht, meine Einwilligung irgendwo abzuholen, dann muss ich es auch sehr einfach haben, dem Unternehmen auf einfache Weise meinen Widerruf zuzustellen.
Und im Bereich der gesetzlichen Erlaubnisgrundlagen ist es schlichtweg so, dass das Datenschutzrecht zum Beispiel im Nachgang regelt, wenn man eine Daten legitim von mir hatte, weil ein konkreter Zweck vorhat, dann ist das Unternehmen auch verpflichtet, diese Daten nur für diesen Zweck in der Folge zu verwenden und einzusetzen und sich nicht im Nachhinein auszudenken, ich habe die E-Mail-Adresse auf Basis eines Kaufvertrages bekommen, jetzt benutze ich die E-Mail-Adresse einfach mal zu Werbezwecken und schicke denen die Werbung zu. Und das sind diese Grundsätze, die da qualifiziert sind und festgeschrieben sind an dieser Stelle. Und dann gibt es natürlich eine Vielzahl von feinen Vorgaben, was passiert, wenn ich Dienstleister einsetze, Daten weitergeben möchte, was muss ich da noch an Verträgen abschließen, dazu muss ich den Dienstleister vielleicht kontrollieren, auditieren.
Das sind viele Details, die da noch im Bundesdatenschutzgesetz oder eben auch, das ist ja der Angriffspunkt für den heutigen Podcast, in der Datenschutzgrundverordnung festgeschrieben sind. Jetzt ist es natürlich die wunderschöne Überleitung für mich, auch in die EU zu gehen. Ich erinnere mich, dass meine hiesige IHK vor einiger Zeit eine Umfrage machte, wer hat sich denn, liebe Unternehmer, schon damit beschäftigt, mit der sogenannten EU-DSGVO, der Datenschutzgrundverordnung.
Und ohne zu viel zu verraten zu der Studie, also es war nicht im zweistelligen Bereich, dass sich die Unternehmer wirklich sehr stark mit diesem Thema auseinandergesetzt haben. Was bedeutet diese EU-Datenschutzgrundverordnung für Unternehmen hier in Deutschland? Also man kann vorweg eins gleich mal feststellen, sie bedeutet, dass jedes Unternehmen davon betroffen ist. Egal welche Größe das Unternehmen hat, egal welches Geschäftsfeld sie hat, sie gilt als Gesetz unmittelbar direkt ab 25.
Mai nächsten Jahres für alle deutschen Unternehmen. Man kann sich also jetzt nicht sagen, die Rechtsänderungen interessieren mich nicht, es sei denn, ich gehe mit dem Thema Rechtscompliance in meinem Unternehmen sowieso schon sehr risikobereit um. Das ist das Erste.
Das Zweite ist, um in der Compliance-Sprache zu bleiben, so etwas nennt man Bruttorisiko. Das Bruttorisiko, was eintreten könnte aus Unternehmenssicht, wenn ich einen Datenschutzverstoß begehe, erhöht sich maximalst. Wir hatten vorher im Bundesdatenschutzgesetz, was noch ein Jahr Nötigkeit haben wird knapp, Obergrenzen für Bußgelder in einer Stufe bis 50.000 Euro, in einer zweiten Stufe bis maximal 300.000 Euro pro Einzelfall des Datenschutzverstoßes.
Und so ergaben sich Bußgelder beispielsweise gegen die Deutsche Bahn 2009 von 1,2-1,3 Millionen Euro, weil es eben eine Vielzahl von Betroffenen, damals war ein Datenschutzskandal da, knapp 200.000 Leute waren damals illegal, deren Daten verwendet worden durch die Deutsche Bahn. Und dann berechnete man das mal so hoch und dann kam halt 1,3 oder 1,4 Millionen Euro raus. Heutzutage ist es so, oder ab der Datenschutzgrundverordnung, dass diese Obergrenzen sich expansiv erhöhen können.
Also in der ersten Stufe früher 50.000, wir erinnern uns, in der nächsten Stufe sind es jetzt 10 Millionen Euro oder 2% des weltweiten Konzernumsatzes des Vorjahres. Je nachdem, welche konkrete Zahl dabei höher wäre. 10 Millionen Euro, mehr als 2% ist das die Obergrenze, sind 2% mehr als 10 Millionen Euro, ist das in der ersten Stufe die Obergrenze.
Die zweite Stufe ist nochmal erschreckend, verdoppelt sich nicht einfach. 4% des weltweiten Konzernumsatzes oder eben 20 Millionen Euro, je nachdem, was wieder individuell von Gesellschaft zu Gesellschaft höher ist. Und das sind einfach Sachen, da kann sich kein Unternehmen heutzutage mehr sagen, das nehme ich mal als Compliance-Risiko, weil ich auch Blimpflug da unterwegs bin in Kauf, das würde alles so hart treffen.
Es kommen natürlich noch ganz andere Themen dazu, es gibt strafrechtliche Vorschriften, die an Datenschutzverstößen anknüpfen. Beispielsweise eine illegale Datenverarbeitung vornehmen, um in besonderer Art und Weise einen Vorteil zu erwirtschaften, Gewinn zu erwirtschaften. Dann ist das eine Straftat, heute schon, auch in Zukunft mit zwei Jahren, Freiheitsstrafe bedroht oder Geldstrafe.
Also schon erheblich, ob man das möchte, muss man sich als Geschäftsführer dann immer fragen. Und ich habe Schadensersatzanforderungen zielrechtlicher Natur der Betroffenen selber, die können noch dazukommen. Last but not least, und das ist, glaube ich, das Unmittelbare, der Inwildschaden für mein Unternehmen.
Ich bin ja in der Berichterstattung, denken wir an die Deutsche Bahn, die da lange mit zu kämpfen hatte, dass sie da noch in der Historie von Google immer wieder auftaucht, bei Datenverhandlungen, Begriff Datenschutzskandal. Und etwa ich habe einen Vertrauensverlust auf der Verbraucherseite, der dann mein Produkt vielleicht nicht mehr haben möchte. Das sind so diese Risiken.
Ja, und konkret, was muss ich alles umsetzen? Da gibt es eine Vielzahl von Sachen. Ich muss wesentlich mehr dokumentieren, als ich das bisher getan habe. Ich muss wirklich jeden Geschäftsprozess, den ich im Unternehmen habe, bei dem ich Personennutzung und Daten anfasse und nutze, den muss ich dokumentieren in einer wirklichen sehr Ausführlichkeit und Granularität.
Wir haben ganz konkreten Beispiele festgehalten. Recruiting, Mitarbeiterbildung. Ich muss dort genau beschreiben, wie, auf welchen Kanälen, erreiche ich Bewerbungen, beispielsweise ganz normal über eine Jobs-App-Firma XY, die E-Mail-Adresse, oder schriftlich, oder über ein Recruiting-Portal, weil ich SAP E-Recruiting einsetze, oder Success Cactus, oder was es sonstmals gibt.
Eine Vielzahl guter Recruiting-Portale, um die Bewerbung zu betreiben. Der gesamte Umgang der Life-Cycle dieser Datensätze, der muss beschrieben werden in einer Form, dass ich genau weiß, wer hat Zugriff auf diese Daten, wie lange bewahre ich diese Bewerberdaten auf, wie garantiere ich, dass ich, sobald ein Löschpflicht eintritt, das im ganzen Unternehmen auch zu löschen bekomme. Wenn in einem Mittelstandsunternehmen meistens diese Bewerbung wahrscheinlich per E-Mail an die Entscheider vom Personalbüro weitergeleitet wird, dann kann das Personalbüro, das zentrale Bewerber-Postfach, gerne löschen, dann habe ich das aber vielleicht vier-, fünffach in den E-Mail-Postfächern der Personalentscheider und auch die müssen natürlich, um den Löschanspruch, den der Betroffene nach einer Ablehnung hat, auch die müssen natürlich gelöscht werden.
Wie gewährleiste ich das als Unternehmen? Und das muss alles in einer sogenannten Verfahrensübersicht beschrieben werden, dokumentiert werden, weil das der Dreh- und Angelpunkt ist einer Datenschutz-Compliance-Prüfung, einer datenschutzrechtlichen Aufsichtsbehörde, guckt sich genau dieses Verarbeitungserzeugnis an und pickt sich dann dort mal die markantesten Tätigkeiten raus und prüft dann, ob das, was dort dokumentiert ist, vor Ort denn tatsächlich auch gelebt wird. Ich greife das Beispiel mal auf. Also, wenn Sie jetzt einen Konzern haben, dann ist das eine ganz andere Nummer, als wenn Sie die 10 Mitarbeiter, den 10 Mitarbeiter Handwerksbetrieben haben.
So, jetzt müsste ich theoretisch, also Prüfung klingt erstmal, wahrscheinlich, wenn man an Prüfung denkt, das erste, woran man denkt, ist wahrscheinlich irgendwie Betriebsprüfung, aller Steuerprüfung, alle paar Jahre wieder. Gibt es da einen ganz konkreten Anlass, dass eine Aufsichtsbehörde eben auch datenschutzrechtliche Aspekte prüft oder kann mir das zufällig passieren oder nur, wenn ich in der Presse stehe? Oder wie passiert das? Also die Tätigkeiten der zuständigen Datenschutzaufsichtsbehörden, wir haben wirklich pro Bundesland eine Datenschutzaufsichtsbehörde. In Bayern haben wir uns zwei geleistet.
Einmal für Behörden in München, der bayerische Datenschutzbeauftragte und seine Behörde und dann einmal für die Unternehmen in Bayern, in Ansbach, das Landesamt für Datenschutzaufsicht, die dann als Behörde tätig werden würden. Und die haben den Auftrag, Datenschutzverstöße festzustellen, zu untersuchen und dementsprechend entgegenzuwirken und über Schickungsmaßnahmen insgesamt den Datenschutz zu gewährleisten, dass die Unternehmen darauf achten. Die können es aber natürlich mit ihren begrenzten Mitteln und ihrem Personal nur eingeschränkt gewährleisten.
Aber tatsächlich ist es so, von Jahr zu Jahr, dass auf der einen Seite eine gewisse anlasslose Regelprüfung stattfinden kann. Das heißt, jedes bayerische Unternehmen könnte mal kontrolliert werden. Da müssen wir uns nicht in die Tasche biegen.
Bei der personellen Besetzung und der Anzahl von Unternehmen kann es recht lange dauern, dass sie mal bei so einer anlasslosen Kontrolle angeschrieben werden. Da suchen sich die meisten auch meistens größere Player aus, um sich da eben abzuarbeiten. Aber daneben hat natürlich bei einem Datenschutzskandal, der eben rauskäme durch einen Whistleblower, durch einen Betroffenen, der sich beschwert bei der Aufsichtsbehörde.
Jeder Bürger kann sich da beschweren, dass irgendwas Illegales mit seinen Daten geschehen sei. Und dann hat die natürlich einen Amtsentmittlungsgrundsatz und muss dem nachgehen und schreibt die Unternehmen an. Und das ist das, was in der Praxis passiert und passieren kann, dass man als Unternehmen ohne böses Wollen durch einen Fehler zum Beispiel einen Betroffenen in irgendeiner Art und Weise verärgert hat, der schreibt die Aufsichtsbehörde an und dann wird die Aufsichtsbehörde tätig und könnte dementsprechend auch sagen, okay, wir kommen vor Ort und legen mal dort den Betrieb teilweise in Anführungszeichen nahm, weil wir einfach Personal finden, Untersuchungen, Auskünfte haben wollen.
Und dann hat man natürlich einen riesen Moorloch an Aufgaben, die als Unternehmen, die dann Zeit kosten, sondern auch Geld. Das ist ganz klar. Und der Effekt einer solchen Auditierung könnte sein, dass die Aufsichtsbehörde tatsächlich Mängel feststellt, verlangt, dass das abgestellt wird und am Ende natürlich bei schwereren Verstößen auch sofort ein Bußgeld verhängen könnte.
Also ich habe immer noch diesen kleinen Handwerksbetrieb im Hinterkopf. Der mag ja auch, oder nehmen Sie was anderes, die kleine Dienstleistungswebagentur oder ähnliches mit einem sogar geordneten Prozess über die Webseite, wo man sich bewerben kann. Jetzt kommt aber irgendein Bewerber, schickt eine Mail rein, wie das dann so ist.
Man denkt ja auch nicht sonderlich darüber nach in dem Moment, tauscht sich ein kleines Team über den Bewerber aus. Der Bewerber wird nicht genommen oder wird in der Probezeit wieder gekündigt und so weiter und so fort. Ich hätte dann schon Probleme als kleines Unternehmen, oder? Ja, Probleme natürlich nur dann, wenn ich mir nicht sauber darüber Gedanken mache, wie ich dann damit umgehen würde mit diesen E-Mails.
Also es ist letztendlich oftmals eine Sensibilisierungsfrage. Wenn ich dort einmal als KMU-Unternehmen mich habe einfach sauber informieren lassen, beispielsweise am Workshop, und dort dann sage, ok, worauf muss ich dann achten? Dann ist das kein Hexenwerk. Dann richte ich beispielsweise eine zentrale E-Mail-Adresse ein, in dem Bewerbungen auch nur angefordert werden.
Dann publiziere ich das auf der Webseite, wie wir es vorhin schon hatten, jobs.firma.xlipson.de oder Karriere-Ads oder sonst was. Dort gehen Bewerbungen zentral ein und den Zugriff auf dieses Postfach begrenze ich halt, beispielsweise auf die Personalabteilung, und die würde dann Bewerbungen an solche Unternehmen nicht per E-Mail einfach weiterleiten, sondern ausdruckend den Leuten zur Verfügung stellen. Gerade beim kleinen Unternehmen geht das noch, bei großen Unternehmen, die dringend an einem Radfenster durch Konzernzentralen laufen müssten, stattdessen übergreifend, geht natürlich nicht.
Aber für ein Kleinunternehmen wäre das denkbar. Und man sagt einfach, hier sind die Bewerbungsberaten, und nach der Bewerberunde, wenn man sich seine Meinung gebildet hat, wird das eben nach einem gewissen Nachgang wieder abgegeben an der Personalabteilung, die das dann zentral lagert, und in der Sekunde, wo man eine Entscheidung getroffen hat, dann beispielsweise für die Vernichtung sorgt. Ich kann auch natürlich sagen, Gotteswillen, wer läuft diesen Zettel hinterher? Dann muss ich aber meinen Entscheidern sagen, pass mal auf, da ist die Darmschutztonne, da ist der Schredder.
Das sind auch ganz normale Workarounds. Viele Firmen haben einfach keinen Schredder, der in Partikel beispielsweise sowas dann vernichtet, wo ich dann auch sage, das ist eure Verantwortung hier, ich übergebe das, und nach der Entscheidung über die Bewerbung schreddert das mit. Das sind so Ansätze, die auch gelebt werden können, mit ein bisschen Bemühen und ein bisschen Bereitschaft, was an seinen täglichen Abläufen zu ändern.
Okay, jetzt spreche ich mit meinen Gästen natürlich ganz viel über Unternehmenssoftware, also ERP. Ich rede gerne vom Datenfundament des Unternehmens, möglichst integriert, möglichst datenkonsistent, ohne Redundanzen und so weiter und so fort, und zeige auch in der einen oder anderen Folge Nutzendimensionen auf. Eine der Nutzendimensionen ist eben auch, dass ich heute natürlich viel, viel leichter, wenn ich die Daten zentralisiert halte, über mehrere Länder, muss ja gar nicht Amerika sein, kann ja auch innerhalb Europas sein, sogenannte Intercompany-Prozesse aufbauen kann, die gar nicht mal so sehr aus den entfernten Ländern bediene, sondern quasi aus Zentrale über das ERP-System entsprechende Verbuchungen eben natürlich in Österreich, in der Schweiz, wo auch immer vornehme.
Heißt aber andererseits, dass ich Datenstrukturen aus unterschiedlichen Tochtergesellschaften eines Konzerns im Zugriff habe. Ist das erlaubt? Darf ich da in der Zukunft so langsam mit umgehen, wie ich das in der Vergangenheit gemacht habe? Da muss man ganz offen sagen, dass sich sowohl die Aufsichtspiraten als auch die Juristerei natürlich teilweise ein bisschen schwer tut, mit dem Fortschritt der Technik Schritt zu halten und dort dran zu bleiben, weil solche Shared Service Center innerhalb einer Unternehmensgruppe, sei es, dass ich eine Konzernmutter habe, eine Konzerntochter, die Dienstleistungen für verbundene Unternehmen erbringt, zentrale Datenhaltung, zentrale IT-Infrastruktur, Bereitstellung von Anwendungen und Datenbanken. Das ist erst mal etwas, was für die Juristen neu ist, wenn sowas aufkommt und man dann überguckt, wie ist es, die bestimmten Gesetze zu subsumieren.
Fakt ist aber einfach, das Datenschutzrecht kennt per se kein Konzernprivileg. Das heißt, sobald wir immer von einer Unternehmensgruppe sprechen, ob es als Konzern schon angesehen werden kann oder Unternehmensgruppe, mit verbundenen Gesellschaften, das heißt Einzelgesellschaften, die juristisch selbstständig formal sind, dann ist eine Datenweitergabe, ich will das jetzt mal gezielt in diesem neutralen Begriff beschreiben, eine Datenweitergabe zwischen diesen Gesellschaften nicht per se erlaubt, nur weil man den gleichen Eigner hat oder alle unter dem gleichen Logo formiert, sondern solche Datenweitergaben sind immer genauso nach diesem Grundsatz des Verarbeitungsverbotes mit dem Erlaubnisvorbehalt durch die Einwilligung oder die gesetzliche Erlaubnisnorm rechtfertigungsbedürftig. Das heißt, wenn ich mir die Fachexperten aus den ERP-Softwarehäusern anschaue, die natürlich auch Intercompany, Mandantenstrukturen, organisatorische Stammdaten, Stammdatenstrukturen übergreifend erlauben, also ein Kunde meldet sich bei Unternehmen A, die Daten des Kunden werden erfasst, dann stehen sie auch Unternehmen B und C der gleichen Holding zur Verfügung.
Das sind eigentlich Dinge, die eher problematisch sind, oder? Das sind Dinge, die auf jeden Fall Rechtsfragen aufwerfen und die oftmals gar nicht erst als problematisch oder potenziell problematisch bewertet werden von vielen Unternehmen, sondern es wird eine Systemarchitektur eingekauft, implementiert und dabei vielleicht schon bei der Implementierung und beim Customizing gewisse Rechtsfragen nicht gesehen, dass ein Beispiel, den Sie gerade genannt haben, der Begriff Mandant, also es gibt einen Grundsatz, der eben besagt, man kann zwar eine gleiche IT-Infrastruktur nutzen, ich kann physikalisch den gleichen Server durchaus nutzen, ich muss halt nur auf Datenbank-Ebene oder in der Applikationsebene dafür sorgen, dass ich da eine saubere Trennung zwischen den Datenbeschränkungen habe, eine Mandantenfähigkeit der Anwendung, der Lösung, die ich da kaufe, oder eben hier bauen lasse. Und da gibt es diverse Anforderungen, die zum Beispiel ein pauschales Zugreifen dürfen über alle Grenzen in der Unternehmensgruppe hinweg eben nicht ermöglicht, sondern ich sehr rollenspezifisch gucken muss, wo sitzt ein Anwender, der, weil er gewisse zentrale Aufgaben für die Unternehmensgruppe, beispielsweise Revision oder Controlling, übernehmen soll, wo sitzt der Anwender und welche Rolle braucht der, um seine Aufgabe zu erfüllen. Und dann kann ich sehr wohl sagen, ja, der darf schon Daten einsehen und somit übermittelt bekommen, aber es darf eben nicht pauschal möglich sein.
Und auf der Datenbank-Ebene muss ich auch gucken, dass ich die Datenbestände so trenne, durch Attribute, mit einem Flaggverseher oder wie auch immer, dass ich sehr wohl die Möglichkeit habe, auch die Konfiguration der Datenbestände und der User auf diese Datenbanken getrennt voneinander fahren oder loggen zu können. Das ist zurzeit eine der schwierigsten Herausforderungen, egal, ob Sie jetzt einen großen Anbieter aus Waldorf sich denken oder was es sonst noch alles gibt. Das ist einer der größten Baustellen, weil oftmals vermarktet auf Vertriebseite nur auf Instanzen-Ebene wird.
Und dann wird halt mit, nennen wir es Berechtigungskreise, Berechtigungsgruppen, auf der Ebene werden Mandanten vermarktlich getrennt. Ob das eine rechtskonforme Trennung ist, sei mal dahingestellt. Da gibt es nämlich durchaus berechtigte Zweifel, weil das immer nur auf Berechtigungsstrukturebene abstellt.
Aber z.B. der Admin mit einem Admin-User alle Mandanten konfigurieren und bearbeiten kann. Das ist aber sehr schwierig, weil offiziell sind das natürlich die Daten der einzelnen Tochtergesellschaften. Und wenn ich Kunde bei Tochtergesellschaft A bin, dann darf ich die Tochtergesellschaft B diese Daten nicht per se sehen.
Und dann darf der Admin-User das auch nicht in gleichen Mandanten verwalten, weil er dabei die Möglichkeit hätte, grenzüberschreitend alle Daten zu sehen. Das ist eine große Aufgabe. Es gab eine Orientierungshilfe der Aufsichtsbehörden zu, die, das ist schon aus dem Jahr 2012, ein bisschen alt ist mittlerweile, die aber das Problem teilweise versucht hat zu behandeln.
Da hat man aber mehr drauf abgestellt. Okay, ihr wollt eine gemeinsame IT-Infrastruktur nutzen. Was müsst ihr dabei beachten? Man hat dabei aber auch das Achtlassen, dass es ja nicht nur um die physikale Speicherung geht, von dem dann Tochter A und Tochter B immer nur auf ihre Datenbestände zugreifen, sondern dass es ja auch darum geht, dass vielleicht die Mutter C für Tochter A und B diese Daten, die dort sind, produktiv verarbeiten soll als Serviceleistung.
Und das sieht diese Orientierungshilfe wahrscheinlich nicht. Das ist eine riesen Hürde, gerade bei allen, auch meiner Unternehmen, zu gucken, wie kann man dort mit Rechtssicherheit agieren. Und ich weiß, dass auch bei großen ERP-Anbietern dort gerade die Köpfe kratzen.
Ja. Es ist natürlich schon sehr komplex, diese Fragestellungen. Ja, es ist immer dieser Spagat, den Sie natürlich als Jurist haben, einerseits dieses Schimpfwort der Legastheniker des Fortschritts, andererseits aber natürlich auch der Bewahrer der individuellen Rechte.
Ich glaube, dieser Spagat wird hier auch sehr, sehr deutlich in dem Gespräch zum Thema Datenschutz. Jetzt haben wir gerade gesprochen über die Europäische Grundverordnung zum Datenschutz, die im Mai nächsten Jahres in Kraft tritt. Und wenn ich dann höre, 2% des Umsatzes, 4% des Umsatzes und ich bin ein kleiner Mittelständler, also mir wird Angst und Bange, wenn ich dann morgens in die Firma komme und feststelle, wir sind letzte Nacht gehackt worden.
Was sollte ich machen, wenn ich Datenschutzprobleme plötzlich entdecke, offene Löcher entdecke? Wir kennen alle die Super-Gaus von Yahoo und Co. Aber was ist, wenn mir das als Mittelständler passiert, ein Hack? Auch da gibt es Neuerungen durch dieses neue europäische Gesetz. Bisher war es so, dass Sie nur, wenn bestimmte Datenarten betroffen waren von diesem Hack, wo eine gewisse Gefahr droht, dass die Betroffenen dementsprechend Schaden erleiden könnten, Sie eine Meldepflicht, das ist § 42a BESG, eine Meldepflicht gegenüber den Aufsichtsbehörden hatten, um sich quasi darauf aufmerksam zu machen, hallo, hier ist was bei uns schiefgelaufen, ist natürlich im Rechtsstaat ein sehr ungewöhnliches Konstrukt, weil wir normalerweise immer davon reden, dass niemand sich selber irgendwo in Verdacht bringen muss.
In Zukunft gehen diese Meldepflichten gegenüber den Aufsichtsbehörden wesentlich weiter. Ich muss auch bei normalen Datenschutzpannen die Aufsichtsbehörde informieren innerhalb von 72 Stunden. Also auch da muss ich mir Gedanken machen, wie kann ich das gewährleisten, wer ist dafür zuständig? Aber ich kann nicht einfach sagen, wir klären das intern und hoffen, dass es keiner mitbekommt.
Wenn das im Nachhinein doch rauskommt, dass da Kenntnisse da waren, dann kann auch schon per se mit dem Verletzen dieser Benachrichtigungspflicht ein Bußgeld verhängt werden. Also diese Tatbeschränkungen, die Bußgelder potenziell anköpfen, die sind wesentlich weiter, als es bisher im BDSG war. Und somit muss ich auch viel öfters darauf achten, welche Sachschaftspflichten ich habe.
Das geht so weit, dass ich selbst bei der Gestaltung von IT-Systemen, die ich nutze, technische Grundsätze wie Privacy by Design oder Privacy by Default einhalten muss. Sprich, meine Systeme so aufsetzen muss, dass sie datenschutzfreundliche Voreinstellungen per se garantieren, dass sie Transparenz für den User darstellen. Und wenn ich jetzt mal sage, versuchen Sie mal unter Facebook, ich weiß, auf denen hacken wir jetzt immer so ein bisschen rum, aber Sie sind so schön greifbar, Ihr Datencenter zu finden als angemeldeter User und dort irgendwelche Einstellungen zu ändern, schwierig, oftmals sehr verschlachtet.
Da denken Sie daran, wie durch mein Facebook-Konto oder wie ich YouTube-How-to-Do-Videos höre, um das zu finden. Das sind halt genau solche Gestaltungspunkte, dass ich bei einem Online-Shop beispielsweise im E-Commerce-Bereich beachten muss. Der Kunde muss einfach eine Basis haben, meine Daten, und muss dort einfach einstellen können, will ich Werbung? Ja, nein. Wie soll die Werbung sein? Und denken Sie jetzt an den berühmten Apple-Schieber, grün oder eben farblos.
In solchen Konfigurationsbereichen müsste das aufgebaut sein. Dann immer mit der datenschutzfreundlichen Voranstellung das erst mal per se auf. Mit deinen Daten, mit Ausnahme der Abwicklung von Kaufverträgen im Online-Shop, passiert erst mal gar nichts.
Und nur wenn du als User entscheidest, da schiebe ich jetzt rüber auf, ich will einen User da haben, ja bitte, oder ja, der soll auch personalisiert sein nach meinem Kaufverhalten, dann ist das Ganze eigentlich dementsprechend nach diesen Ansprüchen her eingestellt. Und selbst wenn das wiederum nicht beachtet wird, zahle ich dafür in Zukunft potenziell, wenn sich ein User darüber beschwert, und das ist ja mit einem Frontend zum Verbraucher sehr öffentlichkeitswirksam, ganz schnell auch ein Bußgeld, wenn die auch so etwas sagt, das habt ihr nicht beachtet. Sie haben eben schon darüber gesprochen, es wäre sinnvoll, im Unternehmen jemanden als Verantwortlichen für diesen Bereich Datenschutz zu postulieren.
Ich weiß, dass Sie darüber hinausgehend auch offensiv eigentlich die Einführung eines Datenschutzmanagementsystems bewerben oder befürworten. Was würden Sie alles darunter verstehen? Das ist natürlich genauso wie bei einem Compliance-Managementsystem oder einem Informations- und Sicherheitsmanagementsystem der absolute Oberbegriff allumfassend über sämtliche Maßnahmen, Verfahren, Meldewege, Steuerungen, die ich als Unternehmen mir selber gebe und verordne, um Datenschutz-Compliance zu gewährleisten. Das fängt dabei an, dass ich mir überlegen muss, wer soll denn bei mir im Unternehmen sich um dieses Thema überhaupt kümmern.
Also bestelle ich mir einen Datenschutzbeauftragten, viele Unternehmen sind verpflichtet, einen zu bestellen, das kann man intern oder extern lösen, wie auch immer, und nenne den dann den großen Konzern-Privacy-Officer oder eben bei einem Mittelstand den Datenschutzbeauftragter und gebe dem dann diverse Ressourcen zur Verfügung, dass er sich um die Aufgabenhaltung kümmert und es geht dann inhaltlich um Fragen, wie analysiere ich und dokumentiere ich überhaupt erstmal alle meine Geschäftsprozesse, bei denen Personenzahlen und Daten eine Rolle spielen, angefangen bei, wir hatten das vorhin eingangs schon mal, Bewerbungsverfahren, Durchführungs- und Beschäftigungsverhältnisse, Beendigung, Auslauf, das muss alles sauber dokumentiert sein. Genauso Umgang mit Kunden, welche CRM-Systeme habe ich, auf welche Wege komme ich an Kundendaten heran, generiere ich die nur selbst aus Verträgen, kaufe ich Daten irgendwo zu, das ist ja teilweise legitim möglich. Und das muss alles dokumentiert werden und in einem ersten Schritt natürlich immer eine GAP-Analyse betrieben werden, ob das zur Zeit nach den geltenden Regelungen oder nach der Datenschutz-Rundverordnung konform ist im Ist-Zustand.
Daraus leiten sich dann folgende Maßnahmen ab und genauso brauche ich, wenn ich dann alles mal konform umgestellt hätte, Datenschutzmanagement würde auch heißen, wer ist denn zuständig dafür, für das erkannte GAP die Handlungsalternative, die man empfohlen hat, auch umzusetzen, wer ist in meinem Fachbereich dafür zuständig, dass das gemacht wird, wie kriege ich Feedback dazu im Unternehmen und dokumentiere das, jawohl, ist gut abgehakt, weil Papier jetzt schnell bedient. Das muss ja auch umgesetzt werden. Und dann gibt es Change Management, das muss ich mir überlegen.
Ein System, was mal als konform bewertet worden ist, was implementiert worden ist, löst man im dynamischen Unternehmen irgendwann ab. Es gibt einen neuen Release oder es gibt neue Funktionen. Wie sorge ich dafür, dass die Prüfinstanz, die Compliance-Abteilung davon erfährt, um das an der Prüfung zuzuziehen? Und wie gewährleisten sich solche Meldewege? Das ist eine ganz einheitliche Aufgabe.
Das sollte in einem Datenschutzmanagement-System dokumentiert beschrieben werden. Und man muss es wie ein Qualitätsmanagement-Handbuch etc. einem Unternehmen auch leben und beachten.
Und das ist unter Datenschutzmanagement-System zu beschreiben und zu verstehen. Dann gibt es eine Vielzahl granularer Aufgabenstellen, die da auch noch mit abgedeckt sind, die ich jetzt ziemlich in Detail nennen kann. Ich habe mir sagen lassen von Ihren Mitarbeitern, dass sie eigentlich unter Volllast laufen.
Und wenn ich mir die Aufgaben, das breite Spektrum anschaue, dann ist das mehr als vorstellbar, dass wir als Fachexperte hier wahnsinnig viel gerade zu tun haben. Das Thema Digitalisierung verfolgt uns seit vielen Jahren, seit 2013, 2014 noch extremer. Es wird immer extremer.
Was ist denn ein Jobprofil für Leute, die idealerweise mit Datenschutz zu tun haben? Ich glaube, Sie suchen solche Leute ja auch gerade. Schöne Plattform, danke. Das betrifft nicht nur unser Beratungshaus, das betrifft natürlich auch Wettbewerber, Marktteilnehmer oder interne Datenschutzbeauftragte, die auch einen Höllenjob zurzeit bei ihren Unternehmen mit ihren Rechtsabteilungen durchfahren müssen, weil alle Unternehmen, zumindest, Sie haben ja die IHK-Statistik genannt, aber man kann schon sagen, dass die großen Unternehmen natürlich, weil sie Compliance auch durch strukturierte Abteilungen in vielen Bereichen per se schon als Prozess leben und dann wird eben die Disziplin Datenschutz noch mit eingefügt.
Viele Unternehmen versuchen jetzt, bis 25. Mai 2018 datenschutzkonformante Datenschutz-Rundfragen sich aufzustellen und versuchen jetzt gerade das aufzuräumen, was teilweise seit Jahren nie so richtig angegangen worden ist, weil früher die Motivation mit 300.000 Euro mal dahingestellt und jetzt natürlich umso größer ist. Das macht die Auslastung geradeaus.
Wenn Sie jetzt auf das Profil zu reden kommen, ist das so, dass ein Datenschützer per se einzig sein sollte. Er sollte nicht, das hört sich jetzt vielleicht merkwürdig an, er sollte nicht seine Aufgabe daran verstehen, als Don Quirote gegen Windmühlen zu kämpfen. Als guter Datenschutzberater sollten Sie es tunlichst meiden, die betroffenen Fachbereiche und Unternehmen zu Eins-Plus- und Sternchenlösungen prügeln zu wollen.
Man sollte natürlich wissen, wie die optimalste Lösung ist, das ganz klar. Aber man sollte auch mal einen Blick für die unternehmerische Wirklichkeit seiner Beratungsmandate haben, sei es als Angestellter, Datenschützer oder als externer Berater. Sonst verbrennt man mit dem Thema ganz schnell bei seinen Kunden und Fachbereichen, weil die haben ja auch in ihren Bereichen viel Arbeit.
Und wenn sie das Gefühl haben, sobald ich mich mit einem Datenschutzbeauftragten ins Bett steige und darauf einlasse auf das Spiel, kann ich immer nur am Ende wie ein gerupftes Hühnchen dastehen und habe die Hälfte nicht verstanden. Und es ist auch nicht lebbar, was der von mir fordert. Das kann nicht funktionieren.
Sondern ich muss den Blick dafür haben, warum macht das Unternehmen gewisse Datenverarbeitungsprozesse und mit dem diplomatischen Geschick zu kommunizieren, welche Anforderungen man da beachten muss und mit dem Verständnis für das Unternehmen auch zu agieren und zu beraten. Es gibt natürlich immer äußere Grenzen. Da hört auch jede Form von pragmatischem Beratungsansatz auf.
Wenn man ganz klar sagt, Schwarz-Weiß, das geht halt nicht, das ist unzulässig, dann muss man das auch durchsetzen können in Form von einer Durchsetzungsfähigkeit. Also es ist ein Wandel zwischen diplomatischem Geschick, analytischem Verständnis, hoher IT-Affinität. Das ist für Jungs nicht immer so einfach.
Wir hatten es ja eingangs. Datenschutzrecht spielt natürlich gar keine Rolle in der Ausbildung, im Normalfall. Und deswegen ist es sehr schwer, sich da vielleicht als Nicht-Informatiker in so ein zumindestes Modellverständnis von IT reinzudenken.
Und als Informatiker, der sich diesem Themenbereich belegt, hat man die gleiche Herausforderung im Spiegel verkehrt. Das Datenschutzthema ist mittlerweile so stark verrechtlicht, dass sie natürlich auch keine Scheu dafür haben dürften, sich mit komplizierten EU-Standard-Vertrags-Klauseln auseinanderzusetzen. Ist das nicht eigentlich wieder ein Prädojekt für den Wirtschaftsinformatiker? Natürlich ist das der Fall.
Aber genau das ist der Ansatz, zu gucken, dass interdisziplinäre Fähigkeiten gefragt sind. Und egal, ob es der Wirtschaftsjurist ist oder der Wirtschaftsinformatiker, die sind oftmals beliebt bei den Unternehmen, um beispielsweise diese Schnittstelle zu einem Datenschutzbeauftragten zu sein. Nämlich jemand zu sein, der sehr wohl schon sieht und versteht, was alles geprüft werden muss und der dann potenziell einzelne Prüfaufgaben aber dann natürlich an den Datenschutzbeauftragten weiterleitet, wenn es mal richtig rechtlich heißt wird.
Und man auf der Gegenseite potenziell bei großen Service-Providern mit irgendwelchen Großkanzleien telefonieren muss, im besten Fall aus dem amerikanischen Bereich, um dann zu sagen, warum man ein gewisses Vertragswerk ummodellieren müsste, damit es rechtskonform ist. Und dann versuchen Sie mal mit Microsoft oder SAP und deren Rechtsabteilungen zu telefonieren und was zu bewegen, wenn Sie dann letztendlich merken, dass die finale Entscheidung nicht angetroffen wird. Dann haben Sie mit den Kollegen aus München oftmals umsonst telefoniert.
Also ich würde einfach sagen, es hat je nach Unternehmen verschiedene Ausformungen, wo vielleicht einmal der bessere Mann der Informatiker wäre, mit technischer und mit rechtlicher Affinität. Und in manchen Komplikationen der Jurist, der viel von Technik versteht, vielleicht der bessere. Letztendlich kommt es so viel auf den Charakter und auf die Erfahrung an, dass sich das dann angleichen kann.
Gut, machen wir mal unsere abschließende Blitzlichtrunde. Ich komme mal wieder auf Sie zurück. Nachdem wir dieses spannende Thema aus ganz vielen Facetten beleuchtet haben, warum sitzen Sie hier? Also mit anderen Worten, warum sind Sie beruflich das geworden, was Sie heute sind? Zwei Mal in meinem Leben gab es so eine Situation wie die Jungfrau zum Kind.
Einmal, wie ich überhaupt zu diesem Thema als solches gekommen bin. Ich bin nach meinem mündlichen ersten Staatsexamen, das schließt ja bei uns Juristen einmal so vier Monate ungefähr nach den schriftlichen Prüfungen ab, nach dem mündlichen Examen bierbeseelt in der Universität rumgelaufen und habe meinen späteren Doktorvater getroffen, den ich von meiner studentischen Tätigkeit heraus kannte und habe mit geringer Helmschwelle des Bieres, sei Dank, ihn angesprochen, wie es denn da aussähe, welche Voraussetzungen man so für eine Promotion bräuchte, ob man sich das vorstellen könnte. Und so sind wir zu den Diskussionen um Themen gekommen und da ich auf die Frage, ob ich schon ein konkretes Thema vor Augen hätte, ich hatte gerade mal eine mündliche Prüfung hinter mir und zwei Bier, nur ehrlich gesagt habe ich, nö, hat er mir ein Datenschutzthema vorgeschlagen, was ich eigentlich sehr interessant fand, es ging damals um die elektronische Gesundheitsdaten.
Und dann habe ich gesagt, ja, das mache ich, kenne ich nicht, finde ich interessant, so bin ich damit rechtlich rein gerutscht. Und wie ich dann konkret Datenschutzberater geworden bin, ich hatte das zweite Examen gerade frisch in der Tasche, plötzlich gab es hier diese Option, diese Würzburger Niederlassung zu gründen, die DatenschutzNord, die heutige Schwestergesellschaft der Datenschutznied hatte damals einfach gesucht und ich war werdender Vater und habe gesagt, naja, Juristen mit Datenschutzvorkenntnissen gibt es wenige, das mache ich doch mal. Und so sind wir da reingerutscht und letztendlich hat sich dann der Erfolg das alles immer stärker verfestigt.
Angefangen auf 17 Quadratmeter im Gründungszentrum hier im TGZ in Würzburg und als einzelner Mitarbeiter, der sich selbst geführt hat, zu heutzutage zwei Standorten, einmal Würzburg, einmal Köln und auf der anderen Seite 15 Kollegen als Vorjuristen, das in den letzten 8,5 Jahren einfach wie im Rausch passiert und momentan ist ein Ende nicht abzusehen. Deswegen etwas, was wir immer suchen, sehr freundlich. Wer das hört, als Juristen sich angesprochen fühlt, gehen Sie gerne auf unsere Webseite.
Ja, die, die vielleicht schon im Beruf stehen, in den Firmen jetzt mit dieser Problematik bedient sind, können Sie Literatur empfehlen, können Sie Bücher empfehlen, um sich weiterzubilden? Lebenslanges Lernen ist ja auch immer das Stichwort, speziell Datenschutzmittel. Momentan ist natürlich der Markt, der Verlagsmarkt, der Buchmarkt, da jetzt im totalen Umbruch, weil natürlich die gesamte Literatur bisher auf das BDSG ausgerichtet war und seitdem die Datenschutz-Grundverordnung und der Text final feststeht, nach einem sehr komplizierten Trilogenprozess, wie das Ganze hieß, gibt es jetzt eine Vielzahl von Neuerscheinungen. Also ich kann jetzt nicht sagen, ja, es gibt so einen alten Standardschinken, den sollte jeder kennen.
Es gibt ein paar Werke, die das nach meiner Auffassung recht gut zusammenfassen, um erstmal einen Überblick zu den neuen Anforderungen zu bekommen. Aus dem Nomos Verlag, wenn ich das jetzt so nennen darf, von Laue, Nink und Kremer, das neue Datenschutzrecht in der betrieblichen Praxis, ja, nicht als Lehrbuch zu verstehen, sondern tatsächlich auch nicht als Gesetzeskommentar, was ja auch immer recht dröge ist, sondern so aus der Sicht des Unternehmens heraus die verschiedenen Aufgaben beleuchtend und dem gegenüberstehend das neue Datenschutzrecht eben herangeführt. Das ist vielleicht so ein gutes Findungswerk.
Und daneben kommt man als Jurist und als Datenschützer einfach schlichtweg nicht um Kommentare herum. Da ist der Markt sehr lege. Kühling-Buchner Datenschutz-Grundverordnung, ich habe es hier gerade sogar in der Hand, was haben wir jetzt? Sehr dick.
Sehr dick, 1100 Seiten. Ist wie jeder Kommentar, hier hinten war die einzelne Norm aufgezeigt, mit dann einem Versuch der Auslegung, wie die anzuwenden ist. Ich kann an der Stelle sagen, dass unsere Unternehmensgruppe selber auch nächstes Jahr ein Handbuch dort auf den Markt bringen wird, was sich als Praktika richtet.
Das Ganze ist aktuell in der Finalisierungsphase, die Beiträge sind beschrieben, kommt nächstes Jahr auf den Markt. Der Titel steht da noch nicht fest. Wir reichen das danach.
Wie immer empfehlen Sie die Buchempfehlung natürlich auch in den Show Notes des Podcasts beziehungsweise auf unserer Website www.erp-podcast.de. Herr Dr. Borchers, jetzt haben wir ganz viel darüber gesprochen, wie aktuell die Datenschutzgesetzgebung eigentlich die Unternehmen zwingt, in dem Bereich sich ein bisschen zu verändern. Wie glauben Sie, dass so in den nächsten zehn Jahren sich die Berufswelt in Ihrem Umfeld verändern wird? Zehn Jahre MIT-Zeitalter ist natürlich schwierig vorauszusehen. Wenn man überlegt, dass das erste iPhone gerade dieses Jahr zehn Jahre alt geworden ist, was es konnte, wo wir heute sind mit Siri und Co.
Ich glaube, dass es eine stetige Herausforderung sein wird, als in Datenschutzrecht sich bewegender Berater permanent auf dem Laufenden zu bleiben. Die technischen Verstrickungen und Möglichkeiten, Systeme und Datenflüsse zu verbinden, Stichwort Big Data, die werden immer komplexer. Aus meinem Beratungsalltag setze ich regelmäßig mit Informatikern, Wirtschaftsinformatikern zusammen, lasse mir Systeme erklären.
Und dort muss man ständig am Ball bleiben, um auch die neueste Technologie mitzubekommen. Insofern werden wir immer mit dem Puls der Technik mit der Zeit mitgetrieben als Datenschützer. Wir müssen schauen, dass wir das einordnen können, was dort passiert.
Das ist auch das, was dieses Rechtsgebiet so interessant macht. Es gibt nichts abgelegtes, staubige Bücher, in dem Sinne gibt es dort einfach nicht. Wer wusste schon vor zwölf, 15 Jahren, welche Bedeutung Facebook mal haben würde, und welche Prozesse heutzutage im Social-Media-Marketing damit verbunden sind.
So muss man sich immer wieder anpassen und kann sich nicht auf alte Urteile von 1970 oder 1980 irgendwo zurückziehen und sagen, da gab es noch ein entscheidendes Mietrecht. Und das macht es einfach aus. Am Ball bleiben, starke Fortbildung schädigt.
Ich glaube auch, dass die aktuelle Datenschutz-Grundreform nicht in ihrer Ausprägung der Weisheit letzter Schluss ist. Es gibt dort gewaltige Auslegungsschwierigkeiten. Vielleicht kann man darauf eingehen, das Recht auf Datenportabilität wurde ins Gesetz reingeschrieben.
Was heißt das? Mit der Zielsetzung, Marktmonopolisten im Social-Media-Bereich aufzubrechen und eine Möglichkeit zum Wechsel von beispielsweise Facebook zu Google Plus zu ermöglichen, hat man reingeschrieben ins Gesetz, dass sofern der Betroffene, derjenige, auf den sich die Informationen beziehen, die Daten dem Unternehmen selber zur Verfügung gestellt hat, dann hat er unter gewissen Voraussetzungen das Recht, dass diese Daten, jetzt kommt die Formulierung, in einem maschinenlesbaren, strukturierten Format übergeben werden. Und er hat das Recht, diese Daten an einen anderen Anbieter zu übergeben. Und die müssen das einspielen können, damit zum Beispiel ein ganzer User-Generated Content, meine Kommentare, meine Freundschaftsverbindungen, meine Fotos, in die neue Plattform, für die ich mich entschieden habe, mit rüberwandern können.
Jetzt wissen Sie besser als ich, was das für technische Herausforderungen wäre, einheitliche Schnittstellenstandards, Datenformatstandards. Es müsste ja, selbst wenn ich daran denke, wo ich die einzelnen Objekte, die dann übertragen werden müssten, einordnen müssten, sie auch in einem gleichen Beschreibungsschema gefunden werden können von der anderen Anwendung, um sie dann auch richtig abzulegen. Wenn die Information zwar da ist, aber nicht zugeordnet werden kann, kann ich das im Frontend niemals darstellen.
Das ist natürlich ein Paragraf, der wurde so reingeschrieben, mit hehrenden Zielen. Heutzutage überlegt man sich ja, was bedeutet denn das alles? Heißt das auch in einem Online-Shop, dass ich dort beispielsweise mal eine Kaufhistorie mitnehmen darf, weil ich so gute Recommendations bekomme, wenn ich die auch bei einem Wettbewerber von Amazon implementieren könnte. Das fragen sich gerade die Unternehmen.
Es gibt dort handwerkliche Fehler, es gibt auch Übersetzungsfehler. Das Gesetz wird in 27 Sprachen übersetzt. Und was ist der Unterschied zwischen Recht auf Auskunft oder Right to Access? Das sind in der Auslegung vollkommen verschiedene Ansatzpunkte und es gibt 27 Jurisprudenzen, die sich gerade damit auseinandersetzen müssen, was denn damit gemeint ist.
Teilweise hat es einen Kommentar ganz offen, das ist ein Übersetzungsfehler im Gesetz. Es ist bei europäischen Verordnungen die Schwierigkeit, was ist der Auslegungshintergrund? Das ist auch diesmal wirklich ein neuler Teilweise, weil man eben gucken muss, in welcher Rechtstradition lege ich das denn aus? Das weiß ich weder im bundesdeutschen Gesetz ganz einfach oder relativ einfach. Ich bewege mich in der bundesdeutschen Rechtshistorie dazu, wo das Gesetz mal erlassen worden ist, ein Nachfolgegesetz war.
Kann das heranziehen? Das weiß ich bei einer Grundverordnung, die das erste Mal in der Form kam, ja so nicht. Ich kann ja nicht sagen, naja, in der vorherigen Gesetz war das ja so oder so zu verstehen. Also es bleibt spannend.
Ich bin mir sehr sicher, dass wir Sie, Herr Dr. Borjas, gerne nochmal wieder hier in den Podcast einladen werden. Denn es verändert sich gerade ganz, ganz, ganz viel. Gerade auch im Bereich der Unternehmenssoftware.
Wir versuchen ein bisschen Aufklärungsarbeit an der Stelle zu leisten. Ihnen nochmal ganz herzlichen Dank dafür. Fremdgeschehen und schwarzen Hut.
Und Ihnen, liebe Zuhörer, wie immer eine schöne Woche. Keep Connected. Herzlichst, Ihr Axel Winkelmann.
Ihnen hat der ERP-Podcast gefallen und Sie konnten wertvolle Erkenntnisse gewinnen? Dann würde ich mich über eine Bewertung auf iTunes freuen, damit auch andere von diesem Podcast erfahren können. Eine Anleitung für die Bewertung finden Sie auf www.erp-podcast.de. Dort finden Sie auch weitere Hinweise, Links und Aktualisierungen zu dieser Folge. Das war der ERP-Podcast für alle, die sich aktiv mit dem Einsatz und der Gestaltung von Unternehmenssoftware und den daraus entstehenden Veränderungen und Potenzialen in Unternehmen losgelöst von Fachzeitschriften, Büchern und wissenschaftlichen Veröffentlichungen, zum Beispiel beim Spazierengehen oder Autofahren auseinandersetzen wollen.
Mein Name ist Axel Winkelmann. Ich bin Professor für Betriebswirtschaftslehre und Wirtschaftsinformatik an der Universität Würzburg.