Als Rechtsanwalt und Datenschutzbeauftragter wird man von Unternehmen oft mit der Frage konfrontiert, was das denn mit dem Datenschutz alles soll. Man achte doch so schon auf Datenschutz und gebe ja auch keine persönlichen Daten weiter, man schicke keine unerlaubten E-Mails und würde auch sonst kaum mit Verbraucherdaten arbeiten, man ist ja im B2B-Geschäft. Umgekehrt sind Privatpersonen genervt, weil man jetzt überall irgendwas unterschreiben soll. Das sind Argumente, die ich im Zuge der anfallenden DSGVO nicht selten gehört habe. Das mag alles sein. Datenschutz fängt aber weder an, noch hört er auf bei E-Mails und Daten von Verbrauchern. Datenschutz betrifft viel mehr alle Daten, durch die eine natürliche Person identifizierbar gemacht wird. Das kann eine E-Mail sein und Daten von Verbrauchern, begrenzt ist es darauf nicht. Auch der Ansprechpartner beim Geschäftspartner eigene Mitarbeiter sind natürliche Personen. Aufgrund von ein paar aktuellen Datenpannen sollen hier einmal ein paar Gedanken zum Datenschutz an sich fließen.
Datenschutz ist ein Grundrecht
Die ersten datenschutzrechtlichen Regeln hatte das Bundesverfassungsgericht mit seinem Volkszählungsurteil (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983 – 1 BvR 209/83 -, Rn. (1-215) aufgestellt und Datenschutz als Grundrecht und eine Ausprägung des allgemeinen Persönlichkeitsrechts definiert:
Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des GG Art 2 Abs. 1 in Verbindung mit GG Art 1 Abs. 1 umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
Das war 1983 und bereits damals sprach das Bundesverfassungsgericht von einer modernen Datenverarbeitung. Damals ging es um ein Grundrecht des Bürgers als Abwehrrecht gegen den Staat. Der Bürger sollte im Grunde selbst entscheiden dürfen, welche Daten er preisgibt und welche nicht. Eine bittere Lehre aus den Zeiten des Nationalsozialismus.
Das seit 1983 viel passiert ist, wissen wir alle. Die Möglichkeiten der Datenverarbeitung sind schier unbegrenzt geworden. Auch heute ist Datenschutz noch ein Abwehrrecht des Bürgers gegen den Staat. In einer Demokratie wie in Deutschland bekommen wir das aber kaum mit, vielleicht aber auch weil es dieses Recht gibt. Die Bedeutung des Datenschutz im Verhältnis Bürger-Unternehmen ist indes so groß wie nie. Wer hier einen kleinen Überblick bekommen will, was mit Big Data alles geht soll nur einmal die einschlägigen Technische-Portale besuchen, oder ganz klassisch das Buch von Max Schrems lesen. In “Kämpf um deine Daten” stellt der österreichische Jurist gut und anschaulich dar, was mit Datenverarbeitung alles möglich ist (hier ein Interview mit Schrems). Der Leser erfährt unter anderem, dass Facebook nicht weniger als 1.400 A4 Seiten an persönlichen Daten über Max Schrems in einem PDF gespeichert hatte. Darunter waren offenbar zum Teil auch bereits gelöschte Daten. Wem das jetzt viel erscheint, der sollte eine Selbstauskunft bei Google machen. Ein spannender Artikel hierzu bei T3N – Dagegen ist Facebook Privatsphäre pur: Das weiß Google alles über dich. Irgendwie ist man da immer ein wenig schockiert, vergisst es aber auch schnell wieder.
Alles besser mit der DSGVO
Dann kam 2018 die DSGVO. Oder eigentlich kam die DSGVO mit einer Übergangsphase bereits 2016. Bis 2018 hatte es aber kaum jemand mitbekommen. Bis zur DSGVO war Datenschutz für viele irgendwas, was halt irgendwie auch wichtig ist, das war´s. Mit der DSGVO wurden plötzlich unglaublich hohe Bußgelder in Aussicht gestellt und Datenverarbeitung insgesamt verboten oder fast. Man darf seither quasi nichts mehr, glauben viele Bürger und zum Teil auch Unternehmen.
Richtig ist, dass die DSGVO durchaus schärfer ist, als die alten Regelungen im Bundesdatenschutzgesetz. Darüber hinaus ist die DSGVO offensichtlich schlecht umgesetzt und lässt bei hohen Anforderungen erhebliche Unsicherheiten, wie diese umgesetzt werden sollen. Da wundert es nicht, dass in Österreich plötzlich überlegt wird, ob das Anbringen von Klingelschildern überhaupt noch zulässig ist, oder ob der Arzt seinen Patienten im Wartezimmer noch mit Namen aufrufen darf.
Hohe Bußgelder für vermeintliche Nichtigkeiten
Richtig ist auch, dass die Bußgelder offensichtlich höher werden und die Datenschutzbehörden auch aktiver Bußgelder verhängen. Bußgelder von mehr als 200 Mio EUR wurden bereits durch die britische Datenschutzbehörde verhängt. Auch in Deutschland gab es schon Bußgelder. Da wurden etwa durch die Berliner Datenschutzbehörde ein Bußgeld in Höhe von 195.000 EUR gegen einen Lieferdienst aufgrund vermeintlich lapidarer Verstöße verhängt:
- in zehn Fällen wurden Konten ehemaliger Kundinnen und Kunden nicht gelöscht hatte, obwohl die Betroffenen jahrelang nicht mehr auf der Plattform des Unternehmens aktiv gewesen waren (ein Fall reichte zurück bis 2008)
- acht ehemalige Kunden hatten sich über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Dabei hatte ein Nutzer der Verwendung seiner Daten für Werbezwecke ausdrücklich widersprochen. Er erhielt dennoch dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst.
- in fünf Fällen wurden Kunden die angeforderten Selbstauskünfte nicht erteilt
195.000 EUR Bußgeld für 23 Kleinigkeiten? Da wundert es nicht, dass sich jeder über die DSGVO aufregt. Aber Moment mal. Bevor man jetzt auf die Barrikaden geht, sollte man vielleicht auch die Hintergründe des Falles betrachten. Die Bußgelder sollen nach Vorstellung der DSGVO abschreckend wirken und zugleich aber auch angemessen sein. Die Schwere und die Hintergründe des Verstoßes, sowie das konkrete Verhalten des Unternehmens spielen dabei ebenso eine Rolle wie die Größe des Unternehmens und dessen Umsatz. Dazu kommen noch einige andere Faktoren. Im Fall des Lieferdienstes waren nicht unbedingt die Anzahl der Verstöße allein ausschlaggebend, sondern dass die Datenschutzbehörde hinter dem Verhalten größere Probleme des Unternehmens vermutet:
Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.
Ob dies die konkrete Höhe des Bußgeldes jetzt rechtfertigt, mag in an dieser Stelle nicht beurteilen. Dem Leser soll nur klarwerden, dass man auch einmal hinter die Kulissen schauen sollte.
Eine Übersicht von bisher unter der DSGVO verhangenen Bußgeldern haben wir im Artikel Bußgelder bei Datenschutzverstößen zusammengetragen.
Datenschutz ist überall
Das mag jetzt ein abstraktes Beispiel sein. Betroffen war ein nicht ganz kleines Unternehmen, was geht mich das also an. Und wenn ich ehrlich bin, ist eine unerwünschte E-Mail jetzt auch nicht der Datenschutzverstoß der mich privat vom Hocker reißt. Ich bekomme davon viele und lösche sie, Ende. Drei aktuelle Beispiele zeigen aber auch mir gerade wieder auf, warum Datenschutz jeden angeht und betreffen kann:
H&M soll Mitarbeiterdaten im großen Stil gesammelt und gespeichert haben
Nach einem Bericht der FAZ sollen Vorgesetzte des Modekonzerns H&M Mitarbeiter gezielt nach ihrem Privatleben ausgehorcht und die Informationen in Dateien gespeichert haben (Beitrag kostenpflichtig).Gespeichert wurden laut dem Bericht offenbar Informationen zu Gesundheit und anderen persönlichen Umständen zur Lebenssituation der Person und zu Vorkommnissen im Privaten. Ob sich jemand scheiden lassen will oder zu Hause Ehekrach hat, war dabei offenbar ebenso von Bedeutung wie die Krankheiten der betroffenen Person.
Zehntausende Bürgerdaten auf SSD-Speicher bei Ebay entdeckt
Die Süddeutsche Zeitung berichtet bereits im Dezember 2019, dass die Stadt Coburg – offenbar nach einem technischen Zwischenfall – eine SSD-Festplatte der Stadtverwaltung unzureichend gelöscht und bei ebay verkauft hatte. Auf der Platte waren noch die Daten von zehntausenden Bürgern zu finden. Gespeichert waren Daten der Zulassungsstelle und – was meines Erachtens noch schwerer wiegt – Daten aus dem Jugendamt des Landratsamts Coburg.
Millionen von Kundendaten eines Autovermieters frei zugänglich im Netz
Durch eine riesige Datenpanne beim Autovermieter Buchbinder standen Millionen von Datensätzen zu Kunden, aber auch Mitarbeitern und weiteren Personen, frei zugänglich im Netz, berichtet haufe.de. Mittlerweile ist der Fehler zwar behoben, der Vorfall dürfte allerdings erhebliche Konsequenzen für das Unternehmen nach sich ziehen.
Nach einem Bericht von haufe.de waren Kunden- und Mitarbeiterdaten eines Autovermieters frei zugänglich im Netz abrufbar. Hintergrund war offenbar ein fehlerhaft konfigurierter Backup-Server der etwa 3 Millionen Kundendaten des Autovermieters frei zugänglich machte. Der insgesamt 10 Terrabyte große Datenbestand umfasste auch Namen, Geburtsdatum, Führerscheindaten und E-Mail-Adresse. Bei geschäftlicher Anmietung konnte das Anstellungsverhältnis eingesehen werden.
Foto eines Mitarbeiters auf der Unternehmensseite
Das ArbG Lübeck hatte in einem Verfahren entschieden, dass für die Veröffentlichung eines Mitarbeiterfotos auf der Webseite des Arbeitgebers ohne entsprechende Einwilligung bis zu 1.000 EUR Schadensersatz angemessen sein können. Entscheidend ist hier, dass offensichtlich Fotos von Mitarbeitern genutzt wurden, ohne dass diese gefragt wurden bzw. ohne dass diese eingewilligt haben.
Datenschutz matters!
Das sind nur einige Beispiele jüngerer Datenpannen/Datenskandale. Es müssen nicht immer die großen “Datenkraken” sein, die wilde Profile über mich und mein Leben erstellen. Klar die gibt es auch. Und die Praxis der großen Datenkraken will ich nicht gutheißen. Mehrere tausend Seiten von zum Teil schon gelöschten Daten sind kein Zuckerschlecken. Datenschutz fängt aber nicht erst bei den großen Unternehmen an und es geht auch nicht nur um das Erstellen von Nutzerprofilen durch Facebook und Google. Datenschutz trifft uns im täglichen Leben, ob als Privatperson, Mitarbeiter oder Unternehmer an sich. Eine falsch gelöschte SSD oder ein eifriger Vorgesetzter reichen aus, damit meine Daten oder die Daten meiner Mitarbeiter, Familie, Mandanten oder Kunden in Hände gelangen, in die sie nicht gelangen sollten.
Das Argument “wer nichts zu verbergen hat, hat auch nichts zu befürchten”, lasse ich dabei nicht gelten. Die Grenze zum Moment in dem man etwas zu befürchten hat ist durchaus flexibel.
Man sollte im Datenschutz ein gewisses Maß an gesundem Menschenverstand waren und nicht jede Kleinigkeit zum Politikum stilisieren und – wenn man denn mitreden will – sich auch einmal mit dem Thema beschäftigen. Debatten, ob das Anfertigen von Fotos bei der Einschulung erlaubt ist (hier unser Video dazu) oder ob Kinder auf der Klassenfahrt Fotos von Mitschülern anfertigen dürfen, habe ich dabei genug geführt.
Umgekehrt sollte man Datenschutz auch nicht einfach als nervigen Prozess abtun,der noch mehr Bürokratie ins Unternehmen und Leben an sich bringt. Datenschutz matters!