Hat die DSGVO das Internet verändert?

Joel Kaczmarek: Hallo und herzlich willkommen zu einem neuen Legal & Tax Podcast von Digitalkompakt. Mein Name ist Joel Kaczmarek und heute soll es um ein Brandthema gehen, das in der Vergangenheit ganz doll gebrannt hat und wo wir jetzt mal gucken, ist es wirklich ein Flächenbrand geworden oder hat man es nicht eindämmen können, nämlich das Thema Datenschutz. Mit der DSGVO kamen ja ganz viele Themen auf und ich und der gute Sebastian, den wir jetzt gleich mal vorstellen, wollen darüber reden, was ist denn jetzt eigentlich wirklich gelebte Praxis. So, da ist dein Vorname schon mal vorgestellt. Sag doch mal ganz kurz, wer du bist und was du so machst.

Sebastian Kraska: Hallo Joel, ja grüß dich. Mein Name ist Sebastian Kraska. Ich habe ein Unternehmen, die IITR Datenschutz GmbH aus München und wir betreuen Unternehmen im Datenschutz und stellen für rund zweieinhalbtausend Unternehmen quasi die Hintergrundprozesse zur Verfügung, um sich datenschutzkonform aufzustellen.

Joel Kaczmarek: So, und ich sage am Anfang immer gerne zwei Dinge. Das eine ist, dass ich immer gerne erwähne, dass wir keine Rechtsberatung machen. Also wenn ihr da draußen zuhört, das ist euer Thema, das euch beschäftigt, dann holt euch Profirat ein. Zum Beispiel von Sebastian, aber natürlich auch vom Anwalt eurer Wahl. Und das zweite ist, dass Sebastian und ich auch wirtschaftlich zusammenarbeiten. Also das soll natürlich nicht davon abhalten, hier hochwertigen Content zu machen, der auch neutral ist. Aber ich finde das immer fair zu sagen. Aber ich darf bei dir auch ganz ehrlich sagen, wir beide kennen uns ja schon gefühlt Jahrzehnte, ich glaube fast ein Jahrzehnt, oder?

Sebastian Kraska: Ja, länger sogar als zehn Jahre, ja.

Joel Kaczmarek: Stimmt. Ich habe 2009 angefangen bei Gründerszene und da meine ich, bist du relativ schnell dann reingekommen und warst sozusagen unser Ressortleiter. Ich habe recht so. Das heißt, man merkt, du bist auf das Thema auch patentiert. Ich bin der Meinung, wenn man Datenschutz eingibt und danach googelt, führt an dir kaum ein Weg vorbei. Vielleicht sagst du mal ein, zwei Sätze, wie du zu dem Thema gekommen bist. Was hat dich angetrieben, das zu tun und wie hat sich deine Tätigkeit da gewandelt über die Zeit?

Sebastian Kraska: Zu dem Thema gekommen, um es zu versuchen, ganz kurz zu fassen. Ich habe als Schüler Netzwerke betreut, nachdem meine Eltern mir als Zehnjährigen einen 386er hingestellt haben. Und das ist so unserer Generation dann auch irgendwie da ein wenig mitgegeben worden. Habe dann aber Jura studiert und habe dann aber seit dem zweiten Semester angefangen, die Themen wieder zusammenzuführen. Damals hieß das Ganze noch Internetrecht. Das Datenschutzrecht war da so gerade im ersten Aufschwung begriffen und so gab sich dann eins zum anderen.

Joel Kaczmarek: Okay, also solides Handwerk sozusagen mit Kindheitspassion verbunden. Sehr schön. Einsatz nochmal ganz kurz zu einem Unternehmen, was du gerade erwähnt hattest. Kannst du nochmal ganz kurz skizzieren, was ihr da genau tut, dass die Hörer auch verstehen, was so deine tägliche Praxis ist, weil du bist jetzt gar nicht mehr so großartig in Rechtsstreits oder am Prozessieren, wie man es bei Anwälten sonst denken würde, sondern du bist ja auch fast ein Stück weit Produktmensch geworden, ne?

Sebastian Kraska: Ja, das stimmt ja. Ich sage immer, ich bin von der Ausbildung her Jurist. Also ich habe noch eine Anwaltszulassung und darf quasi anwaltlich beraten, aber meine tägliche Praxis ist jetzt nicht so der klassische Anwaltsalltag wahrscheinlich. Also wir haben begonnen 2009, als wir das Unternehmen gegründet haben, Unternehmen im Datenschutz zu unterstützen als Datenschutzbeauftragte. Das war im Fokus, waren das Tochterunternehmen von US-Konzernen. Und wir haben durch diese Spezialisierung halt immer versucht, in gewisser Weise in Produkten zu denken und diesen Weg dann über die Jahre immer weiter vervollständigt. Dann Entwicklung einer eigenen E-Learning-Plattform, mit der man revisionssicher schulen kann, bis hin dann vor eineinhalb Jahren, jetzt dann mit der Einführung der Datenschutzgrundverordnung, die Schaffung einer Datenschutzmanagement-Plattform, mit der man da die eigene Datenschutzkonformität abbilden kann. Also in skalierbaren Produkten, soweit das in dem Bereich geht, zu denken und die zu entwickeln und quasi die Hintergrundtechnik den Unternehmen da zur Verfügung zu stellen. Und das ist natürlich dann eine etwas andere Tätigkeit, als jetzt vielleicht der klassische Anwalt dann so auf seinem Schreibtisch normalerweise hat.

Joel Kaczmarek: Ich finde das immer gut, wenn Anwälte Unternehmer sind quasi. Also sonst sind ja Anwälte risikoavers. Du bist sozusagen da auch ein eigenes Risiko gegangen und hilfst Leuten, ihre Risiken zu minimieren. Also so viel mal dazu als Background und dann lass uns doch mal gleich voll einsteigen. Also alle Welt hat sich verrückt gemacht, diese Datenschutzgrundverordnung kommt. Das war auch irgendwie was Neues, dass man dachte, huch, Es wird auf Europaebene hier was verordnet und es gilt auf einmal gefühlt von einem Tag auf den nächsten. Natürlich mit Vorbereitung, man hat einmal tausend E-Mails von Google gefühlt bekommen, was Google alles an Diensten gerade rechtssicher macht. Was ist denn dann in der Praxis wirklich passiert? Kam wirklich so dieser Flächenbrand an Abmahnungen, an irgendwie Problematiken? oder ist das eigentlich ausgeblieben?

Sebastian Kraska: Der Flächenbrand an Abmahnungen ist ausgeblieben, weil immer noch umstritten ist, ob und in welchem Umfang abgemahnt werden darf. Das ist auch der Grund, warum sich diejenigen, die das vielleicht professioneller betreiben, erfahrungsgemäß zurückhalten, weil sie da noch erhebliche rechtliche Risiken momentan auch dann vorher klären müssten. Man hatte an sich zwei Jahre Zeit, sich auf die Grundverordnung vorzubereiten. Also so ganz aus heiterem Himmel kam es jetzt, wenn man es rein fachlich betrachtet, nicht. Natürlich gefühlt, nachdem die meisten Unternehmen so vielleicht im März 2018, am 25. Mai 2018 wurde die Datenschutzgrundverordnung wirksam. Ich glaube, die meisten Unternehmen haben jetzt zumindest, wenn wir über kleinere Unternehmen, vielleicht so bis 50 Beschäftigte sprechen, wahrscheinlich so im März, April angefangen, sich mit dem Thema zu beschäftigen. Und das war natürlich eine Welle, die auch in der Breite von der Beratungsbranche so auch gar nicht abgefedert werden konnte.

Joel Kaczmarek: Ja, das habe ich wirklich gemerkt. Ich hatte ganz viele Anwälte, die zu dem Thema beraten. Hast du gemerkt, die gingen eigentlich mal in Ihr Telefon ran, weil die irgendwie so landunter waren. Also sowas hat man, glaube ich, auch selten als Anwalt eher, oder?

Sebastian Kraska: Das war eine besondere Situation. Ja, ich glaube, jeder, der irgendwie Datenschutz auf seiner Visitenkarte stehen hatte, hat da ähnliches erlebt. Und wir kommen vielleicht auch gleich darauf zu sprechen, es wurde auch viel Panik gemacht. Ein Teil der Branche lebt auch natürlich von der Panik, muss man auch sagen. Und Panik ist nie ein guter Ratgeber, das ist auch wahr. Vielleicht schaffen wir es ja heute, dann auch ein wenig nochmal so herauszuarbeiten, das Wichtige vom Unwichtigen zu trennen und da die Themen ein wenig glatt zu ziehen. Es gibt Bereiche, die sind wichtig auf dem Schirm zu haben und die sollte man adressieren. Aber ich glaube, ganz so heiß, wie es dann um den 25. Mai gehandelt wurde, war das Thema dann auch nicht. Am 25. Mai bin ich mit dem ICE gefahren und da war das Thema Datenschutzgrundverordnung auf der Titelseite der Bild-Zeitung, da wusste ich, Oh Gott, jetzt ist das Thema in der Breite angekommen.

Joel Kaczmarek: Dann lass uns doch in der Tat mal gemeinsam überlegen, also was heißt eigentlich, ich befrage dich, weil du bist ja der Experte, was so das Minimum Viable Product in Sachen Datenschutz sein sollte, was ich an den Start bringe als Unternehmen. Also was ist so das kleine Einmaleins des Datenschutzes? Was muss ich wirklich haben, weil es jetzt auch nach dem Stichtag dort wirklich, wirklich unverzichtbar ist?

Sebastian Kraska: Also wichtig zu verstehen ist, dass sich eine grundlegende Spielregel verändert hat. Und es ist auch wahr, es gab ja vorher auch schon Datenschutz. Also viele der Themen, die die Unternehmen jetzt machen müssen, waren vorher in ähnlicher Weise auch schon an sich rechtlich vorgesehen. Es hat halt nur keinen interessiert, um es mal ganz ehrlich zu sagen. Und die Haftungsrisiken waren in einer Weise vernachlässigbar, dass es jetzt auch unternehmerisch vielleicht auch dann manchmal passiert, opportun erschienen, dass sich nicht groß darum zu kümmern, weil selbst wenn es gekracht hat, war es jetzt dann vielleicht nicht so geschäftsschädigend. Das hat sich verändert mit der Datenschutzgrundverordnung, wo die Haftungsrisiken höher geworden sind, weshalb sich dann viele darum gekümmert haben. Welche Spielregel hat sich verändert? Es wurde die sogenannte Rechenschaftspflicht eingeführt. Die Rechenschaftspflicht legt Unternehmen die Verpflichtung auf, nicht nur datenschutzkonform zu arbeiten, sondern das im Zweifel auch nachweisen zu können. Oder anders gesagt, nicht nur das Ergebnis muss stimmen, du musst auch nachweisen können, dass du auf korrektem Weg dahin gekommen bist. Ich bilde immer in den Vorträgen das Beispiel, bislang Stell dir vor, im Straßenverkehr, ein Polizist kommt zu dir und sagt, ich habe gesehen, du bist bei Rot über die Ampel gegangen, hier ist dein Ticket. Jetzt kann der Polizist zu dir kommen und sagen, weiss mir mal nach, dass du auf dem Weg hierher keinen Straßenverkehrsverstoß begangen hast. Überspitzt gesagt. Aber so ähnlich ist es auch im Datenschutzrecht. Die Aufsichtsbehörde kann hinkommen und muss nicht mehr nur wachweisen können, hier, das, was du hier konkret machst, das darfst du gar nicht. sondern die kann hinkommen und kann sagen, hier, zeig mir mal, dass du datenschutzkonform arbeitest. Und es ist ein bisschen ähnlich wie im Steuerrecht, wo man eben auch die eigene Konformität seiner steuerrechtlichen Prozesse nachweisen können muss. Und dieser Wechsel, der hat einige Folgen. Und ich glaube, das ist noch nicht von allen Unternehmen auch verstanden worden, vielleicht auch in der Panik, dass da ein Umdenken stattfinden muss.

Joel Kaczmarek: Ja, das ist ein bisschen wie früher in der Mathematik-Klausur, dass du dem Mathelehrer nicht nur erklären musst, was das Ergebnis ist, sondern auch den Formelweg dahin.

Sebastian Kraska: Du kannst nicht nur das Ergebnis abschreiben vom Nachbarn, du musst auch den Weg nachweisen können.

Joel Kaczmarek: Okay, gut, verstanden. Also Grundregeln, die Spielregeln haben sich verändert. Das Spielbrett sieht jetzt leicht anders aus oder zumindest, wie ich mich darauf verhalten muss. Und was sind so? trotzdem Faktoren, wo du sagst, das gehört dazu? Also gefühlt hat, glaube ich, jeder seine Datenschutzerklärung überarbeitet. So viel kann man schon mal festhalten. Aber was sind denn so die Weiß ich nicht, vier, fünf, sechs Punkte, wo du sagst, das ist so das Minimum, wirklich das kleine Einmaleins. Und beim großen Einmaleins kann man dann immer noch mal überlegen.

Sebastian Kraska: Wir versuchen es auf sechs Themenfelder runterzubrechen. Ich meine, man kann es beliebig komplex gestalten und ich glaube, das hat auch viele verunsichert. Aber wenn wir mal den anderen Weg versuchen zu sagen, was sind die Basisthemen, das kleine Einmaleins des Datenschutzes, das beherrscht werden sollte, sind es folgende sechs Themen mit. Man sollte irgendeine Form von Prozessbeschreibung vorhalten. Ich weiß, da werden jetzt gerade die Startups sagen, juhu, da habe ich total Lust drauf. Prozessbeschreibung, das ist so das Erste, was mir morgens einfällt, wenn ich ins Büro laufe. Aber Prozessbeschreibung machen, wie ich im Datenschutz zu den Kernthemen mich aufstelle. Das muss nicht lang sein. Bei kleineren Häusern kann das eins, zwei Seiten stark sein, aber irgendwas sollte da sein, das auch Prüffähigkeit herstellt. Ich vergleiche das immer mit einem Datenschutz-Tempel. Datenschutz ist in gewisser Weise auch eine Glaubenssache, eine Religion. Da ist der Tempel quasi das Tempeldach, bildet die Thematik rund um die Prozesse. Und der Datenschutz-Tempel steht dann auf drei Säulen. Das ist zum einen Der Bereich der IT-Sicherheit, dass man, ich sage immer, mit sicheren und dem Stand der Technik entsprechenden Systemen arbeitet, soweit branchenüblich und bezahlbar. Da wird es jetzt vielleicht viele Rückfragen geben, wo läuft dieser gerade genau. Ich sage mal, wenn sich Techniker einig werden, so macht man es eigentlich nicht, dann ist das immer ein gutes Indiz. dass man das so nicht machen sollte. Mit einem unverschlüsselten Windows-XP-Rechner seine Daten verarbeiten, schlechte Idee. Es kommt natürlich auch immer auf die Unternehmensgröße drauf an. Wir halten da auch Checklisten für die Kunden bereit, wo man dann da so einen Abgleich fahren kann. Aber das Datenschutzrecht zwingt uns und verheiratet die Themen IT-Sicherheit und Datenschutz dann doch stärker. Also wenn man deutlich unter den üblichen Mindeststandards hintanbleibt, hat man ein haftungsrechtliches Thema. Zweite Säule ist die Dokumentation der eigenen Verarbeitungstätigkeiten. Ich sage immer, stellt euch vor, jemand auditiert euch von der Aufsichtsbehörde, der hat keine Ahnung, wo ihr wie welche Daten verarbeitet, dann sollte der nach Durchsicht dieser Unterlagen einen groben Überblick über die Kernverarbeitungsströme eures Unternehmens haben. Heißt jetzt Verzeichnis von Verarbeitungstätigkeiten hieß früher internes Verfahrensverzeichnis. Ähnlicher Ansatz, im Detail unterschiedlich. Aber also Datenverarbeitungsströme sollten dokumentiert sein. Und das dritte Thema Drittdienstleisterverträge hieß früher Auftragsdatenverarbeitung, heißt jetzt Auftragsverarbeitung. Wann immer ihr im Unternehmen die Datenverarbeitung in die Hände eines anderen Unternehmens legt, muss mit dem Unternehmen ein Datenschutzvertrag abgeschlossen werden. Das beginnt bei einer G Suite, geht über AWS, über die Microsoft Office Produkte, wenn sie aus der Cloud bezogen werden. Ich sage mal, die ganze schöne Welt des Cloud-Computings, ausgelagerte Lohn- und Gehaltsabrechnung und so weiter, was man natürlich im Startup-Umfeld häufig hat. Ausgelagerter Bewerbungsprozess, Benutzung einer Bewerbermanagement-Plattform. All die Themen, die man sich häufig dann auch, wenn man ein junges Unternehmen ist, dann extern einkauft, bedingen, dass man da Datenschutzverträge mit diesen Dienstleistern abschließt. Die meisten professionell aufgestellten Dienstleister haben mittlerweile auch eigene Verträge. Da gab es ja auch um den Mai rum diese Welle, dass da plötzlich die ganzen E-Mails von den externen Dienstleistern kamen, dass man solche Verträge abschließen möchte. Also, dass man das auf dem Schirm hat, dass man sich im besten Fall eine Liste macht, welche externen Dienste setze ich ein? und sich da die Datenschutzverträge von denen holt. Ja, das sind die drei Kernsäulen, also nochmal DACH, quasi Beschreibung der Kernverfahren, die drei Säulen IT-Sicherheit, Verzeichnis der Verarbeitungstätigkeiten und Drittdienstleisterverträge. und die Basis bildet dann des Tempels das Thema Schulung der Beschäftigten und Webseiten-Datenschutzerklärung. Also wenn man es versucht, auf diese Themen runterzubrechen, das sind die sechs Themen, mit denen man beginnen sollte und die man adressieren sollte.

Joel Kaczmarek: Also das sind die Hausaufgaben, die man machen soll. Wie muss das manchmal aussehen? Wenn du jetzt zum Beispiel sagst, diese AVVs, was man ja immer gelesen hat, also Beispiel Verträge mit den ganzen Verarbeitern von Daten. Darf ich sowas rein digital unterschreiben? Muss das irgendwie sozusagen richtig handschriftlich unterschrieben sein? Gibt es da Anforderungen an sowas? Also sind da die Details schon ausdefiniert oder ist das auch noch so ein bisschen in der Mache?

Sebastian Kraska: Wenn möglich Schriftform, sagt das Gesetz, was aber in der Praxis heißt, jede andere Form des dokumentierten Vertragsschlusses langt in gleicher Weise aus. Also wir müssen nicht zum Papier unterschriebenen Vertrag retour. Also so weit dreht die Grundverordnung das Rad da nicht zurück an der Stelle. Was wichtig ist, ist, dass man es einbettet in irgendeine Form von System, das diese Rechenschaftspflicht adressiert. Das heißt, man sollte die Dokumente so ablegen, dass man auch die Veränderungen an den Dokumenten nachvollziehen kann. Das ist der Grund, warum wir diese Datenschutzmanagement-Plattformen da anbieten, wo du die Dokumente dann hochladen kannst und dann versioniert und archiviert das. Es muss aber nicht so eine Plattform sein. Man kann auch einen Sharepoint-Server beispielsweise einsetzen, der ähnliche Funktionalitäten bietet. Ich sage nur, irgendwie so ein System muss man an sich haben. Es langt nicht mehr, dass man einfach nur das normale Word, Excel-Dokument, PDF-Dokument irgendwo auf seinen File-Server legt und das war's. Es sollte im Idealfall eingebettet sein in ein System, das diese Veränderung an den Dokumenten, vielleicht auch die Aktualisierung der Beschreibung der eigenen Verarbeitungstätigkeiten dann auch nachvollziehbar gestaltet.

Joel Kaczmarek: So, und dann hast du jetzt gesagt, IT-Sicherheit war noch eine der Säulen und die Dokumentation der Prozesse. Was ja eben so nonchalant daherkam, war quasi das Fundament, auf dem das Ganze steht, unter anderem Schulung. Worin muss ich denn zum Beispiel meine Mitarbeiter schulen? Gibt es da bestimmte Auflagen, wenn du sagst, das ist einer der sechs Punkte, der wichtig ist, um da quasi das kleine Mal eins zu erfüllen?

Sebastian Kraska: Man sollte sie in jedem Fall zu den Basisthemen der Grundverordnung schulen. Man sollte sie schulen in dem korrekten Umgang im Tagtäglichen mit personenbezogenen Daten und dem Thema der IT-Sicherheit. Auch das kann wieder in unterschiedlicher Form stattfinden. Man kann die Leute persönlich schulen und das in irgendeiner Form dokumentieren. Das ist natürlich auch klassischerweise etwas, was man dann in irgendeiner Weise einkaufen kann. Also ich will jetzt das nicht zu stark als Produktwerbung hier platzieren, aber das, was wir dort anbieten, kommt eben mit dieser erwähnten revisionssicheren Schulungsplattform, die wir aus dem Grund damals auch entwickelt haben, um dieses Thema dann halt adressieren zu können.

Joel Kaczmarek: Was sind sonst Quellen, wo man sich nach solchen Schulungen umgucken kann? Sind das klassischerweise Kanzleien oder gibt es da auch staatliche Einrichtungen? Gibt es Hochschulen? Wo geht man hin, wenn man seine Mitarbeiter schulen will?

Sebastian Kraska: Es gibt verschiedenste private Anbieter. Also jetzt großes staatliches Angebot. dazu ist mir jetzt nicht in der Breite bekannt. Aber ich sage mal, das Internet ist voll von Anbietern in dem Bereich der Schulungen.

Joel Kaczmarek: Weißt du, generell in der Beobachtung gibt es viel Schindluder, was da getrieben wird. Also muss man Angst haben, dass diese Panikmache auch so ein Stück weit ausgenutzt wird von Anbietern, die halt genau auf Angst verkaufen?

Sebastian Kraska: Ja, also der Markt historisch betrachtet haben wir immer Peaks gesehen mit Angst verbunden. Und natürlich sind auch, so meine Marktwahrnehmung, über die Grundverordnung von vielen Unternehmen Sachen eingekauft worden, vielleicht in einem Umfang, der jetzt den praktischen Anforderungen vielleicht nicht wirklich entspricht. Da sehen wir auch momentan erste Marktkorrekturen, wo sich dann da neu justiert wird.

Joel Kaczmarek: So, und jetzt haben wir das kleine Einmaleins zusammen. Sechs Punkte hatten wir gesagt. Also IT-Sicherheit, Schulung der Mitarbeiter, Datenschutzerklärung, dokumentierte Prozesse, Verzeichnis der Verarbeitungsvorgänge und Verträge mit allen Dienst-, also sozusagen allen Verarbeitern von Daten, mit denen man zusammenarbeitet. Gibt es auch ein großes Einmaleins, wo du sagst, wenn ich jetzt irgendwie ein Unternehmen bin, was ein bisschen größer ist, was jetzt hier zuhört? Für dich gelten vielleicht noch ein bisschen andere Faktoren als diese sechs. Gibt es da noch so eine nächste Ausbaustufe, die man nehmen sollte, wenn man schon einen gewissen Status erlangt hat? Oder tut es das egal, ob groß, ob klein? erstmal, wenn man diese sechs Sachen sauber hat?

Sebastian Kraska: Die Grundthemen müssen sitzen, egal ob klein oder groß. Also Ich habe mit diesen sechs Themen gearbeitet bei ganz kleinen Unternehmen und bei großen Konzernen. Mit Größe kommt natürlich mehr Komplexität in die Themen. Wenn ich das bei einem Zehn-Mann-Unternehmen mache, dann kriege ich die Themen der Drittdienstleister und der Verarbeitungsvorgänge vielleicht noch relativ schnell erfasst. Stell dir vor, du arbeitest in einem Unternehmen mit 500 oder 5000 Mitarbeitern, dann wären das natürlich dann umfangreichere Prozesse. Wo der größte Unterschied wahrscheinlich ist, ist, Bei einem großen mittelständischen Unternehmen oder einem Konzern kommst du natürlich mit Zwei-Seiten-Policy dann nicht mehr aus. Da sind dann umfangreichere Handbücher oder Richtlinien und Vorgaben implementiert, deren Umsetzung auch dann häufig nicht so trivial ist, weil es langt halt nicht nur, dass der Geschäftsführer das dann unterschreibt, sondern das muss dann in die Unternehmensprozesslandschaft übersetzt werden.

Joel Kaczmarek: Gut, wenn man der Größe ist, hat man wahrscheinlich auch den einen oder anderen Legal Counsel, der einem da helfen kann. Darf man ja annehmen. Jetzt, was mich auch noch beschäftigt ist, man sagt ja immer so schön, wo kein Richter, da kein Henker. Ja, also es kann ja sein, dass man Sachen falsch macht, aber wenn sie niemand ahndet, dann ist das vielleicht noch nicht mal so schlimm. Was würdest du denn sagen, ist so in deiner Wahrnehmung, wo das Thema jetzt quasi ein Jahr on Air ist fast, die aufsichtsrechtliche Praxis? Also was wird eigentlich angeschaut? Wie geht man dort vor? Was ist da wirklich Status Quo?

Sebastian Kraska: Erstmal vorweg, erst sind die Unternehmen von der Welle überrascht worden und ertrunken, dann die Beratungsindustrie und dann die Aufsichtsbehörden, so in der Reihung. So langsam lichtet sich das Feld wieder und auch die Aufsichtsbehörden bekommen wieder etwas mehr Luft, wobei man auch sagen muss, die sind je nach Bundesland, in Deutschland ist es ja so, dass die Aufsicht für die Unternehmen in der Breite in den Bundesländern liegt und dann da auch unterschiedlich gehandhabt wird. dass die da langsam wieder die Köpfe nach oben bekommen. Die Aufsichtsbehörden haben begonnen, nach meiner Wahrnehmung, dieses kleine Einmaleins auch zu prüfen. Es gibt zum Beispiel auf der Webseite der Bayerischen Datenschutzaufsicht oder auch der Niedersächsischen Aufsichtsbehörde auch veröffentlichte Prüfbögen, mit denen derzeit das Datenschutz 1x1 bei Unternehmen, da geht es vor allem um mittelständische Unternehmen und größere Konzerne, geprüft wird. Diese sechs Punkte, die ich erwähnt habe, auf die sind wir auch nicht ganz zufällig gekommen. so wie wir sich da auch im Vorfeld natürlich intensiver auch mit den Behörden beschäftigt haben. Da gab es Publikationen, wo die Behörden gesagt haben, okay, das erwarten wir nach der Grundverordnung. So sieht aus unserer Sicht die Auditpraxis aus. Auf diese Publikationen haben wir dann auch die Anforderungen entwickelt und das wurde auch geprüft. Ich sollte der Fairness und der Offenheit halber sagen, die Durchsetzung erfolgt nach wie vor nicht in der Breite. Die Behörden sind dazu personell. nicht ausreichend ausgestattet. Die fangen an, das Thema zu auditieren. Das folgt ein wenig dem Motto, schlage ein, erziehe 100. Machen das publik und wollen auch, dass über diese Auditpraxis dann berichtet wird. Die Krux an dem Thema ist, Nicht, ob man Gegenstand eines Audits wird. Ich sage immer, Gegenstand eines Audits zu sein, das ist wie so eine Art Lottogewinn, vielleicht im Negativen betrachtet, von der Wahrscheinlichkeit her gesehen. Das Thema ist, wenn der Blitz des Zeus einen trifft, ist es halt anders als früher, wo man einfach sagen kann, hier, das Ergebnis passt schon. in Klammern habe ich schnell zusammengebastelt, sondern man muss eben nachweisen können, dass man auch vor dem Audit die eigenen Prozesse schon datenschutzkonform aufgestellt hatte. Das ist quasi aus Sicht der Unternehmen gefährliche Veränderung der Spielregeln. Ich glaube, die Wahrscheinlichkeit, auditiert zu werden, ist genauso gering, wie sie früher war. Nur wenn es einen trifft, langt es halt nicht mehr, dass man quasi mit dem Audit-Fragebogen versucht, die Themen parallel glatt zu ziehen. sondern dass man dann in der Nachweispflicht ist zu sagen, schau her, so habe ich unabhängig deines Audits schon vorher meine Prozesse datenschutzkonform aufgestellt gehabt.

Joel Kaczmarek: Wie muss ich mir das vorstellen? Wie läuft so ein Audit ab? Kriege ich dann irgendwie Post oder kriege ich Besuch?

Sebastian Kraska: Also, dass anlasslose vor Ort Audits stattfinden, ist die absolute Ausnahme. Üblicherweise ist das Verfahren so, dass man auf dem Schriftwege auditiert wird, da kommt ein Fragebogen rein, den muss man dann beantworten, wenn er rechtskonform ausgestaltet ist. Und dann wird üblicherweise auf dem Papierwege geprüft. In wenigen Fällen sagen dann manchmal die Aufsichtsbehörden, okay, wir gucken jetzt zusätzlich bei dir nochmal vorbei. Aber die Fragebögen sind öffentlich, können wir ja auch vielleicht dann verlinken. Das Gefährliche an den Fragebögen ist, dann steht halt da drin, schicken Sie mir mal eine Liste Ihrer Drittdienstleister und dann können die halt fragen, okay, zeig mir die Verträge dazu. Zeig mir auch, dass du die Verträge schon hattest, bevor ich das Audit gestartet habe. Also das ist so ein bisschen trickreich. dann da bei den Verträgen, weshalb man diese Kernthemen nicht ganz außer Acht lassen sollte.

Joel Kaczmarek: Aber wenn ich jetzt einen vergesse, merkt die das doch auch nicht, oder? Die werden ja jetzt nicht hier irgendwie meinen Sourcecode angucken und schauen, welche Web-Analyse-Software dabei läuft, oder?

Sebastian Kraska: Schriftlich lügen ist immer schlecht im Kontakt mit Behörden. Entdeckungsrisiko ist eine Frage, die

Joel Kaczmarek: Die man für sich selbst beantworten muss.

Sebastian Kraska: Genau, keinen Anwalt.

Joel Kaczmarek: Okay, verstanden. Aber warum wird so wenig auditiert? Also ich könnte doch eigentlich jetzt als Behörde hingehen und könnte jedem Unternehmen, was in meinem Handelsregister drinsteht, so einen Schrieb zukommen lassen und sagen, beweisen Sie mir das mal. Und dann müssen da sozusagen alle erstmal rattern und ackern und ich kann irgendwie gucken, also ich muss ja nicht alle Dinge mir sofort angucken, ich kann es ja nach und nach abarbeiten.

Sebastian Kraska: Das ist eine personelle Frage. Also auch sowas. Die Behörden beginnen stärker auch mit Automatisierung zu arbeiten, insbesondere wenn wir das Thema Webseiten-Datenschutzkonformität anschauen, kommen wir vielleicht noch darauf zu sprechen, ist es durchaus so, dass die angefangen haben, das haben sie in der Vergangenheit schon gemacht, das werden sie jetzt wieder einsetzen, dass über automatisierte Vorprüfungen geschaut wird, ob die Webseite bestimmten Grundprinzipien entspricht und so dann natürlich auch auf höhere Prüfzahlen kommen wird.

Joel Kaczmarek: Muss ich Sorge haben, dass mich zum Beispiel Konkurrenten, die mir eins auswischen wollen, anschwärzen können? Dass die Wahrscheinlichkeit steigt, auditiert zu werden, weil ein Wettbewerber das anregt?

Sebastian Kraska: Begründeten Beschwerden muss die Aufsichtsbehörde nachgehen. Also wenn ein Wettbewerber einen datenschutzwidrigen Vorgang bei einer Aufsichtsbehörde zur Kenntnis bringt, ist die Behörde verpflichtet, dem nachzugehen. Ob die Wettbewerber sich darüber hinaus direkt abmahnen können, ist gerade Gegenstand von auch höchstrichterlicher Rechtsprechung. zu klären, ob das abmahnfähige Verstöße sind oder nicht.

Joel Kaczmarek: Jetzt hast du ja auch ein Thema schon angeschnitten, was glaube ich an Aufmerksamkeit gerade gewinnt, das ist dieser ganze Faktor Web-Tracking. Vielleicht kannst du ja mit eigenen Worten mal wiedergeben, was da gerade passiert und was da sozusagen gerade gekocht wird.

Sebastian Kraska: Ja, ich glaube gerade für deine Hörerschaft von Interesse, viele junge Unternehmen, die abhängig sind, dass sie ihren Webseitentraffic umfangreicher untersuchen können. Was ist passiert? Wie sah die Welt bis März 2018 aus? Bis März 2018 sah die Datenschutzwelt in Deutschland so aus, dass gesagt wurde, anonymes Webseiten-Tracking darfst du in zulässiger Weise betreiben, wenn du individualisierte Profilbildung betreibst. also du Tracking-Technologie einsetzt, die es gerade darauf abzielt, zu wissen, wer bist du und das Webseiten-Erlebnis auf dich zuzuschneidern, Lead-Generierung zu betreiben, dann bedarf individualisiertes Tracking der Zustimmung. Und das pseudonymisierte Tracking, also das Bilden von Profilen, mithilfe derer du auch wiedererkannt, auch erneut angesprochen werden kannst, ohne aber genau und explizit zu wissen, wer du bist, das sei zulässig mit einer reinen Widerspruchsmöglichkeit. Also darfst du einfach auf der Webseite einsetzen. Es genügt, wenn du in deiner Webseiten Datenschutzerklärung die Möglichkeit vorsiehst, dass dort widersprochen werden kann gegen diese Art der pseudonymisierten Profilbildung. Um es mal konkret zu sagen, das ganze Retargeting zum Beispiel, das ganze AdWords Retargeting, das basierte alles und basiert alles auf dieser pseudonymisierten Profilbildung. Und dann kam April 2018, zeitlich sehr geschickt gelegt natürlich, mit der Datenschutzgrundverordnung dann im Mai. Und da haben die Aufsichtsbehörden sich in einer Stellungnahme so positioniert, dass sie gesagt haben, unter der Datenschutzgrundverordnung braucht man auch für das pseudonymisierte Tracking die Zustimmung der Webseitenbesucher. Und Zustimmung heißt wirklich Einwilligung und Wahlmöglichkeit. Also ich muss vorher fragen, darf ich pseudonymisierte Profile von dir bilden? Ja, nein. Und erst wenn der Ja geklickt hat, darf ich das anschalten. So, was hat die Industrie gemacht? Gar nichts. Diese Entscheidung einfach nicht zur Kenntnis genommen. Nichts hat sich verändert. Die haben einfach gesagt, okay, solange ich hier keinen rechtsfähigen Bescheid bei mir in der Rechtsabteilung rumliegen habe, werde ich den Teufel tun, da hängt so viel Geld an diesem pseudonymisierten Tracking in bestimmten Geschäftsmodellen, da werde ich den Teufel tun, das abzuschalten. Wir haben auch geguckt, was machen die anderen Unternehmen? Was macht mein Konkurrent links? Was macht der rechts? Die haben auch nichts gemacht. Mache ich nichts. Entsprechend wurden auch die Webseiten Datenschutzerklärungen aufgebaut, wo dann halt dass alles beschrieben wurde, was man als Tracking appliziert mit der pseudonymisierten Profilbildung. Dann hat Bayern, also die Bayerische Datenschutzaufsicht für die Unternehmen, hat so im letzten Quartal 2018 begonnen, inhaltlich vorzubereiten, zu sagen, okay, wir fangen, entweder wir lassen das Papier fallen, weil wir unsere Meinung geändert haben, oder wir fangen an, das jetzt zu exekutieren. Aber es kann nicht sein, dass wir hier Positionspapiere veröffentlichen und keiner hält sich dran und wir setzen es auch nicht durch. Und anlässlich des Safer Internet Days am 5. Februar haben die sich 40 Webseiten in Bayern von großen Unternehmen verschiedener Branchen angeschaut und kamen zu dem Ergebnis, von den 40 geprüften Webseiten ist keine Datenschutzkonform. Und da hat der Leiter der Bayerischen Aufsicht gesagt, okay, wir werden dieses pseudonymisierte Tracking jetzt auch untersagen und wir prüfen den Erlass von Bußgeldern. Das ist der derzeit mir bekannte Stand zu diesem Verfahren. Ich weiß nicht, ob schon die Untersagungsbescheide raus sind, aber ich erwarte da in dem Bereich weitere Entwicklung. Was heißt das denn nämlich für die Unternehmen, wenn man das klar durchexerziert und wenn sich diese Rechtsauffassung, die sicherlich vor Gericht landen wird, ich glaube, da werden bestimmt Unternehmen dagegen vorgehen, das heißt, dass ich zum Beispiel mein ganzes Retargeting-Business, dass ich vorher die Einwilligung einsammeln muss. Wir arbeiten selbst mit einem Anbieter zusammen und da wurden Zahlen genannt, wenn man mit so einem Consent-Management-Tool arbeitet, dann bekommt man opt-in-Raten so zwischen 50 und 70 Prozent, je nachdem, wie geschickt man das einbaut. Heißt aber immer noch 30 bis 50 Prozent Verlust. Und wenn du in einem Endkonsumentengeschäft tätig bist und du sagst jetzt deiner Marketingabteilung, pass auf, wir verlieren sichtbaren Einblick in 50 Prozent unseres Traffics, den wir nicht mehr danach dann noch bespielen können, sagen die nicht, ja, alles klar, passt, schönen Tag noch, sondern die sagen, okay, dann können wir hier zumachen. Insbesondere in Anbetracht dessen, was die Konkurrenz macht. Also das ist ein Thema, das besonderes Augenmerk bedarf. Wer auf Nummer sicher gehen möchte, sollte mit Consent Management Tools arbeiten, dessen Geschäftsmodell von dieser Art von Traffic abhängig ist, sollte sich der damit einhergehenden rechtlichen Risiken zumindest bewusst sein. Das ist auch so ein bisschen die Krux an den ganzen Webseiten-Datenschutzerklärungen, die geändert wurden. Da wurde halt häufig dann da reingeschrieben Ja, wir setzen das ein und das machen wir und das und jenes. Damit ist es aber an sich nicht getarnt für eine Vielzahl dieser Tools, die auf der pseudonymisierten Datenverarbeitung beruhen. Und das wird natürlich auch noch mal das Thema Abmahnung und Wettbewerb nach oben bringen. Denn wenn die Bayern da 40 größeren Unternehmen das abschalten, oder abzuschalten versuchen, werden die nicht sagen, okay, aber das Konkurrenzunternehmen in Baden-Württemberg oder Hessen oder Berlin, das darf man da weitertrecken, weil da die Aufsichtsbehörde das vielleicht anders sieht. Also das wäre eine Marktverzerrung in bestimmten Branchen, auf die die Unternehmen sicherlich dann reagieren müssten.

Joel Kaczmarek: Aber damit man das nochmal versteht als Laie, wenn du sagst, das sind irgendwie Erlässe, wie rechtsbindend sind die denn?

Sebastian Kraska: Das ist eine behördliche Aufforderung, gegen die ich mich wehren kann. Wenn ich mich nicht wehre, muss ich tun, was da drin steht. Wenn ich sage, okay, ich wehre mich dagegen, dann wird das eben dann zu den Gerichten übergeben.

Joel Kaczmarek: Und damit man es auch nochmal ganz sauber verstanden hat, also wenn ich jetzt zum Beispiel hingehe und ich weiß, ganz viele Leute holen sich gerne mal so Marketing-Automation-Tools aus den USA, die sehen viele Sachen nicht so, wie wir sie hier sehen. Da hat man auch ganz oft zum Beispiel so, als wenn man auf Firmenkunden es eher abgesehen hat, dass man halt versucht rauszukriegen, welche Mitarbeiter welches Unternehmens schauen mich an und dann jagt man seine Salesforce auf solche Firmen rauf. Bloß weil eine Firma nicht im gleichen Rechtsraum sitzt wie wir, heißt das noch lange nicht, dass ich ihre Tools nutzen darf, sondern auch für diesen Fall gilt es, dass ich sozusagen diese Web-Tracking-Themen mit anonymisierten Daten nicht so durchführen darf.

Sebastian Kraska: Da ist es richtig, ja. Viel Technologie dazu kommt aus den USA. Man sollte an der Gelegenheit vielleicht erwähnen, Kalifornien hat ein neues Datenschutzrecht verabschiedet. Das wird am 01.01.2020 scharf geschaltet. Es hat jetzt schon Vorwirkung. Entstanden in Antwort auf ein gestoßenes Volksbegehren. Und das kalifornische Recht ist in vielen Teilen an der Datenschutzgrundverordnung orientiert. Und das bringt ganz erhebliche Veränderungen auch für das Tracking mit sich. Das heißt gerade in Kalifornien, dem Land der Internet-Technologie schlechthin, bekommen wir ein an der Datenschutz-Grundverordnung, auch was das Tracking angeht, in Teilen orientiertes Recht. Die setzen dort stärker an Opt-Out-Lösungen. Was heißt das übersetzt? Dass die ganzen Anbieter Ihre Tracking-Technologie aus den USA, allein um das nationale oder dann kalifornische Datenschutzrecht erfüllen zu können, mit Zusatzfunktionen werden abändern müssen. Und es ist auch eine große Diskussion in den USA entspannt, um zu verhindern, dass jetzt jeder Bundesstaat sein eigenes, ähnliches Datenschutzrecht erfüllt. erlässt und dann Unternehmen da 50 unterschiedliche Bundesstaaten bespielen müssen, dass man tatsächlich ein Bundesgesetz in den USA zum Datenschutz erlässt.

Joel Kaczmarek: Wir sehen also, es gibt ein gewisses Minimum, was man erfüllen sollte, was Hausaufgaben sind, die erfüllt gehören. Es gibt eine aufsichtsrechtliche Praxis, von der man jetzt mitkriegt, also es ist nicht immer alles möglich, was tendenziell, also praktisch vielleicht wird nicht mal alles umgesetzt, was möglich ist, aber man sollte dem Folge leisten, denn wenn das Kind in den Boden fällt, dann ist es sozusagen erstmal drin. Und wir sehen aber auch, es gibt schon noch spannende Ausbau-Themen. Also wenn das die USA jetzt auch erfasst, was ja eigentlich so die Mutterland des Anti-Datenschutzes gefühlt ist, oder diese ganzen Web-Tracking-Fragestellungen, also da ist durchaus noch Musik drin, die Tafel wird sozusagen noch weiter beschrieben. Das wäre jetzt nochmal so grob mein Fazit. Kommt das in etwa hin?

Sebastian Kraska: Ja, das stimmt.

Joel Kaczmarek: Von daher, gut, bin ich ja schon mal ein bisschen beruhigt und trotzdem noch leicht in H8-Stellung und vielleicht geht es dem einen oder anderen Hörer auch so. Ich danke dir ganz herzlich für deine tollen Ausführungen hier und deine Praxiserfahrung, die du mit uns geteilt hast. Ganz kurz so zum Abschluss noch, wenn man jetzt sagt, man interessiert sich für deine Lösung, wo geht man irgendwie hin, um sich auf dem Wege rechtskonform zu machen?

Sebastian Kraska: Man geht auf unsere Webseite, das ist www.iitr.de www.iitr.de www.iitr.de. Da bieten wir verschiedene Produkte an für Unternehmen, so 20, 30 Beschäftigte, insbesondere das Datenschutz-Kit. Und ihr werdet sicherlich auf der Webseite das ein oder andere Thema des heutigen Podcasts auch wiederfinden.

Joel Kaczmarek: Hervorragend. Dann danke ich dir ganz herzlich und bin gespannt, was du nächstes Jahr für ein Update für uns hast.

Sebastian Kraska: Vielen Dank.