Guido Kluck spricht über die DSGVO

Rechtsanwalt Guido Kluck von WK LEGAL über die Datenschutzgrundverordnung (DSGVO) ©AusserGewöhnlich Berlin

Was das Gesetz nicht definiert

Wusstest Du schon, dass Du sogar Probleme bekommen kannst, wenn sich deine Dienstleister nicht an die DSGVO halten? Wenn nicht, dann solltest Du das Interview mit Guido Kluck lesen.

Herr Kluck, erklären Sie bitte einem Kind, was die DSGVO ist.

Die DSGVO ist die Datenschutzgrundverordnung. Sie soll die Datenschutzbestimmungen in ganz Europa vereinheitlichen

Neue Verordnungen gibt es doch jede Woche. Warum sollte uns diese interessieren?

Weil die DSGVO viele Neuerungen bringt, wie z.B. eine sehr umfangreiche Dokumentationspflicht, von der eigentlich alle Unternehmen betroffen sind.

Man muss alle Datenverarbeitungsprozesse dokumentieren, die man in irgendeiner Form im Unternehmen hat. Das betrifft zum Beispiel Traffic Tools wie Google Analytics für die Webseite, Newsletter, die Lohnbuchhaltung oder Kundendaten.

Alle Prozesse eines Unternehmens, die mit Daten zu tun haben, müssen in der Dokumentation erfasst werden.

Das Gesetz greift auch, wenn ich nicht online bin und keine Webseite habe?

Ganz genau. Es ist nicht nur eine Onlinegeschichte.

Es betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet und das macht letztendlich jeder Handwerksbetrieb.


Auch der hat Kundendaten und Mitarbeiter, für die eine Lohnbuchhaltung gemacht wird oder eine Rechnung geschrieben wird. Und auch diese Daten sind betroffen.

Und was heißt das jetzt? Soll ich darauf achten, dass mein Steuerberater weiß, was die DSGVO ist oder muss ich selbst auf einige Sachen achten?

Sie müssen selbst auf einige Sachen achten. Sie müssten laut der Datenschutzgrundverordnung diese Dokumentation selbst besitzen.

Theoretisch kann die Aufsichtsbehörde vorbeikommen und verlangen, dass Sie die Dokumentation vorlegen. Sie müssen als einen Teil der Dokumentation in einem Verzeichnis protokollieren, welche Daten Sie wann und wie verarbeiten.

DSGVO einfach erklärt via Skype

Guido Kluck von WK Legal im Interview mit AusserGewöhnlich Berlin ©AusserGewöhnlich Berlin

Bedeutet das, dass jedes Unternehmen einen Hausanwalt haben muss?

Nein, nicht zwingend. Man kann das auch selbst machen.

Das Problem an der Sache ist, dass die meisten Unternehmer das nicht können und nicht wollen. Die Anforderungen, die das Gesetz stellt, sind relativ hoch. Zum Beispiel muss man für jede Art von Daten, die man verarbeitet, auch die Rechtsgrundlage in die Dokumentation mit reinschreiben. Welche gesetzliche Regelung erlaubt es mir, dass ich diese Daten verarbeite? An dieser Stelle tun sich Unternehmer, die juristisch nicht vorgebildet sind, oft sehr schwer.

Ich habe ein Netzwerk mit knapp 180 Mitgliedern. Die Mitglieder haben einen Vertrag mit uns und deren Daten werden in einer Tabelle notiert. Ist das in Ordnung? Wie soll ich damit umgehen?

Sie müssen nur eine Einwilligung besitzen, dass Sie diese Daten verarbeiten dürfen. Und das ist in diesem Falle die Mitgliedschaft, die Sie vertraglich vereinbart haben.

Neben den AGB müssen Sie einfach ein zweites Papier unterzeichnen lassen, in denen das Mitglied bestätigt, dass es in Kenntnis davon ist, dass diese Daten verarbeitet werden.


An der Stelle würde man beispielsweise in die Dokumentation schreiben: Mitgliederdaten AusserGewöhnlich Berlin, nach Artikel XY, legitimiert, denn es gibt einen Vertrag.

Okay. Und das betrifft jetzt meine neuen Mitglieder. Und was mach ich mit denen, die schon Mitglied sind? Muss ich denen etwas schicken?

Wahrscheinlich nicht. Vom Gesetzeswortlaut der DSGVO her müssten Sie das eigentlich tun, aber die Landesdatenschutzbeauftragen haben sich mittlerweile darauf verständigt, dass man das wahrscheinlich nicht machen muss. Die Sachen, die ordentlich vereinbart wurden, dürfen weitergeführt werden.

Diese Einschätzung ist etwas konträr zur DSGVO.

Die sagt nämlich, dass man alles auf den aktuellen Stand bringen muss, so dass man sich aus der Konsequenz heraus alles nochmal unterzeichnen lassen müsste.

Ich würde den Weg des geringsten Widerstandes gehen.


Solange die Landesdatenschutzbeauftragen sagen, dass das in Ordnung ist, ist es in Ordnung.

Gibt es eine Branche, die jetzt besonders ins Schwitzen kommt oder sind wir alle gleich betroffen?

Eigentlich sind alle gleich betroffen. Diejenigen, die sehr viel mit Daten arbeiten wie Auskunfteien oder Onlineportale, müssen sich intensiver darum kümmern.

Welche sind die 3 wahrscheinlichsten Fehler, die Unternehmen machen werden?

1. Die eigenen Verträge nicht überprüfen.
2. Die Datenschutzerklärung und das Kontaktformular auf der Webseite nicht aktualisieren.
3. Unzureichende oder fehlende Dokumentation.

Wie sieht so eine Dokumentation aus?

Für AusserGewöhnlich Berlin werden das am Schluss schätzungsweise 40 bis 50 Seiten sein, wenn man alles nach DSGVO dokumentiert.


Diese beinhalten diverse Angaben zum Unternehmen, zu den Datenverarbeitungsprozessen, zu den sog. technisch-organisatorischen Maßnahmen und noch einige weitere Punkte.

Wann muss ich die Dokumentation machen? Am Ende des Jahres?

Die müssen Sie ab dem 25. Mai jederzeit verfügbar halten und immer aktualisieren.

Was kommt konkret in diese Dokumentation? Ein Beispiel: Ich habe einen Onlineshop und verkaufe Handschuhe.

In der Dokumentation muss erfasst werden, wer im Unternehmen für diese Sachen zuständig ist und dann müsste ein Verarbeitungsverzeichnis rein. Bei einem Onlineshop würde man sagen:
Wir haben Kundenbestellungen. Da bekommen wir Daten, die wir verarbeiten. Allein für diesen Datensatz sind das 2 bis 3 Seiten, wo erfasst werden muss, auf welcher Grundlage das passiert, ob das risikobehaftete Daten sind, …. usw. Das wäre ein Datensatz.

Der nächste Datensatz ist zum Beispiel das Thema Newsletter. Auch hier muss man die 2 bis 3 Seiten ausfüllen und erklären, was mit diesen Daten passiert.

Dann gibt es Traffic-Systeme wie Google Analytics beispielsweise, wo der Prozess wieder durchlaufen wird. Hier kommt erschwerend hinzu, dass diese Daten in den USA von Google gespeichert werden. Daher handelt es sich um einen sog. Drittstaatentransfer von Daten, nämlich außerhalb der EU. Das ist rechtlich nochmal anders zu bewerten.

Für jeden Datensatz muss dokumentiert werden, wo die Daten herkommen, was damit passiert und wo die Daten hingehen. Und wenn Sie dann Vertragsverhältnisse haben, wie eine Agentur, die das Marketing übernimmt, muss das auch in einer Dokumentation erfasst werden. Und es müssen zusätzlich alle technischen Daten erfasst werden: Wo werden die Daten gespeichert? Gibt es ausreichende Sicherungsmaßnahmen? Es muss erfasst werden, wann Daten wieder gelöscht werden und vieles mehr.

Wenn man sich vorstellt, dass das für alle Daten geschehen muss, dann wird das schnell sehr umfangreich.

Müssen wir nun Angst vor der Prüfung öffentlicher Stellen haben oder gibt es auch hier wieder Leute, die andere verklagen?

Auch wenn ich hoffe, dass es nicht eintreten wird, müssen wir ab dem 25. Mai damit rechnen, dass viele Abmahnungen verschickt werden, wenn die Datenschutzregeln nicht eingehalten werden.

Das Problem ist: Niemand weiß so wirklich, was ein allgemein gängiges Dateiformat in diesem Kontext ist. Das definiert das Gesetz beispielsweise nicht.


Da gibt es noch einige andere unsichere Stellen, wo noch nicht alles klar definiert ist.

Sie kennen sich super auf diesem Gebiet aus. Sie sind nicht nur Anwalt, sondern auch Programmierer. Sie bauen jetzt ein Portal, wo sich Unternehmer diese ganzen Themen herunterladen können oder wie kann ich mir das vorstellen?

Das ist kein Portal. Wir haben ein Legal Tech Startup gegründet. Da kann man sich solche Sachen wie in einem Onlineshop einkaufen. Das ist auch schon online.

Noch eine Sache: Sie haben gesagt, dass auch die Dienstleister von Bedeutung sind. Hänge ich mit drin, wenn bei denen etwas nicht nach DSGVO läuft?

Genau. In den Verträgen sollte es irgendeine Klausel geben, dass die Dienstleister konform der DSGVO arbeiten.

Ich würde das im Vertrag immer verlangen, wenn ich eine Agentur beauftrage, irgendwie mit Daten umzugehen, dass die mir bestätigen, dass sie die Vorschriften der DSGVO einhalten. Damit sind Sie auf der sicheren Seite.

Vielen Dank für das Interview, Herr Kluck!

 

Mehr Artikel von Guido Kluck: 

Grillen für Kampala

Weitere spannende Artikel:

Wikipedia wurde eigentlich in Berlin erfunden: 1888, Wenn der Bus fühlt, dass der Gully voll ist, Geht rein und investiert die Kohle – Industrie 4.0, Die AusserGewöhnlichen Berliner haben gespendet. Wo ist die Küchen-Knete hin?

Hier geht es zu WK LEGAL

Wer mehr über die DSGVO erfahren möchte: Die DSGVO für Unternehmer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.