Datenschutz im Unternehmen (Datenschutz Deluxe Podcast #28)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Hallo und herzlich willkommen, liebe Zuhörer zum Datenschutz Deluxe Podcast.

Ich bin Stephan Plesnik und bei mir ist natürlich wie immer Dr. Klaus Meffert.

Ich begrüße dich Klaus, wie geht es dir heute?

Hallo Stephan, ich begrüße dich auch und auch unsere Zuhörer.

Ja, mir geht es gut.

Immerhin haben wir ja heute wieder unseren Podcast und da freue ich mich wahrscheinlich ebenso drauf wie du.

Wir haben wieder ein tolles Thema, denke ich.

Das hoffe ich doch auch.

Gute Überleitung.

Ich würde sagen, wir starten auch direkt mal.

Denn für heute habe ich mir etwas Besonderes überlegt, was gar nicht mal so philosophisch oder so tief in eine Materie hineingeht, sondern etwas Pragmatischeres für all die Zuhörer, die vielleicht noch nicht so genau wissen, was soll das eigentlich mit dem Datenschutz und wie sehr betrifft mich das eigentlich?

Aber wir wollen das diesmal nicht auf der Privatnutzer-Ebene oder auf die der natürlichen Personen angehen, sondern wir wollen uns damit beschäftigen, was hat denn Datenschutz eigentlich wirklich pragmatisch für Konsequenzen und Implikationen für Unternehmer?

Also an welchen Stellen weiß man vielleicht gar nicht, wo man hingucken sollte oder wo bereits Datenschutzverstöße passieren?

Einfach nur, weil man nicht richtig informiert ist.

Da denke ich, können wir heute ein bisschen Abhilfe schaffen.

Und deswegen würde ich sagen, starten wir einfach direkt mal mit einer ganz einfachen Frage.

Denn das interessiert mich jetzt wirklich, Klaus.

Wenn du gefragt wirst, sagen Sie uns doch mal hier in unserem Unternehmen datenschutztechnisch, was läuft da alles richtig, läuft da was falsch?

Gibt es einen Ansatzpunkt, wo du sagst, als erstes gucke ich eigentlich immer dahin, dann kriege ich schon einen guten Eindruck?

Ja, also das Erste, wo man draufschaut, ist natürlich das, was man sieht.

Und ich kann ja nicht die Aktenordner eines Unternehmens sehen, außer ich bin vor Ort eingeladen.

Aber selbst dann hätte ich nicht mal Zugriff direkt drauf.

Ich komme ja nicht zur Tür rein und reiße den Schrank auf und gucke mir die Akten an.

Abgesehen davon, dass ich gar nicht wüsste, wonach ich da genau suchen soll erst mal.

Denn ein Papier kann man ja nicht ansehen, ob es zu Recht oder zu Unrecht in einem Aktenordner abgelegt ist.

Erst mal, zumindest meistens nicht.

Wenn da Geschäftsgeheimnisse von anderen Firmen drin sind, könnte es sogar auch rechtmäßig sein, wenn man eine Vereinbarung hat.

Also natürlich würde ich sagen, guckt man zuerst auf die Webseite drauf oder von mir aus auch Apps.

Wenn eine Firma eine App oder sowas anbietet, dann schaut man sich die an.

Also alles, was öffentlich zugänglich ist.

Und das kann ja jeder andere auch tun, nicht nur ich.

Und je nachdem, wie viel man darüber weiß, kann man das eben genauer untersuchen oder weniger genau.

Aber natürlich, das, was öffentlich ist, da schaut man zuerst drauf.

Okay, Stichwort das, was öffentlich ist.

Gehen wir mal auf eine Webseite.

Die hat ja nun fast eigentlich jedes Unternehmen.

Und ich glaube, das Unternehmen, was keine hat, kann sich entweder so glücklich schätzen, dass die so geniale Kunden haben, dass die das nicht brauchen.

Oder die haben irgendwas verpasst.

Was ja vielleicht in Bezug auf Datenschutzverstöße auch die Menge sehr schnell minimieren kann.

Also es kann ja auch was Gutes sein.

Soll jetzt gar keine Wertung sein.

Aber wenn ich jetzt auf eine Webseite gucke, dann gibt es so die ersten Ansatzpunkte, glaube ich, die viele Leute gar nicht wissen.

Das ist, an welcher Stelle geht es los, wo du wirklich sagen würdest, das ist kritisch.

Das könnte also eine Implikation haben, was weiß ich, dass jemand eine Schadenersatzforderung oder sowas stellen darf, die dann unter Umständen auch berechtigt ist.

Ja, gute Frage.

Also ich würde grundsätzlich mal Faustregel sagen, sobald man von Dritten einen Dienst, also ein Plug-in einbindet und dieser Dritte nicht vertraglich abgesichert ist, sozusagen.

Das ist meistens bei den üblichen Verdächtigen der Fall.

Also wenn ich jetzt mit einer deutschen Firma als Dienstleister Vereinbarung treffe und da nehme ich ein Plug-in von denen, dann kann es schon sein, dass das rechtskonform ist.

Oft aber auch nicht.

Also typischerweise ist es so, dass bei diesen Diensten oder Plug-ins, die sehr populär sind, Datenschutzprobleme vorhanden sind.

Das gilt übrigens aber auch leider für deutsche Unternehmen.

Da gibt es so, ich will jetzt den Namen nicht nennen, aber ein Siegel für vertrauenswürdige Shops zum Beispiel.

Das habe ich mir mal angeschaut.

Auch die Vertragsbedingungen des Anbieters.

Die Vertragsbedingungen sind halt so, würde ich jetzt sagen, dass sie normalerweise nicht eingehalten werden und dass da auch Dinge passieren ohne Einwilligung des Nutzers, der eine Webseite besucht, die nicht datenschutzkonform sind.

Also grundsätzlich würde ich sagen, Dienste Dritter, umso populärer, umso größer die Wahrscheinlichkeit, dass sie rechtliche Probleme machen.

Also erstmal spannend mit diesem Siegel, was du sagst.

Ich glaube, der ein oder andere weiß schon, um wen es geht.

Brauchen wir nicht weiter ausführen.

Aber gehen wir mal auf so eine Thematik ein, die ich jetzt nun wirklich zuhauf kenne.

Es gibt ja unheimlich viele Online-Businesses.

Also Leute, die Webseiten machen, hauptsächlich eine Landingpage, wo sie versuchen, mit einem bestimmten Angebot einen Nutzer, einen Interessenten zu gewinnen und in einen Kunden umzuwandeln.

Und ich sehe immer wieder Anleitungen, wie man diese Webseiten aufbauen soll, mit Salesfunnel und allem drum und drum.

Und da werden immer wieder die üblichen Verdächtigen an Zusatzservices benutzt.

Also wir haben natürlich immer Google Analytics mit im Boot, weil angeblich muss man ja alles über den Nutzer analysieren können, damit man weiß, ob es ein Kunde wird oder nicht.

Und auf der anderen Seite gibt es dann natürlich die Facebook-Einbindung, weil man muss ja auch zeigen, dass man in sozialen Netzwerken aktiv ist.

Dann haben wir Instagram und natürlich ganz dick immer WhatsApp.

WhatsApp ist immer so nach dem Motto, wenn der Kunde mich auf WhatsApp nicht erreichen kann, dann kann der niemals mein Kunde werden, weil die nichts anderes mehr beherrschen, als über WhatsApp zu kommunizieren.

Wenn ich jetzt diese drei Services alleine mal nehme, dann sind das doch im Endeffekt schon drei Services, die extrem kritisch zu betrachten sind, wenn ich die auf meiner Webseite einbinde, gerade für einen Erstkontakt.

Wie schätzt du das ein?

Also bei Google Analytics sehe ich es natürlich absolut genauso.

Übrigens brauchen die meisten Google Analytics gar nichts.

Selbst die, die es eingebunden haben, behaupte ich mal auch aus der Erfahrung heraus, die nutzen zum größten Prozentsatz die Daten, die sie bekommen, überhaupt gar nicht.

Ich gebe mal eine Analogie.

Ich habe bei mir ein eigenes Analysewerkzeug eingebunden, mit dem ich sogar Conversion Tracking machen kann.

Also das heißt, wenn jemand eine gewünschte Aktion auf meiner Webseite ausführt, Newsletter abonniert oder im Onlineshop wäre es zum Beispiel der Kauf eines Produktes oder sowas, dann kann ich das nachvollziehen und die Quelle dazu ermitteln.

Dafür brauche ich keine Cookies und auch kein Google Produkt.

Diese Daten, die sind so umfangreich, dass ich selbst kaum schaffe, die alle auszuwerten.

Google Analytics liefert noch viel mehr Daten und die meisten haben weder Zeit noch Kenntnis und auch keine Möglichkeit, aus diesen Erkenntnissen überhaupt eine Aktion abzuleiten, dass ich es für völlig irrelevant halte, bei vielen, bei den allermeisten, prozentual gesehen, Google Analytics einzusetzen.

Da muss man schon viel Geld ausgeben und zwar sowohl für Werbung als auch für einen Berater, der Google Analytics tief beherrscht, um dann trotzdem nicht rechtssicher zu sein und einen reinen Marketingansatz zu fahren, muss man ja sagen.

Jetzt zu den zwei anderen Punkten.

Gut, bei Facebook, das ist natürlich auch sehr kritisch, kann ich nichts weiter zu sagen.

Ich bin nicht mehr auf Facebook die meisten.

Also wenn jetzt jemand einen Konsumentenmarkt anspricht, dann mag das zumindest aus Marketingsicht sinnvoll sein, auf Facebook vertreten zu sein.

Für den Business-to-Business-Bereich kommt es immer auf den Markt an, ob ich da wirklich vertreten sein muss.

Bei mir hat es nicht geklappt.

Wir haben damals vor der DSGVO sehr viel Werbung gemacht, auch für Facebook.

Und da muss man sagen, der Erfolg bei Facebook war sehr mager, obwohl der Markt ausgesprochen gut war.

Das muss jeder selbst beurteilen.

Aber datenschutzrechtlich ist es natürlich hochproblematisch.

WhatsApp, weiß ich jetzt nicht genau, wie man das auf Webseiten direkt einbindet.

Zumindest wenn man WhatsApp anbietet und der andere nicht von sich aus den Erstkontakt macht, dann würde ich sagen, hat man schon rechtliche Probleme zu befürchten.

Wenn der andere aus eigenen Stücken jemanden kontaktiert, dann kann er das machen.

Weil man natürlich immer beachten muss, wenn WhatsApp schickt ja auch an alle Kontakte im Adressbuch ein Ping sozusagen, das auch als personenbezogenes Datum, Datenwert zu kennzeichnen ist.

Und dieses Ping, dafür ist natürlich irgendjemand mitverantwortlich.

Das ist nicht nur Meta als WhatsApp-Betreiber, sondern auch die, die die WhatsApp-Kommunikation machen und deren Adressbuch sozusagen an WhatsApp bereitstellen.

Also da müsste man schon auch Probleme befürchten.

Es gibt, glaube ich, keine datenschutzkonforme WhatsApp-Lösung.

Ich habe das auch mal untersucht.

Da gibt es ja WhatsApp for Business.

Aber irgendwie braucht ja WhatsApp trotzdem Kontaktdaten.

Ich meine, ganz ohne Kontaktdaten geht es halt nicht.

Es ist ja ein zentrales System.

Es ist ja keine Punkt-zu-Punkt-Verbindung.

Wenn wir beide per WhatsApp kommunizieren würden, was wir nicht tun, dann würden wir ja nicht direkt kommunizieren, sondern über einen WhatsApp-Server.

Und ich meine, da kann man über die Verschlüsselung hin oder her, das hat ja sogar die irische Datenschutzbehörde festgestellt, dass es ein Problem ist, obwohl die wirklich sehr unternehmerfreundlich ist und vor allem freundlich zu Unternehmen, die ihre Zweigstelle in Irland haben, so wie es beim Meta der Fall ist.

Und aus Amerika kommen.

Aus Amerika kommen.

Sie haben in Irland ja nur eine Abrechnung oder eine formale Stelle, die keine eigenen Assets hat, keine eigenen Vermögenswerte.

Die sind nur dafür da, damit es so aussieht, als würden sie die europäischen Gesetze einhalten.

Also ich denke, die genannten Punkte oder Tools, die du erwähnt hast, die sind alle sehr kritisch zu betrachten.

Google Analytics natürlich am meisten.

Und man muss auch sagen, weil es ein sehr populäres Tool ist, ist es auch Gegenstand zahlreicher rechtlicher Angriffe.

Also weil es ebenso gut untersucht ist und weil jeder es kennt, auch Richter kennen Google Analytics mittlerweile besser als irgendein exotisches Tool wie Adobe.

Ist nicht exotisch, aber Adobe Analytics zum Beispiel ist, glaube ich, bei den meisten Nicht-Technikern nicht so weit verbreitet im Mental zumindest.

Google Analytics hat jeder, glaube ich, schon mal gehört.

Sehr richtig.

Zu der WhatsApp-Thematik fällt mir dabei noch ein, genau das, was du beschreibst.

Also der ganz große Knackpunkt ist halt, ich übertrage unwissentlich beziehungsweise ohne die Einwilligung der Leute, die ich in meinem Adressbuch führe, deren personenbezogene Daten, nämlich zumindest den Namen und die Telefonnummer, die meistens in einem Adressbuch, in einem Telefon drin ist, an die WhatsApp-Server.

Das geschieht im Klartext.

Das heißt, hier ist keine Verschlüsselung und nichts aktiv.

Und diese Daten werden dann auf dem WhatsApp-Server eben auch in dieser Reintextform gespeichert, abgeglichen und geguckt, welche Kontakte sind denn verfügbar, sodass man sich mit denen dann über WhatsApp verbinden kann.

Und genau da ist die Problematik, man bräuchte wirklich die schriftliche Einwilligung eines jeden Kontaktes im Telefonbuch, dass man das darf, dass man diese Daten an die Server übertragen darf.

An der Stelle. . .

Vielleicht nur ganz kurz, du hast vollkommen recht, ich wollte es nur noch mal ergänzen, damit es auch jeder versteht.

Wenn ich einen Brief abschicke, da muss ich halt den Empfänger drauf schreiben.

Und die Post liefert ihn aus.

Und die Post ist in dem Fall Meta.

Wenn jetzt deine WhatsApp-Anwendung sozusagen mich kontaktieren will, dann macht sie das über einen Meta-Server.

Und der kann natürlich die Nachricht nur an mich zustellen, wenn deine WhatsApp-Anwendung den Meta-Server meine Adresse genannt hat.

Also insofern ist es genauso, wie du sagst.

Man muss natürlich wissen, an wem man eine Nachricht schickt, damit die Nachricht auch da ankommt.

Da gibt es keine Verschlüsselung.

Wenn es eine Verschlüsselung gäbe, dann würde die Nachricht nicht ankommen.

Genau.

Und das ist ja auch genau der Knackpunkt.

Denn was dann passiert ist, dass es sogar schon dazu gekommen ist, dass diese WhatsApp-Buttons auf Webseiten zum Beispiel, wenn ich die als Unternehmer anbiete, dass alleine schon das Angebot zu sagen, hey, kontaktier uns doch auf WhatsApp, damit einhergeht, dass das ein Verleiten dazu ist, dass man diesen Kommunikationsweg wählt.

Und da der eben in der gemeinsamen Verantwortlichkeit, was die personenbezogenen Daten angeht, liegt, was bedeutet, dass für den Unternehmer er fordert, den Kunden sozusagen aktiv dazu auf, auf einem Kommunikationsweg, der rechtlich kritisch zu betrachten ist, zu kommunizieren.

Und alleine das kann schon dafür sorgen, dass es hier zu Problematiken führen kann, wenn Nutzer das sozusagen monieren oder deswegen vor ein Gericht ziehen möchten, weil da eine unrechtmäßige Übertragung personenbezogener Daten gefunden hat.

Auf der anderen Seite habe ich vor einiger Zeit, und da ist auch noch nichts Neues zu beschlossen worden, gesehen, dass für deutsche Behörden das Nutzen von WhatsApp erlaubt wurde.

Ich glaube, das haben die mehr oder weniger einfach nur gemacht, weil sie gewusst haben, die Pappenheimer kriegen wir sowieso nicht dazu, sich vernünftig zu informieren und zu bessern.

Aber auf der anderen Seite gibt es eben den Weg, die WhatsApp passiv zu nutzen.

Bedeutet, ich installiere die auf meinem Handy und lass nicht zu, dass die Zugriff auf mein Adressbuch hat.

Dann kann ich die WhatsApp aber wirklich nur passiv benutzen.

Bedeutet, nur der Nutzer kann mir Nachrichten schicken.

Also ich kann dann sagen, ihr könnt uns über WhatsApp unter der Nummer erreichen, aber die müssen den erst Kontakt machen.

Also das ist dann so eine reine eher Support-Funktion und nicht wirklich sag uns deine Nummer und wir kontaktieren dich und schicken dir irgendwelche Angebote zu.

Nachdem der Kontakt hergestellt ist, kann man dann, zumindest würde ich sagen, auf der rechtlichen Ebene sagen, der Nutzer hat selbstständig entschieden, WhatsApp zu nutzen und der hat uns aktiv kontaktiert.

Er hat also vorher seine Einwilligung bereits gegeben, seine personenbezogenen Daten an WhatsApp zu übertragen.

Solange da, wie gesagt, keine Kontakte kontaktiert werden von WhatsApp, die nicht eingewilligt haben, weil die wissen ja nichts von ihrem Glück, kann man sagen, ist das vielleicht nicht unbedenklich, aber zumindest halbwegs sicher.

Was den Kontakt mit dem Kunden angeht.

Bei den Behörden kann ich es nicht ganz nachvollziehen, muss ich sagen.

Ich habe es noch nicht gehört.

Aber zumindest kann die Behörde selbst vorschreiben, wie man sie kontaktiert.

Das passiert ja dauernd.

Ich meine, das Finanzamt, mit dem kann ich auch nicht verhandeln, wie wir uns denn jetzt unterhalten.

Insofern, ich wüsste jetzt nicht, warum ich meine Stadt wegen der Müllkalender per WhatsApp anschreiben muss.

Dann nehme ich halt das Kontaktformular oder greife zum Telefonhörer.

So oft muss man ja jetzt eine Behörde auch nicht kontaktieren in seinem Leben.

Und wenn doch, dann glaube ich, geht es über WhatsApp nicht besonders gut, weil die Kommunikation ausgesprochen ungenau ist, weil man halt am Handy auch so schlecht tippen kann und nicht so lange Sätze und dann diese Abkürzung.

Also ich kann nur sagen, bei Behörden leuchtet es mir überhaupt nicht ein.

Ich weiß zum Beispiel bei Kfz-Werkstätten, dass jemand gerne eine Info hat, wann das Fahrzeug fertig ist.

Aber das kann man ehrlich gesagt auch per SMS schicken.

Ich verstehe jetzt nicht ganz.

Klar, die kostet vielleicht ein paar Cent, aber beim Werkstattauftrag, der 350 Euro kostet, ich weiß nicht, ob man da nicht 10 Cent mal investieren kann in eine normale Kommunikation.

Da bin ich voll bei dir.

Ich glaube, die Thematik, so wie ich es zumindest damals verstanden hatte, und nur damit du das weißt, diese Information, dass das Behörden erlaubt ist, diese Nutzung, die ist schon bestimmt sechs Jahre alt.

Nur es hat sich eben nicht mehr viel daran geändert, dass das so irgendwann mal dann doch holterdiepolter genehmigt wurde als so ein großer Ausschrei vor einigen Jahren um die Thematik, wie verarbeitet eigentlich WhatsApp unsere Daten durchs Internet ging.

Was da aber hauptsächlich, worum es da hauptsächlich ging, war die interne Kommunikation, also der Mitarbeiter innerhalb eines Unternehmens untereinander.

Und ich glaube, das ist vielleicht auch ein interessanter Punkt, den nochmal nach vorne zu stellen, weil wir haben ja zwei unterschiedliche Kommunikationsebenen.

Klar, wir haben die zum Kunden, das ist die eine, das ist klar, der Kunde entscheidet unter Umständen selbstständig, okay, dann habe ich da nicht viele rechtliche Probleme.

Aber die rechtlichen Probleme entstehen ja auch dann, wenn ich innerhalb meiner Firma oder innerhalb meiner Behörde WhatsApp nutze und die Kontaktdaten, die auf meinem Handy sind, was teilweise auch Privathandys sein können, je nachdem wie die Richtlinien zu Privatnutzung von Geräten am Arbeitsplatz aussieht, dazu führen kann, dass unwissentlich personenbezogene Daten von unbekannten Menschen an WhatsApp übertragen werden, nur weil ich diesen Dienst auf meinem Handy nutze.

Und das genau ist eben rechtlich ein unglaublich großes Problem, gerade weil aus so einem Handy eines Mitarbeiters, der sagt, ich mache mit bei WhatsApp und ich kommuniziere darüber intern mit meinen Kollegen, bestimmt auch die Kontaktdaten von denen drauf sind, die sagen, ich möchte das bitte nicht.

Und diese werden dann aber trotzdem am WhatsApp übertragen.

Und die Leute, die halt quasi wirklich explizit gesagt haben, nein, ich will WhatsApp nicht nutzen, deren Daten dahin zu übertragen, das ist dann wirklich auf jeden Fall ein Punkt, wo man sagen kann, hier könnte diese Person Schadenersatz einfordern.

Und den vor allen Dingen nicht in zu kleiner Größe, wenn ich angucke, was es für Urteile teilweise gegeben hat, gerade wenn Mitarbeiter in Bezug auf Datenschutzsystematiken Klagen eingereicht haben wegen dem Missbrauch ihrer personenbezogenen Daten.

Also das könnte kritisch werden.

Nur zu WhatsApp noch ganz kurz, wir brauchen jetzt nicht nur über WhatsApp zu sprechen, auch wenn es vielleicht ein häufiges Tool ist, aber ich sag mal erstens, also ich weiß nicht, ob du dich versprochen hast oder einfach nur irgendeine Zahl gesagt hast, aber sechs Jahre her, als der vor der DSGVO, das kann schon sein, dass da mal irgendwas entschieden wurde, was aber mittlerweile auch, hast du ja auch selbst gesagt, keine wesentliche Relevanz mehr hat.

Also ich will jetzt nur den Eindruck vorbeugen, dass es so sei, dass Behörden WhatsApp nutzen würden, das glaube ich nicht und ich habe es auch in letzter Zeit nicht gehört.

Der zweite Punkt ist, wenn Mitarbeiter im Unternehmen WhatsApp nutzen, dann frage ich mich, wer ist das denn?

Also ein Büromitarbeiter ganz bestimmt nicht, der hat eine E-Mail, der hat eine PC-Tastatur, warum soll er auf sein blödes Handy tippen, wenn er vor seinem Computer sitzt?

Einer, der im Lager ist, da stellt sich mir die Frage, wenn der so oft schreiben muss, dann wäre es doch vielleicht nicht schlecht, wenn die Firma ein eigenes Kommunikationssystem hat und dann geht es ja auch nicht nur um das Thema Datenschutz, es geht ja auch noch um vertrauliche Daten, also es gibt Mitarbeiterdaten, es gibt Vertraulichkeitsvereinbarungen, die man geschlossen hat, es gibt auch noch Geschäftsgeheimnisse, die haben gar nichts mit Datenschutz zu tun in erster Linie, also dieser Fall, den halte ich für relativ selten, da müsste man sich jetzt wirklich den Einzelfall mal angucken, also vielleicht so viel noch zu WhatsApp.

Finde ich absolut berechtigt und super, dass du das ansprichst, weil natürlich ist das so, es ist einfach nur ein sehr populäres Beispiel, das gilt natürlich für jeden anderen Messaging-Dienst, der auf ähnlichen Prinzipien basierend aufbauend eben auch so funktioniert und eben es nicht hinkriegt, was weiß ich, diese personenbezogenen Daten des Adressbuches, also es geht ja immer darum, dass ich Daten auf einem Gerät habe von anderen Personen, die ich dann eben zu schützen habe und nicht schütze dadurch, dass ich sie weitergebe an einen Dritten, ohne die Person vorher gefragt zu haben und der Dritte ist in dem Fall WhatsApp, der kann aber auch Telegram oder egal wie anders heißen, also es spielt keine Rolle, welchen Messaging-Dienst ich nutze, ich übergebe diese Daten.

Eine Rolle spielt dann eben hauptsächlich, wie wird mit den Daten umgegangen, ist die andere Person informiert, hat sie freiwillig eingewilligt und wie ist da das Verhältnis?

Ansonsten kann es eben dazu kommen, dass hier rechtliche Probleme existieren, weil ich als Unternehmer eben da eine höhere Pflicht habe zum Schutz der personenbezogenen Daten, als zum Beispiel jede Privatperson das hätte, die WhatsApp nutzt, wobei ich selbst das auch kritisch sehe.

Aber du hast Recht, gehen wir mal ein anderes Thema über, denn Datenschutz existiert ja nicht nur in der digitalen Welt und das ist glaube ich auch so eine Sache, die finde ich immer wieder spannend, die ist vielen Leuten ja nicht bewusst, dass man als Unternehmer, der Geschäftsräume betreibt, dort genauso Datenschutzverstöße begehen kann.

Alleine dadurch, dass ein Arbeitsplatzbildschirm ungesperrt einsehbar ist, zum Beispiel.

Ich kenne das Beispiel von vielen Arztpraxen, da kommt man in den Behandlungsraum, wo man dann auch nochmal fünf Minuten warten darf und dann sehe ich da einen entsperrten PC-Bildschirm und sehe die Akte des Patienten, der vor mir dran war und könnte nach Belieben jetzt da mich durchklicken.

Das ist natürlich eine Sache, die geht ja gar nicht.

Im Arzt, wo die Krankheiten anderer Menschen, vielleicht auch von dem, der anwesend ist, gerade eingesehen werden können, da muss man vielleicht nicht mal klicken, da reicht vielleicht schon der Blick.

Also da hast du recht.

Diese Art von Missbrauch oder Unsorgfalt, mangelnder Sorgfalt, die geht einfach gar nicht und vor allem im Gesundheitsbereich, also in Arztpraxen ist es ein sensibles Thema, weil Gesundheitsdaten als besonders kritische Daten gelten, Artikel 9 des GVU und da sollte sich ein Arzt wirklich große Gedanken machen, wie er das absichern kann.

Ich bin selten beim Arzt in letzter Zeit, deswegen kann ich es nicht aus eigener Erfahrung sagen, aber wie du sagst, wenn ein Monitor in die falsche Richtung dreht oder die Leute da vorbeilaufen können oder so irgendwelche Listen ausliegen, wo die Patienten ihre persönlichen Daten eingeben, das müssen ja keine Krankheiten sein, aber ein Geburtsdatum und eine Adresse und eine Handynummer muss jetzt auch nicht jeder kennen.

Also wenn ich das nicht möchte, es wäre ganz gut, wenn da so eine Liste vielleicht nicht eine Sammelliste ist, sondern Einzelblätter oder wie auch immer Informationen abgefragt werden.

So wie früher muss es ja nicht sein, wir brauchen ja keine Kontaktverfolgungslisten für Corona mehr.

Da war das Ganze vielleicht ein bisschen komplizierter, weil es dauernd passiert ist, dass man sich irgendwo eintragen musste, aber bei einer Arztpraxis, wo man ja eigentlich Kunde ist oder Patient, da kann man die Daten, glaube ich, auch anders austauschen als über eine Sammelliste.

Das sowieso.

Was ich auch spannend finde an der Stelle ist, wenn man in solchen Situationen dann zum Beispiel aufgerufen wird.

Da weiß ich noch, dass es vor Jahren war es noch so, dass das irgendwie schon als problematisch bezeichnet wurde, wenn man alleine nur mit dem Nachnamen aufgerufen wird, dass man lieber Nummern aufrufen sollte und so weiter und so fort.

Und das ist anscheinend auch wieder komplett ad acta gelegt worden.

Ich habe es zumindest bei unterschiedlichsten Ärzten, bei denen ich seitdem war, nicht mehr mitbekommen, dass da ein Problem herrscht, wenn man meinen Nachnamen nutzt, um mich aufzurufen aus dem Wartezimmer.

Aber auch diese Tatsache, dass man, wie du schon sagtest, nach der Handynummer vielleicht auch gefragt, während man an der Rezeption steht und dann stehen da aber noch fünf andere und dann sagt man seine Handynummer.

Das sind ja auch alles Sachen, wo man sagen kann, kann man durchaus kritisch betrachten, weil diese Information übergibt man damit ja auch Fremden, die einfach nur neben einem stehen.

Also das sind eben alles Stellen, wo Datenschutz auch eine Relevanz hat, die wir häufig vergessen, weil wir immer so viel darüber reden, ja hier eine Software und da werden meine Daten übertragen, ohne dass ich das weiß.

Unwissentliche Datenübertragung passiert auch im zwischenmenschlichen Kontakt, möchte ich damit sagen.

Also vielleicht noch ein wichtiger Punkt, also klar, dieser gesunde Menschenverstand, damit kann man die Probleme, die du ja zu Recht aufgeworfen hast, jetzt auch, die auch existieren, einfach lösen, ja.

Also die meisten Probleme kann man durch gesunden Menschenverstand lösen.

Was du nicht willst, was mit deinen Daten passiert, das soll auch nicht mit den Daten von jemand anders passieren.

Ich meine, es gibt Leute, denen ist alles egal, die sollte man nicht mit diesem Motto konfrontieren, aber die meisten sind, glaube ich, da künftig verantwortungsvoll.

Was natürlich auch noch ein Problem ist, also zunächst mal ist es auch gerechtfertigt, dass man Videoüberwachung macht auf seinem eigenen Gelände, ja, Diebstahl, Vandalismus und so weiter, das kann man durchaus machen, es muss aber einen Anlass geben, also anlasslos kann man es machen, aber nur sehr kurz, da gibt es auch Urteile, es kommt immer auf den Einzelfall natürlich an, also das heißt, die Speicherung der Videos sollte nur sehr kurz erfolgen.

Wenn es einen Anlass gibt, ist es was anderes, also wenn man jetzt feststellt, dass da irgendwo ein Einbruch stattfand, dann kann man die Videos natürlich aufheben, bis die Straftat aufgeklärt ist, würde ich jetzt mal sagen und das ist, glaube ich, auch Usus.

Es gab mal einen Fall, der ist sehr spannend, den will ich vielleicht mal kurz erwähnen, oder zwei Sachen.

Das eine ist eine Selbstbedienungstankstelle, SB-Tankstelle, die hat leider verloren, muss ich sagen, vor Gericht, die hat dauernd Vandalismus bei sich, ja, und es gibt auch dauernd Leute, die zwei Wochen später kommen und sagen, ich habe keinen Benzin gekriegt, die Zapfsäule ging nicht, oder bei mir wurde, ja, bei mir wurde was abgebucht, aber es kam kein Benzin raus und so weiter und so weiter, und dann hat das Gericht gesagt, ja, alles richtig, ihr habt aber trotzdem nur das Recht, eure Videos 72 Stunden lang zu speichern und wenn ihr halt feststellt, dass Vandalismus da ist, dann muss es innerhalb von 72 Stunden passieren.

Das kann ich allerdings nachvollziehen, was allerdings Problem, also klar, ich muss halt schon ab und zu mal auf die Videos drauf gucken, ich kann jetzt nicht sagen, ich gucke nur alle zwei Wochen drauf, dann stelle ich fest, huch, die Tankstelle brennt.

Hätte ich auch früher feststellen können, vielleicht auch zum Schutze der umliegenden Häuser oder der Umwelt, ich meine, dass eine Tankstelle auch gesunde Umweltprobleme verursachen kann, das sollte man wirklich schnell feststellen, wenn es denn so ist.

Wenn jetzt aber jemand kommt nach zwei Wochen und sagt, da kam kein Benzin aus der Zapfsäule, dann kann man das mit dem Video natürlich nicht beweisen, andererseits glaube ich auch nicht, dass man es mit dem Video immer beweisen könnte, selbst wenn man es noch hätte.

Also insofern, das Gerichtsurteil ist irgendwie sehr hart, aber auch ein bisschen verständlich, muss man sagen.

Der Tankstellenbetreiber ist dann halt insofern der Dumme, als dass, wenn jemand kommt und sagt, ich habe kein Benzin gekriegt, dann wird er halt nicht mehr Kunde sein.

Das ist halt so, das muss man in Kauf nehmen, diese ganzen rechtlichen Streitigkeiten, die nerven die Tankstelle natürlich.

Ich möchte nicht tauschen mit dieser Tankstelle, aber sie hat leider diese Probleme.

Ein normaler Betrieb sollte bei seinen Videos genau gucken, wie lange werden die gespeichert.

Bei großen Firmen gibt es den Betriebsrat, der verbietet das manchmal sogar bei der Deutschen Flugsicherung, der besonders sensibel ist.

Die dürfen gar nicht alles filmen, auch nicht zum Parkplatz in den Weg, was ich ein bisschen übertrieben finde, ehrlich gesagt, aber so ist es.

Und eine Sache, dann höre ich auch mit meinem Gedanken auf.

Es gab mal ein Urteil vor kurzem, da hat eine Firma den Mitarbeiter überführt, dass er geschwänzt hat.

Und das haben sie gemacht mit einer Videoaufzeichnung, die über ein Jahr alt war.

Die wurde also sehr, sehr lange gespeichert.

Und da hat das Gericht gesagt, ja, die Aufzeichnung verstößt zwar gegen Datenschutzgesetz, wäre also rechtswidrig, aber sie darf trotzdem als Beweismittel verwendet werden, weil die Interessen des Arbeitgebers hier das Schutzbedürfnis des Arbeitnehmers übertreffen würden.

Das heißt also, es war ein rechtswidrig erhobener Beweis, der aber trotzdem verwendet werden konnte gegen den Betroffenen, der ja dann seine Pflichten als Arbeitnehmer verletzt hat.

Das fand ich eine sehr spannende Sache, die logisch ein bisschen schwierig nachzuvollziehen ist, muss ich sagen, aber gut.

Wie kann ein rechtswidriger Beweis, der erbracht wurde, vor Gericht zulässig sein?

Weil er ist ja bereits von seiner Natur her eigentlich schon nicht zulässig.

Das ist schon nicht komisch.

Der Beweis an sich ist nicht rechtswidrig, nur dass er da, also die Aufzeichnung ist laut DSGVO rechtswidrig.

Wenn man es genau nimmt, zwei verschiedene Sachen.

Das ist halt das, wo der normale Mensch, du und ich, da nicht so ganz mitkommt.

Ich habe da auch meine mentalen Probleme.

Andererseits finde ich es auch sehr gut, dass jemand, der schwänzt, bei der Arbeit dadurch erwischt wird.

Aber ein Jahr lang aufheben, da muss ich sagen, hätte man auch vorher mal drauf gucken können.

Man muss jetzt nicht alle zwei Tage gucken, ob jemand geschwänzt hat, aber nach einem Jahr erst halte ich jetzt auch für ein bisschen problematisch.

Definitiv.

Vor allen Dingen, wenn der Beweis so weit in der Zeit zurückliegt, in einem Jahr kommt es sicher auf viele Dinge, vielleicht eben auch am Verhalten unterschiedlicher Personen.

Man referenziert da ja wirklich auf Zustände, die vielleicht auch fragwürdig sind.

Aber es ist ein sehr schönes Beispiel auf jeden Fall dafür, dass das eben in beide Richtungen wirkt, dieses ganze Schema.

Und dass wir eben auf der einen Seite Möglichkeiten nutzen können als Unternehmer, um uns vor Problemen zu schützen, aber auf der anderen Seite auch immer gucken müssen, was bedeutet das denn, was sind das denn für Implikationen für die Rechte und Freiheiten der einzelnen Personen, des Mitarbeiters oder eben auch des Kunden, des Partners, der Lieferanten, die ich dort vielleicht einschränke.

Und deswegen ist Datenschutz ebenso wichtig, weil es auf der einen Seite die Transparenz fördert, im Austausch von Daten untereinander, aber eben auf der anderen Seite auch dafür sorgt, dass es klare Verhältnisse darüber gibt, wer ist für was verantwortlich und wer kann eben in die Pflicht genommen werden.

Und ich glaube, das ist eine Sache, die wir sehr häufig oder die sehr häufig von Unternehmern, gerade wenn sie in der Start-up-Phase sind, vergessen wird, dass wir da natürlich in der realen Welt einige Schnittmengen haben, wo das kritisch werden kann, die man durchaus beachten muss und wo man seinen Datenschutz Management und die Dokumentation ordentlich pflegen sollte.

Aber eben auf der anderen Seite im Internet-Business, wo so viele Produkte angeboten werden, die ich als Nutzer kaufen und konsumieren und nutzen kann, auch um Services anderen anzubieten, Dienstleistungen, die zu bezahlen sind als Business, wo gar nicht für mich wirklich klar ist, welche Daten woher überhaupt fließen und was ich überhaupt mit den Daten mache von den Menschen, denen ich jetzt meinen Service darüber anbiete.

Und das ist ebenso ein sehr kritischer Punkt, wenn man mal seine Datenschutzerklärung wirklich ordentlich aufbereitet, fallen einem diese ganzen Punkte auf und dann weiß man eben auch unter Umständen an welchen Dingen man nachbessern kann.

Denn es geht ja um nichts anderes als um Transparenz.

Wir wollen ja nur nicht, dass die Leute sich gegenseitig auf den Schlips getreten fühlen, weil sie etwas nicht wussten.

Dann ist ja datenschutztechnisch erstmal alles okay.

Wenn ich da eine Einwilligung habe, super.

Kann man ja erstmal pauschal so sagen.

Genau, die Einwilligung ist manchmal schon wichtig.

Also Transparenz bei Google Analytics schützt nicht davor, dass man noch eine Einwilligung einholen muss.

Aber du hast recht.

Das Wichtigste ist die Transparenz und wenn einem schwerfällt zu erklären, was man da tut mit welchen Daten, dann ist es ein sicheres Zeichen dafür, dass man es nicht tun sollte.

Weil ich meine, das ist auch immer das Problem bei Google.

Wenn ich Google Analytics einsetze, dann kann ich das überhaupt gar nicht erklären, was da passiert.

Also das ist schon das erste Zeichen dafür, dass es nicht in Ordnung sein kann.

Und das könnte man jetzt auch für viele andere Dinge sagen.

Bei diesem Shop-Siegel, nenne ich es jetzt mal, was ich vorhin am Anfang erwähnte, da ist es genauso.

Da wissen die meisten auch nicht, was da passiert.

Sie lesen sich auch nicht die Verträge durch.

Und wenn sie sie durchlesen würden, so wie ich es mal im Kundenauftrag getan habe, dann würden sie feststellen, dass sie da ihr Todesurteil unterschrieben haben quasi.

Und deswegen sollte man sowas einfach nicht tun.

Ja, wunderbar.

Ich würde sagen, ich hoffe, aus diesen Informationen konnte man ein bisschen was mitnehmen.

Das Stichwort, was du angesprochen hast, finde ich, ist eine sehr geile Prüffrage, ein sehr cooler Prüfsatz, den ich mir auf jeden Fall merken werde, den ich auch nur jedem empfehlen kann.

Wenn ich nicht genau erklären kann, wie es funktioniert, dann liegt es wahrscheinlich daran, dass ich es nicht nutzen sollte, weil es kritisch sein könnte.

Und was ich transparent erklären kann und mir ganz sicher bin, dass ich weiß, wie es funktioniert, das ist ein sicherer Hafen, wo ich sagen kann, da kann ich mich drauf verlassen.

Dann habe ich nämlich wahrscheinlich auf der anderen Seite auch einen Partner, der das vertreten wird, dass er das gesagt hat.

Und nicht so wie Meta, Facebook oder Google, die sich ständig aus der Verantwortung ziehen wollen.

Ich würde sagen, damit kommen wir zum Ende dieser Folge.

Ich fand das sehr spannend, besonders auch mal so zu erfahren, was es da so für unterschiedliche Gerichtsurteile gibt und in welche Richtung die eben auch ausschwenken können, die wir uns nicht erklären können.

Ist ja auch mal ganz spannend zu sehen.

Aber dafür gibt es dann ja eben auch Gerichte und Anwälte, vor denen wir nicht möchten, dass einer von euch zu Höris jemals landen muss.

Und deswegen überlegt ein bisschen genauer, ob der Datenschutz nicht vielleicht in eurem Unternehmen früher angepackt weniger Schaden anrichtet, als zu spät beachtet.

In diesem Sinne danke ich euch vielmals für die Aufmerksamkeit.

Ich hoffe, es hat euch Spaß gemacht und ihr hört beim nächsten Mal wieder rein.

Jetzt noch mein letztes Abschiedswort an den Klaus.

Lieber Klaus, es hat mir wieder sehr viel Spaß gemacht.

Vielen, vielen Dank.

Und damit verabschiede ich mich von euch allen.

Tschüss!

Ja, ebenfalls hat mir auch sehr viel Spaß gemacht und ich hoffe, die Zuhörer konnten ein bisschen was mitnehmen.

Tschüss!

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Medford auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal!.