Alles zur DSGVO für Firmen – Robin Gerresheim

Robin hat sich mit der neuen Datenschutz-Grundverordnung befasst, die zum 25.05.2018 verbindlich wird und jedes, wirklich jedes Unternehmen tangiert. Bei Fehlern drohen Abmahnungen mit Bußgeldern, die „wirksam, verhältnismäßig und abschreckend“ gestaltet sein werden.

Hier das Transkript des gesamten Podcasts und vorab die erwähnten Sponsoren und Links:

Sponsoren

MDD Workshop 2018

Mach Dein Ding Workshop mit Lars Bobach

Links

Webseiten:
Bayerisches Landesamt für Datenschutzaufsicht

Transkript

RG = Robin Gerresheim
LB = Lars Bobach

LB:
Herzlich willkommen zum Podcast Selbstmanagement.Digital. Wir geben Orientierung im digitalen Dschungel, so dass wieder mehr Zeit für die wirklich wichtigen Dinge im Leben bleibt. Mein Name ist Lars Bobach und ich sitze heute hier zusammen mit der Robin Gerresheim, hallo Robin.

RG:
Hallo Lars, hallo Zuhörer.

LB:
Den Robin werden einige von Euch kennen, er ist normalerweise hier immer mein Gast, wenn es um das Thema Onlinemarketing geht. Aber heute wollen wir mal ein anderes Thema besprechen. Jetzt hätte ich fast gesagt, was mindestens genauso spannend ist, ob es spannend ist, weiß ich gar nicht, aber es ist auf jeden Fall wichtig. Vielleicht sogar eher lästig für die Unternehmer oder Führungskräfte unter uns, die sich damit beschäftigen müssen.

Und zwar die Datenschutz-Grundverordnung, die DSGVO. Also, dass ich das jetzt hier unfallfrei über die Lippen bekomme, ist schon fast ein Wunder. Also, die DSGVO, die ab Mai in Kraft tritt und wir haben uns überlegt, sollen wir das Thema überhaupt angehen? Ja, es ist trocken. Ja, es ist unschön. Aber ja, es ist wichtig und muss jeden Unternehmer angehen und auch im Onlinemarketing ist es wichtig. Deshalb haben wir gesagt, wir machen so eine kleine Mixfolge, wo wir generell mal erzählen, was Unternehmer oder Führungskräfte beachten sollten, was das Thema angeht und natürlich auch, was wichtig ist im Onlinemarketing. Also, Robin, Du bist unser Experte.

RG:
Ja, einigermaßen.

LB:
Da grinst er. Ja, erzähle uns mal, was ist das denn überhaupt, die Datenschutz-Grundverordnung?

RG:
Wie der Name schon sagt, der Name „Verordnung“ kommt schon drin vor. Es ist eine Verordnung der Europäischen Union und Verordnung bedeutet in dem Zusammenhang einfach, es ist direkt anwendbares Recht in allen Mitgliedstaaten, sobald sie in Kraft tritt. Das heißt, nicht wie bei Direktiven oder Richtlinien, dass der Staat die noch einmal selber umsetzen muss in eigenes Recht, sondern dieses Gesetzes ist quasi ein europäisches Gesetz, ist ab dem 25.05.2018 in allen Mitgliedstaaten der Europäischen Union bindendes Recht.

LB:
Also, es ist sozusagen Gesetz?

RG:
Es ist ein absolutes Gesetz, ja.

LB:
Wenn man dagegen verstößt? Ist es dann eine Straftat?

RG:
Ja, genau. Ist einfach so.

LB:
Das hört sich nicht gut an.

RG:
Nein, hat auch ein bisschen gedauert, bis man zu dem neuen Gesetz gekommen ist. Also, vier Jahre wurde in Brüssel und in anderen Institutionen verhandelt darüber, über generell alles. Wir müssen ja sagen, innerhalb der Europäischen Union gibt es ja eine sehr große Diskrepanz zwischen den Datenschutzstandards, die es einfach gibt.

Deutschland hat generell einen relativ hohen, andere Länder wie jetzt zum Beispiel Irland einen relativ geringen Standard. Und jetzt 28 Staaten, bald sind es ja nur noch 27, wenn die Briten austreten, alle auf einen Nenner zu bekommen, war natürlich überhaupt nicht einfach und das zeigt sich auch. Vier Jahre haben die Verhandlungen gedauert, bis es jetzt auf den Weg gebracht wurde. Es tritt dann halt ab Mai in Kraft. In dem Zuge wird Deutschland auch nochmal das Bundesdatenschutzgesetz neu fassen.

LB:
Brauchen wir das dann überhaupt noch?

RG:
Ja, weil, in der DSGVO gibt es bestimmte Bereiche, die für die Mitgliedstaaten offen sind, sowohl einzelne so für behördliche Sachen halt, wie sie es nachverfolgen, die Ausgestaltung. Weil, Datenschutz ist ja bei manchen Ländersache, bei anderen ist es halt Bundessache usw.

LB:
Okay, verstanden. Es ist eine Verordnung, also bindend und dagegen zu verstoßen, ist eine Straftat. Was ist denn der Umfang? Sag mal ganz kurz etwas dazu. Ich habe irgendwie gehört, es ist die größte Verordnung und die umfangreichste, die die EU jemals beschlossen hat seit ihrem Bestehen?

RG:
Sowas habe ich auch gelesen. Kann ich jetzt natürlich nicht viel zu sagen, ich habe nicht so viele Gesetzestexte der EU in meinem Leben gelesen. Aber ja, die ist schon gewaltig, da ist schon relativ viel, was da neu geordnet wird und gerade auch für Länder, die eigentlich kein Datenschutzgesetz hatten vorher, ist es natürlich der Knaller.

LB:
Datenschutz ist ja erstmal grundsätzlich was Gutes, kann man erstmal gar nichts gegen haben. Das möchtest Du ja auch, möchte ich auch, möchte sicherlich jeder unserer Hörer, dass seine Daten irgendwie gesichert sind. Das soll auch das höchste Ziel der DSGVO sehr wahrscheinlich sein. Was sind noch für Ziele da?

RG:
Es ist europaweit ein gleich hohes Datenschutzniveau herzustellen und dadurch auch wirtschaftlich ein sogenanntes Level-Playing-Field. Weil, es gibt schon einen Grund, warum Google und Facebook und alle Konsorten ihren Hauptsitz in Europa in Irland hatten. Nämlich ganz einfach deswegen, weil, es gab zwar auch Datenschutz da, aber es gab keine Möglichkeit, den durchzusetzen, es gab keine Bußgelder. Man hat quasi nur einen Zettel bekommen, achtet bitte auf den Datenschutz, danke.

Und um dem halt entgegenzutreten, gibt es jetzt dieses europaweit gleiche Datenschutzniveau und damit soll es auch wirtschaftsfördernd ein bisschen wirken. Weil man sich nicht mehr aussuchen kann, wo man hingeht. Auch Aufsichtsbehörden wurden gestärkt und vor allem wurde die Durchsetzbarkeit des Datenschutzes gestärkt, weil wie gesagt, Irland hatte vorher keine Bußgelder und jetzt sind Bußgelder vorgesehen und die sind auch in der DSGVO festgeschrieben, wie hoch die sein dürfen.

LB:
4 Prozent des Jahresumsatzes.

RG:
20 Millionen ist das Maximum oder halt vier Prozent des weltweiten Jahresumsatzes, wenn das höher ist. Also, je nachdem, was höher ist wird immer genommen.

LB:
Das ist schon sehr ordentlich.

RG:
Ja gut, das ist natürlich die Höchststrafe.

LB:
Ja, ist schon klar. Okay, habe ich verstanden, es soll also sein, dass man gleiche Wettbewerbsbedingungen schafft, dass man diese amerikanischen Datenkraken vielleicht hier auch ein bisschen im Zaum hält in der EU, was auch grundsätzlich eine gute Sache ist. Was ich mich jetzt nur frage, wir bekommen jetzt gleich so ein paar Details. Die Länder, die da lange nicht so weit sind wie Deutschland? Deutschland ist ja schon relativ gut. Wenn ich jetzt an Griechenland denke oder an Irland, wie machen die das denn? Für die ist das ja ein Paradigmenwechsel schon fast.

RG:
Ja, das ist es auch. Deswegen ist auch zum Großteil in der DSGVO alles schon vorgegeben, deshalb ist es quasi ein Gesetz. Da muss sich nicht das Parlament in Irland mit beschäftigen oder Griechenland, das ist jetzt Gesetz. Klar gibt es einzelne Ausgestaltungsmöglichkeiten noch, die noch getroffen werden müssen. Aber sie hatten jetzt auch ein bisschen Zeit, das Gesetz ist ja …, die wissen schon ein bisschen länger, dass das kommt.

LB:
Wir Deutschen auch und ich glaube, wenn Du überlegst, was auf Ärzte zum Beispiel zukommt hier und woran die sich alles halten müssen, wo sie wirklich ihre Daten speichern, dazu kommen wir gleich auch. Wenn ich mir jetzt vorstelle, wenn ich in Portugal im Urlaub bin, der Arzt muss da genau den gleichen Kram machen, genau die gleichen Sicherheitsvorkehrungen treffen, da kommen bei mir schon ein bisschen Zweifel auf.

RG:
Ja, man muss auch sagen, es ist ein Gesetz, es gibt noch keine Gerichtsurteile dazu, gar nichts. Da wird sich auch noch ein bisschen was dran tun. Ich bin mir relativ sicher, weil, da werden Klagen kommen, da werden höchstinstanzliche Klagen folgen bis hoch zum europäischen Gerichtshof, der da natürlich die letzte Entscheidung trifft, die dann wieder bindend ist für alle anderen und da wird sich noch ein bisschen was dran ändern. Aber jetzt geht es erstmal darum, das, was bisher drinsteht, muss jetzt erstmal umgesetzt werden.

LB:
Da wollen wir natürlich hoffen, dass wir gerade in solchen Prozesswegen nicht involviert werden und keiner unserer Hörer hier.

RG:
Genau.

LB:
Okay, ganz kurz, was wird geschützt?

RG:
Personenbezogene Daten, das bedeutet einfach nur, dass das Daten sind, die eindeutig einer bestimmten natürlichen Person zugeordnet werden können oder auch mittelbar zugeordnet werden können. Das sind sogenannte personenbeziehbare Daten. Personenbezogene Daten kennt jeder von uns, Name, Alter, Familienstand, Geburtstag, Telefonnummer, E-Mail, was auch immer. Und natürlich dann, wenn es sensibler wird, Krankheitsdaten etc. Ziel.

Aber tatsächlich auch Werturteile. Mein Abiturzeugnis gehört auch zu den personenbezogenen Daten und ist auch besonders schützenswert. Personenbeziehbare Daten, also die mittelbaren, sind zum Beispiel Kfz-Kennzeichen, Kontonummern, so etwas, Matrikelnummern an Universitäten.

Dann, wie gesagt, sind es die personenbezogenen Daten. Dann gibt es nochmal die sensiblen Daten über Personen, die da noch eines Extraschutzes bedürfen. Das sind dann ethnische Herkunft, politische Meinung, Religion, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und solche Sachen, die dann Dein Privatestes berühren. Die haben Extraschutz.

LB:
Gut, verstehe ich. Wie schütze ich die denn jetzt? Was muss ich denn als Unternehmen tun, um diese Daten jetzt nach der neuen DSGVO zu schützen? Was muss ich da machen?

RG:
Die Nutzung jeglicher personenbezogenen Daten darf in Deutschland nur erfolgen oder jetzt generell in ganz Europa, wenn ich entweder eine gesetzliche Erlaubnis dafür habe oder wenn ich eine Einwilligung durch den Betroffenen haben. Diese Einwilligung muss ich auch belegen können. Also, ich kann nicht sagen, er hat mir irgendwann mal eine E-Mail geschrieben, der kriegt einen E-Mail-Newsletter von mir, läuft, weil, er hat mir irgendwann mal eine E-Mail geschrieben.

LB:
Ja, aber, wenn er mir eine E-Mail schreibt und ein Angebot von mir will?

RG:
Auch nicht mehr, immer Double-Opt-In. Also, ich muss ihn darauf hinweisen. Ich muss jedes Mal, wenn ich das jetzt habe fragen, es ist zweckgebunden. Alle Informationen sind zweckgebunden. Das heißt, ich darf sie nur verwenden zu dem Zweck, für die ich sie erhoben habe.

Das heißt, jetzt muss ich klarmachen, dass, wenn ich eine E-Mail von jemandem bekomme oder auch, sagen wir mal, ich habe einen Anmeldebutton auf meiner Seite für den Newsletter. Da steht tatsächlich, muss ich auch drunterschreiben, die Daten, die sie hier eingeben, werden benutzt, um sie für unser Onlinemarketing zu nutzen. Da musst du einwilligen.

Das heißt, er gibt seine Adresse ein und dann muss der Double-Opt-In folgen. Also, er gibt die ein und dann kriegt er eine E-Mail, in der er bestätigt, dass er wirklich diesen Newsletter haben möchte und erst dann darf ich ihm wirklich nur Sachen schicken. Das ist deswegen oder war den Leuten wichtig, weil, ich kann auch einfach Deine E-Mail-Adresse, Lars, ich kann einfach zu jedem Newsletter hingehen und Dich da überall eintragen.

LB:
Klar, das kann man ja verstehen, das haben auch viele Newsletter vorher schon gemacht, dass man das nochmal bestätigen musste, macht Sinn. Jetzt war aber meine Frage eher so, wenn ich jetzt, ich kriege eine E-Mail von einem Interessenten. Da habe ich bisher noch nichts mit zu tun. Nehmen wir mal an, er schreibt uns und sagt, hier, lieber Robin, ich hätte gern Angebot für Onlinemarketing, dass Ihr das für mich macht, das mein „Google nach oben“ – Paket, das hätte ich gerne. So, jetzt will ich dem oder Du willst dem jetzt ein Angebot schreiben. Was ist denn da zu beachten? Muss ich da irgendwas anders machen? Jetzt geben wir das ja ein in unser CRM-Tool, da wird ein Angebot erstellt. Ändert sich da jetzt irgendwas?

RG:
Nein, wenn es zweckgebunden ist.

LB:
Ganz kurz vorweg, ich darf dem das Angebot schicken. Ich muss sehen, dass die Daten so gespeichert sind und das muss ich irgendwie nachvollziehbar machen. Da können wir gleich nochmal kurz drauf eingehen. Aber ich darf die Daten jetzt nicht noch, wie früher ja erlaubt, für einen Newsletter verwenden oder für irgendwas anderes?

RG:
Genau.

LB:
Da muss ich immer, okay. Was ist denn jetzt, was muss ich denn beachten, um jetzt wieder auf die E-Mail zurückgekommen. Ich kriege die E-Mail mit dem Angebot, worauf muss ich denn jetzt achten, wenn ich die Daten in das CRM eingebe? Seine Daten, er schreibt mir dann. Ich habe ja dann seine E-Mail, seine Adresse, seine Telefonnummer, das habe ich, das gibt man dann in so einem CRM-Tool ein.

RG:
Erstmal, das kannst Du auch ganz normal weitermachen. Es ist nur wichtig, dass der Kunde immer weiß, wofür seine Daten benutzt werden. Also, ich muss im Impressum immer klarmachen, wofür ich seine Daten benutze. Da kommen wir auch später noch zu, ich muss das Impressum überall umbauen auf meinen Seiten und überall. Jedes Mal, wo ich Datenverarbeitung habe, auch mit dem CRM muss ich darauf achten, dass die Daten sicher sind.

Ich darf nur Sachen benutzen, die dem Stand der Technik entsprechen. Ich kann hier nicht im CRM, was vor 20 Jahren mal, okay, das ist übertrieben, aber so vor 10 Jahren mal irgendwann entwickelt wurde und wo es keine Patches mehr für gibt, da darf ich die eigentlich auch nicht speichern. Ich muss schon darauf achten, dass es alles auf dem neuesten Stand der Technik ist.

Bei sensibelsten Daten ist es tatsächlich wahrscheinlich sogar nötig, die auch zu verschlüsseln. Wie gesagt, wir sind ja hier keine Rechtsberatung, deswegen, es gibt schon wirklich sehr viele Vorschriften. Das Gesetz ist verdammt lang und man sollte sich wirklich damit beschäftigen, weil bis Mai ist nicht mehr lange.

LB:
Genau, jetzt ist es aber doch meist so, dass ich Datenflüsse irgendwie protokollieren muss?

RG:
Die muss ich auf jeden Fall auch abbilden können. Eine der wichtigen Sachen, die es jetzt gibt, ist das sogenannte Verzeichnis der Verarbeitungstätigkeiten. Jedes Mal, wenn Daten verarbeitet werden, muss der Verantwortliche für diesen Bereich ein Verzeichnis darüber anlegen, welche Daten verarbeitet wurden, für welchen Zweck. Da gibt es noch ein paar ganz andere Sachen, die wir da alle reinschreiben müssen oder die alle drinstehen müssen und das muss jeder Zuständige machen. In dem Verzeichnis steht nebenbei nicht nur der Zuständige, sondern auch sein Stellvertreter und je nachdem, wenn man einen hat, auch noch der Datenschutzbeauftragte. Also, es gibt immer Ansprechpartner, die müssen auch abfragbar sein, die Daten.

LB:
Jetzt nochmal zurück auf diese E-Mail, ich versuche, es praxisnah zu halten. Ich muss jetzt nicht, wenn die E-Mail kommt, das ausführen, sondern es muss einmal festgelegt sein, das ist richtig?

RG:
Genau, das muss einmal festgelegt sein, was dann damit passiert. Wenn ich es in das CRM eintragen, genau, da hast Du recht, darauf läuft es sehr wahrscheinlich hinaus. Der, der dafür verantwortlich ist, der irgendwann mal dieses Verzeichnis angelegt hat, was da überhaupt passiert mit den Daten, wie die gespeichert werden, was da gespeichert wird, wofür die gespeichert werden, wie lange die unter Umständen gespeichert werden, falls das zeitlich begrenzt ist, ob die irgendwann gelöscht werden und genau, wer halt dafür verantwortlich ist. Es muss alles da drinstehen.

LB:
Was bedeutet das denn jetzt noch für Unternehmer? Das habe ich verstanden. Man muss mit den Daten sensibler umgehen, ich muss jeden Workflow sozusagen abbilden, was ich mit Daten mache. Das muss belegbar sein. Du hast gerade den Datenschutzbeauftragten angesprochen, wie ist es denn damit? Braucht den jedes Unternehmen?

RG:
Nein, nicht jedes, aber jedes ab zehn Mitarbeitern, womit wir quasi bei fast allen wären. Also, außer Kleinstunternehmen braucht es wirklich jeder, darf aber auch extern sein. Es muss also kein interner Datenschutzbeauftragter sein. Wichtig auch zu beachten, es darf nicht der Geschäftsführer sein und es darf nicht der IT-Chef sein. Also, wenn ich einen bei mir im Unternehmen bestimme, der das sein soll, dann darf es auf jeden Fall keiner von den beiden sein.

LB:
Okay, verstanden.

RG:
Da gibt es auch mehrere Geschäftsführer, auf jeden Fall dürfen die das nicht sein.

LB:
Geschäftsführer nicht, IT-Beauftragte nicht, also, Unternehmer dürfen es nicht sein, es muss jemand anders sein. Man darf es aber auch extern einkaufen. Was sind denn die Aufgabe von diesen Datenschutzbeauftragten?

RG:
Die sorgen dafür, dass wirklich das eingehalten wird, was in der DSGVO steht. Da gibt es ja tausend Bestimmungen, auf die wir hier gar nicht eingehen können und die sorgen halt dafür, dass das alles sich in einem vernünftigen Rahmen oder dass halt die Regeln eingehalten werden. Dafür gibt es auch schöne Zertifizierungsprozesse, kann man zum TÜV Rheinland gehen und sich zum Datenschutzbeauftragten ausbilden lassen. Dann kann man sowas machen.

LB:
Okay, ist noch was zu beachten für Unternehmen? Bevor wir jetzt gleich in den Onlinebereich gehen, was jetzt im Onlinemarketing oder generell für Webseiten und so wichtig ist? Gibt es noch was, was Unternehmen wissen sollten oder Unternehmer oder Führungskräfte wissen sollten über die DSGVO?

RG:
Ja, gut, ich weiß nicht, die Auftragsverarbeitung von Daten hat sich auch geändert. Das ist relativ wichtig, weil, mit der Inkrafttretung des DSGVO wird der Auftragsverarbeiter direkt gegenüber dem Betroffenen, wo der Datenschutz betroffen ist, haftbar. Das heißt, du brauchst eigentlich neue Auftragsdatenverarbeitungs-Vereinbarungen. Die müssen neu geschlossen werden, bevor die DSGVO in Kraft tritt.

LB:
Das habe ich jetzt nicht verstanden.

RG:
Es gibt ja Leute, denen gebe ich Daten ab zur Weiterverarbeitung. Da gibt es Standardverträge, dass die sich halt an die DSGVO halten und dass die das alles richtig machen. Uns geben Kunden Daten ab, damit wir E-Mail-Newsletter für die machen. Dann muss ich einen Vertrag mit denen schließen. Wir sind dann auch, falls mal so E-Mails verloren gehen vom Kunden oder falls die irgendwo ein Hacker sich abgreift, sind wir auch haftbar. Und nicht mehr unser Kunde, der uns damals die E-Mails gegeben hat.

LB:
Also, die Firmen, die uns Daten zur Weiterverarbeitung geben, die müssen mit uns so einen Vertrag machen?

RG:
So ist es.

LB:
Oder wir mit denen, ist ja egal. Aber nicht der, dessen Daten wir verarbeiten?

RG:
Nein, nicht der Dritte.

LB:
Also ist das gleich so ein bürokratisches Monster wie dieser Mindestlohn. Da muss man ja auch dafür sorgen, dass die, da muss man ja darauf hinweisen, dass die Sublieferanten auch den Mindestlohn einhalten und allen Pipapo.

RG:
Genau deswegen, weil es überhaupt nicht kontrollierbar ist eigentlich, du kannst ja nicht in Dein Subunternehmen gucken, ob da jeder sich auch an die DSGVO hält. Es gibt diese Verträge, die dir eigentlich zusichern sollen, dass die sich daran halten und wenn sie sich halt nicht dran halten, sind sie haftbar und nicht mehr du. Da gibt es auch vom Bayerischen Landesamt für Datenschutzaufsicht eine interessante Themenseite über die DSGVO. Da sind auch Standardverträge drin, die kann man sich da runterladen oder mal angucken, was da drin sein muss. Diese Seite würde ich jedem empfehlen, die tun wir am besten auch mal unter den Podcast, einen Link zu der Seite tun wir mal rein. Da gibt es sehr viele wichtige Informationen dazu.

LB:
Okay, der Link kommt hier in den Artikel natürlich, zu dieser Podcast-Episode, vom Bayerischen Landesamt für Datenschutzaufsicht, die da alles zusammengestellt haben. Sehr gut, die hast Du da ja mal rausgesucht. Okay, noch was für Unternehmen?

RG:
Ja, es gibt Meldepflichten seit Neustem.

LB:
Ich dachte, wir wären jetzt langsam mal durch?

RG:
Nein, das ist ja das Schöne, ab sofort ist es so, bei Verletzungen des Schutzes von personenbezogenen Daten müssen diese Verletzungen vom Verantwortlichen, also der Typ, der das Verzeichnis geführt hat, unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

LB:
Ach, haben wir jetzt eine Aufsichtsbehörde?

RG:
Ja, klar. Es gibt da noch eine Ausnahme, wenn es halt nicht wichtige Daten sind, aber diese Ausnahme, wie die formuliert ist, trifft die auf niemanden zu.

LB:
Okay, also, die Ausnahme trifft auf niemanden zu, es muss immer gemeldet werden. Ich sage mal, der Datenschutzbeauftragte würde es rausfinden? Wer ist das dann, der sowas rausfindet? Oder jeder, der Daten verarbeitet? Oder der Datenschutzbeauftragte merkt, man hält sich nicht daran? Dann muss er sein eigenes Unternehmen anschwärzen?

RG:
Es geht eher darum, es war ein Hackerangriff und Daten sind verschwunden und früher musstest du Hackerangriffe nicht melden. Das ist jetzt nicht mehr so, die müssen gemeldet werden. Da muss man der Aufsichtsbehörde Bescheid sagen.

LB:
Wenn man sich selber nicht daran hält? Kann ja auch sein, dass wir sagen, wir speichern die Daten nur da und da und jetzt speichern wir sie doch ganz woanders? Oder muss man dann?

RG:
An sich, ja, müsstest Du es melden, der Verantwortliche muss es melden. Wenn Du jetzt einen Auftrag gibst, irgendwas zu bearbeiten, für das ich nicht die Verantwortung habe, weil Du die Verantwortung trägst und sagst mir einfach, ich soll die Daten verarbeiten und wir machen das nicht so, wie es sich gehört, bin ich dafür nicht verantwortlich, bin ich raus. Sondern du bist der Verantwortliche.

LB:
Okay, gut.

RG:
Aber wie gesagt, es ist …

LB:
Ja, können wir denn jetzt einen Strich darunter machen? Und in den Onlinebereich mal ganz kurz wechseln? Was mich ja auch noch interessiert und unsere Hörer garantiert auch oder ist noch etwas Wichtiges für Unternehmen?

RG:
Jetzt auf Anhieb fällt mir nichts ein. Obwohl, was man noch sagen kann, es gab mal ein Gerüst, dass KMUs ausgenommen sind von der neuen DSGVO, weil es da irgendeine Klausel gibt, dass Unternehmen unter 250 Mitarbeitern Blablabla, nicht darauf hören, ist Schwachsinn, weil, so, auch wie diese Ausnahme wieder formuliert worden ist, trifft die auf keinen zu.

LB:
Man kann aber jetzt, vor allem, was ich jetzt gehört habe, ist es doch eigentlich sinnvoll, dass man sich da einen Experten von außen mal in die Firma holt? Um da einfach sicher und safe zu sein und um zu sagen, ich hole mir mal einen Berater rein für ein paar Tage, der mein Unternehmen mal durchleuchtet, die entsprechenden Verträge und was weiß ich was, das alles. Ich kann mir vorstellen, ein Unternehmer hat keine Zeit, selbst ein kleines Unternehmen mit vier, fünf Mitarbeitern, da bist Du doch erstmal ein bisschen mit beschäftigt?

RG:
Natürlich, da sollte man sich wirklich professionelle Hilfe holen und ich gehe auch davon aus, dass es nicht mehr lange dauern wird, bis es auch Zertifizierungsprozesse geben wird dafür. Da werden große Zertifizierungsfirmen kommen und auch Zertifikate dafür anbieten, dass man sich als Firma auch dementsprechend zertifizieren lassen kann.

LB:
Das ist wie so eine ISO-Zertifizierung, dass ich sagen kann, ich bin nach der DSGVO zertifiziert?

RG:
Ja, das wird relativ schnell kommen, davon gehe ich aus.

LB:
Warum eigentlich, es muss doch jeder tun? Eigentlich muss es jeder, muss eigentlich, es wird kommen, glaube ich auch, aber irgendwie leuchtet es mir nicht ein, eigentlich muss es ja jeder machen.

RG:
Klar muss es jeder machen, aber es ist ein Trust-Element. Also, klar, alles ist auch wieder abmahnbar. Wenn das Impressum falsch ist, das ist abmahnbar, da bist Du besser zertifiziert.

LB:
Da kommen wir noch jetzt gleich zu. Also, unser Tipp hier oder unser Ratschlag, auf jeden Fall sich mal professionelle Hilfe reinholen, um einfach sicher zu sein. Die Abmahn-Anwälte, dieses ganze Pack, das steht ja schon in den Startlöchern und wartet nur darauf. Da sind die Roboter schon programmiert, die dann alles sich angucken, ob das auch richtig ist. Apropos Roboter, da sind wir auch schon beim Thema im Onlinebereich. Onlinemarketing, was wir ja tun. Du hast eben schon gesagt, E-Mail-Newsletter, ab sofort immer mit Double-Opt-In. Das ist Pflicht, leuchtet ein. Worauf muss man noch achten? Was ist mit Leuten, die jetzt im Onlinemarkt aktiv sind, was müssen die machen?

RG:
Wir haben das eigentlich schon alles ein bisschen angesprochen. Das Impressum muss auf den neuesten Stand gebracht werden nach DSGVO, das muss überall passieren und auch natürlich vorher, darüber haben wir ja gerade gesprochen. Ich habe mit einem Anwalt gesprochen und er hat mir erzählt, dass er Abmahn-Anwälte kennt, die wirklich Robots programmieren, die die Impressen der ganzen Seiten prüfen und wenn eines den neuen Anforderungen nicht entspricht, dann wird eine Abmahnung geschrieben. So schnell geht das.

LB:
Ich glaube, es gibt keine Berufsgruppe, die mehr verhasst ist bei mir als die.

RG:
Die Webseite muss immer auf der aktuellsten Version laufen eigentlich. Da sind wir wieder bei diesem Stand der Technik, alles muss aktuell sein.

LB:
Was macht man, wenn es nicht aktuell ist? Dann macht man sich strafbar, dass man es Hackern leichter macht? Ist das richtig?

RG:
Ja.

LB:
So wird ein Schuh draus.

RG:
Aktueller Stand der Technik. Das heißt natürlich nicht, dass ich jetzt hier mit der neuen Quantenverschlüsselung arbeiten muss, wenn die halt viel zu teuer für mich ist und wenn es auch für meine Daten keinen Sinn macht. Es muss natürlich alles noch wirtschaftlich sein, aber ich kann auch nicht sagen, ich habe eine WordPress Seite und habe ein Update von vor zehn Jahren da drauf. Das geht nicht.

LB:
Das wird dann nicht mehr Stand der Technik sein, ja, da hatten wir ja diese Woche noch eine lustige Geschichte. Robin und ich waren zusammen bei einem Kunden und der hatte nämlich eine ganz alte WordPress Version und da sind auch lustige Hacker-Angriffe passiert. Das ist jetzt vielleicht noch lustig, das kann natürlich auch mal sensible Daten betreffen und auch mal nicht so lustig enden.

RG:
Genau.

LB:
Also, Impressum muss angepasst werden, Heise hat irgendwie von fünf auf 16 Seiten das Impressum erweitern müssen, habe ich mir sagen lassen. Da kann man sehen, was das für ein Bürokratiemonster ist, diese DSGVO. Bei allen guten Zielen, die vielleicht dahinterstehen, aber es ist bürokratisch wirklich ein Monster. Also, Impressum neu, immer auf aktuellstem Stand die Seite, was die Technik, was das Content Management System angeht. Wichtig, damit man Hackerangriffen gegenüber geschützt ist.

RG:
Genau und dann der Newsletter. Das sind die Sachen, die so schnell wie möglich passieren müssen. Alles, was nach außen dringt, was gerade online ist, also, wir sind im Onlinebereich, das heißt, jeder sieht uns. Gerade hier muss alles, was nach außen sichtbar ist, so schnell wie möglich diesen Vorgaben entsprechen, die in der DSGVO sind. Da sollte man sich professionelle Hilfe holen und man sollte auch die internen Abläufe bis dahin geklärt haben, aber die sieht ja erstmal keiner. Da habe ich vielleicht noch Chancen, aber alles, was nach außen hin getragen wird, das muss sofort. Auch die Bußgelder wurden stark erhöht und es steht tatsächlich so im Gesetz drin, das denke ich mir nicht aus. Geldbußen müssen wirksam, verhältnismäßig und abschreckend gestaltet werden. Das Wort abschreckend ist da ganz wichtig. Das ist nicht mehr wie früher, dass da mal eine 200-Euro-Rechnung reinflattert.

LB:
Das tut richtig weh.

RG:
Wenn die Aufsichtsbehörden kommen und Geldbußen verteilen, dann wird es richtig teuer.

LB:
Okay, was machen wir mit unseren Kunden? Ich meine, wir haben ja für einige Kunden Webseiten gemacht?

RG:
Genau, das machen wir natürlich für alle unsere Kunden, Impressum und auch Webseitenaktualisierung, machen wir ja sowieso, wir aktualisieren die Webseite sowieso die ganze Zeit, also, das ist im Service natürlich mit drin. Neues Impressum, klar, machen wir auch, wenn das unsere Kunden wünschen.

LB:
Dazu sind wir doch auch verpflichtet, wenn wir die Seiten doch betreiben, dann sind wir doch sogar verpflichtet, das ist doch dieses Datendings da, was Du mir eben erzählt hast?

RG:
Datenverarbeitung, ja, genau, wir müssen das jetzt auch. Wir sind dafür haftbar.

LB:
Sollten wir uns drum kümmern. Ja, dann habe ich noch eine Frage zum Schluss. Wir machen ja auch viel Google Werbung und Google sammelt ja nun alle Daten und da wissen wir ja alles und die nutzen die auch und diese verfolgenden Anzeigen, die werden einige unserer Hörer ja auch kennen. Da gibt es so ein bisschen Streit drüber, ist das erlaubt, ist das nicht erlaubt? Weißt Du da genaueres? Darf man das noch, wie Targeting oder wie Marketing, heißt das.

RG:
Remarketing und Retargeting, es gibt tatsächlich noch ein Gesetz, was kommt, das E-Privacy-Gesetz. Da sind wohl Absätze drin, die in Zukunft das Remarketing und das Retargeting unmöglich machen. Das ist aber noch nicht fest.

LB:
Das hat aber mit der DSGVO jetzt nichts zu tun? Mit Start der DSGVO darf Google das dann noch?

RG:
Was wohl nicht mehr geht, ich meine, das sind Gesetze, die sind alle so schummerig ausformuliert, da wird immer drüber geredet. Es gibt einen Bereich, der heißt der Big Data Killer. Das ist diese Zweckbindung, also, Google sammelt ja alle Daten, um Metadaten zu sammeln, um andere Bereiche des Unternehmens damit auch zu versorgen. Das ist eigentlich mit der Zweckbindung der Daten nicht mehr möglich.

LB:
Nein, überhaupt nicht.

RG:
Und deshalb gilt die DSGVO schon als Big Data Killer. Das sind alles noch Fragen, die werden in den nächsten Jahren noch sehr viele Gerichte beschäftigen, was da jetzt genau möglich ist und was auch erlaubt ist und wie und was und wieso. Big Data ist die Geschäftsgrundlage von Google, ohne die läuft das nicht.

LB:
Ja, Facebook, Google, alles. Wir sind gespannt, was da passiert. Wir werden es interessiert beobachten und ich hoffe, wir konnten Euch ein bisschen Licht in den Dschungel bringen, was die DSGVO angeht. Also, zusammenfasst ist gesagt, holt Euch da Hilfe, das muss nicht wahnsinnig aufwendig sein, aber dass Ihr so professionell aufgestellt seid, dass Euch Abmahn-Anwälte da wirklich nicht in die Suppe spucken können, um denen noch Geld zu geben. Ansonsten, was Abschließendes, was können wir den Unternehmen noch raten? Schnell zu handeln?

RG:
Schnell handeln auf jeden Fall.

LB:
Was ist der Stichtag?

RG:
25.05.2018 ist Stichtag, dann ist die DSGVO geltend.

LB:
Alles klar, also, haut rein, ist nicht mehr lange. Robin, Dir vielen Dank, dass Du uns so einen guten Überblick gegeben hast. Ich konnte etwas mitnehmen und kriege hier einen kalten Schweißausbruch nach dem anderen. Was ich hier noch alles in meinem Unternehmen umsetzen muss bis zu dem Stichtag.

Ich hoffe, Ihr konntet auch etwas mitnehmen. Fragen könnt Ihr gerne stellen an fraglars@larsbobach.de Dann sage ich mal, Euch wieder mehr Zeit für die wirklich wichtigen Dinge im Leben und nicht die DSGVO, macht es gut, ciao.

RG:
Ciao.