Herzlich willkommen zum Podcast Selbstmanagement.Digital. Wir geben Orientierung im digitalen Dschungel, so dass wieder mehr Zeit für die wirklich wichtigen Dinge im Leben bleibt. Mein Name ist Lars Bobach und ich habe jemanden zu Gast, der sich im digitalen Dschungel wirklich richtig gut auskennt und zwar in einem ganz speziellen, im Datenschutz-Dschungel und hier ganz speziell in der DSGVO. Und zwar ist das der Stephan Hansen-Oest. Stephan ist auch mehr bekannt als Datenschutz-Guru. Das ist nämlich die Domain, die hat er sich vor Jahren mal gesichert. Und obwohl er eigentlich kein Guru sein möchte und auch mit dem Begriff echt hadert, hat er ihn aber behalten, weil es für ihn richtig gut funktioniert.

Er ist Rechtsanwalt, Fachanwalt für IT-Recht und in dieser Funktion auch Lehrbeauftragter der Hochschule in Flensburg. Ich mag seine sachliche, direkte und pragmatische Art mit dem Thema Datenschutz, DSGVO umzugehen und er ist halt nicht dieser Angstmacher, was wir gerade da aus dem rechtlichen Bereich von Anwälten oft kennen und die damit auch versuchen, ein Geschäft zu machen. Er macht es wirklich mit Augenmaß und absolut pragmatisch. In diesem Interview gehen wir darauf ein, was jetzt nach einem Jahr DSGVO so alles passiert ist und natürlich auch, was wir als kleine, mittelständische Unternehmer alles jetzt nach einem Jahr beachten sollten.

Links

Webseite:
Datenschutz-Guru
Hansen-Oest Kanzlei für Datenschutzrecht

Twitter-Account

App-Empfehlungen:
OmniFocus
DEVONthink Pro Office von devontechnologies
Mindnode
iThoughtsX
Ulysses
Fantastical

Buchempfehlungen:
Getting Things Done von David Allen (*)
Breaking the Time Barrier

Transkript

LB = Lars Bobach
SHO = Stephan Hansen-Oest

LB:
Stephan, ein Jahr DSGVO, ist die Welt jetzt eine bessere?

SHO:
Nein! Nächste Frage. Die Welt ist sicher nicht besser, das kann man ganz deutlich sagen. Die DSGVO ist vielleicht eine Dimension mehr, die sich jetzt in unserer Welt abspielt. Weder die Welt noch die Datenverarbeitung an sich ist durch die DSGVO ein Stückweit besser geworden. Das kann ich, glaube ich, ganz deutlich sagen.

LB:
Es hört sich an, als wärst du jetzt auch ein Kritiker der DSGVO? Du bist nicht der größte Fan?

SHO:
Ich habe die DSGVO relativ frühzeitig mit begleiten können bzw. so wie man es als Anwalt macht. Ich habe Mandanten, die sehr weitgehende und reichweitenstarke Internetseiten haben und da hat man natürlich schon mitbekommen, dass da aus Brüssel etwas kommt. So dass ich 2012, im Prinzip ging es 2011 schon los mit den ersten Diskussionen in Brüssel, die man halt begleitet hat und wo man natürlich versucht hat, ein bisschen bei den entsprechenden Justiz-Kommissarinnen sozusagen damals, ein bisschen Einfluss zu nehmen bzw. sich Gehör zu verschaffen.

Dann war lange eigentlich Ruhe, das heißt, es war gar nicht zu erwarten, dass eine Datenschutz-Grundverordnung kommt, sondern eigentlich war etwas ganz anderes geplant. Jetzt ist die Datenschutz-Grundverordnung aber eben raus, seit 2018 gilt sie ja nun seit 25. Mai. Da ist einiges an Licht, aber eben auch viel Schatten und der Schatten ist leider eben rein juristisch, denn der Grundgedanke war natürlich komplett richtig, dass man da jetzt neu machen muss und natürlich auch noch europaweiter denken muss. Das haben auch alle begrüßt.

Und das Problem ist halt, dass nachher so ein bisschen ein Stückwerk draus geworden ist und dass die Regelungen selbst juristisch handwerklich einfach schlecht sind. Das muss man leider ganz deutlich sagen, das rächt sich jetzt eben tatsächlich in der Praxis, weil wir Juristen einfach damit rumeiern und nicht genau wissen, wie wir damit umgehen wollen. Und wir halt Jahre brauchen werden, bis der EuGH, das ist das einzige Gericht, das hier Klarheit schaffen kann in letzter Instanz, wir hier in den entscheidenden Bereichen einfach wissen, was wir dürfen und was wir nicht dürfen.

So ist das Problem mit der Datenschutz-Grundverordnung halt, das legt sich jetzt zwar ein bisschen gerade, aber mein Problem ist halt, dass es Datenverarbeitung ein Stückweit erstickt hat, die gar nicht hätte erstickt werden müssen, weil man im Hinblick auf eine Angst, die da besteht, vor Bußgeldern oder vor sonstigen Sanktionen, viele dann gesagt haben, ja, dann mache ich eben gar nichts mehr. Das ist meine Kritik daran, dass dieses Thema einfach nicht durchdacht worden ist im Hinblick auf die Regelungen. Und so gerade die kleinen und mittelständischen Unternehmen ihr Päckchen jetzt zu tragen hatten im Hinblick darauf, so, wie mache ich denn das jetzt rein praktisch? Wie soll das gehen?

Das ist mein Hauptkritikpunkt, dass die Regelungen an sich einfach handwerklich so schlecht sind, dass nicht nur der Unternehmer sie da draußen nicht verstehen kann, sondern dass auch wir Juristen sie nicht verstehen können.

LB:
Ja, es gab ja wirklich da Auslegungen, Leute haben teilweise ihre Seite vom Netz genommen vor Angst. Es gab das Droh-Szenario Abmahnwelle, sie würde kommen. Ich glaube, die ist ausgeblieben? Dazu werde ich aber auch gleich noch ein paar Fragen stellen. Was ich im Vorfeld verstanden habe, viele Juristen wie du haben es auch gesagt, dass es Urteile bedarf, dass man die überhaupt richtig einschätzen kann, was dahintersteht. Du hast ja auch gesagt, was der Europäische Gerichtshof machen muss. Gibt es denn schon welche?

SHO:
Ja, im Prinzip vergeht keine Woche, in der wir nicht neue Urteile bekommen. Das sind aber jetzt keine EuGH-Urteile, sondern es sind alles jetzt Urteile der sogenannten Instanzgerichte, vor allem der Landgerichte in Deutschland, teilweise auch Amtsgerichte, die auch die Datenschutz-Grundverordnung schon anwenden müssen in ganz klassischen Bereichen.

Da gibt es erste Dinge. Es sind aber immer nur erste Schlaglichter auf bestimmte Rechtssituationen. Die großen Entscheidungen werden tatsächlich erst vom EuGH kommen. Die Entscheidungen, die derzeit dort entschieden werden, sind alle noch auf der Basis des alten Rechts, der alten EG-Datenschutz-Richtlinien. Aber der EuGH legt jetzt auch schon neues Recht an. Es gibt zum Beispiel ein Urteil, das jetzt demnächst ansteht. Gerade letzte Woche ging durch die Presse, dass die Schlusshandregel des Generalanwalts beim EuGH vorliegt.

Es geht da um Cookies und Cookie-Layer, also diese Einblend-Informationen, das sogenannte Planet49-Verfahren. Da droht tatsächlich extremes Ungemach, denn der Generalanwalt möchte für jedes Cookie, egal, ob personenbezogene Daten enthalten sind oder nicht, eine Einwilligung. Die kann auch nicht einfach mit einem Banner erteilt werden „durch Weitersurfen ist es okay“, sondern die muss ausdrücklich erfolgen.

Wenn sich der EuGH diesem Antrag des Generalanwalts des EuGH anschließt, frag nicht nach Sonnenschein. Ich bin gespannt, zumal die Website des EuGH selbst diese Voraussetzung aktuell nicht erfüllt.

LB:
Das kann ich mir vorstellen, das ist wirklich spannend zu beobachten. Jeder geht zurzeit auch anders damit um. Es ist genau das, was du auch sagst, jeder interpretiert selber das Recht hinein, auch jeder Anwalt. Man hat keine klaren Richtlinien. Mich hat überrascht, ich hatte es im Vorfeld schon gehört, ich hatte große Sorge vor einer großen Abmahnwelle, dass die Abmahn-Anwälte alle um die Ecke kommen und „Hurra“ schreien, die DSGVO ist da und dann mit Bots über unsere Webseiten surfen und alles zusammentragen und dann diese Abmahnwelle kommt. Ist nicht passiert.

SHO:
Nein, bis dato kann man noch nicht von einer Abmahnwelle sprechen, das ist vollkommen richtig.

LB:
Wie erklärst du dir das?

SHO:
Das ist leicht zu erklären, da habe ich mich aber auch geirrt. Ich hätte schon gedacht, dass die Abmahnwellen kommen. Die Abmahnungen basieren auf einem Wettbewerbsrecht. Da haben wir eine Situation, dass jemand, der im Glashaus sitzt, nicht mit Steinen schmeißen sollte. Das heißt, wir haben im Wettbewerbsrecht in der Regel eine Mitbewerbersituation und dafür müsste ich selbst erstmal clean sein, um dann mit einem Stein werfen zu können.

Dadurch, dass wir diese extreme Unsicherheit dahingehend haben, was wir auf Websites dürfen oder nicht und wie die Informationen zum Datenschutz aussehen sollen und wie umfangreich die sein sollen, ist es schwierig für entsprechende Unternehmen, die abmahnen lassen. Ganz wichtig, es gibt sogenannte Abmahn-Anwälte und natürlich gibt es da schwarze Schafe. Aber in der Regel ist es so, ein Anwalt kann nur abmahnen, wenn er einen Mandanten hat, der Mitbewerber ist, der abmahnen lässt. Ich darf als Anwalt keine Provisionsregelung treffen. Es wird immer wieder vermutet, dass es einzelne Anwälte gibt, die so etwas tun. Diese Vermutung kann ich auch nicht widerlegen, aber im Gros ist es tatsächlich so, dass es Mitbewerber versuchen. Es gibt auch durchaus berechtigte Abmahnungen.

Aber das Problem, das du ansprachst, wenn ich abmahnen wollte, muss ich selbst clean sein. Deswegen gab es die Idee, dann habe ich eben keine Website, bloß, dann habe ich auch kein Wettbewerbsverhältnis mehr bzw. nicht so einfach. Da schieße ich mir möglicherweise ein Eigentor. Dann muss es nur bei einem halbwegs fähigen Anwalt aufploppen, also, der Abgemahnte muss zu einem halbwegs fähigen Anwalt gehen, der würde dann sofort eine Gegenabmahnung aussprechen. Dann hat man eine Patt-Situation, die führt zu nichts und dann ist in der Regel dieser Streit irgendwie vorbei.

Ich glaube, das ist der Hauptgrund dafür, dass wir momentan keine Abmahnwellen haben. Es gab jetzt aber gerade vor zwei Wochen über 30 Abmahnungen. Es war keine Welle, aber ein Wellchen zumindest im Hinblick auf unverschlüsselte Kontaktformulare. Die Abmahnung kam von einem sogenannten Interessenverband. Das können auch Verbraucherschutzverbände sein, die Abmahnungen aussprechen können, wenn sie die entsprechenden Befugnisse dafür haben. Die Abmahnungen selbst waren aber auch handwerklich wieder so schlecht, dass man die nicht wirklich so ernst nehmen konnte. Aber das heißt nicht, dass hier die Gefahr gebannt ist. Es kann durchaus sein, es fehlt eigentlich nur irgendein Urteil, dass man dieses oder jenes klarstellt. Dann kann es losbrechen.

Das nächste Problem kann zum Beispiel vielleicht sogar im Bereich Google Analytics bestehen. Wenn dieses angesprochene Verfahren beim EuGH, dieses Planet49-Verfahren, wenn der EuGH sich den Schlussanträgen des Generalanwalts anschließen sollte, könnte es dazu führen, dass der Einsatz von Google Analytics möglicherweise ein größeres Problem darstellt. Es kann wahrscheinlich keiner eine wirksame Einwilligung erklären, weil niemand genau weiß, was Google mit den Daten macht. Und dann kann ich keine Einwilligung erteilen, weil sie nicht wirksam sein kann. Dann kann es sein, dass es vielleicht ein Problem darstellt. So empfehle ich tatsächlich Mandanten momentan, sich vielleicht doch, wenn sie nicht unbedingt auf alle Funktionalitäten von Google Analytics angewiesen sind, auf ein selbst gehostetes Matomo umzusteigen.

LB:
Du stichst hier bei mir mit einer Online-Marketing Agentur direkt ins Wespennest. Das ist für uns und mit allem, was wir mit Google AdWords schalten, mit Remarketing usw., das würde uns größtenteils die Geschäftsgrundlage entziehen. Damit arbeiten wir ja.

SHO:
Das ist in der Tat so. Deswegen kann man nur hoffen, dass der EuGH den entsprechenden Anträgen der beklagten Partei bzw. den Planet49-Anwälte gut zuhört und sieht, welche Konsequenzen es hätte. Hier geht es nicht darum, dass man das, was alle machen, einfach für legitim erklärt. Es geht darum, welches Web wollen wir haben. Wenn wir uns angucken, wie eine erfolgreiche Webseite aussieht, bringt es nichts, wenn ich im Blindflug marschiere. Gerade wenn ich Marketing mache für meine Website und einfach Conversions oder generell Erfolg messen möchte, werde ich in vielen Bereichen um Google Analytics nicht herumkommen. Es gibt dort Features, die gibt es bei anderen Webanalysetools in der Form nicht. Da muss man gucken, welches Web man haben möchte. Ich bin selbst sehr gespannt, wie die Gerichte es im Einzelnen auslegen wollen und sollen.

LB:
Wir sind über die Abmahngeschichte auf das Thema gekommen. Wenn Gerichtsurteile gesprochen werden, von denen du am Anfang sprachst oder auch das mit den Cookies, das in die ähnliche Richtung geht, dann kann man schon damit rechnen, dass so etwas auch passieren könnte?

SHO:
Wenn ein Gericht eine bestimmte Datenverarbeitung für rechtswidrig erklärt, hätten wir endlich diese Sicherheit, dass wir zumindest in dem Bereich eine Klarheit haben. Dann bräuchte ich zum Beispiel, wenn ein Unternehmen abmahnen lässt, eine Website, die relativ wenig Datenverarbeitung nimmt und würde eine Abmahnung gegen den Mitbewerber aussprechen können. Und wenn das Urteil da ist und es nicht von einem kleinen Amtsgericht kommt, sondern von einem Landgericht oder sogar von einem Oberlandesgericht, könnte es meines Erachtens tatsächlich losgehen.

Ich mag dieses Geschäft mit der Angst nicht und ich glaube auch nicht, dass man momentan ängstlich sein muss. Aber man sollte es schon ein bisschen auf dem Schirm haben. Ich kann immer nur empfehlen, einen kleinen Plan B zu haben. Das heißt, wenn ich ein Tool einsetze, sollte man immer überlegen, ob es ein rechtliches Risiko gibt und ob man einen Workaround dafür hat. Das sollte jeder Geschäftsführer auf dem Plan haben, diese Nachhaltigkeit eines Unternehmens. Wenn ich irgendeine Art von Technologie einsetze, die ein Risiko beinhaltet, sollte ich einen Plan B haben. Damit ich nicht vollends das Fahrzeug gegen die Wand fahre, sondern damit ich eine Möglichkeit habe, eine andere Strecke zu fahren, die vielleicht nicht so schnell ist, aber trotzdem zum Ziel führt. Auf jeden Fall nicht in so ein Chaos.

Aber ich würde ungern heute als Angstmacher hier dieses Interview verlassen. Ich glaube nicht, dass man Angst haben muss, aber ich glaube, dass man gut daran tut, die Entwicklung ein bisschen auf dem Schirm zu haben.

LB:
Sich informiert, genau. Die DSGVO war auch immer in der Argumentation gar nicht so gezielt auf die ganz vielen kleinen Unternehmen, sondern eher auf die großen Datenkraken.

SHO:
Genau.

LB:
Wie hat es die denn jetzt getroffen?

SHO:
Das war der Treppenwitz schlechthin eigentlich, es war auch schon abzusehen. Wenn man die Entwicklung in der Datenschutz-Grundverordnung verfolgt hat, wie ich es von Beginn an, sind viele Normen der Datenschutz-Grundverordnung Facebook-Law. Das muss man ganz deutlich sagen. Es ging in vielen Bereichen, in vielen Regelungen darum, gegen die Datenverarbeitung von Facebook oder Google vorzugehen, hier quasi Monopole versuchen aufzubrechen.

Es gibt zum Beispiel ein Recht auf Daten-Übertragbarkeit, also ein Recht auf Daten-Portabilität. Das war 1:1 Facebook-Law. Das heißt, man wollte einfach nicht, dass die Leute nur deswegen Facebook nicht verlassen, weil sie dort alle ihre Daten haben. Deswegen gab es dieses Recht auf Daten-Übertragbarkeit. Nur ist es leider so, dass diese Regelungen völlig aus dem Ruder gelaufen sind, sie gilt nicht nur für Facebook, sondern jetzt für jeden.

Es geht soweit, dass nicht ganz klar ist, dass es wahrscheinlich sogar für Arbeitnehmer gilt. Wenn ein Arbeitnehmer das Unternehmen verlässt, hätte er theoretisch im Hinblick auf die Daten, die er gegeben hat, einen Anspruch darauf, dass die Daten in einem elektronischen Format für ihn exportiert werden können, damit er es woanders wieder einspielen kann.

Die Idee war eben, dass ich das soziale Netzwerk verlassen kann und meinen sozialen Graphen, mein Social Graph, meine Freunde, mitnehmen kann, um sie beim nächsten sozialen Netzwerk einzuspielen. Es war erstmal eine gute Idee, aber dann muss man es natürlich auch so machen, dass es nur für diese großen Portale gilt. Das hat man aber nicht, sondern man hat diesen Anspruch völlig weitgehend gemacht. Genauso ist es mit diesem Recht auf vergessen werden. Das betraf eigentlich nur Suchmaschinen oder sogenannte Intermediäre, so war es gedacht, damit man eben nicht ständig im Netz ist, sondern gerade Kinder, die speziell geschützt werden sollen, ein Recht haben, aus dem Netz rauszukommen.

Das Recht auf vergessen werden trifft nicht nur Google, sondern ganz viele. Im Prinzip ist es so, auch, wenn die Googles, Apples, Facebooks und Amazons dieser Welt und Microsoft bluten mussten im Hinblick auf die Vorbereitung zur Datenschutz-Grundverordnung, hatten die natürlich die Manpower dafür, diese Systeme, die sie dafür brauchen, zu entwickeln. Das hat man als Mittelständler aber vielleicht nicht einfach mal so. Der Witz ist jetzt schlechthin, dass die Datenschutz-Grundverordnung diese großen Anbieter nicht kleiner gemacht hat, sondern sie hat sie viel erfolgreicher gemacht.

Wenn ich zum Beispiel vorher eine Website hatte und kann mich eben nicht um den ganzen Complience-Kram kümmern, kann mich nicht darum kümmern, was wie so oder so macht, dann haben viele ihre Websites geschlossen und wohin sind sie gegangen? Zum Beispiel haben sie nur noch eine Facebook-Fanpage statt einer Website oder gehen zu Google und haben dort jetzt alles anstatt es selbst zu machen. Weil sie bei diesen Anbietern davon ausgehen können, die werden ihren Kram gemacht haben, bei denen wird es complient sein. Also gehe ich da hin.

Die Datenschutz-Grundverordnung hatte genau die Idee, die Macht der Großen, gerade diese Daten-Mächtigen, die in ihre Schranken zu weisen und genau das Gegenteil ist in der Praxis passiert. Das kann man dem Verordnungsgeber jetzt nicht unbedingt vorwerfen. Es war in der Form vielleicht nicht abzusehen, aber man hätte es mitregeln müssen. Man hätte viel mehr Augenmerk auf die Kleinunternehmen und die Mittelständler werfen müssen. Man hätte viel mehr Ausnahmeregelungen haben müssen in der Datenschutz-Grundverordnung. Die gab es, es gibt Ausnahmeregelungen.

Aber in den einzelnen Mitgliedsstaaten wie zum Beispiel in Deutschland greifen sie nicht. Das heißt, ich kann davon überhaupt nicht profitieren, kann daran nicht partizipieren und deswegen ist es tatsächlich in vielen Bereichen ein völliger Overkill gewesen.

LB:
Können wir davon ausgehen, dass es eine Nachjustierung geben wird? Oder liegt das alles bei den Gerichten?

SHO:
Die Datenschutz-Grundverordnung muss 2020 evaluiert werden, zumindest muss dort begonnen werden. Das heißt, sie wird nochmal auf den Prüfstand kommen. Es wird einen Evaluierungsbericht geben auf EU-Ebene von der Kommission. Die schauen sich an, was sich bewährt hat und was nicht. Hier sollte man auch frühzeitig auf die Kommission einwirken, sich Gehör verschaffen über die Verbände zum Beispiel. Damit man zumindest die großen Probleme der Datenschutz-Grundverordnung in den Griff bekommen kann.

Wenn es Änderungen geben muss, müssen die halt wieder in den Gesetzgebungsprozess der Europäischen Union. Das ist nicht von heute auf morgen gemacht, wir reden schon darüber, dass das dann wiederum ein bis zwei Jahre dauern kann, bis diese Änderungen durch sind. Dann gibt es möglicherweise Übergangsregelungen, bis sie letztlich für alle gelten. Es ist nichts Kurzfristiges, da werden uns eher die Gerichte retten.

LB:
Was schätzt du, von den Firmen in Deutschland, wir sind ein Land, was vom Mittelstand, von kleinen und großen mittelständischen Unternehmen, lebt. Wie viel Prozent der Firmen sind denn DSGVO-konform?

SHO:
Ich bin mir ziemlich sicher, das es 0 Prozent ist.

LB:
Hätte ich auch getippt.

SHO:
Ganz ehrlich, es ist nicht möglich. Aber man muss sagen, es ist kein DSGVO-Problem. Es war vorher schon so, auch auf Basis des alten Bundesdatenschutzgesetzes. Es war nicht möglich, hundertprozentig rechtskonform zu sein. Man konnte sich immer nur annähern. Das ist aber auch nicht schlimm, auch wenn Recht erstmal absolut ist und einen Absolutheitsanspruch hat, sprechen viele Soziologen davon, dass es letztlich nur Optimierungsgebote sind. Ich kann immer nur optimieren. Natürlich gibt es keinen fehlerfreien Zustand.

Ich kann aber versuchen, durch gesetzliche Regelungen diese Fehler zu minimieren oder mehr Anreize dafür zu geben, weniger Fehler zu machen. Während jetzt aber auf Basis des BDSG, da gab es auch schon eine extrem hohe Nichterfolgsquote, was Rechtskonformität anging. Mit der Datenschutz-Grundverordnung ist es aber tatsächlich noch größer geworden, weil es noch schwieriger geworden ist, alle Vorschriften einzuhalten. Wenn wir ganz ehrlich sind und das kann ich aus der täglichen Anwaltspraxis sagen, während in 2018 alle irgendwie wie die verrückten Hühner durch den Stall gelaufen sind, weil die DSGVO kam und alles ganz schlimm war, haben sich jetzt alle wieder ein bisschen beruhigt.

Die Idee ist eigentlich, dass es ein fortlaufender Prozess ist. Das heißt, ich brauche ja sogenannte Verarbeitungsverzeichnisse, die haben alle vielleicht irgendwie gemacht oder sich Muster geholt. Ich mache jede Wette, dass es kaum ein Unternehmen in Deutschland gibt, das heute noch ein aktuelles Verarbeitungsverzeichnis hat. Wenn wir mal ganz ehrlich sind, wird die Welt auch damit nicht besser, die sind einfach Unfug. Es ist einfach ein Mehr an irgendetwas, es hat rechtsphysisch überhaupt keinen Sinn, hatte es auch vorher schon nicht. Es ist einfach eine Ressourcenverschwendung, denn Datenverarbeitung wird damit kein Stück datenschutzfreundlicher.

LB:
Wir haben jetzt ganz viel geschimpft auf die DSGVO. Mich würde mal interessieren, irgendetwas muss doch auch positiv sein? Was hat dich positiv überrascht in dem Jahr?

SHO:
Meinst du jetzt mich persönlich oder was jetzt die Mandanten positiv überrascht hat?

LB:
Es ist beides interessant.

SHO:
Fange ich erstmal mit dem Wichtigen an. Was fanden die Mandanten positiv? Es ist ein Irrglaube, dass durch die Datenschutz-Grundverordnung die Datenverarbeitung strenger geworden wäre. Nein, das ist sie mitnichten. Im Gegenteil, es ist viel mehr möglich an Datenverarbeitung als zuvor. Das glaubt einem ja kein Mensch eigentlich, aber ich habe einen viel größeren Spielraum, mit Daten zu arbeiten, als ich das vorher hatte. Ich habe natürlich dieses Damoklesschwert dieser hohen Sanktionen. Man hört immer, bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes weltweit.

Ja, das ist alles richtig, aber am Ende des Tages habe ich vielmehr rechtliche Möglichkeiten, Daten zu verarbeiten, als ich das vorher hatte. Das muss man ganz deutlich sagen. Der Spielraum ist viel größer geworden und einige Unternehmen nutzen das mittlerweile eben auch, andere nicht, weil sie ängstlich sind. Das ist auch völlig okay. Jeder muss sich mit dem, was er tut, wohlfühlen. Es ist alles in Ordnung.

Aber das hat die Mandanten überrascht, positiv tatsächlich auch viele, weil sie gemerkt haben, dass das möglich ist. Das hätten sie gar nicht gedacht. Sie dachten, es sei alles strenger geworden. Strenger ist nur die Bürokratie geworden, die ganze Verwaltung sozusagen, das, was sie machen müssen. Die reinen Compliencepflichten sind strenger geworden.

LB:
Argumentationspflichten und so etwas?

SHO:
Genau, das ganze Thema Dokumentation, Information, das ist alles strenger geworden. Das nervt natürlich viele auch, aber was wirklich sehr viel lockerer geworden ist, eigentlich dieses Thema, was darf ich denn an Daten verarbeiten, wo dürfen Daten hin usw. Das ist wesentlich einfacher geworden und hat also die Mandanten positiv überrascht. Für mich persönlich war positiv, auch wenn sich das heute anders anhören mag, ich bin ein großer Freund des Datenschutzes, weil ich glaube, dass die Datenschutz-Grundverordnung die Wichtigkeit, die Relevanz, von Datenschutz deutlich erhöht hat.

Es war ein Thema, das sonst eigentlich eher so ein bisschen nebenbei lief. Es sei denn, man hat sehr datenintensiv gearbeitet und hatte das Thema schon vorher auf dem Schirm. Das heißt, es hat Datenschutz ein bisschen mehr auf die Landkarte gesetzt. Das fand ich persönlich positiv und zwar nicht, weil man mehr zu tun hat. Genug zu tun hatte ich auch vorher schon. Sondern weil diese Wertschätzung einfach jetzt da ist und dieses Thema mehr Relevanz bekommen hat.

Ob es in zwei bis drei Jahren noch so sein wird, weiß ich nicht. Ich denke aber tatsächlich schon. Das hat mich tatsächlich positiv überrascht, weil so all diese negativen Geschichten, über die wir noch heute gesprochen haben, die sind natürlich da. Darüber muss man sprechen, aber Fakt ist eben auch, dass Datenschutz an sich eben erst mal wichtiger geworden ist.

LB:
Bevor wir das Thema Datenschutz verlassen, die letzte Frage. Was würdest du denn jetzt kleinen, mittelständischen Unternehmen, die hier hauptsächlich zuhören, raten in Bezug auf Datenschutz? Was sollten sie tun?

SHO:
Angst ist nie ein guter Ratgeber. Man sollte mit einer gewissen entspannten Gelassenheit daran gehen, aber es auch nicht schleifen lassen. Was ich vielen Mandanten sagen, wenn sie fragen, was sie an Daten machen dürfen, wenn da jetzt Mütter und Väter unterwegs sind und Unternehmer, denen sage ich, wie würdest du das empfinden, wenn jetzt deine Tochter oder dein Sohn hier dieses Datenobjekt ist sozusagen. Man soll ja eigentlich Subjekt sagen, aber in vielen Bereichen hat man das Gefühl eines Objekts von Datenverarbeitung.

Wie würdest du das denn finden, wenn das damit umgeht oder wenn das mit den Daten passiert. Und das hilft manchmal einfach so ein bisschen. Viele haben ja selbst für sich kein Problem damit, sagen, ja, ich habe ja nichts zu verbergen usw. mir ist es ja egal. Aber wenn‘s dann um die eigenen Kinder geht, findet manchmal noch ein kleiner Denkprozess statt, wo man vielleicht nochmal von A nach B guckt.

Und wichtig ist halt für diese Entscheidung erstmal dieses Thema Information. Weiß ich denn überhaupt, was da passiert? Man kann natürlich jetzt viel über viele Unternehmen schimpfen und mir steht es jetzt nicht an, es ist auch heute nicht mein Thema, jetzt über große Plattformen zu schimpfen. Ich finde aber halt schon, wenn jetzt jemand meine Daten verarbeitet oder vielleicht die Daten von irgendwem verarbeitet, meine ich schon, dass er sich Gedanken darüber machen kann.

Gerade wenn er hier Plattformen nutzt oder Softwareanbieter nutzt oder Schnittstellen, dass er sich einen Kopf macht. Wenn die Daten dort jetzt hingehen, sind die Daten dort A sicher, werden die Daten weiterhin dort nur für die Zwecke verwendet, für die ich sie eigentlich dort hinspielen wollte oder werden sie dann auch von demjenigen, der die Daten dann hat, auch für eigene Zwecke verwendet? Und ist das eine gute Idee?

Das sollte man sich überlegen, denn die Rechtsprechung, der EuGH, wird in vielen Bereichen eben sagen, dass du mitverantwortlich bist für das, was da zum Beispiel bei demjenigen passiert, den du da nutzt. Und da sollte man sich gut überlegen, was man tut. Ich kann generell immer nur sagen, das ist aber ein genereller Ratschlag, man sollte nie zu sehr auf ein Pferd setzen.

Wenn es jetzt zum Beispiel eine Plattform gibt, auch da sollte man einen Workaround haben, das werden eben viele merken. Es wird halt ein Plattformsterben geben irgendwann, es werden neue Plattformen kommen. Und diese Schnelligkeit, die dahinter ist, heißt eben auch, beweglich zu sein. Es ist nie eine gute Idee, sich auf irgendetwas einzuschießen, sondern man sollte auch da immer flexibel bleiben. Ich glaube, Flexibilität ist sowieso eine Kernfähigkeit, die jeder Unternehmer heute zwingend haben muss, um jederzeit umschwenken zu können und eben auch im Hinblick auf Datenverarbeitung.

LB:
Agil ist auch das Modewort derzeit.

SHO:
Das stimmt, ja.

LB:
Stephan, vielen Dank bis hierhin. Kommen wir mal zu den Schlussfragen. Hier bitte ich immer um kurze und präzise Antworten. Stephan, welcher ist dein wichtigster Produktivitätstipp?

SHO:
Schreib dir alles auf, was du tun sollst und zwar sofort, wenn es dir einfällt.

LB:
Wie sagt hier David Allen so schön: „The mind is for having ideas, not for keeping them“.

SHO:
Genau mein Reden, aber das habe ich auch von ihm.

LB:
Okay, wo schreibst du es denn auf?

SHO:
Ich bin so ein Digitaler, ich habe es nicht so mit Papier. Ich mag zwar gerne, auf Papier zu lesen, aber bei mir gibt‘s schon seit vielen Jahren ein trusted system, das ist bei mir OmniFocus.

LB:
Okay. Das ist sehr wahrscheinlich dann auch die Antwort zur zweiten Frage. Welche App oder welchen Internetdienst kannst du der Selbstmanagement. Digital.-Community empfehlen?

SHO:
Bei mir gibt es ein Standard-Set. Ich habe es jetzt gerade wieder mit einer neuen Mitarbeiterin, die jetzt hier reinkommt. Da werden neue Macs eingerichtet. Da kann man ganz genau sehen, was reinkommt, was raufkommt. Neben den Standard-Apps, die halt sozusagen schon onboard sind, gibt es eigentlich folgende Apps bei mir. Das Wichtigste ist Omnifocus, das Zweitwichtigste ist DEVONthink Pro Office als Wissensmanagementlösung. Dann irgendein Mindmanager Tool. Da bin ich eigentlich gar nicht so festgelegt. Ich nutze meist Mindnote, manchmal auch iThoughtsX. Und schreiben tue ich in Ulysses. Das wären so meine klassischen Tipps, die man so hat. Und dann ein Kalender, Fantastical. Das ist eigentlich so das Standard-Set von Apps, die ich brauche, um hier meine Kanzlei und mein Unternehmen leiten und betreiben zu können.

LB:
Als Datenschutzguru, auch wenn du das natürlich nicht gerne hörst, hast du natürlich jetzt zurzeit wirtschaftlich oder von Unternehmerseite eine sehr erfolgreiche Zeit aufgrund der DSGVO. Aber es waren ja sicherlich nicht immer nur gute Zeiten dabei. Was war denn so deine größte Herausforderung als Unternehmer und was hast du daraus gelernt?

SHO:
Das war tatsächlich letzte Jahr, es war auch erfreulicherweise umsatzträchtig, aber auch sehr arbeitsintensiv. Es war das erste Mal, dass ich am Schreibtisch gesessen habe und geheult habe, weil ich nicht wusste, wie ich das alles schaffen soll. Und es war auch keine Zeit, wo man noch irgendjemanden hätte einstellen können. Es gab keine Datenschutzrechtlinge da draußen, die einem hätten helfen können. Alle waren komplett ausgebucht.

Da habe ich das erste Mal eine Herausforderung gehabt, wie kannst du hier noch sinnvoll in den Tag leben, ohne jeden Tag durchzudrehen. Und mein Learning war daraus, auf die harte Tour sozusagen, dass es wirklich, auch wenn man, bin kein guter Neinsager gewesen, aber dass man wirklich absolut strikt nein sagen muss. Es gibt einen Spruch von David Heinemeier Hansson, einem der Basecamp-Gründer, die ja selbst sagen, nobody’s fault.

Das ist eigentlich auch meine Grundregel seitdem, dass ich zu allem nein sage. Es sei denn, es reizt mich halt oder es bringt mich vorwärts oder es bringt andere vorwärts oder es passt irgendwie in meinen Zeitplan. Ansonsten gibt es hier einen relativ fertigen Projekt- oder Master- oder To-Do-Plan, was halt zu machen ist. Und alles, was on Top dazukommt, geht nur rein, wenn es mich extrem reizt, es eh schon in meiner Bucketliste ist, irgendwie Dinge, die ich schon mal machen wollte oder es sonst aus irgendeinem Grund passt. Ansonsten heißt es halt: nobody’s fault.

LB:
Da fällt mir auch ein, als ich deine Honorarseite gesehen habe auf deiner Seite, fand ich es sehr ansprechend, wie du das genannt hast. Das habe ich dann auch für mich übernommen, wenn ich jetzt gefragt werde, dass du nämlich zu deinen Honoraren sagst, es sind Familienpreise.

SHO:
Genau, ja.

LB:
Sie sind so hoch, dass du auf jeden Fall noch Zeit für deine Familie haben wirst.

SHO:
Genau.

LB:
Klasse! Passt ja da rein.

SHO:
Genau.

LB:
Dass man nämlich nicht mit günstigeren Preisen, mit Tagen dann verbringt, sondern dass du dann einfach Zeit für die Familie hast. Den Spruch habe ich mir von dir kopiert.

SHO:
Gute Idee.

LB:
Welches Buch hat dich als Unternehmer und Mensch am meisten geprägt?

SHO:
Es gibt zwei. Tatsächlich am meisten geprägt hat mich, das war auch in der Anfangszeit der Anwalterei. Es war so 2004, wo ich auch das erste Mal am Durchdrehen war und nicht wusste, wo mir der Kopf steht. Da habe ich Getting Things Done gelesen. Das hat mich nachhaltig geprägt. Dies wäre das eine Buch, aber das haben wahrscheinlich bei dir auch alle irgendwie mal in den Fingern gehabt, denke ich mal.

Das zweite Buch, das für mich einen ganz nachhaltigen Effekt hatte, war Breaking the Time Barrier. Das gibt es tatsächlich kostenfrei, das ist nämlich von den Fresh Books Gründern. Ich kann dir gerne noch den Link dazu schicken, wo man es runterladen kann. Denn da geht es darum, dass es niemals eine gute Idee ist, Zeit gegen Geld zu tauschen.

Das war für mich vorher eigentlich auch schon klar, aber seitdem rechne ich bis auf wenige Ausnahmefälle nicht mehr aufwandsbezogen ab. Das heißt, ich rechne immer ein sogenanntes value based pricing, also wertbasierte Preise und das hat mir persönlich extrem ja Gedankensprung gegeben, so dass es keine gute Idee ist, Zeit gegen Geld zu tauschen, sondern dass man eben tatsächlich auf Basis dessen, was man weiß, was man kann, seine Preise so anpassen sollte, dass es für beide Seiten, also für mich als auch für den Mandanten, dass da, sage ich mal, Leistung und Gegenleistung in einem Verhältnis steht. Und das war für mich ein ganz wichtiges Learning sozusagen.

LB:
Unbedingt den Link zuschicken, packen wir hier mit in den Artikel zu dem Interview. Welches ist denn der beste Ratschlag, den du jemals erhalten hast?

SHO:
Es sind wiederum zwei. Das eine habe ich schon gesagt, nobody’s fault. Das war einer der besten Ratschläge. Und der zweite Ratschlag ist, der hat tatsächlich damit zu tun, es gibt ja diese Sauerstoffmasken, die im Flugzeug herunterfallen. Hoffentlich nicht, wenn man da ist, aber wenn sie runterfallen, wird immer so schön beschrieben in diesen Sicherheitshinweisen, die da so schön demonstriert werden, man möge sie zuerst auf sein eigenes Gesicht ziehen. Und dann den anderen helfen. Das war für mich auch nochmal etwas, wo ich überlegt habe, so, ja, ich bin nicht so gerne jemand, der primär an sich denkt oder vor allem an sich denkt, sondern ich habe eigentlich immer gerne andere im Fokus, gerade im Bereich der Familie.

Manchmal ist es aber sinnvoll, zuerst mal an sich selbst zu denken, sich die Sauerstoffmaske anzuziehen, um dann den anderen zu helfen. Weil es eben keinen Sinn hat, sich kaputt zu machen, sich selbst runter zu wirtschaften, bis man nicht mehr kann. Man muss auch mal ein bisschen an sich selbst denken, dass man sein Energielevel klar hat, dass man fähig ist zu agieren und vor allen Dingen, sinnvolle Entscheidungen zu treffen.

Es bringt nichts, wenn man sich aufgibt für andere. Auch wenn man sie so gern hat und dann einfach in so einen State kommt, der es einem nicht mehr ermöglicht, rational gute Entscheidungen zu treffen oder auch emotional gute Entscheidungen. Deswegen habe ich mir die Freiheit erlaubt, auch immer an mich zu denken und dann an andere. Das entspricht eigentlich nicht meiner Natur, aber das war auch ein guter Ratschlag, den ich nicht immer, aber doch manchmal beherzige.

LB:
Super Tipp, ist auch immer eins meiner wichtigsten Tipps, auch in meinen NFL-Workshops. Da könnte man fast meinen, du wärst schon Teilnehmer da gewesen. Das ist auch ein riesen Thema, dass man erstmal an sich denken muss. Nur wenn ich mich um mich kümmere, kann ich auch immer gut für andere da sein.

Letzte Frage, bevor wir uns verabschieden. Wo kann man dich im Netz finden? Was bietest du denn da an?

SHO:
Die bekannteste Seite dürfte wahrscheinlich die Datenschutz Guru Seite sein, die datenschutz-guru.de. Ich bin aber auch bei Twitter vertreten, nicht mehr so ganz, eher so im low-care Zustand, also im passiven Zustand, aber da findet man mich unter Sayho, das ist mein Twitter Handle. Da kann man mich erreichen und die E-Mail-Adresse findet man auf jeden Fall auf meiner Website und wer mag, darf gern schreiben.

LB:
Und auf Facebook bist du nicht?

SHO:
Das darf ich gar nicht sagen, ich habe einen Fake-Account bei Facebook, aber nur, um zu gucken, wenn Mandanten da etwas haben, dass man da mal reinguckt. Mir war es immer zu viel Rauschen, zu wenig Signal. Ich habe jetzt keinen Glaubenskrieg gegen Facebook oder Ähnliches, aber es ist nicht so mein Ding. Twitter war immer schon mehr meins und ansonsten habe ich noch einen Podcast, der so ein bisschen eingeschlafen ist in der Winterpause, der jetzt aber wieder losgeht. Und den findet man natürlich auch an den üblichen Stellen, also speziell iTunes, Spotify nicht, aus Gründen … Aber egal, den findet man auf jeden Fall auch auf meiner Website.

LB:
Alles klar, super. Werden wir alles verlinken, Stephan, vielen Dank. Du hast einen guten Überblick gegeben in das Thema Datenschutz und Datenschutzgrundverordnung, ein Jahr danach, was ist passiert, vielen Dank dafür.

SHO:
Sehr gerne, war mir eine Ehre.

LB:
Ja und ich wünsche dir und Euch natürlich wieder mehr Zeit für die wirklich wichtigen Dinge.

(*) Affiliate-Link
Wenn Du auf so einen Verweislink klickst und über diesen Link einkaufst, bekomme ich von Deinem Einkauf eine Provision. Für Dich verändert sich der Preis nicht.