Kuriositäten aus der DSGVO

Laut Bitkom Research hatten im September 2018 gerade einmal 24 Prozent der deutschen Unternehmen die DSGVO umgesetzt. Dass nach wie vor viele Fragen offen sind, zeigt das Beispiel der Anmeldung der Datenschutzbeauftragten. Laut Gesetz müssen Unternehmen, in denen mindestens zehn Mitarbeiter Zugriff auf personenbezogene Daten haben, in denen personenbezogene Daten automatisiert verarbeitet werden oder in denen mit besonders sensiblen Daten gearbeitet wird (im Gesundheitswesen beispielsweise) einen Datenschutzbeauftragten stellen - und diesen anmelden. Doch viele Firmen wissen weder, dass sie einen solchen Ombudsmann benötigen, noch dass sie diesen bei der zuständigen Aufsichtsbehörde anmelden müssen. Untersuchungen der Firma ER Secure zufolge hat bisher nur ein Drittel der deutschen Unternehmen mit Pflicht zum Datenschutzbeauftragten einen solchen angemeldet. Über die genauen Gründe kann nur spekuliert werden, Experten vermuten jedoch, dass die Unsicherheit der Firmen Anlass ist. Und das mit gutem Grund: Schließlich herrscht nicht einmal bei Gericht Einigkeit im Umgang mit der DSGVO, wie aktuell das Thema Abmahnungen von Wettbewerbern deutlich zeigt. Zwei Gerichte kamen beim gleichen Sachverhalt zu unterschiedlichen Urteilen. Diverse Kuriositäten, über die mittlerweile mehr gewitzelt wird, als dass man sie ernst nimmt, tragen zur Unsicherheit bei. So wird momentan rege über den Austausch von Visitenkarten diskutiert. Die kleinen Kärtchen, die man heutzutage im Internet in verschiedensten Ausführungen erstellen kann, sind auch im digitalen Zeitalter ein wichtiges Mittel zur geschäftlichen Kontaktaufnahme und -vertiefung. Doch was passiert nun, wenn man eine solche Karte an jemanden weiterreicht? Laut DSGVO Artikel 13 muss man eine Person, deren Daten man speichert und/oder verarbeitet, darüber informieren. Nach strenger juristischer Auslegung ist man bei der Annahme einer Visitenkarte also dazu verpflichtet, den Geber darüber zu informieren, wie man mit den Kontaktdaten verfahren wird. Nimmt man beispielsweise die E-Mail-Adresse von der Karte in die Firmendatenbank auf, muss man dies der betroffenen Kontaktperson ausdrücklich mitteilen. Die Karte anzunehmen geht mir keinerlei Verpflichtungen einher, doch die Verarbeitung, also die Nutzung der darauf enthaltenen personenbezogenen Daten, birgt eine Informationspflicht. Das Kuriose daran ist, dass es eigentlich eindeutig ist, dass jemand, dem man eine Visitenkarte überreicht, die entsprechenden Daten auch nutzt - schließlich liegt darin der Sinn und Zweck von Visitenkarten. Ähnlich kurios ist das Thema betriebliche Kommunikation über ausländische Messenger wie WhatsApp oder Facebook. Da es sich bei diesen Plattformen um Unternehmen handelt, die ihren Sitz außerhalb der EU haben, unterliegen sie nicht den Regeln der DSGVO. Verläuft die betriebliche Kommunikation unter Mitarbeitern wie auch mit Kunden über eben solche Anbieter, kann kein DSGVO-konformer Datenschutz garantiert werden. Vor allem Selbstständige und Freiberufler, aber auch Dienstleister im Handwerksbereich nutzen diese Services aber gern als praktischen und kostengünstigen Kommunikationsweg. Um der DSGVO gerecht zu werden, müssten Firmen und Mitarbeiter, die mit Kollegen und/oder Kunden über ausländische Messanger wie die genannten kommunizieren, von jeder einzelnen Kontaktperson vorab eine schriftliche Genehmigung einholen. Doch ganz so einfach ist es nicht. Schaut man in die Details zum Thema, wird schnell deutlich, dass die Gesetzeslage auch hier Auslegungssache ist. Immerhin haben Firmenmitarbeiter wie auch Kunde den AGBs des jeweiligen Messenger-Dienstes zugestimmt und demnach auch den dafür geltenden Datenschutzrichtlinien. Kunden wissen also, dass die Daten nicht der DSGVO unterliegen - zumindest im Prinzip.

Bildrechte: Flickr Justitia Markus Daams CC BY 2.0 Bestimmte Rechte vorbehalten