Springe zum Inhalt

IHK Datenschutzkongress in Frankfurt: Quick Wins

Am 01.03.2018 fand in der IHK Frankfurt (Börsenplatz) der Datenschutzkongress mit hochkarätigen Rednern statt. Der Kongress brachte viel Nützliches hervor. Hier das Wichtigste.

data privacy Bild

Im voll besetzten Plenarsaal der IHK erwarteten das Publikum insgesamt sechs Vorträge zum Thema Datenschutz. Durch die Veranstaltung führte Prof. Dr. Peter Reusch in souveräner Art. Von 13:30 bis 18:15 Uhr führte er von einem Referenten zum nächsten. Das Event wurde wie immer hochprofessionell organisiert, insbesondere von der Juristin und Datenschutzbeauftragten der IHK Frankfurt, Frau Bettelmann. Mit ihr hatte ich die Gelegenheit zum halbstündigen Gespräch vor dem Online Marketing Recht Seminar letzten Donnerstag. Ein Meinungsaustausch, der sich gelohnt hat!
Den Auftakt machte Dr. Christina Schmidt-Holtmann vom Bundesministerium für Wirtschaft und Energie. Ihr Vortrag war professionell, wenngleich man sich etwas konkretere Ausführungen gewünscht hätte.

Quick Win 1: Erste Schritte

  1. Bestandsaufnahme aller Prozesse, die mit Daten zu tun haben
  2. Verarbeitungsverzeichnis erstellen (ist sowieso Vorschrift)
  3. Rechtsgrundlagen für die Erhebung und Verarbeitung von Daten prüfen
  4. Einwilligungen von Betroffenen Personen einholen, um deren Daten verwenden zu dürfen
  5. Datenschutzfolgenabschätzung durchführen
  6. Auftragsdatenverarbeitungen klären und ADV-Verträge prüfen
  7. Betroffenenrechte ermöglichen

Danach trug Maria Christina Rost von Der Hessische Datenschutzbeauftragte vor. Sie erzählte über die neuen Bußgeldvorschriften, deren Umsetzung zukünftig in der Hand der Aufsichtsbehörden liegt.

Quick Win 2: Bußgelder vermeiden

Bußgelder orientieren sich an Art, Dauer und Schwere des Verstoßes:

  • Art, Zweck, Umfang der betreffenden verarbeitung
  • Zahl der betroffenen Personen
  • Ausmaß des erlittenen Schadens
  • Liegt ein "geringfügiger Verstoß" vor?
  • Liegt Fahrlässigkeit oder Vorsatz vor?

Es ist immer eine gute Idee, mit den Aufsichtsbehörden zusammenzuarbeiten, wenn man schon mal außerplanmäßig in den Kontakt mit ihnen treten sollte bzw. umgekehrt.

Nun kam Dr. Thomas Roth von Boehringer Ingelheim als Vertreter der Wirtschaft zu Wort. Er ist Jurist und in seinem Unternehmen für die Umsetzung der Datenschutzgrundverordnung maßgeblich mit verantwortlich, eine weltweite Aufgabe! Denn:

Quick Win 3: Das Marktortprinzip

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die sich an Kunden innerhalb der EU richten bzw. den europäischen Markt bedienen. Glückwunsch an Google mit Sitz in Irland. Es nützt nun nichts mehr, in Irland stationiert zu sein

Nach der Kaffeepause kam Julia Stoll als Informatikerin und Kollegin von Frau Rost zu Wort. Sie sprach über die Gewährleistungsziele für die Sicherheit der Verarbeitung. Im Gegensatz zur allerersten Rednerin war ihr Vortrag sehr konkret, was begrüßt wurde.

Quick Win 4: Zertifizierung

Wer mit Auftragsverarbeitern zusammenarbeitet, die zertifiziert sind, spart sich viel Arbeit (etwa einen Vertrag zur Auftragsverarbeitung, ich hoffe das richtig verstanden zu haben).

Der Herausgeber der ZD (Zeitschrift für Datenschutz), Tim Wybitul, ein Volljurist, teilte dem Auditorium zahlreiche ziemlich juristische Sachverhalte mit. Für meinen Geschmack anfangs etwas zu viel Juristendeutsch, später aber besser werdend. es ging ihm um datenschutzrechtliche Aspekte im Arbeitsverhältnis.

Quick Win 5: Einwilligung nur im Notfall einholen

Wenn Daten von Mitarbeitern erhoben werden sollen, dann sollte dies gemäß einer gesetzlichen Vorschrift geschehen. Eine Einwilligung einzuholen sollte, wenn es irgend geht, vermieden werden, etwa durch Inkenntnissetzen des Mitarbeiters, der bestätigt, mit bestimmten Prozessen einverstanden zu sein.

Den Abschluss bildete Rechtsanwältin Susanne Klein mit dem für mich interessantesten Thema des Tages: Direktmarketing und Social Media unter der EU-Datenschutzgrundverordnung.

Quick Win 6: Social Media Plugins sind rechtswidrig

Social Media Plugins

Dazu gehören der Facebook Like Button ebenso wie das Widget von Twitter oder Google+. Frau Klein behauptete nicht, dass diese Plugins rechtswidrig sind oder sein werden. Sie geht aber stark davon aus. Das ist auch meine Meinung und teils schon in Urteilen festgestellt worden. Lösung: Shariff verwenden.

Hidden Fact

Die Aufsichtsbehörden als zukünftige Bußgeldstellen sind keine Gefahr für kleinere und mittelständische Unternehmen, die sich wenigstens etwas mit dem Thema Datenschutz beschäftigen. Umso größer ist die Gefahr dafür, die von Abmahnungen ausgeht. Außer, man kommt als deutsches Unternehmen mit dem spanischen Markt in Berührung. Dann droht Ungemach von der spanischen Aufsichtsbehörde, die ihren Haushalt gerne mittels hoher Strafen aufpoliert.