4% des Umsatzes
Da Umsatz und Ertrag auch von vermeintlichen Fachleuten gerne egalisiert werden, hier noch einmal der entscheidende Unterschied: Umsatz beinhaltet alle Einnahmen einer Firma ohne Gegenrechnung der Kosten. Ertrag ist das, was zwischen Umsatz und Kosten übrig bleibt. Bei Handwerkern ist gelegentlich zu beobachten, dass die Kosten sogar höher sind als der Umsatz. Dann gibt es keinen Ertrag, sondern Verlust.
Die DSGVO setzt jedoch auf dem Umsatz auf. Wohl dem, der das durch eine hohe Rendite - also einen hohen Ertrag - abfangen kann.
Es (be)trifft alle EU-Bürger.
Wie immer, wenn man sich in Brüssel etwas ausdenkt, geht es um viel Papier und exzessive Dokumentationspflichten. Ein klares Statement für 4.0 und Big Data. Nach DSGVO Kapitel 1 Artikel 2 (1) gilt das für Unternehmen, Verbände und alle EU-Bürger mit einem Computer oder Smartphone. Diese müssen zukünftig akribisch darauf achten, welche personenbezogenen Daten sie erheben, speichern, verarbeiten, ändern und löschen. Sämtliche Verarbeitungsschritte sind zu dokumentieren und auf Verlangen der Datenschutzbehörde auszuhändigen.
Ab zehn Mitarbeitern mit Zugriff auf personenbezogene Daten ist ein Datenschutzbeauftragter zu benennen. Die Haftung liegt jedoch beim Inhaber des Unternehmens oder dem Vorstand der Organisation. Wie Privatpersonen zur Rechenschaft gezogen werden, ist unklar. 4% des Brutto-Jahresgehaltes oder der Transferleistungen? Eine wohl eher theoretische Überlegung, die in der Praxis kaum zum Tragen kommen dürfte. Das wäre wohl zu unrentabel für die Datenschutzbehörden.
Es beginnt mit der E-Mail.
Privatpersonen könnten damit argumentieren, dass sie keine Datenbanken nutzen. Allerdings beginnt die Speicherung von personenbezogenen Daten bereits beim Empfang einer E-Mail. Über die Absenderadresse ist die Person am anderen Ende oft eindeutig identifizierbar. Vorsicht ist auch beim Speichern von Visitenkarten geboten. Dass eine Visitenkarte überreicht wurde, ist noch lange keine Genehmigung zur elektronischen Speicherung und Verarbeitung der darauf abgedruckten Daten.
Nach Kapitel 1 Artikel 2 (2) gibt es jedoch Ausnahmen. Wenn die personenbezogenen Daten zur Erfüllung eines Vertrages oder zur Geschäftsanbahnung notwendig sind, können diese gespeichert werden. Als Regel gilt: Zweck weg = Daten weg! Allerdings könnte für spätere Streitereien ein partielles Aufbewahren der Daten notwendig sein. Gleiches gilt für fiskalische Aufbewahrungsfristen.
Theorie und Praxis
Allein dieser sehr kurze Abriss zeigt, dass die DSGVO ähnlich praxisfremd ist wie die gerade EU-Banane. Was tun?
- Als Sofortmaßnahme sollte die Datenschutzbestimmung auf der eigenen Webseiten überprüft und ergänzt werden.
- Im ohnehin schon umfangreichen Mail-Impressum, sollte ein Link zu dieser Datenschutzerklärung eingefügt werden. Ferner ein Hinweis auf die Widerrufsmöglichkeit mit Löschoption der personenbezogenen Daten des Gegenübers.
- Sinnvoll ist der Aufbau einer Blacklist. Diese enthält nur minimale Angaben wie die Mailadresse und dient der Verhinderung einer erneuten Kontaktierung oder detaillierten Speicherung von Daten.
- Vorhandene Daten kategorisieren und konsequent ausmisten.
- Datenverarbeitungsverträge mit sämtlichen Kunden und Dienstleistern abschließen.
- Webseiten auf SSL-Verschlüsselung umstellen.
- Updates einspielen, die die Historie von personenbezogenen Datensätzen dokumentiert.
Umsatz und Geschäftsmodelle
Allein die genannten Sofortmaßnahmen dürften den Umsatz der IT-Unternehmen steigern. Anbietern von SSL-Zertifikaten, Webhostern, Softwarehäusern, IT-Beratern und Medienanwälten erschließt sich mit der DSGVO ein erhebliches Umsatzpotenzial für 2018. Damit steigert sich gleichzeitig das Potenzial der Bußgelder aus 4% des Umsatzes. Das wiederum kommt der gesamten Gesellschaft zugute. Volkswirtschaft pur. Vielleicht wollen die Experten der EU ja doch nur das Beste?
Vielen Dank an die DPRG für den interessanten Infoabend!
Autor: Matthias Baumann