Wie Datenschutz zum Erfolg beiträgt

Die international und national anerkannten Standards guter und verantwortungsvoller Unternehmensführung haben (…) einen hohen Stellenwert. Die Einhaltung dieser Standards ist für uns eine wesentliche Grundvoraussetzung für ein qualifiziertes und transparentes Unternehmensmanagement mit dem Ziel eines nachhaltigen Erfolgs für den gesamten Konzern.“

Diese Zeilen stammen aus dem „Corporate-Governance-Bericht“ 2019 eines Unternehmens, das mittlerweile als Paradebeispiel für das Versagen interner und externer Kontrollen gilt: Wirecard. Der Zahlungsdienstleister ist bei Weitem nicht der einzige, bei dem auf schöne Worte weniger schöne Taten folgten. Im vergangenen Jahr erhob beispielsweise der auf Aktien-Leerverkäufe spezialisierte Brite Fraser Perring schwere Vorwürfe gegen die Leasingfirma Grenke. Die da­raufhin eingesetzte Wirtschaftsprüfungsgesellschaft Mazars konnte in einer Sonderprüfung den Verdacht von Luftbuchungen wie bei Wirecard zwar nicht bestätigen, attestierte dem Leasingkonzern aber grobe Fehler und Compliance-Verstöße, etwa bei der Geldwäscheprävention und der Kreditvergabe.

Auch die Missachtung des Datenschutzes sorgt immer wieder für Skandale. Die größten Wellen schlug im vergangenen Jahr der Fall H&M. Das Bekleidungsunternehmen hatte im Servicecenter Nürnberg über Jahre hinweg bei einem Teil der Beschäftigten private Lebensumstände detailliert erfasst. Die Datensammlung enthielt unter anderem Informationen über Krankheiten, familiäre Probleme und religiöse Bekenntnisse. Der zuständige Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Caspar (siehe auch Interview auf Seite 30) verhängte für die Datensammelwut gegen das Bekleidungshaus ein Bußgeld von über 35 Millionen Euro. Die Entscheidung ist rechtskräftig.

Dass der Hamburgische Datenschutzbeauftragte überhaupt ein derart hohes Bußgeld verhängen konnte, ist der Europäischen Datenschutz-Grundverordnung (DSGVO) zu verdanken. Sie sieht bei Verstößen Strafen von bis zu 20 Millionen Euro beziehungsweise 4 Prozent des weltweiten Umsatzes vor, je nachdem welcher Betrag höher ist. Im alten Bundesdatenschutzgesetz waren es gerade einmal 300.000 Euro.

Rund drei Jahre nach ihrem Wirksamwerden sehen Datenschutzexperten allerdings mit gemischten Gefühlen auf die EU-Verordnung. „Die DSGVO war das erste große Gesetzeswerk, das die digitale Erfassung des sozialen Miteinanders regelt und Verstöße mit Bußgeldern belegt“, sagt Sebastian Kraska, Gründer und Geschäftsführer der IITR Datenschutz GmbH.“ Tatsächlich fanden die in der Datenschutz-Grundverordnung niedergelegten Prinzipien nicht nur in der Europäischen Union Beachtung, auch andere Staaten wie die Schweiz und Kalifornien orientierten sich bei der Novellierung ihrer Datenschutzbestimmungen stark an ihr.

Die mediale Aufmerksamkeit und die drohenden hohen Bußgelder bei Verstößen haben laut Kraska zudem den Stellenwert des Datenschutzes deutlich gestärkt. „Seit Einführung der DSGVO befassen sich die Unternehmen intensiver mit dem Thema Datenschutz, haben mehr Ressourcen dafür zur Verfügung gestellt und machen sich auch Gedanken darüber, welche Daten sie erheben und gegebenenfalls zur Verarbeitung an Dritte weitergeben.“

Kraska sieht jedoch auch erhebliche Defizite. Vor allem das Grundkonzept, dass jede Datenverarbeitung unter einem Erlaubnisvorbehalt steht und prinzipiell erst einmal unzulässig ist, sei nicht zeitgemäß, meint der Datenschutzexperte: „Da hätte man mit guten Argumenten auch zu anderen Regelungskonzepten greifen können, die einer modernen Informationsgesellschaft eher entsprechen und die auch den Schutz der informationellen Selbstbestimmung gewährleistet hätten.“

Ein wesentlicher Webfehler der DSGVO ist auch das sogenannte „One-Stop-Shop“-Prinzip. Für Unternehmen ist demnach diejenige Aufsichtsbehörde federführend zuständig, in deren Land sich der Firmenhauptsitz befindet. Die großen US-Digitalkonzerne haben ihre Zentralen überwiegend in Irland angesiedelt – und das mit gutem Grund. Die irische Aufsichtsbehörde galt schon vor Inkrafttreten der DSGVO als besonders nachsichtig und nachlässig. Daran hat auch die neue Datenschutzverordnung wenig geändert, die doch eigentlich zu einer Harmonisierung im europäischen Datenschutzrecht führen sollte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber fand diese Situation laut einem „Handelsblatt“-Bericht im vergangenen Jahr „unerträglich“ und regte die Bildung einer europäischen Datenschutzagentur für große, grenzüberschreitende Fälle an. 

Bei aller Diskussion um rechtliche Unsicherheit und den Sinn und Unsinn der DSGVO-Bestimmungen müssen Unternehmen grundlegende Anforderungen auf jeden Fall umsetzen. Sebastian Kraska nennt dies das „kleine 1 x 1 des Datenschutzes“. „Unternehmen können nicht auf das Verständnis der Aufsichtsbehörden hoffen, wenn sie nicht zumindest diese Basisthemen abdecken“, warnt der Datenschutzexperte.

Folgende zehn Punkte sollten Unternehmen laut Kraska auf jeden Fall sofort umsetzen, wenn sie es nicht schon längst getan haben:

Wer die Vorschriften der DSVGO nicht einhält und die Umsetzung nicht sauber dokumentiert, riskiert nicht nur ein Bußgeld, sondern auch Schadenersatz- und Schmerzensgeldforderungen. Nach Artikel 82 DSGVO hat nämlich jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz. Bis vor Kurzem waren die Chancen für die Kläger eher gering, Forderungen nach Artikel 82 durchzusetzen. Die meisten Gerichte betrachteten den durch eine Datenschutzverletzung entstandenen immateriellen Schaden als Bagatelle und lehnten Ansprüche auf Schmerzensgeld ab. Seit vergangenem Jahr verstärkt sich allerdings der Trend, Schmerzensgelder nicht an einem tatsächlich nachgewiesenen immateriellen Schaden zu bemessen, sondern es analog zum Bußgeld als abschreckenden Strafschadenersatz zu sehen. Besonders ein Urteil des Arbeitsgerichts Düsseldorf hat hier für Aufsehen gesorgt. Es sprach einem ehemaligen Mitarbeiter einen Schadenersatz von 5000 Euro zu, weil sein früherer Arbeitgeber einem Auskunftsanspruch nach Artikel 15 DSGVO nicht ordnungsgemäß nachgekommen war.

In einem Beschluss vom 14. Januar 2021 stellte das Bundesverfassungsgericht (BVerfG) darüber hinaus klar, dass deutsche Gerichte Klagen auf immateriellen Schadenersatz nach Art. 82 DSGVO nicht ohne Weiteres mit der Begründung abweisen dürfen, die Beeinträchtigung sei eine Bagatelle. Die Frage nach einer Erheblichkeitsschwelle für DSGVO-Schadenersatzansprüche müsse abschließend vom EuGH geklärt werden, so das BVerfG. „Bereits jetzt gibt es eine Vielzahl von DSGVO-Schadenersatzklagen vor deutschen Gerichten“, schreibt der Datenschutz-Anwalt Tim Wybitul, Partner in der Wirtschaftskanzlei Latham & Watkins, auf dem IT-Rechts-Portal CR-online.de. „Die BVerfG-Entscheidung dürfte diesen Trend noch verstärken und hat erhebliche Folgen für die Praxis.“

---

Im Zuge der Pandemiebekämpfung wurde auch der Datenschutz angegriffen. Er wurde als „Supergrundrecht“ diffamiert und unter anderem für den geringen Nutzen der Corona-Warn-App verantwortlich gemacht. Sebastian Kraska hält diese Diskussion für eine Scheindebatte: „Nennen Sie mir eine Maßnahme, die am Datenschutz gescheitert ist“, sagt der Datenschutzexperte. „Natürlich hätte man die Corona-Warn-App auch so ausgestalten können, dass die Bewegungsdaten individuell zuzuordnen wären - aber wer hätte sie dann noch heruntergeladen?“

Datenschutz und informationelle Selbstbestimmung gerieten jedoch auch noch von einer anderen Seite unter Druck. Der plötzliche Homeoffice-Zwang im Frühjahr vergangenen Jahres ließ Unternehmen zu Collaboration- und Videoconferencing-Tools aus der Cloud greifen, deren DSGVO-Konformität umstritten ist. Vor allem die Videokonferenzlösung Zoom stand in der Kritik. Unternehmen wie Google und Space-X, aber auch das Auswärtige Amt verboten aufgrund von Datenschutz- und Sicherheitsbedenken den Einsatz. Der Berliner Datenschutzbeauftragte warnte in seiner „Empfehlung zur Durchführung von Videokonferenzen“ im Juli 2020 davor, dass gängige Dienste von US-amerikanischen Anbietern nicht den datenschutzrechtlichen Anforderungen entsprächen. Genannt wurden neben Zoom auch Cisco Webex, GoToMeeting, Microsoft Teams und Skype for Business.

Auch WhatsApp geriet in die Kritik. Der Bundesbeauftragte für den Datenschutz Ulrich Kelber bemängelte im Interview mit dem „Handelsblatt“ die Weitergabe und intensive Auswertung von Nutzungsdaten sowie das Auslesen des Telefonbuchs und verbot Bundesbehörden den Einsatz. „Consumer-Lösungen wie WhatsApp sind für einen sicheren, Compliance-gerechten, DSGVO-konformen Informationsaustausch im beruflichen Bereich nicht geeignet“, erklärt
Tobias Stepan, Gründer und Geschäftsführer von Teamwire, das eine nach eigenen Angaben datenschutzkonforme Alternative für den Unternehmenseinsatz anbietet.

Die rechtliche Unsicherheit verschärfte sich noch durch das sogenannte „Schrems II“-Urteil, mit dem der Europäische Gerichtshof (EuGH) im Juli 2020 das Privacy-Shield-Abkommen der Europäischen Union mit den USA für unwirksam erklärte. „Ich frage mich ernsthaft, wie es nach dem Urteil des EuGH noch möglich sein soll, Dienste aus US-Clouds in Einklang mit den Bestimmungen der DSGVO zu nutzen“, sagt Andrea Wörrlein, Verwaltungsrätin der Virtual Network Consult AG Zug (VNC) und Geschäftsführerin von VNC Berlin, einem Unternehmen, das Open-Source-basierte Business-Anwendungen entwickelt.

„Ich verstehe ja“, so Wörrlein weiter, „dass viele Unternehmen im vergangenen Frühjahr aus der Not heraus nach dem ihrer Meinung nach nächstliegenden Produkt gegriffen haben, dabei gibt es durchaus deutsche und europäische Alternativen zu Teams und Zoom.“ Unternehmen sollten dringend ihre Auswahl überdenken und den Anbieter wechseln, rät sie.

Besonders verwundert ist die VNC-Chefin über die zunehmende Nutzung von Microsoft- und anderen Closed-Source-Produkten US-amerikanischer Anbieter in Behörden, Schulen und anderen öffentlichen Einrichtungen, die im klaren Widerspruch zur europäischen Open-Source-Strategie steht. „Hier läuft etwas in die falsche Richtung - wir müssen sofort eine Kehrtwende vollziehen und uns auch an die eigenen Strategien halten, die wir beschlossen haben“, fordert An­drea Wörrlein.

Mit ihrer Kritik ist sie nicht allein. Die Organisation Digitalcourage, die sich seit mehr als 30 Jahren für Grundrechte und Datenschutz in einer zunehmend digitalen Welt einsetzt, verlieh im vergangenen Jahr ihren Antipreis „Big Brother Award“ in der Kategorie Digitalisierung an die Kultusministerin von Baden-Württemberg, Susanne Eisenmann. Mit ihrer Entscheidung, wesentliche Dienste der digitalen Bildungsplattform des Landes von Microsoft betreiben zu lassen, liefere sie Daten und E-Mails aller Lehrerinnen und Lehrer sowie aller Schülerinnen und Schüler Baden-Württembergs an das US-Unternehmen und die US-Geheimdienste aus, heißt es in der „Laudatio“.

Datenschutz und Compliance sind keine notwendigen Übel, sondern gehören zum Kern einer verantwortungsvollen und nachhaltigen Unternehmensführung.

Dabei lassen sich Risiken niemals ganz ausschließen, sondern lediglich minimieren. Eine klare Priorisierung und Folgenabschätzung von getroffenen oder unterlassenen Maßnahmen ist deswegen für eine wirtschaftliche Umsetzung von Datenschutz und Compliance von entscheidender Bedeutung.

Am wichtigsten ist allerdings, dass die in den Marketing-Präsentationen postulierten Werte auch tatsächlich vom Führungspersonal vorgelebt und in der Kultur des Unternehmens verankert werden. Wenn das nicht der Fall ist, helfen auch die besten Compliance- und Datenschutz-Tools nichts – das zeigen Fälle wie Wirecard, Grenke oder H&M nur allzu deutlich.

Prof. Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, erläutert im Gespräch mit com! professional, woran es im Datenschutz noch hapert und warum Datenschutz und Pandemiebekämpfung kein Widerspruch sind.

com! professional: Herr Professor Caspar, die Datenschutz-Grundverordnung (DSGVO) ist seit fast drei Jahren wirksam. Wie hat sich der Datenschutz in deutschen Unternehmen seither verändert?

Johannes Caspar: Dank der DSGVO wird das Thema Datenschutz in der Öffentlichkeit viel stärker wahrgenommen und diskutiert. Vor ihrer Einführung hatten wir zudem weder die Struktur noch die Instrumente, um Datenschutzverstöße wirksam zu ahnden.

Caspar: Absolut. Die Zahl der Beschwerden hat seit 2018 enorm zugenommen, was uns allerdings auch an den Rand der Arbeitsfähigkeit gebracht hat. Leider können wir nicht immer so helfen, wie es die Menschen gern wollen: Viele Vorschriften sind sehr unbestimmt und es herrscht ein Klima der Rechtsunsicherheit.

Caspar: Viele Webseiten verarbeiten personenbezogene Daten ohne Einwilligung der Betroffenen für Werbemaßnahmen. Wir haben auch vermehrt Fälle, in denen öffentlich erhobene Daten für private Zwecke missbraucht wurden. Die Videoüberwachung, vor allem im privaten Bereich, führt ebenfalls oft zu Beschwerden, ebenso die Überwachung durch den Arbeitgeber. Erschreckend ist zudem die Zahl gravierender Fälle von sexuell motivierten Aufnahmen in Hamburg, denen Kinder und Frauen zum Opfer fallen.

Caspar: Das hat leider überhaupt nicht funktioniert. Diese US-Unternehmen wurden weitgehend bei der Rechtsdurchsetzung im grenzüberschreitenden Datenverkehr verschont. Am Ende ist es nicht zielführend, wenn man den kleinen Bäcker um die Ecke belangt, die Großen aber laufen lässt. Das schadet der Popularität des Datenschutzes erheblich.

com! professional: Für die großen Digitalkonzerne ist die irische Datenschutzbehörde federführend zuständig, weil Google, Facebook und Co. dort ihren europäischen Hauptfirmensitz angemeldet haben. Dieses „One-Stop-Shop“-Prinzip, nach dem bei einer grenzüberschreitenden Datenverarbeitung nur die Behörde am europäischen Hauptsitz eines Unternehmens zuständig ist, steht von Anfang an in der Kritik. Gibt es Bestrebungen, dies zu ändern?

Caspar: Dazu gibt es keine konkreten Pläne. Wir haben bei der Evaluation der DSGVO zwei Jahre nach Inkrafttreten deutlich auf diese Probleme hingewiesen, aber die Europäische Kommission ist der Ansicht, es sei noch zu früh für Veränderungen. Leider fiel auch die Stellungnahme des Europäischen Datenschutzausschusses EDPB meiner Meinung nach zu positiv aus, die wirklichen Schwierigkeiten werden ausgeblendet.

Caspar: Da sind wir weit von einer Lösung entfernt. Prinzipiell gilt die DSGVO nach Maßgabe des Marktortprinzips zwar immer, wenn ein Unternehmen aus Drittstaaten sich mit Waren oder Dienstleistungen an Personen in der EU wendet. Doch ist unsere Durchsetzungsmacht in Drittländern schwächer. Auch gibt es in derartigen  Fällen keine federführende Behörde, es sind also alle 45 europäischen und deutschen Datenschutzbehörden zuständig.

com! professional: Wie gehen die Aufsichtsbehörden in Deutschland mit dem Thema Bußgeld um? Schonen sie die Unternehmen eher oder greifen sie hart durch?

Caspar: Das wird sehr unterschiedlich gehandhabt. Die Spanne reicht von Behörden, die sehr viele Bußgelder verhängen, bis zu solchen, die bisher gar nichts gemacht haben. Im Großen und Ganzen sind wir eher zurückhaltend, wenn es darum geht, Bußgelder gegen kleine und mittlere Unternehmen gerade in der Pandemie zu verhängen.

Caspar: Der Vollzug gegen Unternehmen am Standort hat sicher auch eine psychologische Dimension. Gerade hier bestehen mitunter Barrieren, hart durchzugreifen. Es wäre daher besser, wenn die Aufsicht auch in der EU zentral gelöst wäre - und nicht auf Ebene der Mitgliedstaaten.

com! professional: Der Europäische Gerichtshof hat im Juli vergangenen Jahres im sogenannten Schrems-II-Urteil erneut die Datenübermittlungsvereinbarung der EU mit den USA gekippt und nach dem Safe-Harbor- auch das Privacy-Shield-Abkommen für ungültig erklärt. Wie reagieren die Datenschutzbehörden darauf?

Caspar: Nach dem Safe-Harbor-Urteil haben wir in Deutschland durchaus Maßnahmen ergriffen - übrigens damals als einige der wenigen in Europa. Was Schrems II betrifft, so gibt es eine Taskforce, die von Hamburg und Berlin geleitet wird. Wir sind gerade dabei, einen Fragenkatalog zu erstellen, um Unternehmen anzuschreiben, die Dienstleister mit Sitz in den USA für ihre Zwecke einsetzen.

com! professional: Besteht hier nicht eine massive Diskrepanz zwischen dem Ausmaß der Verstöße und dem, was geahndet wird?

Caspar: Ja, und das ist das eigentliche Problem. Je größer dieses Delta ist, desto schwerer können wir den Menschen vermitteln, dass Datenschutz nicht nur auf dem Papier besteht, sondern wirklich gelebt wird. Also müssen wir irgendwo den Anfang machen. Die Diskrepanz muss aufgelöst werden, wenn man nicht vollends die Akzeptanz verlieren will.

Caspar: Ach, da werden viele bunte Legenden gestrickt. Wir sträuben uns ja nicht, Tatsachen anzuerkennen und über den Sinn und Zweck von Datenschutzmaßnahmen zu diskutieren. Aber wenn nur immer über und nicht mit dem Datenschutz geredet wird, ist eine sachliche Diskussion nicht zu führen.

Caspar: Die Corona-App beruht auf Quelloffenheit, Freiwilligkeit und Dezentralität, dazu haben wir geraten. Am Ende hat sich die Regierung für eine App entschieden, die diesen Grundsätzen folgt. 

Caspar: Aber was wäre denn die Alternative gewesen? Die deutsche Corona-App wurde über 25 Millionen Mal heruntergeladen. Dieser Erfolg ist klar auf das datenschutzfreundliche, dezentrale Konzept zurückzuführen. In Frankreich, wo man sich zunächst für eine zentrale Datenspeicherung entschieden hatte, erhielt die erste Corona-App „StopCovid“ kaum Akzeptanz in der Bevölkerung und musste durch eine datenschutzfreundlichere ersetzt werden.

com! professional: Es gibt ja auch immer wieder die Diskussion, die Nutzung der App verpflichtend zu machen …

Caspar: Wie soll das funktionieren? Die Menschen müssten dazu gezwungen werden, die App zu installieren und ihr Smartphone immer mit sich zu führen. Das könnte nur mit Geofencing, Videoüberwachung und anderen drastischen Maßnahmen gelingen. Die Diskussion verkennt, dass wir bei der App die Menschen mitnehmen müssen. Gern bin ich bereit, über andere Konzepte zu diskutieren, da sollte dann aber auch mehr kommen als eine pauschale Kritik und der Verweis auf Südostasien.

com! professional: Welche Auswirkungen hatte der Krisenmodus und die schnelle Digitalisierung auf die Datenschutzsituation in den Unternehmen?

Caspar: Wir haben einen massiven Digitalisierungsschub erlebt. Unternehmen wie Zoom sind geradezu explodiert. Das ist ja im Prinzip auch gut so. Stellen Sie sich vor, Corona wäre vor 30 oder 40 Jahren passiert. Wir hätten nur über das Festnetztelefon kommunizieren können, immer in der Angst vor einer ruinösen Telefonrechnung. Leider haben Unternehmen, aber auch Behörden und Bildungseinrichtungen die Zeit zwischen den beiden Lockdowns oft nicht genutzt, um für Alternativen zu sorgen. Sie verwenden nach wie vor marktübliche Lösungen zumeist der US-Anbieter, die man zwar schnell einsetzen kann, die aber alles andere als datensparsam sind und bei denen die Nutzung der Daten zum Geschäftsmodell gehört. Wir brauchen verlässliche und datenschutzgerechte Systeme. Es wird immer viel von Open Source gesprochen, aber in der Praxis ist davon nur wenig zu sehen.

Caspar: Nein, es wurden bislang weder Verbote ausgesprochen noch wurde jemand belangt, weil er Zoom oder Skype im Unterricht eingesetzt hat. Das heißt nicht, dass das in Ordnung ist.
Natürlich war es eine schwierige Zeit und wir mussten erst einmal dafür sorgen, dass die Kommunikation funktioniert. Mittlerweile gibt es mit Moodle und Big Blue Button ein datenschutzkonformes System. Leider läuft das offenbar noch nicht überall performant, sodass im Bereich der Schulen nach wie vor ein Flickenteppich besteht. Das ist zu verbessern und bedarf weiterer Anstrengungen. Solange jedoch das Parlament über Zoom kommuniziert, ist es Lehrern nur schwer zu vermitteln, etwas zu ändern.