Datenschutz für selbständige Mediator*innen – Experteninterview

Was selbständige Mediator*innen beachten müssen, um datenschutzkonform zu arbeiten.

Das Experteninterview mit Rechtsanwältin Maria Fetzer der Leipziger Kanzlei SPIRIT LEGAL Rechtsanwälte, beschäftigt sich mit Fallstricken und Fehltritten im Webauftritt von Selbständigen und Firmen sowie den ersten wichtigen Schritten zur Annäherung an DSGVO-konforme Websites und Werbeauftritte.

1. Hallo Maria, als Rechtsanwältin und Expertin für Datenschutzrecht und damit für digitale Auftritte von Selbständigen und Firmen: Welche drei schweren, aber unkompliziert behebbaren Fehltritte im Webauftritt von Selbständigen und Firmen finden sich in der Praxis immer wieder?

Zusammengefasst kann man sagen: Websites fehlt es im Hinblick auf den Datenschutz häufig an Transparenz. Oft mangelt es bereits an transparenten Datenschutzinformationen auf der Website, die Aufschluss über die tatsächlichen Verarbeitungsvorgänge geben und die Anforderungen der Datenschutzgrundverordnung erfüllen. Häufig wird hier auch am falschen Ende gespart und auf kostenlose Muster aus dem Netz zurückgegriffen, in der Erwartung, datenschutzkonforme Rechtstexte zum Nulltarif zu erhalten. Dies rächt sich mit Blick auf die zahlreichen aktuellen europäischen Gerichtsurteile (z.B. „Planet 49“), die bei der Erstellung von Rechtstexten auf Websites zu berücksichtigen sind. Insbesondere bei der Einbindung von Tracking-Tools (z.B. Google Analytics) sollte darauf geachtet werden, auch die Privacy- bzw. Cookie-Banner entsprechend zu überarbeiten und datenschutzkonform einzubinden. Darüber hinaus sehen wir uns des Öfteren mit fehlenden oder mangelhaften Impressen konfrontiert, was nicht nur wettbewerbsrechtliche Folgen haben kann. Die Liste ist lang, wir könnten mit diesem Thema locker einen ganzen Tag füllen. 

2. Wenn ich mich als Unternehmer entschlossen habe, dem Datenschutz nun angesichts der DS-GVO und der weiteren Gesetzgebung (…) mehr Aufmerksamkeit zu schenken als bisher, was würdest Du mir empfehlen, welche fünf ersten Schritte ich gehen sollte?

Folgende Schritte können wir empfehlen:

1. Data Mapping: Das Unternehmen sollte die stattfindenden Verarbeitungsprozesse und Datenflüsse innerhalb des Unternehmens analysieren, zusammentragen und in einem sog. “Verzeichnis der Verarbeitungstätigkeiten” auflisten. Dieses sollte so ausgestaltet sein, dass sowohl die verarbeiteten Kategorien personenbezogener Daten, Rechtsgrundlagen, Empfänger, ggf. ein erfolgender Drittstaatentransfer und Löschfristen ersichtlich sind. Musterverzeichnisse werden von zahlreichen Aufsichtsbehörden bereits zur Verfügung gestellt.
2. Bestandsanalyse: Im Rahmen einer Bestandsanalyse sollte der Status-quo der Umsetzung der Anforderungen der Datenschutzgrundverordnung im Unternehmen analysiert werden. Hierbei gilt es insbesondere Schwachstellen im Unternehmen (z.B. IT-Systeme) sowie potentiell kritische Systeme auszuloten, z.B. Videoüberwachungsanlagen mit Audioaufzeichnung und diese auf die Einhaltung der datenschutzrechtlichen Grundsätze zu überprüfen. Solche Systeme können unter Umständen sogar eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordern. 
3. Data Contract Management: Unerlässlich ist auch der Abschluss von datenschutzrechtlichen Verträgen (z.B. Auftragsverarbeitungsverträge) mit externen Dienstleistern, die z.B. im Auftrag des Unternehmens personenbezogene Daten verarbeiten. Hier liegt der Teufel im Detail und es sollte sich vor Abschluss einer solchen Vereinbarung vorab fachlicher Rat eingeholt werden, um insbesondere Haftungsrisiken zu minimieren.
4. Datenschutzinformationen: Unternehmen sollten darauf achten, Bewerbern, Kunden und den Mitarbeitern transparente Informationen über die im Unternehmen erfolgenden Verarbeitungsprozesse bereitzustellen. Hierzu zählen insbesondere Informationen über die Zwecke der Verarbeitung, ggf. Empfänger der Daten, Speicherdauer sowie der Rechtsgrundlage für die Verarbeitung, vgl. Art. 13 DSGVO.
5. Website auf Angriffsflächen prüfen: Jedem Websitebetreiber ist zu empfehlen, den Einsatz von Tracking-Tools auf der Website zu prüfen, da Web-Tracking im Fokus der Aufsichtsbehörden steht. Die Einbindung von Drittinhalten bzw. Tracking-Tools auf der Website, wie z.B. Google Analytics, die Endgeräteinformationen verarbeiten und das Nutzerverhalten auf der Website auswerten, sind in der Regel nur noch mit ausdrücklicher Einwilligung des Nutzers möglich. Der Websitebesucher muss die Möglichkeit haben, sich vor Benutzung der Website u.a. über die Funktionsweise der jeweiligen Tools zu informieren und individuell in diese einzuwilligen oder diese abzulehnen. Die Aufsichtsbehörden zeigen sich in diesem Bereich als äußerst sensibel und haben bereits erste Bußgeldverfahren eingeleitet. Nachlässigkeit zahlt sich daher an dieser Stelle nicht aus, da die Bußgelder unter der DSGVO empfindliche Summen erreichen können.

3. Welche weiteren Schritte und Maßnahmen beim Datenschutz sind perspektivisch unbedingt wichtig, welche absolut dringend und welche können noch in das „Backlog“ gesteckt und demnächst umgesetzt werden?

Der wohl wichtigste und oft vergessene Schritt ist die Sensibilisierung der Mitarbeiter für den Schutz personenbezogener Daten. Häufig besteht Unkenntnis darüber, dass bereits eine an den falschen Empfänger adressierte E-Mail mit Vertragsunterlagen unter Umständen bereits ein meldepflichtiger Datenschutzvorfall sein kann, der u.a. ein aufsichtsbehördliches Verfahren zur Folge hat. Daneben ist auch die Veröffentlichung von Fotos von Veranstaltungen oder von Mitarbeitern, z.B. auf der Website mit Vorsicht zu genießen. Im Bereich von Fotoaufnahmen ist das Zusammenspiel unterschiedlichster gesetzlicher Anforderungen zu berücksichtigen, wie z.B. das allgemeine Persönlichkeitsrecht der abgebildeten Person. Vor der Veröffentlichung, z.B. von Mitarbeiterfotos auf der Website ist daher die Einwilligung der betreffenden Mitarbeiter einzuholen und entsprechend zu dokumentieren. Hilfreich ist es zudem, die internen Abläufe für den Fall der Geltendmachung von Betroffenenrechten durchzuspielen und feste Ansprechpartner für die Bearbeitung solcher Anfragen festzulegen, beispielsweise wenn ein Kunde von seinem Auskunftsrecht nach Art. 15 DSGVO Gebrauch macht. Für die Aufarbeitung des zugehörigen Sachverhalts hat das Unternehmen nur ein vergleichsweise geringes Zeitfenster, da die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen sind. Die zeitliche Komponente kann ein Unternehmen schon vor Herausforderungen stellen.

4. Welche (Werbe-)Aktivitäten sollte ich heutzutage als Selbständige*r eher oder unbedingt unterlassen, nicht nur weil sie rechtswidrig sind, sondern garantiert auch Schäden nicht nur bei den Datenschutz-Opfern hinterlassen würden.

Ganz klar: Direktmarketing via E-Mail ohne Einwilligung des Empfängers oder sonstige Berechtigung, vgl. § 7 UWG. Hier bewegen wir uns nicht primär nur in der DS-GVO, sondern im Gesetz gegen den unlauteren Wettbewerb (UWG). Abmahnungen, aufsichtsbehördliche Verfahren und Schadensersatzansprüche der Empfänger können hier die Folge sein. Es ist daher immer darauf zu achten, dass eine taugliche Rechtsgrundlage für die Versendung werblicher E-Mails nachgewiesen werden kann, und die Einwilligung z.B. im Wege des Double-Opt-In-Verfahrens entsprechend dokumentiert ist. Daneben sollten aus den bereits dargestellten Gründen vor der Veröffentlichung von Foto- oder Videoaufnahmen zu Werbezwecken die rechtlichen Rahmenbedingungen abgeklärt werden, um Haftungsrisiken zu vermeiden.

5. Wenn man konkrete und ernsthafte Beratung braucht, sind Leute wie Ihr ansprechbar. Für Selbständige, die sich zunächst vertiefter informieren wollen: was können diese tun, um ihre Digitalstrategie zu finden und dann auch konkret umzusetzen?

Hilfreiche Informationen liefern bereits die Websites der Landesdatenschutzbehörden, der Datenschutzkonferenz und des Europäischen Datenschutzausschusses. Dort werden regelmäßig Beschlüsse, aktuelle Stellungnahmen und Handlungsanweisungen zu diversen datenschutz-rechtlichen Belangen veröffentlicht, wie z.B. zu Videoüberwachung oder Web-Tracking. Aber auch wir als Kanzlei bieten einen kostenlosen Newsletter an, wo wir regelmäßig über aktuelle Entwicklungen informieren.

6. Was ist sonst noch wichtig oder gut zu wissen, wenn ich als Selbständiger oder Unternehmer meine Digitalstrategie auf die Datenschutz- und Wettbewerbsregeln etc. abstimmen muss?

Wichtig ist, die zahlreichen gesetzlichen Anforderungen und Vorgaben nicht als Hemmnis zu verstehen, sondern als Chance, sich mit einer rechtlich fundierten Digitalstrategie und der Umsetzung dieser von anderen Wettbewerbern abzuheben.