Thema Datenschutz: was muss ich als kleines Unternehmen beachten?

Lesen Sie hier ein Interview mit „unserem“ Professor Gerhard Kongehl, der mit seiner Firma udis Datenschutzexperten ausbildet und im TFU GründerZentrum Neu-Ulm ansässig ist.

Kongehl1

 TFU: Herr Professor Kongehl, Sie sind als Datenschutzexperte seit über 30 Jahren tätig und haben vor über 25 Jahren die Firma udis ins Leben gerufen. Herzlichen Glückwunsch! Bei udis bilden Sie Experten nach dem Ulmer Modell aus. Sicherlich sind das Fachleute aus größeren Firmen?

GK: Danke für den Glückwunsch, wir haben wirklich viel Zeit und Mühe für dieses wichtige Thema investiert. Aber Ihre Vermutung ist falsch: Datenschutz geht nicht nur größere Firmen an. Die Auszubildenden bei udis stammen zu mehr als 70% aus dem Mittelstand!

TFU: Aha! Aber auch aus wirklich jungen und kleinen Unternehmen?

GK: Nein, überwiegend sind es natürlich etablierte Firmen, die Ausbildung kostet neben relativ geringen Gebühren vor allem einiges an Zeit. Die frei zu bekommen ist das Hauptproblem, denn wir alle haben einen vollen Terminkalender.

TFU: Aber was macht denn nun ein junger Gründer, eine junge Gründerin? Den Datenschutz erst mal weglassen?

GK: Natürlich nicht. Entgegen landläufiger Meinung ist Datenschutz gar nicht so schwer und mit professionellem Datenschutz kann man sogar Geld sparen. Wesentlich ist es, sich ein paar wichtige Überlegungen einzuprägen, nach denen dann gehandelt wird.

TFU: Und welche sind das?

GK: Also, erstens einmal muss jeder und jede im Unternehmen ganz klar wissen: die Daten anderer sind komplett privat. Gehen Sie davon aus, dass Sie sie nicht verwenden dürfen. Wenn Sie sie doch verwenden müssen, dann nur aus triftigen, gesetzlich festgelegten Gründen.

TFU: Ist es nicht auch ein triftiger Grund, Geschäfte mit Daten machen zu wollen? Gerade bei Internet-Firmen ist der Datenschatz doch das Wichtigste!

GK: Allen von der Datenverarbeitung betroffenen Personen, also auch Kunden, soweit es sich um natürliche Personen handelt, muss mitgeteilt werden, wie die Daten verwendet werden. In vielen Fällen muss sogar die Einwilligung der Betroffenen eingeholt werden und zwar vorher. Und natürlich sind Daten wertvoll. Das heißt aber eben nicht, dass Sie sie einfach benutzen dürfen. Sie gehen ja auch nicht in ein Juweliergeschäft und klauen eine goldene Uhr, nur weil sie da liegt und sie wertvoll ist.

TFU: Darf man also oder darf man keine Daten verwenden?

GK: Wenn von der Datenverarbeitung betroffene Personen zustimmen, dürfen Sie es immer machen. Ich warne aber davor, die Zustimmungserklärungen irgendwie zu „erschleichen“ – wo sie versteckt sind, einfach geändert werden können geraten wir auf dünnes Eis, schon vom moralischen Standpunkt aus, aber auch vom rechtlichen her. Facebook ist ein abschreckendes Beispiel. Wenn Sie kleiner sind als Facebook und nicht 99% Marktanteil haben – überlegen Sie es sich, ob Sie nicht doch transparenter vorgehen wollen.

TFU: Die jüngere Generation hat offensichtlich viel weniger Scheu, ihre Daten preiszugeben, als die Älteren. Sind wir nicht einfach zu vorsichtig?

GK: Lassen Sie nur einige Male etwas richtig Schlimmes passieren, was wegen zu leichtfertig abgegebener Daten möglich wurde. Der Wind kann sich schnell drehen, aber die Daten sind draußen. Außerdem: wenn ein Nutzer etwas freiwillig macht, ist das doch o.k. – solange er oder sie wirklich weiß, was es bedeutet, was sie da tun. Leider wissen es die wenigsten. Neben Aufklärung der Nutzerinnen und Nutzer gehört daher ganz eindeutig, dass Firmen gezwungen werden, den Datenschutz ernst zu nehmen. Nur weil etwas geht, ist es noch lange nicht in Ordnung.

TFU: Zurück zu Gründerinnen und Gründern: Was konkret bedeutet das für ein junges Unternehmen? Was müssen die beachten? Ohne welche Vorkehrungen machen sie sich womöglich strafbar?

GK: Im Grunde ganz einfach und in 5 Sätzen zu sagen:

1. Die Verwendung von personenbezogenen Daten ist grundsätzlich verboten.

2. Grundsätzlich heißt, solange keine Ausnahmen festgelegt sind.

3. Ausnahmen gibt es nur, wenn eine Einwilligung der von der Datenverarbeitung betroffen vorliegt oder es eine gesetzliche Grundlage gibt, die die Verarbeitung der Daten in definierten Grenzen erlaubt.

4. Eine dieser für Firmen wichtigen gesetzlichen Ausnahmetatbestände besteht darin, dass die personenbezogene Datenverarbeitung für die Begründung, Durchführung oder Beendigung eines Vertrags mit den Betroffenen erforderlich ist

5. Wer diese Vorschriften missachtet, muss mit einem Bußgeld rechnen, das höher sein soll als der finanzielle Vorteil, den man hätte, wenn man diese Vorschriften ignorieren würde.

Das war´s schon.

TFU: Lieber Herr Professor Kongehl, ganz herzlichen Dank für das Gespräch und weiterhin viel Erfolg!