00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT. Mit Dr. Klaus Meffert und Stephan Plesnik.

00:00:12: Hallo und herzlich willkommen zum Datenschutz Deluxe Podcast. Mein Name ist Stephan Plesnik und ich bin wie immer hier mit Dr. Klaus Meffert. Lieber Klaus, wie geht es dir?

00:00:20: Ja Stephan, freut mich, dass wir wieder sprechen. Mir geht es gut. Wir haben ja unseren Podcast. Grund zur Freude, würde ich sagen.

00:00:26: Auf jeden Fall. Ich habe für heute ein Thema eigentlich gar nicht rausgekramt, sondern ich konnte mich vor Informationen darüber in meinem Newsfeed in der letzten Zeit gar nicht mehr retten.

00:00:40: Und zwar schlitterte da die Information zu mir, dass die Bundesländer der Bundesrepublik Deutschland wohl einstimmig jetzt der Meinung sind,

00:00:52: dass wir im Bundesdatenschutzgesetz eine Änderung vornehmen.

00:00:56: Und zwar zu den Pflichten zur Bestellung eines Datenschutzbeauftragten.

00:01:02: Ich gebe mal kurz so einen groben Abriss für alle Zuhörer. Unternehmen mit 20 Mitarbeitern oder mehr, die mit automatisierter Datenverarbeitung zu tun haben,

00:01:13: sind laut Bundesdatenschutzgesetz in Deutschland dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen.

00:01:20: Entweder einen internen Mitarbeiter oder einen externen Dienstleister.

00:01:24: Das ist keine Explizität.

00:01:26: Das ist die zweite Pflicht der Datenschutzgrundverordnung auf europäischer Ebene.

00:01:30: Und Deutschland ist in Europa das einzige Land, das eine solche zusätzliche Regelung hat, wie viele an die Mitarbeitergrenze gekoppelt.

00:01:37: Und darüber regen sich jetzt halt viele auf und regen den Gedanken an, dass man das doch ändern sollte, weil das in sehr vielen Unternehmen für Kosten sorgt, für Probleme sorgt und so weiter.

00:01:48: Und wenn man denen zuhört bei ihren Argumenten, dann hört man natürlich ziemlich viel Populismus.

00:01:53: Das ist klar, ist ein politisch ausschlachtbares Thema.

00:01:56: Aber auf der anderen Seite stellt sich dann doch für jemanden wie mich als Datenschutzbeauftragten und dich, Klaus, ja die Frage, wie sinnhaft ist das, eine solche Regelung zu haben?

00:02:06: Und deswegen wollte ich mit dir eigentlich mal über den Erfahrungswert sprechen.

00:02:09: Was hältst du für sinnvoll?

00:02:11: Wann sollte ein Datenschutzbeauftragter im Unternehmen bestellt sein?

00:02:16: Welche Funktionen führt er denn dann aus und warum ist das wichtig?

00:02:20: Und ist es vielleicht doch sinnvoll, das an eine Mitarbeitergrenze zu koppeln?

00:02:24: Oder gibt es vielleicht andere Faktoren?

00:02:26: An die man das koppeln könnte, dass das ganze Thema auch vielleicht ein bisschen logischer erscheinen lässt, als einfach nur, ey, ihr habt eine Pappnase zu viel beschäftigt, dann müsst ihr das jetzt leider da noch jemanden zusätzlich bestellen.

00:02:39: Wie siehst du das, Klaus? Was sind da deine Erfahrungen?

00:02:42: Also zunächst ist es ja so, dass der Bundestag hat es ja nicht beschlossen.

00:02:49: Es wurde abgelehnt.

00:02:50: Das heißt, das Thema ist vom Tisch.

00:02:52: Ich glaube, gestern oder vorgestern war das gewesen.

00:02:54: Das heißt, die Bestellpflicht des Datenschutzbeauftragten bleibt bei 20 oder mehr Mitarbeitern, die mit der Verarbeitung personenbezogener Daten beschäftigt sind.

00:03:05: Alle kleineren Unternehmen müssen es, also können sich ja immer noch oder konnten ja schon immer selbst überlegen, ob sie einen DSB bestellen oder nicht.

00:03:13: Und da ist ja immer das Problem gewesen bei jedem Unternehmen, dass der DSB natürlich keine Person sein darf, die im Interessenskonflikt mit seiner Aufgabe,

00:03:24: als Angestellter und dann als DSB steht.

00:03:28: Deswegen ist man da oft auf Externe ausgewichen oder auf Personen, die eben jetzt nicht der Chef waren und auch nicht besonders kompetent in bestimmten Bereichen, wie der IT zum Beispiel.

00:03:38: Weil diese Kompetenz in der IT, als Beispiel, ist jetzt mein Thema, deswegen kann ich mich darauf beziehen, sorgt ja dafür, dass man insbesondere in IT-Fragen dann voreingenommen wäre.

00:03:48: Also insofern, also zunächst mal muss man festhalten, es ist nicht so einfach, einen DSB zu bestellen, wenn man es denn will.

00:03:54: Oder muss. Bei ganz kleinen Firmen, bei Ein-Personen-Firmen ist es ja sowieso klar, da ist man selbst der DSB und so gut wie niemand hat wahrscheinlich dann einen externen, vermute ich mal.

00:04:04: Oder viele zumindest haben keinen externen von den kleinsten Unternehmen.

00:04:08: Und bei den größeren, ja, da gibt es halt viele, die Externe haben, aus den genannten Gründen.

00:04:13: Grundsätzlich macht es natürlich schon Sinn, einen DSB oder einen Ansprechpartner zu haben, so würde ich es jetzt mal sagen.

00:04:19: Also der Datenschutzbeauftragte ist für mich in erster Linie ein Datenschutzberater.

00:04:23: Und ich glaube, so sieht der DSB sich ja auch.

00:04:24: Ja, auch. Weil wenn er nämlich sich anders sehen würde, dann würde er mehr Haftung haben und das will keiner.

00:04:29: Kein DSB jedenfalls. Der Auftraggeber würde es gerne haben, aber der DSB nicht.

00:04:34: Deswegen, so sehe ich das, verstehen sich die DSBs wohl als Berater.

00:04:40: Und das ist zum Beispiel ein Spannungsfeld, wenn es um die Webseitenprüfung geht.

00:04:43: Da bin ich ja drin und biete das ja auch an, als Software as a Service auch.

00:04:49: Und da ist es ja so, der DSB ist meiner Meinung nach der falsche Ansprechpartner für die Webseitenprüfung.

00:04:54: Er kann es.

00:04:54: Vielleicht, wenn er technikaffin ist, kriegt er es hin.

00:04:59: Aber die meisten DSBs sind ja gar nicht technikaffin von der Grundstruktur her.

00:05:05: Es geht um Datenschutz, es geht um Unternehmensprozesse.

00:05:08: Da ist jetzt mal Technik, natürlich ist man heute in der technisierten Welt, da weiß man Bescheid.

00:05:12: Aber da soll der DSB auch noch das machen und zwar tiefgehend.

00:05:16: Ich meine, wenn der DSB sich mal die Webseite anguckt oder dem Kunden Fragen dazu beantwortet, okay.

00:05:20: Aber der Kunde erwartet, dass der DSB sagt, hier, du musst dies und jenes.

00:05:24: Jenes alles machen und möglichst umfangreich.

00:05:27: Das halte ich für ein überschwänglicher Inanspruchnahme des DSBs.

00:05:32: Also da sehe ich ein gewisses Spannungsfeld zwischen Beratung und übermäßiger Beratung, die der Kunde oft fordert.

00:05:40: Und dann kommt es immer darauf an, wie ist der DSB in Lohn und Brot gestellt.

00:05:44: Ist es ein Pauschalangebot?

00:05:46: Also beim Angestellten ist es egal.

00:05:48: Der kann natürlich so oft in Anspruch genommen werden, wie er will.

00:05:49: Er kostet ja sowieso immer das Gleiche.

00:05:52: Nämlich den Lohn.

00:05:54: Den er sowieso kriegt.

00:05:55: Ob er jetzt die Tätigkeit X oder Y ausführt, ist finanziell gesehen das Gleiche.

00:05:59: Produktiv vielleicht nicht, aber finanziell.

00:06:01: Beim Externen ist es was anderes.

00:06:02: Wird er noch Pauschale bezahlt, möchte er eigentlich gerne möglichst wenige andere Aufgaben wahrnehmen, als die, die er vereinbart hat.

00:06:09: Und die auch nur im möglichst geringen, aber sinnvollen Umfang.

00:06:12: Wird es nach Stunde bezahlt, dann ist der DSB sehr gerne bereit, weitere Aktivitäten auszuführen.

00:06:17: Also das würde ich vielleicht jetzt erstmal als Spannungsfeld einfügen.

00:06:21: Um daraus dann abzuleiten.

00:06:24: Was sinnvoll ist.

00:06:26: Ja, da will ich vielleicht erstmal wieder an dich übergeben, bevor ich weiterrede.

00:06:30: Ja, ich finde das sehr spannend, was du sagst mit Beratung.

00:06:34: Weil man tut sich auch manchmal schwer zu sagen, was bedeutet das mit dieser Bestellung eigentlich.

00:06:39: Für alle da draußen, die das noch nicht, oder alle Zuhörer, die in dieser Bestellungspflicht noch nicht drin waren.

00:06:46: Erstmal vielleicht so einen groben Scope.

00:06:49: Also die Bestellung ist eigentlich nur der Vorgang der Benennung einer Person,

00:06:53: die dann eben für dieses Thema zuständig ist.

00:06:58: Aber wie du schon richtig sagtest, es ist eine beratende Funktion in Richtung des gesamten Managements,

00:07:06: der gesamten Unternehmensführung, aber eben auch aller Mitarbeiter als Ansprechpartner,

00:07:10: zum gesamten Thema Verarbeitung personenbezogener Daten.

00:07:14: Wenn man so eine Person nicht hat im Unternehmen, dann ist es natürlich wahrscheinlich auch,

00:07:20: also so ist meine Erfahrung, sehr viel einfacher,

00:07:23: viel schwieriger, den Dokumentationspflichten

00:07:25: nachzukommen. Das ist so ein Punkt,

00:07:27: weil so, wie man die dann

00:07:29: aufbereiten muss, die Informationen, ist das

00:07:31: ja schon keine Kleinigkeit.

00:07:33: Da braucht man auf jeden Fall auch eine gewisse

00:07:34: Form von Grundlagen und Fortbildung, damit man

00:07:36: versteht, was muss denn eigentlich da wie

00:07:39: dokumentiert werden. Das ist halt so

00:07:41: Punkt eins, wo

00:07:43: ja dann auch der Punkt Weiterbildung, Fortbildung

00:07:45: für interne Mitarbeiter reinspielt.

00:07:47: Da hast du dann wieder das Thema, um das aufzugreifen,

00:07:49: was du gerade sagtest mit diesem

00:07:50: Geld. Also der Mitarbeiter kostet immer dasselbe,

00:07:52: klar, das stimmt. Egal welcher

00:07:54: Tätigkeit er dann wirklich effektiv nachgeht,

00:07:57: aber so jemand, der als interner

00:07:58: Datenschutzbeauftragter bestellt

00:08:01: ist, der hat ja auch bestimmte

00:08:02: Fortbildungspflichten und der

00:08:04: Unternehmer muss eben auch dafür sorgen,

00:08:06: dass er ihm genug Zeit zur Verfügung

00:08:09: stellt von seiner Arbeitszeit, um

00:08:10: sich um die Datenschutzangelegenheiten zu kümmern.

00:08:13: Und das ist

00:08:14: ja dann auch wieder eine Sache,

00:08:16: die so in diese Thematik der Wirtschaftlichkeit

00:08:18: reinspielt, wo hingegen der externe

00:08:21: Dienstleister selber ein Interesse

00:08:22: daran hat, sich fortzubilden,

00:08:24: zertifizieren zu lassen und so weiter,

00:08:26: damit er diese Dienstleistung überhaupt anbieten

00:08:28: kann. Aber

00:08:30: natürlich sind sehr

00:08:32: wahrscheinlich die extern Bestellten

00:08:34: immer ein bisschen teurer als die internen Mitarbeiter,

00:08:36: weil, wie du schon richtig sagtest, die bezahle ich ohnehin.

00:08:39: Die stehen also in meiner Bilanz,

00:08:40: wenn du so möchtest, auf einer anderen Seite.

00:08:43: Ja, ja. Und die müssen sich

00:08:44: auch selbst weiterbilden, die externen. Der interne Mitarbeiter

00:08:46: kriegt die Weiterbildung bezahlt.

00:08:48: Ja, absolut. Das kostet dem Arbeitgeber natürlich auch Geld,

00:08:50: aber das sieht er bei dem externen ja nicht.

00:08:52: Den Weiterbildungsaufwand, den du zum Beispiel

00:08:54: betreibst, den zahlt dir erstmal niemand.

00:08:56: Den musst du dir irgendwo wiederholen, was ja auch

00:08:58: vollkommen legitim ist, sonst würde sich ja

00:09:00: niemand weiterbilden. Aber jetzt einfach mal

00:09:02: so zu dieser Grenze, also,

00:09:04: dass wir das in Deutschland als einzigen Land

00:09:06: in der EU an so

00:09:08: eine Mitarbeiterzahl gekoppelt

00:09:10: haben. Die war ja sogar mal niedriger

00:09:12: in der Vergangenheit. Zehn, ja.

00:09:13: Die war dann auf zehn und dann ist die erhöht worden auf zwanzig.

00:09:17: Was ist denn

00:09:18: so deine Erfahrung?

00:09:20: Ist das sinnvoll?

00:09:22: Zu sagen, das ist sinnvoll, das an diese Mitarbeitergrenze

00:09:25: zu koppeln, auch wo jetzt die Entscheidung dann

00:09:27: vom Bundestag getroffen wurde, ja, das ist sinnvoll.

00:09:29: Stelle ich das nochmal zur Disposition

00:09:31: als Frage, weil ich denke mir immer

00:09:33: so, es gibt

00:09:35: durchaus Online-Shops,

00:09:37: die von zwei, drei Leuten betrieben werden,

00:09:39: weil die nur digitale Produkte

00:09:40: vertreiben oder nur von einer Person.

00:09:43: Die verarbeiten

00:09:44: im höchsten, also eigentlich ist deren Kerngeschäft

00:09:47: die Verarbeitung personenbezogener Daten,

00:09:49: weil sie sonst gar keine Bestellungen

00:09:50: aufnehmen können und so weiter.

00:09:52: Und wenn

00:09:54: ich das an so eine

00:09:56: Mitarbeitergrenze kopple und dann

00:09:58: sage, ja gut, erst ab zehn

00:10:00: ist das relevant oder eben, wenn

00:10:02: das Kerngeschäft die Verarbeitung personenbezogener

00:10:04: Daten ist, wo es dann immer so einen Streitfall

00:10:06: gibt, ab wann ist das denn der

00:10:08: Fall, dass das das Kerngeschäft ist?

00:10:12: Welche

00:10:12: Erfahrungen hast du da?

00:10:14: Ist das sinnvoll, das an die Mitarbeitergrenze

00:10:16: zu koppeln? Also da fällt mir

00:10:18: einiges ein. Vielen Dank für die sehr gute Frage.

00:10:21: Ich hole mal ein bisschen weiter kurz aus.

00:10:22: Ich möchte gerne mal die Analogie

00:10:24: des Steuerberaters.

00:10:26: Der Steuerberater heißt Steuerberater und nicht

00:10:28: Steuerbeauftragter, weil es eine

00:10:30: freiwillige Entscheidung ist, ob man den Steuerberater

00:10:32: nehmen kann oder nicht. Wäre es

00:10:34: vorgeschrieben, würde er Steuerbeauftragter

00:10:37: heißen. Und der andere

00:10:38: heißt Datenschutzbeauftragte. Ich bin

00:10:40: dafür, sage ich auch gleich, in welchem

00:10:42: Gesamtkontext ich das sehe, wir

00:10:44: haben ein krankes System im Datenschutz.

00:10:47: Und zwar in erster Linie

00:10:48: deswegen, weil Datenschutz politisch nicht

00:10:50: gewollt ist. Das kann man an vielen

00:10:52: Beispielen festmachen. Ich komme ja hier aus

00:10:54: Hessen. Die hessische Datenschutzbehörde

00:10:56: hat keinerlei Lust, gegen irgendjemand

00:10:58: und irgendetwas vorzugehen.

00:11:00: Selbst bei allerschlimmsten Vergehen

00:11:02: und im Sinne der betroffenen Personen handelt die

00:11:04: hessische Datenschutzbehörde auch nicht. Kann ich

00:11:06: aus eigenen persönlichen

00:11:08: Gesprächen und Kenntnissen über

00:11:10: die Behörde und mit der Behörde sagen,

00:11:13: nur als

00:11:14: ein Beispiel, dann mache ich produktiv weiter.

00:11:17: Ein Referatsleiter,

00:11:18: Referat ist ja, glaube ich, ich bin nicht

00:11:20: in der Behördenstruktur eingebunden, die zweithöchste

00:11:22: Ebene wahrscheinlich in der Behörde, nach dem

00:11:24: Chef, sagt mir,

00:11:26: dass Google Analytics

00:11:28: würde, hat er mir persönlich gesagt, ich habe ihm

00:11:30: gegenübergestanden in der Kaffeepause,

00:11:32: persönlich gesagt, Google Analytics

00:11:34: würde ja keine sensiblen Daten verarbeiten.

00:11:37: Und dann weiß ich

00:11:38: auch noch von einem Fall, wo

00:11:40: der hessische Datenschutzbeauftragte

00:11:41: verklagt worden ist, weil er

00:11:43: eine betroffene Person nicht ernst genommen

00:11:46: hat. Und zwar diese Person ist eine Dame,

00:11:48: die hat in einem Sexshop eingekauft

00:11:50: und ihre Daten,

00:11:52: ihre Daten wurden rechtswidrig,

00:11:54: sagt sie, weitergegeben.

00:11:57: Erotik,

00:11:58: also Gesundheitsdaten sind das.

00:12:00: Möchte man nicht unbedingt.

00:12:01: Es ist jedem selbst überlassen, was er in seiner Freizeit macht,

00:12:04: solange es nicht rechtswidrig ist.

00:12:06: Und der hessische

00:12:08: Datenschutzbeauftragte sagt, so schlimm

00:12:10: ist es ja nicht, wir alle kennen doch dieses

00:12:12: Sexspielzeug. Ich finde,

00:12:14: also da fehlt, wenn wir jetzt

00:12:15: privat wären, würde ich Worte verwenden, die man

00:12:18: öffentlich nicht sagen sollte, weil sie sonst

00:12:21: nicht spezialisierbar wären.

00:12:22: Also, aber

00:12:24: zurück zum... Wie schön du das gerade ausgedrückt hast,

00:12:26: Justiz, ja, wir werden ja schon richtig

00:12:28: hochtrabend hier.

00:12:30: Also zurück zum eigentlichen Thema.

00:12:32: Ich bin dafür, dass der Datenschutzbeauftragte

00:12:35: zum Datenschutzberater wird,

00:12:37: der er sowieso schon ist.

00:12:39: Genau wie der Steuerberater.

00:12:40: Ich habe als Unternehmer, der

00:12:42: umsatzsteuerpflichtig ist, einen Steuerberater.

00:12:44: Nicht, weil ich es will,

00:12:47: sondern weil es im

00:12:48: Gesamtkontext sinnvoll ist. Warum ist es

00:12:50: sinnvoll? Weil ich weiß, dass das

00:12:52: Finanzamt es sehr...

00:12:54: dass ich mit dem Finanzamt keine Probleme

00:12:56: haben möchte und das Finanzamt es durchaus ernst

00:12:58: nimmt, ja. Bei der Datenschutzbehörde

00:13:00: ist genau das Gegenteil der Fall.

00:13:02: Ich meine, ich finde es ja gut, wenn ich nicht

00:13:04: geprüft werde von der Datenschutzbehörde.

00:13:06: Aber ich bin dafür, dass die Datenschutzbehörde

00:13:08: viel häufiger Prüfungen machen sollte

00:13:10: und endlich einmal

00:13:12: in Deutschland

00:13:13: Datenschutz sanktioniert

00:13:16: werden soll bei Problemen oder zumindest

00:13:18: mal, es muss ja nicht gleich eine Sanktion sein,

00:13:20: aber es wird geprüft,

00:13:22: genau wie beim Finanzamt. Das Finanzamt stellt fest,

00:13:24: es ist ein Mangel da, dann gibt es

00:13:26: einen Hinweis und ich

00:13:28: kenne kaum jemanden, der die Hinweise vom Finanzamt

00:13:30: nicht ernst nimmt und diesen...

00:13:32: da kümmert man sich dann drum und dann ist

00:13:34: das Thema erledigt, ja. So muss

00:13:36: es auch im Datenschutz sein und dann

00:13:37: wird nämlich fast jeder auf die Idee kommen,

00:13:40: einen Datenschutzberater sich zu besorgen

00:13:42: und dann brauche ich erstens

00:13:43: diese Pflicht für den Datenschutzbeauftragten nicht

00:13:46: und zweitens gibt es mehr

00:13:47: Datenschutzberaterjobs dann als vorher,

00:13:50: sage ich, weil sie nämlich,

00:13:52: notwendig sind, wie du sagst, Dokumentationspflichten

00:13:54: und so, das kann man nicht alles

00:13:56: wissen, genau wie in der Steuer.

00:13:58: Ich hatte früher meine Steuererklärung selbst gemacht.

00:14:00: Ich musste mir unheimlich

00:14:02: viel Zeit nehmen dafür. Ich meine, privat kann

00:14:04: man das mit so einem Programm machen, okay, aber dann hat man noch

00:14:06: Aktien vielleicht, dann ist man noch Unternehmer,

00:14:07: dann hat man noch eine GmbH, da gibt es nicht nur den

00:14:09: Angestellten, sondern den Geschäftsführer und den

00:14:11: Gesellschafter und dann gibt es noch die Umsatzsteuer

00:14:14: und dann gibt es noch den Lohn. Das kann man

00:14:16: selbst natürlich machen, wenn

00:14:18: man ein bisschen lebensmüde ist und genug Zeit

00:14:19: hat. Aber man kann es

00:14:21: auch einen Steuerberater machen lassen.

00:14:24: Und ich finde,

00:14:26: der Weg ist, wir sollten, weil du mich fragtest

00:14:27: nach den 20 Mitarbeitern, überhaupt keine Grenze

00:14:29: mehr haben, dann aber gleichzeitig,

00:14:32: also keinen Zwang,

00:14:33: aber gleichzeitig intrinsisch sozusagen

00:14:36: im System innenliegend den Zwang

00:14:37: herstellen, genau wie bei der

00:14:39: Steuer auch, indem einfach kontrolliert

00:14:42: wird und zwar nicht nur einmal

00:14:43: einer aus einer Million, sondern

00:14:45: so wie beim Finanzamt von mir aus auch regelmäßig

00:14:48: alle fünf Jahre oder so. Ich habe da kein

00:14:49: Problem mit. Das ist für mich auch Stress,

00:14:51: aber ganz ehrlich, es gibt Gesetze, damit

00:14:54: man sich dran hält.

00:14:56: Ja, finde ich sehr spannend, den Ansatz.

00:14:58: Also ich sehe das ähnlich, weil

00:15:00: ich mich schon immer gewundert habe,

00:15:02: dass wir als einziges Land da wieder

00:15:04: so eine Zahl dran packen,

00:15:06: die auf mich, also

00:15:07: anstatt, dass wir eine klare,

00:15:10: wirklich richtig klare, abgrenzbare,

00:15:12: anwendbare Definition schaffen

00:15:14: von der Situation,

00:15:16: wann ist mein Kerngeschäft

00:15:18: die Verarbeitung personenbezogener Daten

00:15:20: und was exakt,

00:15:21: exakt ist eine automatisierte

00:15:23: Verarbeitung personenbezogener Daten.

00:15:26: Da gibt es

00:15:27: immer wieder Auslegungssituationen,

00:15:30: wenn dann irgendwelche Probleme entstehen

00:15:32: und man hat immer diese

00:15:33: Sache, naja, müssen wir abwägen für und wieder und so weiter.

00:15:36: Also ich wäre eher an der Stelle

00:15:38: für eine etwas vielleicht,

00:15:40: ja vielleicht,

00:15:41: und wenn es nur eine Erfahrungsliste ist, auf die sich

00:15:43: alle berufen können, auf die sich alle beziehen

00:15:45: können, um selber mal ein Gefühl dafür zu bekommen,

00:15:47: wo stehe ich denn mit meinem Unternehmen,

00:15:50: als einfach so eine Zahl

00:15:51: zu definieren und zu sagen, naja,

00:15:53: kritisch wird es ja erst, wenn.

00:15:55: Wenn ich mir überlege, dass

00:15:57: die meisten Datenschutzprobleme,

00:16:00: von denen ich in der letzten Zeit bei Unternehmen

00:16:02: gelesen habe, dadurch zustande gekommen sind,

00:16:04: dass irgendein Mitarbeiter,

00:16:05: ein Mitarbeiter, auf einer

00:16:07: Phishing-Mail reingefallen ist und dadurch

00:16:09: ein Virus ins Haus eingeladen hat,

00:16:11: wodurch Daten abgewandert sind oder die Systeme

00:16:13: unterwandert und kompromittiert wurden,

00:16:15: dann spielt es ja absolut keine Rolle,

00:16:18: wie viele Mitarbeiter ich im Unternehmen

00:16:20: habe, sondern selbst wenn,

00:16:21: wenn einer diesen Fehler macht, habe ich

00:16:23: einen Datenschutzverstoß und

00:16:25: dann zu sagen, naja,

00:16:27: ihr braucht halt keinen Datenschutzbeauftragten

00:16:29: in dieser Situation, finde ich halt irgendwie komisch,

00:16:31: aber ich stimme dir voll zu. Ich finde auch

00:16:33: dieses Wort Beauftragter

00:16:35: unglaublich klobig,

00:16:37: so im Gesamtkontext,

00:16:39: wenn ich mir so überlege, wenn du das alleine nur

00:16:41: formulieren willst, in irgendwelchen

00:16:44: ganz normalen

00:16:45: Sätzen und Aussagen,

00:16:47: musst du den Satz umstrukturieren,

00:16:49: nur damit du Datenschutzbeauftragter

00:16:50: schreiben kannst, weil halt ein Berater würde

00:16:52: im Fluss funktionieren, aber Beauftragung

00:16:55: ist immer so, was heißt das denn

00:16:57: jetzt, der ist beauftragt damit,

00:16:59: ist der jetzt angestellt, was macht

00:17:01: der genau, ne?

00:17:03: Das ist halt so diese Schwierigkeit dabei.

00:17:05: Also ich sag mal, du hast ein gutes Beispiel

00:17:07: gebracht mit den Phishing-Mails. Ich meine, der

00:17:08: Gesetzgeber hat es auch nicht leicht, muss man mal sagen, und das ganze

00:17:11: Thema ist auch nicht wirklich einfach zu handhaben.

00:17:13: Ich bin mir nicht sicher,

00:17:14: objektiv gesagt, ob diese Phishing-Mail

00:17:17: verhindert worden wäre,

00:17:18: im theoretischen Fall jetzt mal,

00:17:20: effektiven Fall, wenn da ein DSB

00:17:22: da gewesen wäre. Ich will jetzt dem DSB gar nicht

00:17:24: unterstellen, dass er keine Schulung gemacht hätte oder

00:17:26: angeboten hätte.

00:17:28: Aber es kommt ja, wie gesagt, die

00:17:30: DSBs werden ja nicht dafür bezahlt, dass sie

00:17:32: vor Ort kommen oder eine Videokonferenz abhalten

00:17:34: und eine Schulung über Phishing-Mails machen. Dafür werden

00:17:36: sie erstmal nicht bezahlt. Also machen die meisten

00:17:38: DSBs das auch nicht. Sie haben

00:17:40: dann oft allgemeine Unterlagen,

00:17:42: die auch sehr gut sind, wo aufgeklärt

00:17:44: wird über Phishing-Mails und sowas zum Beispiel. Aber

00:17:46: die Frage ist, liest der Mitarbeiter sich die denn überhaupt

00:17:48: durch? Ich bezweifle es. Und damit mache ich

00:17:50: jetzt,

00:17:50: also bei vielen Mitarbeitern bezweifle ich

00:17:53: zumindest von der Anzahl her, ich mache dem

00:17:54: Mitarbeiter selbst erstmal keinen Vorwurf.

00:17:57: Ich sage, wir sind mal ganz ehrlich, die meisten

00:17:58: Angestellten gehen deswegen

00:18:00: zur Arbeit, weil sie Geld verdienen wollen.

00:18:03: Aus keinem anderen Grund.

00:18:04: Das muss man einfach mal wirklich sagen.

00:18:07: Ja, danke, das hast du schön gesagt.

00:18:09: Ich meine, natürlich macht

00:18:10: einem der Job oft auch Spaß irgendwie.

00:18:12: Das ist der Idealzustand. Aber ganz

00:18:14: ehrlich, wenn man den Job 10, 20,

00:18:16: 30, 40 Jahre gemacht hat,

00:18:19: den allermeisten Menschen,

00:18:20: die ich persönlich kenne, den allermeisten,

00:18:23: den macht der Job

00:18:24: nach einer gewissen Anzahl von Jahren nicht mehr wirklich

00:18:26: so viel Spaß. Wenn man Glück hat,

00:18:28: ist er akzeptabel

00:18:30: und man verdirbt einem nicht die Laune.

00:18:32: Aber es ist doch nicht so, dass man nach 20

00:18:34: Jahren voller Freude jeden Morgen

00:18:36: zur Arbeit geht. Das trifft auf die allerwenigsten

00:18:38: Angestellten zu. Dann werden sie doch

00:18:40: nicht auch noch sich irgendwelche

00:18:42: trockenen Unterlagen durchlesen

00:18:44: zu Phishing-Mails oder so.

00:18:46: Ich sage jetzt nicht, dass es gut ist,

00:18:48: aber das ist doch einfach die Realität,

00:18:50: die man mal auch erwähnen muss.

00:18:52: Und ich will auch nur bei

00:18:54: aller Kritik über alle

00:18:56: möglichen Regierungen. Ich habe jetzt

00:18:57: vom Steuerberater, den habe ich ja,

00:18:59: freiwillig, zahle ich auch dafür, hat ja auch

00:19:01: was Gutes, das wäre auch ein Argument für den DSB,

00:19:04: der schickt ja ab und zu mal so

00:19:05: Rundmails mit so allgemeinen

00:19:07: PDF rum, mit Informationen

00:19:10: über aktuelle Entscheidungen

00:19:11: von Finanzgerichten und so weiter oder

00:19:13: neuen Regelungen. Auch wenn

00:19:16: die Umsatzsteuer sich mal ändert und so, kriegt man zwar sowieso mit,

00:19:18: aber es gibt noch etwas tiefer gehende Sachen,

00:19:20: Zeit und wann ist ein Arbeitszimmer absetzbar

00:19:22: und so weiter, bla bla bla. Da stand

00:19:24: jetzt drinnen was in einer langen Liste

00:19:26: Chancenausgleichsgesetz oder

00:19:28: irgend sowas, ich weiß gar nicht mehr, wie es heißt, aber

00:19:29: dieses Gesetz, ich habe es mir nicht

00:19:32: im Detail angeguckt, aber eine Liste mit

00:19:34: vielen, vielen Punkten und hinter jedem Punkt

00:19:36: steckt eine detaillierte Entscheidung,

00:19:38: die das Leben einfacher

00:19:40: machen sollen. Und ich glaube auch, dass sie es

00:19:42: in vielen Teilen, ich habe nicht alles geprüft,

00:19:43: einfacher machen. Zum Beispiel,

00:19:46: dass Kleinstunternehmen

00:19:47: nur noch einmal im Jahr eine,

00:19:50: ähm, Umsatzsteuervoranmeldung

00:19:52: abgeben müssen, wenn sie umsatzsteuerpflichtig

00:19:54: sind und nicht öfter, alle drei Monate oder so.

00:19:56: Und auch viele andere gute Punkte,

00:19:58: wo, glaube ich, keiner was dagegen hat.

00:20:00: Das muss man auch mal positiv zur Kenntnis nehmen,

00:20:02: weil die positiven Sachen, die gehen so

00:20:04: oft unter irgendwie, ja. Aber in Wirklichkeit

00:20:06: gibt es jetzt auch gerade viele positive

00:20:08: Bewegungen. Wir haben immer noch zu viel Bürokratie,

00:20:11: aber es wird besser, finde

00:20:12: ich, mit dieser Regierung.

00:20:13: Ich finde, die vorige Regierung ist im

00:20:15: Digitalzeitalter die falsche Regierung,

00:20:18: wie man bei der Angela Merkel auch

00:20:20: sieht. Das Internet

00:20:22: ist Neuland, ja. Das war ungefähr

00:20:24: 20 Jahre, nachdem ich das Internet

00:20:26: zum ersten Mal benutzt habe,

00:20:28: hat sie das gesagt.

00:20:30: Und es ist natürlich auch nicht

00:20:32: alles gut mit der jetzigen Regierung.

00:20:34: Das ist klar, mit keiner Regierung ist alles gut.

00:20:36: Aber leider, die

00:20:38: Vorgängerregierung hat wirklich sehr, sehr wenig

00:20:40: für den Bürokratieabbau und

00:20:41: überhaupt nichts für die Digitalisierung getan.

00:20:44: Das muss man einfach auch mal sagen. Und die Umwelt

00:20:45: ist damals auch viel zu kurz

00:20:48: gekommen. Da springt man jetzt auf. Die Grünen

00:20:49: wurden immer belächelt. Die sind ja auch manchmal ein bisschen penetrant,

00:20:52: muss man sagen, ja. Aber eigentlich

00:20:54: muss man den Grünen ja auch dankbar sein, dass sie so

00:20:56: penetrant sind. Manchmal etwas übertrieben.

00:20:58: Aber wir leben halt in einer Zeit, wo

00:21:00: man schon mal drüber nachdenken muss, wie lange unsere Erde

00:21:01: noch existiert, wenn wir so weitermachen mit der Umwelt.

00:21:04: Aber zum Thema zurück.

00:21:05: Ich bin dafür,

00:21:07: Datenschutzberater zu haben,

00:21:10: nicht Beauftragte,

00:21:11: die freiwillig wählen zu können. Von mir

00:21:13: aus kann man auch sagen, ab einem bestimmten

00:21:15: Umsatz oder einer noch höheren

00:21:17: Mitarbeiterzahl, da wird das Unternehmen so wie

00:21:19: so den Datenschutzberater sich dann holen.

00:21:22: Genau wie die großen Unternehmen haben alle Anwälte.

00:21:24: Den großen Unternehmen muss ich

00:21:26: nicht vorschreiben, dass sie einen Anwalt beschäftigen. Das

00:21:27: machen sie von sich aus schon.

00:21:30: Das wäre meiner Meinung nach der beste Weg.

00:21:33: Ja, definitiv.

00:21:34: Ich finde auch vor allen Dingen,

00:21:36: wenn wir diese Entkopplung machen,

00:21:37: dass wir einfach sagen,

00:21:38: Datenverarbeitung ist ein wichtiges Thema.

00:21:41: Aber die Frage ist ja dann, wenn wir das jetzt mal

00:21:43: wirklich so aufrollen, gehen wir mal davon aus, wir nehmen jetzt diese Grenze

00:21:45: weg mit den Zahlen. Weil das ist ja dann das erste Argument,

00:21:48: weswegen das jetzt wahrscheinlich auch nicht durch

00:21:49: gegangen ist, diese

00:21:51: Forderung, ist ja dann

00:21:53: die Frage, ja woran machen wir es

00:21:55: dann fest? Also gehen wir einen Schritt

00:21:57: weiter oder zurück auf das

00:21:59: Hauptrahmenwerk EU-Datenschutzgrundverordnung.

00:22:03: Und da

00:22:04: steht zur Bestellungspflicht drin,

00:22:06: Artikel 37 ist das ja

00:22:07: irgendwie alles festgehalten.

00:22:11: Da

00:22:11: steht jetzt so eine Sache drin,

00:22:14: personenbezogene Datenverarbeitung

00:22:16: durch Behörde öffentliche

00:22:17: Stelle.

00:22:18: So, ist klar.

00:22:20: Da habe ich aber auch immer

00:22:21: mehr als 10, 20 Mitarbeiter. Also da brauche ich

00:22:24: diese Mitarbeitergrenze nicht.

00:22:26: Die Kerntätigkeit des Verantwortlichen

00:22:28: oder Auftragsverarbeiters besteht

00:22:30: in Verarbeitungsvorgängen, welche aufgrund

00:22:32: ihrer Art, ihres Umfangs und

00:22:34: oder ihrer Zwecke eine umfangreiche,

00:22:36: regelmäßige und systematische

00:22:38: Beobachtung von betroffenen Personen

00:22:40: erforderlich machen.

00:22:42: So,

00:22:43: da

00:22:45: fallen mir im ersten Moment

00:22:47: nur eine Handvoll

00:22:49: Industrien ein,

00:22:52: wo das wirklich zu krümmt.

00:22:53: Also eine Schufa zum Beispiel, Auskunft

00:22:55: Hain, die

00:22:56: haben systematische Beobachtung von

00:22:59: betroffenen Personen, also die

00:23:01: beobachten personenbezogene Daten

00:23:03: systematisch, weil sie damit ja

00:23:05: Dinge berechnen und so weiter. Versicherungsunternehmen

00:23:08: auch, die haben sowas auch.

00:23:11: Und

00:23:11: dann ist halt die Frage,

00:23:13: zählen da jetzt auch alle Marketingunternehmen

00:23:15: rein? Zählen wir da alle Marketingunternehmen?

00:23:17: rein, weil die zwischendurch

00:23:19: vielleicht auch mal einen Postversand

00:23:21: von Werbung machen? Zählen wir da nur

00:23:23: Newsletter-Tool-Anbieter rein?

00:23:25: Wenn ja, wo machen wir den Unterschied?

00:23:28: So, ich finde, da

00:23:29: wäre es extrem wichtig,

00:23:31: mal so eine Art Pack anzuhaben,

00:23:33: sodass nicht jeder Unternehmer für sich

00:23:35: selbst suchen muss, hey,

00:23:37: wo falle ich da jetzt rein?

00:23:39: Falle ich da nicht rein? Wie wirkt sich das auf

00:23:41: mich aus? Und dann auch nochmal die Frage,

00:23:43: du bist ein Freiberufler und startest

00:23:45: ein Nebengewerbe. Und jetzt machst du

00:23:47: einen Online-Shop. Jetzt hast du da Daten

00:23:49: drin von betroffenen Personen,

00:23:51: weil die dieses Produkt nutzen. Das sind

00:23:53: Online-Produkte. So,

00:23:55: musst du dann als einzelne Person

00:23:57: auch einen Datenschutzbeauftragten

00:23:59: bestellen? Weil, ganz ehrlich,

00:24:01: die systematische Beobachtung von betroffenen

00:24:03: Personen ist auf jeden Fall erforderlich,

00:24:05: wenn ich User-Accounts habe,

00:24:08: womit die irgendwelche

00:24:09: Inhalte konsumieren können, oder nicht?

00:24:11: Ja, das stimmt. Also es kommt ja auch darauf an,

00:24:13: habe ich jetzt einen Online-Shop, wo im Monat

00:24:15: 50 Kunden sind oder 50.000

00:24:17: Kunden als Beispiel. Ist ja auch egal, wie viele

00:24:19: Personen diesen Shop betreiben. Wenn ich

00:24:21: 50.000 Kunden jeden Monat habe, dann ist es wohl

00:24:23: sehr wichtig, aus Datenschutzsicht.

00:24:25: Aber ich kann das Ganze auch

00:24:27: nochmal, also ich finde es sehr gut, dass du es gesagt hast,

00:24:29: wieder auflösen mit dem Steuerberater-Beispiel.

00:24:32: Es gibt auch keine Pflicht

00:24:33: für den Steuerberater. Wenn ich den Steuerberater

00:24:35: nicht nutze und einen Fehler mache, dann werde ich dafür

00:24:37: haftbar gemacht. Und deswegen nehme ich mir

00:24:39: den Steuerberater. Das ist der Grund. Wenn ich wüsste,

00:24:41: dass das Finanzamt mich überhaupt nie

00:24:43: kontrolliert, dann würde ich möglicherweise auch keinen

00:24:45: Steuerberater nehmen. Ja, weiß ich nicht. Vielleicht will ich trotzdem

00:24:47: alles richtig machen, aber die Motivation

00:24:49: wäre dann gar nicht da. Genauso kann man es

00:24:51: doch beim Datenschutzbeauftragten machen.

00:24:53: Es ist eigentlich egal, was ich mache.

00:24:55: Wenn ich alles richtig mache, dann kann

00:24:57: ich tun und lassen, was ich will.

00:24:59: Mit wem und ohne wem ist mir

00:25:01: vollkommen egal. Anderes Beispiel.

00:25:03: Du brauchst allgemeine Geschäftsbedingungen

00:25:05: zum Beispiel für dein Geschäft.

00:25:08: Die hast du noch nicht? Du kannst

00:25:09: dir die selbst erstellen. Kein Problem.

00:25:11: Ist erlaubt. Das stimmt.

00:25:13: Du kannst aber auch einen Anwalt fragen. Es ist eine persönliche

00:25:15: Sache. Ist die Frage, traut man

00:25:17: sich das selbst zu? Und wenn man sich

00:25:19: selbst zutraut und hoffentlich wird man dann

00:25:21: später auch mal irgendwie, also im Datenschutzbereich

00:25:23: zumindest, kontrolliert,

00:25:24: dann merkt man ja, ob das

00:25:27: Zutrauen gerechtfertigt war oder nicht. Und ich sage

00:25:29: ja auch nicht, dass man gleich eine Strafe

00:25:31: kriegen soll. Wie gesagt, beim Finanzamt

00:25:33: ist es ja auch nicht so. Beim Finanzamt

00:25:35: kriegt man einen Hinweis und

00:25:37: nur wenn man wirklich grob

00:25:39: fahrlässig sozusagen Steuern

00:25:41: hinterzogen hat, heißt es ja,

00:25:43: dann kommt eine Strafe, was ich auch vollkommen in Ordnung

00:25:45: finde. Ich zahle meine Steuern so gut, wie

00:25:47: es geht. Und wer

00:25:49: das nicht tut, der soll gefälligst bestraft werden.

00:25:51: Und zwar wer es absichtlich

00:25:53: nicht tut. Also wenn er einen Fehler

00:25:55: macht oder vielleicht absichtlich

00:25:57: 50 Euro hinterzieht, okay,

00:25:59: muss man keine Strafe. Aber wer mit

00:26:01: Vorsatz Tausende von Euro

00:26:03: hinterzieht, der soll gefälligst eine Strafe bekommen.

00:26:05: Und wenn ein Onlineshop die Daten

00:26:07: der Kunden zum Beispiel weiterverkauft,

00:26:09: einfach so, dann gehört

00:26:11: das bestraft. Das passiert aber

00:26:13: alles nicht heutzutage.

00:26:15: Deswegen, sobald es eine Sanktionierung

00:26:17: beziehungsweise eine wirkliche Aufsicht

00:26:19: gibt, hat sich das Problem von

00:26:21: selbst gelöst positiv. Es gibt aber diese

00:26:23: Datenschutzaufsicht nicht. Die heißen

00:26:25: Datenschutzaufsichtsbehörden, aber die

00:26:26: können und teilweise wollen sie

00:26:29: auch nicht. Also können nicht,

00:26:31: aus Personalgründen oft,

00:26:32: wollen nicht. Viele wollen einfach

00:26:35: keinen Ärger haben. Sie wollen einfach einen

00:26:37: ruhigen Job machen. Es ist auch viel angenehmer,

00:26:39: wenn ich mit jedem gutgestellt

00:26:41: bin und keine Strafen verhänge,

00:26:42: keine negativen Schreiben. Da ist mein

00:26:45: Leben doch viel... Aber dafür wird die Daten

00:26:47: Schutzbehörde nicht instanziiert und der

00:26:49: Mitarbeiter da nicht bezahlt. Der soll gefälligst

00:26:51: seinen Job machen. Die sollen gefälligst mal

00:26:52: ordentliche Kontrollen durchführen und auch mal

00:26:55: Sanktionen. Ich will nur ein Beispiel noch nennen,

00:26:57: dann bist du wieder dran. Ich sag's ja immer wieder.

00:26:59: Man sieht ja an diesem Beispiel,

00:27:01: dass Datenschutzbehörden in Deutschland vollkommen

00:27:02: unfähig sind. Vollkommen unfähig

00:27:05: und Unwillens teilweise. Ich will da nicht alle

00:27:06: nennen. Ich kenne ein paar persönlich, die

00:27:08: sehr engagiert sind, aber das sind wenige.

00:27:12: Der

00:27:12: Web-Tracking im Internet inklusive

00:27:15: Online-Auktionen,

00:27:17: im Internet, die in deinem Browser stattfinden, wenn du

00:27:19: viele Seiten aufrufst. Fast jede zweite Webseite

00:27:21: in Deutschland.

00:27:22: Du redest über dieses RTB, ne?

00:27:24: Dieses Real-Time-Bidding.

00:27:27: Wir können auch Google Analytics einfach nehmen,

00:27:29: als plastisches Beispiel. Das wird in

00:27:30: rechtswidriger Weise auf jeder zweiten Webseite

00:27:33: in Deutschland eingesetzt. Und da passiert

00:27:35: nichts. Da gibt es kein einziges Bußgeld.

00:27:37: Das ist doch schon der Hauptbeleg dafür,

00:27:39: dass die deutschen Datenschutzbehörden entweder

00:27:40: unfähig oder Unwillens sind.

00:27:43: Eins von beiden trifft auf jeden Fall zu.

00:27:45: Oder trifft es...

00:27:47: Drittens, ich wollte noch, drittens,

00:27:49: oder nicht in der Lage, aufgrund von Mitarbeitern,

00:27:50: ich will jetzt nicht unfair sein, das wäre der dritte Grund noch.

00:27:53: Ja, das ist nochmal

00:27:55: ein ganz anderer Punkt, wenn man sich dann anguckt, dass

00:27:56: die ständig nach Fachkräften suchen

00:27:59: und man sich dann anguckt, was die für Auflagen

00:28:01: haben, damit man sich überhaupt bewerben darf oder

00:28:02: bei der Bewerbung in Frage kommt, dann muss man auch ganz ehrlich

00:28:04: sagen, naja, okay, wenn ihr immer noch im Mittelalter

00:28:07: lebt, was eure HR-Prozesse angeht,

00:28:09: dann müsst ihr euch auch nicht...

00:28:10: Und auch die Bezahlung, ne? Also

00:28:12: nur wenn du ein Studium hast, du wirst

00:28:15: ja nur anhand deines akademischen Grads,

00:28:17: in eine Entgeltstufe

00:28:18: einsortiert, dann ist ja klar, dass die Leute, die wirklich

00:28:21: was auf dem Kasten haben, aber halt nicht studiert

00:28:23: haben, weil um Datenschutzbeauftragter

00:28:25: zu sein, braucht man halt nicht studiert haben.

00:28:28: Man kann ja ein super

00:28:29: Technik-Nerd sein und zusätzlich so eine

00:28:31: Ausbildung gemacht haben, dann ist man

00:28:32: draußen mal besser geeignet als jemand, der irgendetwas

00:28:35: studiert hat und dann diese

00:28:36: Ausbildung gemacht hat oder sie noch nicht mal vorweisen

00:28:39: kann.

00:28:40: Aber das nur am Rande.

00:28:41: Da ein Punkt, da muss ich noch kurz

00:28:43: was sagen. Also mir ist bekannt,

00:28:45: ich will jetzt das Bundesland,

00:28:47: nicht nennen, mir ist bekannt, dass

00:28:49: die Anzahl der Planstellen oft schon einfach

00:28:51: nur so gering ist. Also egal, wie viele Menschen

00:28:53: es gibt, die da arbeiten wollen. Es gibt

00:28:55: im Bereich Telemedien,

00:28:57: das ist das gesamte Internet,

00:28:59: das ist der Bereich, wo am allermeisten personenbezogene

00:29:01: Daten verarbeitet werden und zwar um den Faktor

00:29:03: eine Milliarde mehr als sonst wo.

00:29:06: Da gibt es eine

00:29:07: Person, die in diesem Bundesland zuständig

00:29:09: ist und die hat mir dann selbst

00:29:11: am Telefon erzählt, also die Leiterin

00:29:13: für Telemedien bei der Behörde,

00:29:15: dass sie jetzt, also es war vor zwei, drei

00:29:17: Jahren, eine Mitarbeiterin

00:29:18: für den Schreibtischkram sozusagen

00:29:20: bekommen hat. Sie ist also die

00:29:22: einzige, die diese Sachen bearbeitet und

00:29:24: hat eine Hilfskraft dazu.

00:29:26: Für das gesamte Internet in diesem Bundesland sozusagen.

00:29:29: Also das kann nicht

00:29:30: funktionieren und wir haben in Deutschland, wir geben

00:29:32: sehr viel Geld für Datenschutzbehörden aus, liegt

00:29:34: daran, dass wir 16 Bundesländer

00:29:36: haben, einen Bundesdatenschutzbeauftragten,

00:29:39: der auch sinnvoll ist, aber diese

00:29:40: 16 Bundesländer, irgendwann finde ich, sollten wir den

00:29:42: Föderalismus mal abschaffen. Das kommt aus

00:29:44: Kriegszeiten und wurde wahrscheinlich instanziiert,

00:29:47: Deutschland handlungsunfähig zu machen.

00:29:49: Wir sind ja auch kurz davor, muss man sagen.

00:29:51: Ja, absolut.

00:29:53: Man kann die Tendenzen zumindest

00:29:54: abschätzen und absehen.

00:29:56: Was ich bei der Sache sehr spannend finde,

00:29:58: wenn man das so betrachtet, dann ist dieser

00:30:00: Vorstoß der Bundesländer,

00:30:02: diese Grenze abzuschaffen, auf der

00:30:04: einen Seite ein Punkt,

00:30:07: der dazu führen kann, dass man jetzt

00:30:08: noch mehr Prüfungen durchführen

00:30:10: müsste, obwohl man jetzt schon nicht hinterherkommt,

00:30:12: weswegen man dagegen ist, diese Grenze

00:30:14: abzuschaffen. Auf der anderen Seite

00:30:16: könnte es auch so eine Art

00:30:18: und Weise sein, naja, wenn wir diese Grenze

00:30:20: jetzt abschaffen, dann ist es sowieso so viel

00:30:22: Arbeit, dass wir gar nicht mehr hinterherkommen

00:30:24: und dann kann sich auch keiner mehr beschweren, dass wir nichts tun.

00:30:27: Könnte auch...

00:30:27: Es sind jetzt böse Zungen, die das formulieren,

00:30:30: aber fiel mir gerade auch so ein. So wird ja häufig

00:30:32: mit Verantwortlichkeiten hingegangen.

00:30:35: Darf ich dir mal eine Frage

00:30:36: stellen, eine Wissensfrage, Stephan?

00:30:38: Mich interessiert jetzt, ob du mir dann ein Beispiel nennst.

00:30:40: Ist dir ein einziges Beispiel in Deutschland bekannt,

00:30:42: wo eine Datenschutzbehörde von sich aus

00:30:44: einfach mal so zu irgendeinem Unternehmen

00:30:46: in Deutschland gegangen ist und das kontrolliert hat?

00:30:48: Ich rede jetzt nicht von der Webseite, ich rede

00:30:50: davon, vor Ort hinzugehen, in die Aktenordner reinzugucken.

00:30:55: Also, so aus der

00:30:56: Lamäng heraus kann ich mich

00:30:58: nicht daran erinnern, dass ich mal was gelesen

00:31:00: hätte, dass das ohne irgendeinen

00:31:02: externen quasi

00:31:04: Hinweis, eine Eingabe

00:31:06: oder so... Ich hab das auch immer

00:31:08: so verstanden, dass die Datenschutzbehörden

00:31:11: sich auf den Standpunkt stellen, zu sagen,

00:31:12: wenn sich bei uns keiner, wenn keiner was meldet,

00:31:14: dann müssen wir auch nichts prüfen.

00:31:16: Ich selber

00:31:18: hab immer gedacht... Bayern sieht es anders.

00:31:20: Bayern sieht es anders. Du kannst gleich

00:31:22: weiterreden. Bayern hat nämlich jetzt zum zweiten

00:31:24: Mal anlasslos

00:31:25: x-beliebige Webseiten aus Deutschland

00:31:28: herausgegriffen, die geprüft und

00:31:30: die Unternehmen dann angeschrieben. Das ist eine Prüfung.

00:31:32: Das stimmt. Hallo, wir haben festgestellt, auf Ihrer

00:31:34: Webseite ist was falsch. Bitte, bitte, bitte, machen Sie doch was.

00:31:36: Ansonsten sind wir nämlich ein bisschen traurig, aber

00:31:38: wir machen was anderes dann.

00:31:40: Ich wollte nur sagen, diese

00:31:41: anlasslose Prüfung ist sehr wohl im Fokus

00:31:44: der Behörden, wie ich an dem Beispiel gezeigt habe.

00:31:46: Ja, weil

00:31:48: du gerade sagtest, ohne

00:31:50: Webseiten muss ich ehrlich gesagt

00:31:52: sagen, nee. Also mit Webseiten, klar,

00:31:54: das hat man schon häufiger gehört, auch bei anderen Bundesländern,

00:31:56: dass die gesagt haben, wir prüfen jetzt verstärkt Webseiten

00:31:58: von Industrie XYZ und

00:32:00: in dem Monat von Industrie ABC.

00:32:04: Aber

00:32:04: dass die dann wirklich auch was machen

00:32:06: und dass dabei wirklich was rumkommt,

00:32:09: also dass man dann wirklich sagt, okay, wir haben jetzt

00:32:10: entdeckt, ihr macht da Mist. Wir haben

00:32:12: euch gesagt, wir prüfen in diesem Monat euren

00:32:14: Bereich und euch ist es vollkommen egal.

00:32:16: Macht einfach weiter wie bisher.

00:32:18: Dann einfach so ein bisschen traurig zu gucken

00:32:20: und ein bisschen böse Schreiben zu versenden, aber

00:32:22: mehr nicht zu tun, finde ich auch unglaublich

00:32:24: fahrlässig, weil genau wie du gesagt hast,

00:32:26: also gerade

00:32:27: im Bereich der automatisierten

00:32:30: Datenverarbeitung in Internettechnologien,

00:32:33: es ist halt

00:32:34: sowas von fahrlässig von

00:32:36: den Unternehmen, da nicht

00:32:38: vernünftig die personenbezogenen

00:32:40: Daten zu schützen, weil sie damit

00:32:42: auch, ja im Endeffekt,

00:32:44: sie zeigen ja im Endeffekt,

00:32:46: damit auch nach außen, dass es sie

00:32:48: nicht stört, wenn ihre

00:32:50: Kunden zu

00:32:51: negativ betroffenen Personen von

00:32:54: personenbezogener

00:32:56: Datenverarbeitung werden. Das ist ja auch

00:32:58: eine ganz klare Aussage. Also das wäre

00:33:00: zumindest mein Appell an

00:33:02: alle Unternehmer, dass

00:33:04: man sich mal bewusst macht,

00:33:07: wir setzen

00:33:08: damit ein Signal gegenüber

00:33:10: unserem Kunden. Der Kunde ist ein Mensch

00:33:12: und diese Menschen, gerade die Bürger,

00:33:14: sind in den letzten Jahren immer

00:33:16: sensibler geworden für

00:33:18: das Thema Datenschutz, personenbezogene

00:33:20: Datenverarbeitung und Sicherheit

00:33:21: im Internet, ganz besonders in Bezug

00:33:24: auf Identitätsdiebstahl. Wenn ich

00:33:26: als Unternehmen diese Werte

00:33:27: nicht hochhalte und meinem

00:33:30: Gegenüber sage, mir ist das wichtig,

00:33:32: dass ich darauf achte, dass dir nichts

00:33:34: Negatives widerfährt, weil

00:33:36: irgendjemand in unserem Unternehmen

00:33:37: schlampig mit personenbezogenen Daten

00:33:40: umgeht, dann ist das ein

00:33:42: ganz klares Signal an den Kunden,

00:33:44: zu sagen, ey, du bist

00:33:46: mir eigentlich ziemlich egal, du sollst bei mir

00:33:48: einkaufen, du sollst bei mir Geld

00:33:50: lassen, sonst bist du mir ziemlich egal.

00:33:52: Und wenn das das Zeichen ist, das wir setzen

00:33:54: und das kombinieren mit dem, was du sagtest,

00:33:56: Föderalismus aus uralten

00:33:58: Strukturen, Datenschutzbehörden,

00:34:00: die rumheulen, understaffed

00:34:02: sind und eigentlich keinen Bock haben zu arbeiten

00:34:04: oder zumindest

00:34:05: diesen Eindruck erwecken, als wenn sie keinen Bock hätten

00:34:08: zu arbeiten, dann muss man ganz ehrlich

00:34:10: sagen, manövrieren wir uns immer mehr

00:34:12: in eine Stillstandsgesellschaft

00:34:14: mit den Cowboy-Attitüden,

00:34:16: der USA,

00:34:18: als in eine Zukunftsgesellschaft,

00:34:20: die eine Zivilisation fördern soll.

00:34:22: Und eigentlich sollen dazu doch

00:34:23: gerade EU-weit diese Regelungen wie

00:34:26: die Datenschutzgrundverordnung da sein,

00:34:28: zur Stärkung der Persönlichkeitsrechte

00:34:30: und nicht, um sie irgendwie wegzudiskutieren,

00:34:32: unter den Tisch fallen zu lassen und rumzuheulen,

00:34:34: dass man zu wenig

00:34:35: Geld hätte, um Leute einzustellen,

00:34:38: die dann was nichts zu tun haben.

00:34:39: Also ich finde diese ganze Diskussion an der Stelle

00:34:41: ein bisschen an den Haaren herbeigezogen.

00:34:45: Also zum Abschluss

00:34:46: vielleicht von mir ein paar zusammenfassende Punkte.

00:34:49: Appell an die Politik,

00:34:50: dafür zu sorgen, dass Datenschutz endlich mal

00:34:51: durchgesetzt wird in Deutschland und nicht nur auf dem Papier steht.

00:34:54: Da kann man auch, wie gesagt, drüber nachdenken.

00:34:56: Wenn man schon den Föderalismus nicht

00:34:58: abschaffen will, was ich für eine gute Idee halten würde,

00:35:00: im Gesamtsumme betrachtet,

00:35:02: dann sollte man doch wenigstens eine Bundesbehörde

00:35:04: haben und nicht 27

00:35:05: Gesellschaftsbehörden insgesamt.

00:35:08: Also 27 war jetzt eine fiktive Zahl, aber es sind

00:35:09: weit mehr als 17, 16 plus 1,

00:35:12: weil der evangelische Datenschutzbeauftragte,

00:35:13: der katholische Rundfunkdatenschutzbeauftragte

00:35:15: und sonst was noch alles gibt.

00:35:18: Und das Nächste ist,

00:35:20: die Datenschutzbehörden sollen endlich mal

00:35:21: ihren Job machen und sollen endlich, also ich sag mal so,

00:35:24: es gibt bestimmt ein, zwei Sanktionen

00:35:25: irgendwo mal, ja, oder drei.

00:35:27: Aber ganz ehrlich, wenn bei

00:35:29: Millionen von Verstößen

00:35:31: nur so wenige Sanktionen

00:35:34: da sind, dann stimmt doch irgendwas nicht.

00:35:35: Dann machen doch die Behörden ihren Job nicht.

00:35:37: Die sollen endlich ihren Job machen. Das Nächste ist,

00:35:40: Privatpersonen sollen

00:35:41: durchaus gerne mal klagen,

00:35:44: wenn sie zum Beispiel, das kann man ja leicht feststellen,

00:35:45: im Internet, Webseitendatenschutzverstöße

00:35:48: feststellen. Und da ist es ja so,

00:35:50: weil du vom Kunden sprachst, die meisten

00:35:51: Betroffenen sind Interessenten oder

00:35:53: ahnungslose Webseitenbesucher,

00:35:55: die durchleuchtet werden. Jetzt kam

00:35:57: vor kurzem raus, ich will es nur am Ende sagen,

00:35:59: in Schweden, die müssen

00:36:01: sich nur als Werbepartner bei der

00:36:03: IAB, das ist ein Werbe-Konsortium,

00:36:05: wo die größten kriminellen

00:36:07: Unternehmen drin sind,

00:36:10: nur da anmelden und schon

00:36:11: kann man bei Online-Aktionen mitmachen,

00:36:14: real-time-bidding, und man

00:36:15: muss nicht mal den Zuschlag bekommen und bekommt

00:36:17: schon alle Daten von den Leuten, die auf der Webseite

00:36:19: sind, inklusive Gesundheitsdaten,

00:36:22: Standort, Vermögen,

00:36:24: politische Gesinnung

00:36:25: und so weiter. Und das ist

00:36:27: offiziell sozusagen, das ist

00:36:29: in Deutschland natürlich genauso,

00:36:31: man kriegt es nur nicht mit, weil Daten ja unsichtbar

00:36:33: sind. Ich würde einfach, wie gesagt, dazu raten,

00:36:35: man kann es sehr leicht feststellen, ich habe auch einen Webseiten-Check,

00:36:38: man kann es auch mit Go3 oder

00:36:39: uBlock-Plugin feststellen, wenn da

00:36:41: was nicht richtig ist, mal eine Abmahnung

00:36:43: oder eine Klage erlassen gegen so ein Webseiten-

00:36:45: Betreiber. Nur so lernen sie es

00:36:47: auf Dauer. Wenn das viele Menschen machen, und ich mache

00:36:49: es übrigens auch, dann

00:36:51: kommen wir irgendwann mal zum Ziel.

00:36:54: Und an der Stelle würde ich noch einen

00:36:55: weiteren Punkt anführen, das geht jetzt nicht in Richtung

00:36:57: der Politik und der Strukturen, sondern

00:36:59: das geht nochmal in die Richtung der Unternehmer.

00:37:02: Wenn

00:37:03: man dieses Thema, wenn man

00:37:05: alle Themen mit gesetzlichen Regelungen

00:37:07: immer erst dann

00:37:09: über den Profit stellt, wenn

00:37:11: es den Profit ankratzt, weil

00:37:13: jemand meckert, dass man sich falsch verhalten hat,

00:37:15: dann sollte man ehrlich gesagt

00:37:17: wirklich mal seine moralischen Werte überprüfen.

00:37:20: Denn das

00:37:21: so funktioniert Gesellschaft nicht.

00:37:23: Und wenn ich mit meinem Unternehmen

00:37:25: mir auf die Fahne schreibe, so lange gegen

00:37:27: die Bedürfnisse der Gesellschaft

00:37:28: zu handeln, weil ich Gesetze

00:37:31: missachte, so lange

00:37:33: bis ich eine Klage an den Hals kriege

00:37:35: oder bis mich einer verpflichtet, sie ernst zu nehmen,

00:37:37: weil er mich sanktioniert,

00:37:39: dann bin ich kein guter Mensch.

00:37:42: Ganz einfach.

00:37:43: Das ist einfach so.

00:37:45: Und dann sollte ich auch...

00:37:45: Ich kann auch kein Unternehmen führen, denn dann bin ich

00:37:47: hochgradig ungeeignet, Mitarbeiter

00:37:49: vernünftig zu führen.

00:37:51: Das nur so am Rande zusätzlich

00:37:53: auch nochmal in die Richtung der Leute, die Unternehmen

00:37:55: führen, die Daten verarbeiten, egal

00:37:57: in welchem Umfang ihr es macht.

00:37:59: Nehmt dieses Thema ernst, weil es geht um

00:38:01: Persönlichkeitsrechte und spätestens auf EU-Ebene

00:38:04: werden die euch irgendwann

00:38:05: zurück ins Gesicht geschlagen. Und dann

00:38:07: kommt ihr nicht mit einem blauen Auge davon.

00:38:09: Das haben extrem viele Fälle,

00:38:11: die vor dem EuGH diskutiert wurden,

00:38:13: immer wieder gezeigt, spätestens

00:38:15: da,

00:38:15: bricht sich dann der Wille über den Profit.

00:38:18: Das ist einfach so.

00:38:19: Und ich finde das auch richtig.

00:38:21: Ich stimme dir auch in allen anderen Punkten zu.

00:38:23: Also halten wir zum Ende fest,

00:38:25: bestellt euch ein DSB, egal welche Größe

00:38:27: von Unternehmen ihr habt, damit ihr

00:38:29: zumindest eure Dokumentationspflicht

00:38:31: richtig nachkommt und

00:38:33: versteht, wie in eurem Unternehmen Daten

00:38:35: behandelt werden und Daten wandern.

00:38:38: Denn dafür ist diese Dokumentation

00:38:39: da. Außerdem

00:38:41: zeigt ihr damit euren Kunden,

00:38:43: dass ihr das Thema ernst nehmt.

00:38:45: Wenn ihr personenbezogene Daten nicht

00:38:47: ordnungsgemäß verarbeitet,

00:38:49: dann seid ihr einfach moralisch gesehen

00:38:51: keine guten Menschen.

00:38:54: Ja, ich möchte auch noch anfügen,

00:38:56: der DSB kostet ja nicht nur Geld,

00:38:57: er hat ja auch einen Nutzen. Wie beim Steuerberater,

00:39:00: ich sag's ja nochmal, ich könnte das auch selbst machen,

00:39:02: nur die ganze Zeit, die ich mir

00:39:04: damit spare und die Haftung teilweise

00:39:05: ja auch, die man auch abgibt,

00:39:07: das ist doch Geld wert auch.

00:39:09: Ich meine, er hat mehr Lebensqualität und so weiter.

00:39:11: Man kann sich ja den DSB aussuchen.

00:39:13: Es gibt ja auch viele günstige Tarife. Es ist ja nicht so,

00:39:15: dass man gleich 10.000 Euro im Jahr ausgeben muss

00:39:17: dafür. Also da gibt's

00:39:19: doch viele Angebote.

00:39:21: Definitiv.

00:39:23: Super. Ich würde sagen, das war

00:39:25: sehr spannend. Danke für deine Einblicke

00:39:27: und deine Einschätzung zu diesem Thema.

00:39:29: Ich sehe, wir ticken mal wieder auf der gleichen

00:39:31: Wellenlänge, was das Thema angeht, wie immer.

00:39:33: Sehr schön. Und dann würde ich

00:39:35: sagen, wünsche ich allen Leuten da draußen

00:39:37: alles Gute

00:39:40: und bis zum nächsten Mal.

00:39:44: Ja, tschüss, bis bald.

00:39:45: Das war Datenschutz Deluxe.

00:39:48: Du willst mehr spannende Themen

00:39:50: oder Kontakt zu uns?

00:39:51: Dann besuche Klaus Meffert auf seinem Blog

00:39:54: Dr. DSGVO

00:39:55: und Stephan Plesnik auf seinem

00:39:57: YouTube-Kanal Datenschutz ist Pflicht.

00:40:00: Bis zum nächsten Mal.