Sie ist da: Die erste Abmahnung nach UWG auf Basis eines DSGVO Verstoßes. Müssen Vermittler sich jetzt Sorgen machen? Nur, wenn sie sich nicht vorbereitet haben, weiß Andreas Sutter. Er berät hunderte Vermittler in Sachen Datenschutz. Wir haben mit dem Experten gesprochen.
Redaktion: Herr Sutter, die DSGVO ist zwar nicht mehr neu, aber immer noch ein bestimmendes Thema. Wie beurteilen Sie den aktuellen Stand?
Andreas Sutter: Nach meiner Beobachtung haben die meisten Vermittler die Verordnung noch nicht umgesetzt. In Gänze ohnehin nicht, aber viele auch nicht einmal im Ansatz. Weil einerseits immer noch eine große Unsicherheit besteht, wie fachlich mit dem Thema Datenschutz umzugehen ist. Andererseits sehen wir bei vielen Unternehmen auch eine gewisse Nachlässigkeit, wenn nicht sogar Fahrlässigkeit. Häufig wird ja gesagt: ‚Bisher ist nichts passiert, es gab keine große Abmahnwelle. Also brauche ich mich vielleicht nicht verstärkt darum zu kümmern.‘ Ich glaube, dabei vernachlässigt man stark die Defensivarbeit.
Redaktion: Sie haben es angesprochen: Eine große Abmahnwelle ist bisher ausgeblieben. Trotzdem gab es jetzt die ersten Entscheidungen zur Abmahnfähigkeit nach UWG. Ist das eine Gefahr für Vermittler?
Andreas Sutter: Grundsätzlich ja, auch wenn das UWG als Rechtsgrundlage weiterhin umstritten bleibt. Das zeigt auch das aktuelle Urteil des OLG Hamburg, welches zwar eine Abmahnfähigkeit anerkennt, aber sicherlich weiterer Klärung bedarf. Trotzdem glaube ich nicht, dass Abmahnanwälte das Hauptproblem in diesem Bereich sind. Denn auch Anwälte sind nicht sicher vor solchen Klagen. Sie kennen es: ‚Wer im Glashaus sitzt…‘“
Redaktion: Wo lauern dann die Gefahren aus Ihrer Sicht?
Andreas Sutter: Ich sehe hier zwei größere Risiken. Das erste sind sicherlich die Aufsichtsbehörden. Denn bisher sind diese auch nach Einführung der DSGVO verhalten geblieben. Aber jetzt werden sie, voraussichtlich ab Januar 2019, verstärkt aktiv sein.
„Ganz ehrlich: Viele Verstöße sind sehr offensichtlich. Das kann schnell teuer werden.“
Die Betroffenen selbst sind für mich das zweite große Risiko. Diese können den Vermittler viel Zeit kosten, wenn sie Anfragen stellen oder Beschwerden vorbringen.
Redaktion: Welche sind die elementarsten Fehler, die Vermittler aus Ihrer Sicht begehen? Was wird zu wenig umgesetzt?
Andreas Sutter: Das Kernelement beim Thema Datenschutz ist die Dokumentation. Da wir im Schadensfall eine Beweislastumkehr haben, muss der Verantwortliche nachweisen können, wie er genau mit den Daten umgegangen ist. Das Herzstück der Dokumentation ist das Verzeichnis der Verarbeitungstätigkeiten. Hierin muss der Verantwortliche aufzeigen, welche Tätigkeiten er überhaupt wahrnimmt. Und das möglichst genau unterschieden. Da fangen die Fehler oftmals an. Entweder wird das Verzeichnis gar nicht erst geführt oder nur unzureichend umgesetzt.
Beispielsweise gibt es deutliche Unterschiede zwischen einzelnen Beratungsprozessen. Wenn ich etwa eine Berufsunfähigkeitsversicherung ohne Pflicht nach Geldwäschegesetz berate, oder eine Altersvorsorge mit Pflicht nach Geldwäschegesetz. Hier liegen zwei verschiedene Verarbeitungstätigkeiten vor. Denn für die Altersvorsorge muss ich Personalausweisdaten verarbeiten und speichern. Diese müssen besonders gesichert werden, und zusätzlich liegen andere Löschungsfristen vor. Wenn ich hier nicht sauber trenne, dann wird’s schnell gefährlich.
Redaktion: Wie ist Ihr Eindruck: Kennen die Vermittler denn die spezifischen Anforderungen, die an sie gestellt werden?
Andreas Sutter: Zunächst hat die Vermittlerschaft natürlich die Artikelflut zu dem Thema aufgenommen. Aber oftmals konnten die Betroffenen gar nicht die richtigen Schlüsse ziehen. Denn insgesamt war vieles, das geschrieben wurde, mehr Panikmache als Aufklärung. In den meisten Fällen ist hier noch großes Unwissen da. Zusätzlich zu einer gewissen Verteidigungshaltung, die auch verständlich ist. Trotzdem ist und bleibt die Umsetzung weiterhin eine wichtige Pflicht.
Redaktion: Was sind die grundlegenden Schritte für jeden Vermittler, der jetzt noch unsicher ist und diese Unsicherheit gerne auflösen würde?
Andreas Sutter: Der erste Schritt ist die Überlegung: „Möchte ich mich selbst um die Umsetzung kümmern?“ Wer das gerne tun möchte, kann sich auf den Seiten der zuständigen Landesdatenschutzbehörden umfassend informieren. Das ist zumindest augenscheinlich die preiswerteste Lösung. Aber: Sie kostet jede Menge Zeit. Außerdem bleibt das Risiko, dass ich einen Fehler mache. Oder man nimmt Geld in die Hand und leistet sich einen externen Datenschutzbeauftragen, der das Ganze einrichtet. Analog zu einem Steuerberater.
Redaktion: Was sagen Sie zum minimalistischen Ansatz? Also wenigstens ein bisschen Umsetzung. Ist das besser als nichts?
Andreas Sutter: Natürlich fahren einige die Feigenblatt-Strategie, setzen also nur das um, was nach außen direkt sichtbar ist. Was diese Unternehmer aber außer Acht lassen, ist, dass die DSGVO ein risikobasierter Ansatz ist. Das heißt: Jedes Unternehmen muss die Risiken im Umgang mit Daten, denen es ausgesetzt ist, individuell beurteilen und entsprechend Maßnahmen umsetzen. Deswegen gibt es kein Standardpaket. Arbeitet der Vermittler online? Im Fernabsatz? Oder im klassischen „Haustürgeschäft“? Deswegen sehe ich in dieser Feigenblatt-Strategie die große Gefahr, dass doch Einfallstore da sind und Datenschutzlecks bestehen.
Redaktion: Also ist Mut zur Lücke hier der falsche Ansatz?
Andreas Sutter: Auf jeden Fall. Insbesondere dann, wenn man vorhat, im gewerblichen Bereich Fuß zu fassen. Als Beispiel: Wie will ich denn mit einem großen Gewerbekunden über Cyber-Risk-Versicherungen sprechen, wenn ich selbst nicht mal einen Datenschutzbeauftragten habe? Das kann nicht funktionieren. Zusätzlich kann man auch die saubere Handhabung des Themas Datenschutz als Marketing-Instrument nutzen. Frei nach dem Motto „Angriff ist die beste Verteidigung“.
Das komplette Interview mit Andreas Sutter gibt es unten im Video.
Titelbild: © lorenzoragazzi/fotolia.com; Beitragsbild: ©Andreas Sutter
[…] Hier geht’s zum Interview. […]
[…] Entfremdung gegenüber anderen Mitarbeitern oder Sicherheitsrisiken, vor allem in Hinsicht auf den Datenschutz. Ferner habt Ihr keinerlei Kontrollmöglichkeiten oder Einfluss auf den Gesundheitsschutz Eurer […]
[…] Administration von Computern und Datenbanken. Ich halte das für einen Anachronismus: In Zeiten von DSGVO werden Datenschutz und -sicherheit in den Rechenzentren kompromisslos umgesetzt, die Möglichkeit […]