Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt das in die Jahre gekommene Bundesdatenschutzgesetz und soll ein einheitliches Datenschutzniveau in der ganzen EU schaffen. Ab dem 25. Mai sind die neuen Datenschutzbestimmungen von Unternehmen anzuwenden. Das Regelwerk gilt für alle Firmen, die in der EU tätig sind, unabhängig vom Sitz. Es soll für Wettbewerbsgleichheit sorgen und Bürgern mehr Kontrolle über ihre Daten geben - etwa beim "Recht auf Vergessenwerden" oder auch beim Direktmarketing.
Auf Unternehmen kommen damit umfassende neue Informations- und Dokumentationspflichten zu, viele müssen zudem einen Datenschutzbeauftragten für ihre Firma benennen. Michael Vogelbacher, Rechtsanwalt und juristischer Unternehmensberater, ist als Seminarreferent für die Landesverbände des Börsenvereins unterwegs, um der Branche die neuen Vorschriften näher zu bringen. Hier gibt er schon mal ein paar Tipps.
Sie haben schon mehrere Seminare zu dem Thema gehalten: Ist die Branche gut auf die Datenschutz-Grundverordnung vorbereitet?
Vogelbacher: Teils, teils. Es gibt Kollegen, die abwarten und denken „wird schon gut gehen“ – und andere, die lieber frühzeitig aktiv werden, Seminare besuchen, sich an die örtliche IHK wenden. Da ich Einblick auch in andere Branchen habe, kann ich dem Buchhandel und den Verlagen aber einen progressiven Umgang mit dem Thema neue Datenschutz-Grundverordnung attestieren. Viele haben zumindest schon davon gehört und können selbstverständlich auch noch in den nächsten vier Monaten und darüber hinaus aktiv werden. Ein Trost: Große, internationale Konzerne beschäftigen sich schon lange mit dem Thema - und sind trotzdem noch nicht so weit, wie man sich das wünschen würde.
Wie viel Sorgfalt empfehlen Sie Unternehmen bei der Vorbereitung?
Vogelbacher: Zu empfehlen ist ein pragmatischer, aber revisionssicherer Ansatz. In der Zusammenarbeit mit dem Datenschutzverantwortlichen und dem Verantwortlichen für die Verarbeitung von personenbezogenen Daten (im Regelfall der Geschäftsführer oder Vorstand eines Unternehmens) muss der persönlich richtige Ansatz gefunden werden - unter dem Gesichtspunkt der in der EU DSGVO geforderten Risikoabwägung und individuell für das Unternehmen.
Firmen stöhnen über die Bürden der Neuregelung. Sehen Sie auch Vorteile?
Vogelbacher: Zum Profitcenter wird der veränderte und an neue Gegebenheiten angepasste Datenschutz mit Sicherheit nicht, aber ich sehe schon auch klare Chancen, etwa beim Qualitätsmanagement. Personenbezogene Daten werden an vielen Stellen im Unternehmen verarbeitet, von der Lohnbuchhaltung bis zur Kundendatenbank. Die Umsetzung der DSGVO ist auch eine Gelegenheit, Prozesse zu straffen und neu zu gestalten. Außerdem ist man gezwungen, sich von alten Zöpfen zu trennen, sprich: Daten zu löschen, die man nicht mehr benötigt. Und das Thema IT-Sicherheit sollte allen Firmen auch ohne neue Verordnung am Herzen liegen. Schließlich passiert es immer öfter, dass Fehler oder Hackerangriffe von außen ein ganzes Unternehmen lahmlegen. Die Neuregelung fordert und fördert präventives Handeln.
Sie selbst stehen Firmen als externer Datenschutzberater zur Seite. Haben Sie Beispiele zum Thema Prävention?
Vogelbacher: Ja, sogar sehr einfache. Bei einem meiner Kunden stand der Server direkt auf dem Boden, darüber waren Wasser- und Heizungsrohre, Baujahr 1960, verlegt…. Wir haben kurzerhand eine Euro-Palette unter den Server gestellt, die an der Seite stand; denn bei einem Wasserschaden wären Ausfälle der IT unvermeidlich gewesen und bis zur Wiederherstellung sicher einige Tage vergangen. Ein anderer klassischer Fall: Ein Multifunktionsdrucker wird außer Haus gegeben – ohne vorher die Festplatte mit sensiblen Daten zu löschen. Das erwerbende Unternehmen druckt auf Kopfdruck die ganze Korrespondenz des Vorunternehmens aus. Solche Pflichtaufgaben für den Umgang mit personenbezogenen Daten, wie in diesem Fall das Löschen, müssen intern festgeschrieben und nachgehalten werden. Die DSGVO ist ein Anstoß dafür, Lücken zu schließen. Mancher Unternehmer hat mir nach ein paar grundlegenden Änderungen im Zuge der Datenschutz-Grundverordnung schon gesagt: "Jetzt kann ich besser schlafen".
Die DSGVO gilt ausnahmslos für alle Unternehmen und Behörden. Gibt es trotzdem Regelungen, von denen die Buchbranche besonders betroffen ist?
Vogelbacher: Durchaus. Nehmen Sie allein die Autorenverträge, die ja auch personenbezogene Daten enthalten, unterschiedliche Laufzeiten und Rechte umfassen. Damit müssen Verlage gerade im Hinblick auf ihre Informations- und Transparenzpflicht sehr sorgsam umgehen. Ein ganz klassischer Fall betrifft zudem die Auftragsverarbeitung bei den Auslieferungen – zum Beispiel wenn ein Kunde ein Buch im Verlagswebshop bestellt und die Daten direkt an die Auslieferung weitergeleitet werden. Dienstleister und Verlag müssen dafür eine spezielle Auftragsverarbeitungsvereinbarung, kurz AVV unterzeichnen. Ich kann allen Auslieferungen nur raten, die Sache selbst in die Hand zu nehmen und eine einheitliche Vereinbarung an alle ihre Verlagskunden zu schicken. Sonst müssen sie später zig unterschiedliche, von ihren Auftraggebern, den Verlagen, vorformulierte AVV individuell prüfen. Eine AVV ist übrigens auch notwendig, wenn ein Dienstleister im Firmenauftrag Kundendaten in der Cloud hostet.
Auch die Informationspflichten gegenüber dem Kunden werden mit der Datenschutz-Grundverordnung ausgeweitet. Was bedeutet das für die Branche?
Vogelbacher: Ein typisches Beispiel, das frühzeitig zu bedenken ist, sind Kataloge mit Bestellformularen. Der Kunde muss wissen, was mit seinen Daten passiert, wenn er dieses Formular ausfüllt – das ist in den Informationspflichten festgeschrieben. Wer also neue Kataloge plant, die Bestellformulare enthalten, sollte deshalb schon jetzt daran denken, diese Hinweise aufzunehmen.
Gibt es auch klassische Fälle, die den Alltag in der Buchhandlung betreffen?
Vogelbacher: Ja, ein kleines, einfaches Beispiel, für das es zum Glück auch eine einfache Lösung gibt: Wenn Kunde Müller am Verkaufstresen eine Bestellung aufgeben will, dann sollte der Buchhändler in der Kundendatenbank nicht nur den Namen Müller eingeben, sondern durch die Parallelabfrage des Vornamens, der Adresse und der Hausnummer dafür sorgen, dass nur ein einziger Treffer auf dem Bildschirm erscheint. Welcher Herr Müller kauft denn hier noch so ein? Auch diese Information fällt unter den Datenschutz. Da muss man aufpassen – und seine Mitarbeiter im Laden für das Problem sensibilisieren.
Laut DSGVO müssen Unternehmen einen Datenschutzbeauftragten benennen, intern oder extern. Gilt das für alle?
Vogelbacher: Grundsätzlich gilt diese Regelung für alle Firmen, in denen mindestens zehn Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten befasst sind. Doch Vorsicht: Schon wer eine E-Mail-Adresse hat, verarbeitet permanent solche Daten. Letztlich kann es deshalb auch für kleinere Unternehmen empfehlenswert sein, einen Datenschutzbeauftragten zu beschäftigen, ob intern oder extern. Das hat ja auch Vorteile: Einer kümmert sich und trägt die Verantwortung - für eine bedarfsgerechte Umsetzung. Denn Datenschutz hat nichts mit der Unternehmensgröße zu tun. Wer sich da künstlich unter die zehn Mitarbeiter rechnet hat nichts gewonnen. Die vielfältigen Aufgaben zur Einhaltung der EU DSGVO muss er nämlich trotzdem umsetzen und auch nachhalten.
Was raten Sie Buchhandlungen und Verlagen, die sich jetzt schnell ins Thema einarbeiten müssen?
Vogelbacher: Sie sollten sich zunächst mal einen Überblick über das Thema verschaffen und ein Seminar besuchen – etwa bei der örtlichen Industrie- und Handelskammer oder den Landesverbänden des Börsenvereins. Dabei können sie sich mit dem Thema vertraut machen und erste Fragen klären. Viele Seminarteilnehmer fragen auch nach Musterformularen oder Standardabläufen für die Umsetzung der Verordnung, die sie nur geringfügig anpassen müssen. Selbstverständlich gibt es generelle Vorlagen. Jedoch müssen dann doch die individuellen Verarbeitungen in den Unternehmen dokumentiert werden und das macht eben Arbeit, die man nicht durch eine kleine Anpassung mal eben so erledigt. Zudem fällt die Risikoabwägung je nach Unternehmer anders aus. Dem einen reicht ein abschließbarer Stahlschrank für die Personaldaten, der andere möchte diese gerne in einem feuerfesten Tresor verwahrt wissen.
Gibt es Vorgaben der neuen Verordnung, die Firmen besonders ernst nehmen sollten?
Vogelbacher: Ja, etwa die Dokumentationspflichten. Denn hier gibt es eine "Beweislastumkehr": Früher mussten Kunden beweisen, dass in den Unternehmen fahrlässig mit ihren Daten umgegangen wurde. Mit der DSGVO müssen nun die Unternehmen dokumentieren können, dass sie sich regelkonform verhalten haben. Grundsätzlich gilt: Datenschutz ist mehr als eine Pflichterfüllung, man muss ihn im Unternehmen leben - mit Augenmaß und einer gesunden Portion Pragmatismus.
Michael Vogelbacher, ist Rechtsanwalt und seit 20 Jahren in verschiedenen Positionen in der Medienbranche aktiv. Bei der Börsenvereinstochter MVB war er für das VLB verantwortlich. Er betreibt die Rechtsanwaltskanzlei ADVOKAT PRO und berät Medien- und IT-Unternehmen mit seiner Firma consileo GmbH & Co. KG als externer Justiziar und externer Datenschutzbeauftragter.
• Erster Ansprechpartner und Ratgeber sind die Industrie- und Handelskammern, die ihre Mitglieder umfassend über die neue EU-DSGVO informieren.
• Eine dreiteilige Serie über verlags- und buchhandelsspezifische Fragen finden Sie beim Börsenblatt-Blog bookbytes (Autor: Michael Vogelbacher): Hier geht es zu Teil 1 (ein Thema: der Datenschutzbeauftragte), hier zu Teil 2 (ein Thema: Rechenschaftspflichten), hier zu Teil 3 (ein Thema: Auftragsverarbeitungsvereinbarung). Einen grundlegenden Artikel zum Thema lesen Sie im gedruckten Börsenblatt von dieser Woche, mit einem Praxisbeispiel aus der Buchhandlung Graff in Braunschweig.
• Ein Leitfaden der EU-Kommission ist abrufbar unter http://bit.ly/eu-leitfaden.
• Die Landesverbände des Börsenvereins bieten Seminare an, von denen einige allerdings schon ausgebucht sind. Freie Plätze gibt es zum Beispiel noch am 6. Februar in Heidelberg und am 19. April in Wiesbaden. Details: www.fortbildung-buchhandel.com und unter www.boersenverein-hessen.de/de/1397425.
• Speziell an Fachverlage richtet sich ein Termin am 22. März in Düsseldorf (Regionalbüro NRW, mehr unter www.mediacampus-frankfurt.de).
