In der neuesten Episode von dem Podcast “E-Commerce&Friends” geht es rund um das Thema Datenschutz. Zu Gast war diesmal Marc Oliver Giel, der nicht nur Fachanwalt für IT-Recht ist, sondern auch der Datenschutzbeauftragte bei Billbee!
[Disclaimer: Teile wurden gekürzt und/oder sprachlich angepasst, sodass das gesprochene Wort in Schriftform besser dargestellt werden kann. Den Link zum Original auf den gängigen Streamingplattformen findest du unten im Beitrag!]
Marc Oliver Giel: Mir war im Prinzip im Studium schon klar, dass ich mich auf den Rechtsbereich der neue Medien konzentrieren möchte und da habe ich damals auch am meisten Potenzial gesehen, dass ich dann auch relativ bald, nämlich 2007, dann meine eigene Kanzlei, die Giel Rechtsanwalt, gegründet habe. Sofort ab dem ersten Tag habe ich mich auf IT-Themen und auf Internet-Themen konzentriert und dann auch gleich die Ausbildung zum Fachanwalt für IT-Recht gemacht. Ab dem Jahr 2010 durfte ich dann auch diesen Fachanwaltstitel führen. Ab 2017 wurde das Datenschutz-Thema dann auf einmal sehr sehr viel stärker in die Öffentlichkeit gepresst – noch nicht so für den allgemeinen Bürger aber für uns Rechtsanwälte – denn ich weiß, 2017, da saß ich in einer Fortbildungsveranstaltung für uns IT-Rechtsanwälte und da war nämlich gerade die DSGVO verabschiedet sozusagen mit einer Übergangszeit von 2 Jahren und wir wurden eben frühzeitig geschult und an dem Zeitpunkt in dieser Schulung habe ich erkannt “okay, das wird ein großes Ding. Da muss ich zum Einen fit sein, um meine bisherigen Mandanten zu beraten und vielleicht kann man da auch neue Mandate bekommen darüber”. Und mittlerweile seit 2018 ist die DSGVO ja in Kraft und jetzt haben wir schon wieder drei Jahre danach und rückblickend muss ich sagen: Das war exakt die richtige Entscheidung.
Marc Oliver Giel: Das liegt daran, dass sich inhaltlich und strukturell wirklich sehr sehr viel getan hat in den Rechtsfolgen bzw. Bußgeldern. Also das älteste Datenschutzgesetz hier in Hessen trat 1970 in Kraft ist also heute schon 51 Jahre alt. Damals, kannst dir vorstellen, es gab noch kein Internet, kein eCommerce in der Art und Weise, wie wir das heute haben. Und acht Jahre später gab es dann dieses bundeseinheitliche Bundesdatenschutzgesetz und so haben wir im Prinzip bis 2018 gelebt. Also jedes Bundesland hatte sein eigenes Datenschutzgesetz unter nochmal einem bundesweiten Datenschutzgesetz und 2018 kam dann Mai Ende Mai, dass die Geltung der DSGVO gilt und zwar eben in ganz Europa. Aufgrund dessen mussten wir hier in Deutschland auch unser Bundesdatenschutzgesetz nochmal komplett neu umschmeißen und neue Inhalte rein nehmen und während früher, also vor 2018, für Unternehmen – sagen wir mal – maximal Strafen von 300.000 Euro bestanden für ganz ganz große und schwere Datenschutzverstöße, haben wir also heute viel viel höhere Strafen oder zumindest Strafandrohungen. Das geht bis 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatz eines Unternehmens. Das ist aber halt nur, wenn wirklich ganz ganz schwere Verletzungen von Datenschutzrecht festgestellt werde und Unternehmen auch nicht bereit sind, da irgendwie an der Aufklärung mitzuhelfen oder sonst irgendwie kooperativ sind. Und weil eben diese Strafen so stark angestiegen sind, haben die Unternehmen gesagt “na ja da lohnt es sich ja mal den ein oder anderen Euro zu investieren und vorzubeugen”, dass es eben nicht zu diesem Strafen kommt weil sonst jede Strafe eben so hoch ist, dass sie vielleicht sogar das Unternehmen gefährden könnte.
Marc Oliver Giel: Ja, die DSGVO gilt erst mal- ganz ohne Ausnahme – für alle geschäftlich tätigen Leute. Der ganz private Intimbereich soll ausgenommen werden. Das heißt, was man mit seiner Familie oder mit seinen Freunden macht, das unterfällt überhaupt keinen datenschutzrechtlichen Regelungen. Aber sie haben so eine Formulierung im Gesetz gewählt, dass wenn du z.b. etwas umfangreicher bei eBay alte Sachen verkaufst oder sonst irgendwie nach außen hin tätig bist mit anderen Leuten, dann kommst du da leicht wieder rein. Aber zum Glück ist das im Moment noch nicht im Fokus von Abmahnern oder Aufsichtsbehörden oder sonstwas, sondern die haben im Fokus, dass die Unternehmen sich an Datenschutz halten und diesen “Graubereich” – nenn ich es jetzt mal – zwischen ganz privat und nur so ein bisschen privat, der wird im Moment in Ruhe gelassen
Marc Oliver Giel: Also zum Einen muss man dabei bei den Datenpannen angefangen. Datenpannen können in wirklich vielfältige Art und Weise auftreten. Ich sage in meinen Schulungen, eine Datenpanne kann sein, wenn Daten, die du von deinen Kunden hast, z. B. weil du einen kleinen Online-Shop hast, ein E-Commerce-Unternehmen, und du hast eben deine Kundendaten. Wenn die ein Anderer hat, der dazu nicht berechtigt ist, und du sie auch noch hast sozusagen, dass die Daten kopiert wurden. Dann kann es eine Datenpanne sein. Es kann aber auch sein, dass der Andere die Daten unberechtigterweise hat, aber du hast sie nicht mehr. Dann wurden sie nicht kopiert, sondern da wurden sie ja abgezogen. Das ist das typische Beispiel. Und das kann eben auch eine Datenpanne sein. Oder der Andere hat sie nicht, aber er konnte deine Daten bei dir manipulieren. Das ist das Thema bei Hackern, die sich auf deine Systeme aufgeschaltet haben und da eindringen konnten und deine Daten verändert haben. Und von den Bußgeldern von dem du sprachst, da ist ganz wichtig zu verstehen, dass Bußgelder nur diese Aufsichtsbehörde für den Datenschutz verteilen dürfen. Also es gibt spezielle Behörden in jedem Bundesland, mindestens eine Behörde für den Datenschutz. Und die kontrollieren, was in ihrem Bundesland die Unternehmen mit Datenschutz machen oder nicht machen. Und wenn die eben jetzt z. b. hier in Hessen von einem hessischen Unternehmer erfahren “okay, da gab es eine Datenpanne”, dann können sie sich das anschauen. Die haben entsprechende Befugnisse auch in das Unternehmen rein zu gehen, sich alles anzuschauen, zu analysieren und wenn sie dann irgendwann zum Ergebnis kommen “ok, da hat eine extrem heftige Datenpanne stattgefunden”, dann geben die das intern zur sogenannten Bußgeldstelle und die überlegen sich dann, was dafür ein Bußgeld in welcher Höhe oder ob oder ob nicht angemessen ist. Dann kann es sein, dass dieses Unternehmen vielleicht auch etwas länger längere Zeit danach erst einen Bußgeldbescheid von dieser Behörde bekommt und dann steht da sowas drin, wie du zu schnell fährt “ wir bitten Sie das Bußgeld in Höhe von…” an uns zu zahlen und weil das ein Bußgeldbescheid von einer Behörde ist, kannst du dagegen Rechtsmittel einlegen. Wenn du das machst, dann kommt man zum Gericht und dann überprüfen Gerichte das alles nochmal. Es ist es so, in den letzten drei Jahren wollten die ein oder anderen Aufsichtsbehörden so ein paar Erfolge demonstrieren. Das heißt, die machen Pressemitteilung, wenn die sagen “jawoll, wir haben unsere Aufgabe gut gemacht”. Entweder, sie nennen die Firma oder manchmal bleibt es auch anonym. Angenommen, wir haben gegen ein Unternehmen der Bekleidungsindustrie ein Bußgeld in Höhe von so-und-so viel Euro verhängt und dann liest du das und denkst “ja, die haben hier zugeschlagen” aber du weißt in diesem Moment nicht, ob die das akzeptieren. Das Unternehmen könnte sagen “naja, akzeptieren wir, denn es könnte schlimmer kommen” oder sie können eben Rechtsmittel einlegen und vor Gericht ziehen. Und in der Zwischenzeit, also in den drei Jahren seit der DSGVO-Einführung, gab es auch schon solche Fälle, wo eben ein Bußgeldbescheid kam und dann das Unternehmen zu Gericht ist und mittlerweile eine Instanz oder zwei Instanzen entschieden haben, ob das Bußgeld berechtigt war oder nicht. Und dann gibt es eben eine gerichtliche Entscheidung dazu und es gibt dann eben nicht nur diese deutschen Aufsichtsbehörden, die Datenpannen ahnden mit solchen Bußgeldern, sondern eben in allen europäischen Ländern, wo ja die DSGVO gilt. Wenn du jetzt fragst, wer ist sozusagen auf Platz eins, da muss man sagen, da sind die Deutschen, also die deutschen Aufsichtsbehörden, nicht mit dabei. Denn das höchste mir bekannte Bußgeld wurde im Vereinigten Königreich ausgegeben und zwar gegen eine weltweite Fluglinie so in der Größenordnung von ungefähr 184 Millionen Euro.
Hör’ dir jetzt die gesamte Folge von Sebastian und Marc Oliver Giel unseres Podcasts E-Commerce&Friends an – jeden Monat eine neue Folge mit wechselnden Interviewpartnern!
