Oliver Reitz
Direktor des Eigenbetriebs Wirtschaft und Stadtmarketing Pforzheim (WSP)
Newsletter Anmeldung
Pforzheimer Professor Felix Buchmann warnt: "Wer Datenschutz nicht ernst nimmt, hat ein Problem"
20.03.2023
Insbesondere in den Bereichen IT-Recht, Datenschutz- und Verbraucherschutzrecht ist Felix Buchmann ein gefragter Experte. Das Handelsblatt zählte ihn im Jahr 2022 zu den besten Rechtsanwälten Deutschlands im Bereich Datenschutz. Im Interview erklärt der 47-jährige Professor für Wirtschaftsprivatrecht an der Hochschule Pforzheim, warum Datensicherheit jeden anbelangt, der Datenschutz keine Innovationsbremse sein darf und warum seine Branche vor dem wahrscheinlich größten Umbruch steht.
Die meisten sind von Cookie Abfragen genervt, warum raten Sie, diese nicht auf die leichte Schulter zu nehmen?
Felix Buchmann: Ich höre immer wieder, dass es doch egal sei, wenn (letztlich unbekannte) Unternehmen Daten von einem haben, „man habe ja nichts zu verbergen“. Das ist eine ganz schlimme Fehleinschätzung, denn darum geht es nicht. Jedem Internetnutzer muss bewusst sein, dass massenweise Daten über ihn gesammelt und aggregiert werden; wozu diese Erkenntnisse heute oder später einmal genutzt werden, wissen wir doch gar nicht. Dies kann man – hoffentlich – minimieren, indem man keine Cookies zulässt. Ich sage hoffentlich, weil wir eigentlich gar nicht wissen, welche Daten von uns erhoben, verarbeitet und wie sie genutzt werden, wenn wir uns im Internet bewegen.
Hat sich die Sorge um mehr Bürokratie bewahrheitet?
Natürlich bringen die Datenschutzbestimmungen unter der DSGVO etwas mehr Aufwand mit sich als das alte Bundesdatenschutzgesetz. Man muss aber eben auch festhalten, dass sich vor Mai 2018 kaum jemand um den Datenschutz geschert hat. Die Möglichkeiten der Datenaggregierung und die Nutzung des Internets in Geschäftsprozessen haben strengere Regelungen notwendig gemacht. Und wir sehen ja ständig, wozu die mangelhafte Umsetzung von Datenschutz- und Datensicherheitskonzepten führen. Die Bürokratie würde ich gar nicht in den Vordergrund stellen wollen. Es geht um ein allgemeines Bewusstsein für das Thema Datenschutz und Datensicherheit, das zwangsläufig Aufwand mit sich bringt, aber nicht im negativen Sinne.
Ist die DSGVO also eine der größten Errungenschaften der letzten Jahre?
Diese Erkenntnis ist mir neu und ich teile sie nicht. Die DSGVO ist ein handwerklich schlecht gemachtes Normwerk, das in vielen entscheidenden Punkten keine Lösungen mit sich bringt, teilweise Innovation verhindert, und einen sinnvollen Umgang mit Daten in weiten Bereichen unnötig erschwert oder sogar unmöglich macht. Die DSGVO baut auf Verbote, statt eine Grundlage für eine sinnvolle und zukunftsorientierte Datenwirtschaft zu schaffen. Wir dürfen dabei aber nicht vergessen, dass die DSGVO 2016 in Kraft getreten ist und zuvor einige Jahre diskutiert wurde. Sie ist in unserer digitalen Welt also schon uralt.
Warum ist WhatsApp nicht geeignet für Unternehmenskommunikation?
WhatsApp ist Teil des Meta-Konzerns, und wie dort die Daten der Nutzer verarbeitet werden und wozu sie tatsächlich genutzt werden, wissen wir nicht wirklich. Zwar ist die Kommunikation Ende-zu-Ende verschlüsselt, aber auch das bietet uns keine absolute Sicherheit, dass über den Dienst versandte Informationen nicht doch verarbeitet werden. WhatsApp gleicht im Übrigen automatisch alle auf einem Telefon gespeicherten Kontakte ab und prüft, wer von diesen Kontakten WhatsApp nutzt (damit diese dann als Kontakte in WhatsApp angezeigt werden). Es werden also Kontaktdaten auch von Personen an WhatsApp übermittelt, die diese App gar nicht verwenden und damit einer Nutzung der Daten durch WhatsApp nicht zugestimmt haben. Wir haben zudem einen Datentransfer in die USA, der wegen der Vorgaben der DSGVO nur zulässig ist, wenn entsprechende Garantien vorliegen, dass – ganz grob gesagt – die Bestimmungen der DSGVO eingehalten werden. Es gibt mittlerweile eine API-Lösung (also eine Schnittstelle) für Unternehmen, die den Abgleich der Kontakte wohl nicht mehr vornimmt; diese API kann auch von externen Anbietern gehostet werden.
Wer verstößt am meisten gegen die DSGVO?
Verantwortlicher im Sinne der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das können genauso Einzelunternehmer, wie Konzerne oder Behörden sein; wer am meisten dagegen verstößt, kann ich empirisch nicht belegen. Die Praxiserfahrung zeigt, dass die datennahen Unternehmen den Datenschutz eher im Blick haben (was nicht heißt, dass sie alles richtig machen, aber sie haben es auf der Agenda) als beispielsweise produzierende Unternehmen. Dort höre ich nicht selten, dass man mit Daten doch gar nichts zu tun habe, was natürlich nicht richtig ist; wenn das Bewusstsein für Risiken nicht da ist, ist die Gefahr am größten.
Welchen Fall fanden Sie am spannendsten?
Ich fand die jüngst kursierenden Massenabmahnungen wegen des Einsatzes von Google Fonts ganz interessant. Sie haben gezeigt, mit welchem massiven Widerstand man rechnen muss, wenn man versucht, mit einem vermeintlich verletzten Datenschutzrecht Profit zu erwirtschaften. Das Datenschutzrecht birgt leider viele Ansatzpunkte, die ein unbilliges Ausnutzen erlauben. In Einzelfällen sehen wir das immer wieder, Auskunftsansprüche und Schmerzensgelder werden nur geltend gemacht, um der anderen Partei eins auszuwischen oder um sich zu bereichern. So etwas schadet der Akzeptanz eines Rechtsrahmens massiv. Das haben wir schon im Wettbewerbsrecht gesehen.
Was bringen eigentlich Rekordstrafen? Ändern die Big Player wirklich etwas? Oder zahlen sie sich einfach raus?
Wer ein Bußgeld bezahlen muss, kauft sich damit nicht für die Zukunft frei; das Bußgeld ist eine Strafe für die Vergangenheit und selbstverständlich muss man sich dann in der Zukunft gesetzeskonform verhalten. Und wer einmal wegen eines Bußgelds in der Presse war, wird beobachtet, nicht nur von den Behörden, sondern auch vom Markt und von den Kunden. Ich glaube nicht, dass ein Unternehmen wegen des gleichen Verstoßes ein zweites (dann noch höheres) Bußgeld riskieren möchte, das würde einen massiven Vertrauensverlust der eigenen Kunden nach sich ziehen.
Bremst der Datenschutz digitale Innovationen?
Datenschutz darf nicht zur Innovationsbremse werden, das habe ich ja schon ein bisschen angedeutet. Dies versucht die europäische Datenstrategie, dazu gehören z.B. der Data Governance Act und der Data Act. Ziel der EU ist es, künftig eine Führungsrolle in der globalen Datenwirtschaft zu spielen. Die Verarbeitung personenbezogener Daten ist nur unter bestimmten in der DSGVO geregelten Voraussetzungen rechtmäßig. Das ist innerhalb von bestehenden Vertragsverhältnissen (Google, Facebook etc.) gewährleistet, wenn die Betroffenen in die Nutzung ihrer Daten aktiv einwilligen und zuvor über die Art und Weise der Nutzung transparent informiert werden. Ansonsten geschieht dies im Moment noch über Cookies, aber diese Technologie steht vor dem Ende. Das Tracking geht selbstverständlich über andere (ggf. illegale) Lösungen weiter, die wir gar nicht mitbekommen.
Inwieweit verändert die Digitalisierung auch Ihre Branche?
Die Rechtsbranche steht vor dem wahrscheinlich größten Umbruch, den es je gab. Die Digitalisierung ermöglicht nicht nur die Verschlankung von Arbeitsabläufen, sie wird viele Tätigkeiten ersetzen, von denen wir heute noch meinen, dass sie nur ein Anwalt leisten kann. ChatGPT zeigt uns, wie unsere Arbeitswelt in ein paar Jahren aussehen wird. Wir setzen heute bereits verschiedene Legal Tech Tools ein und bauen diese auch selbst, wenn es keine Lösung am Markt gibt; dafür haben wir gerade den Legal Tech Kanzleipreis des Deutschen Anwaltvereins gewonnen. Wir arbeiten schon lange papierlos und mittlerweile auch kabellos, was uns eine vollständige Flexibilisierung unserer Arbeitswelt erlaubt. Damit sind wir auf dem Weg zu einer ganz neuen Art von Kanzlei, weg von den typischen Klischees teuer, behäbig, eitel. MacBooks statt schwere Ledersessel!
Wie könnte man Datenschutz attraktiver und einfacher gestalten?
Wer sich ernsthaft um Compliance, Datenschutz und Datensicherheit in seinem Unternehmen kümmern möchte, muss den damit verbundenen Aufwand in Kauf nehmen. Wir setzen mittlerweile in der Beratung verschiedene Softwarelösungen ein, die – anders als noch in den letzten Jahren – vieles vereinfachen und damit schnellere und günstigere Lösungen schaffen. Aber auch die beste Software ändert nichts daran, dass die Prozesse im Unternehmen gemeinsam mit den MitarbeiterInnen verstanden und umgesetzt werden müssen.
Wo liegen die Chancen im Datenschutz?
Ich glaube, dass die Frage andersherum zu einer klareren Antwort führt: Worin liegen die Risiken, wenn man sich nicht um den Datenschutz kümmert? Es drohen massive Sicherheitsrisiken in der IT-Infrastruktur und damit verbunden sehr hohe IT-Kosten, ggf. Lösegeldforderungen und teurer Produktionsausfall, der Verlust von Daten, der Verlust von unbezahlbarem Vertrauen bei KundInnen und MitarbeiterInnen, und nicht zuletzt massive Bußgelder. Wer heute das Thema Datenschutz und Datensicherheit nicht ernst nimmt, und meint, es sei mit der Bestellung eines Datenschutzbeauftragten für ein paar Euro im Monat getan, hat ein ernsthaftes Problem. Das Schlimmste dabei ist, dass es ein nicht kalkulierbares Risiko ist: niemand weiß, wann wo welches Problem auftaucht, in welchem Umfang und mit welcher Wucht. Und natürlich ist das Unternehmen darauf dann auch nicht vorbereitet. Die Geschäftsleitung kann dann übrigens persönlich haften.
An welchen Stellen müssen noch Stellschrauben gedreht werden?
Ich meine, dass wir im Datenschutzrecht weg müssen von einem Verbotssystem hin zu einem Datennutzungsrecht. Eine künstliche Intelligenz beispielsweise braucht massenhaft Daten, um trainiert werden zu können; das Datenschutzrecht darf dafür kein Hemmschuh sein. Und wir müssen das datenschutzrechtliche Verhältnis zwischen EU und den USA klären. Viele der meistgenutzten Cloud-Technologien kommen aus den USA. Wir können es uns schlicht nicht leisten, diese wegen datenschutzrechtlicher Bedenken nicht einzusetzen; wir hinken sonst beim technologischen Fortschritt hinterher und verlieren irgendwann den Anschluss.
von Katharina Lindt/ Tanja Meckler
20.03.2023
Insbesondere in den Bereichen IT-Recht, Datenschutz- und Verbraucherschutzrecht ist Felix Buchmann ein gefragter Experte. Das Handelsblatt zählte ihn im Jahr 2022 zu den besten Rechtsanwälten Deutschlands im Bereich Datenschutz. Im Interview erklärt der 47-jährige Professor für Wirtschaftsprivatrecht an der Hochschule Pforzheim, warum Datensicherheit jeden anbelangt, der Datenschutz keine Innovationsbremse sein darf und warum seine Branche vor dem wahrscheinlich größten Umbruch steht.
Die meisten sind von Cookie Abfragen genervt, warum raten Sie, diese nicht auf die leichte Schulter zu nehmen?
Felix Buchmann: Ich höre immer wieder, dass es doch egal sei, wenn (letztlich unbekannte) Unternehmen Daten von einem haben, „man habe ja nichts zu verbergen“. Das ist eine ganz schlimme Fehleinschätzung, denn darum geht es nicht. Jedem Internetnutzer muss bewusst sein, dass massenweise Daten über ihn gesammelt und aggregiert werden; wozu diese Erkenntnisse heute oder später einmal genutzt werden, wissen wir doch gar nicht. Dies kann man – hoffentlich – minimieren, indem man keine Cookies zulässt. Ich sage hoffentlich, weil wir eigentlich gar nicht wissen, welche Daten von uns erhoben, verarbeitet und wie sie genutzt werden, wenn wir uns im Internet bewegen.
Hat sich die Sorge um mehr Bürokratie bewahrheitet?
Natürlich bringen die Datenschutzbestimmungen unter der DSGVO etwas mehr Aufwand mit sich als das alte Bundesdatenschutzgesetz. Man muss aber eben auch festhalten, dass sich vor Mai 2018 kaum jemand um den Datenschutz geschert hat. Die Möglichkeiten der Datenaggregierung und die Nutzung des Internets in Geschäftsprozessen haben strengere Regelungen notwendig gemacht. Und wir sehen ja ständig, wozu die mangelhafte Umsetzung von Datenschutz- und Datensicherheitskonzepten führen. Die Bürokratie würde ich gar nicht in den Vordergrund stellen wollen. Es geht um ein allgemeines Bewusstsein für das Thema Datenschutz und Datensicherheit, das zwangsläufig Aufwand mit sich bringt, aber nicht im negativen Sinne.
Ist die DSGVO also eine der größten Errungenschaften der letzten Jahre?
Diese Erkenntnis ist mir neu und ich teile sie nicht. Die DSGVO ist ein handwerklich schlecht gemachtes Normwerk, das in vielen entscheidenden Punkten keine Lösungen mit sich bringt, teilweise Innovation verhindert, und einen sinnvollen Umgang mit Daten in weiten Bereichen unnötig erschwert oder sogar unmöglich macht. Die DSGVO baut auf Verbote, statt eine Grundlage für eine sinnvolle und zukunftsorientierte Datenwirtschaft zu schaffen. Wir dürfen dabei aber nicht vergessen, dass die DSGVO 2016 in Kraft getreten ist und zuvor einige Jahre diskutiert wurde. Sie ist in unserer digitalen Welt also schon uralt.
Warum ist WhatsApp nicht geeignet für Unternehmenskommunikation?
WhatsApp ist Teil des Meta-Konzerns, und wie dort die Daten der Nutzer verarbeitet werden und wozu sie tatsächlich genutzt werden, wissen wir nicht wirklich. Zwar ist die Kommunikation Ende-zu-Ende verschlüsselt, aber auch das bietet uns keine absolute Sicherheit, dass über den Dienst versandte Informationen nicht doch verarbeitet werden. WhatsApp gleicht im Übrigen automatisch alle auf einem Telefon gespeicherten Kontakte ab und prüft, wer von diesen Kontakten WhatsApp nutzt (damit diese dann als Kontakte in WhatsApp angezeigt werden). Es werden also Kontaktdaten auch von Personen an WhatsApp übermittelt, die diese App gar nicht verwenden und damit einer Nutzung der Daten durch WhatsApp nicht zugestimmt haben. Wir haben zudem einen Datentransfer in die USA, der wegen der Vorgaben der DSGVO nur zulässig ist, wenn entsprechende Garantien vorliegen, dass – ganz grob gesagt – die Bestimmungen der DSGVO eingehalten werden. Es gibt mittlerweile eine API-Lösung (also eine Schnittstelle) für Unternehmen, die den Abgleich der Kontakte wohl nicht mehr vornimmt; diese API kann auch von externen Anbietern gehostet werden.
Wer verstößt am meisten gegen die DSGVO?
Verantwortlicher im Sinne der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das können genauso Einzelunternehmer, wie Konzerne oder Behörden sein; wer am meisten dagegen verstößt, kann ich empirisch nicht belegen. Die Praxiserfahrung zeigt, dass die datennahen Unternehmen den Datenschutz eher im Blick haben (was nicht heißt, dass sie alles richtig machen, aber sie haben es auf der Agenda) als beispielsweise produzierende Unternehmen. Dort höre ich nicht selten, dass man mit Daten doch gar nichts zu tun habe, was natürlich nicht richtig ist; wenn das Bewusstsein für Risiken nicht da ist, ist die Gefahr am größten.
Welchen Fall fanden Sie am spannendsten?
Ich fand die jüngst kursierenden Massenabmahnungen wegen des Einsatzes von Google Fonts ganz interessant. Sie haben gezeigt, mit welchem massiven Widerstand man rechnen muss, wenn man versucht, mit einem vermeintlich verletzten Datenschutzrecht Profit zu erwirtschaften. Das Datenschutzrecht birgt leider viele Ansatzpunkte, die ein unbilliges Ausnutzen erlauben. In Einzelfällen sehen wir das immer wieder, Auskunftsansprüche und Schmerzensgelder werden nur geltend gemacht, um der anderen Partei eins auszuwischen oder um sich zu bereichern. So etwas schadet der Akzeptanz eines Rechtsrahmens massiv. Das haben wir schon im Wettbewerbsrecht gesehen.
Was bringen eigentlich Rekordstrafen? Ändern die Big Player wirklich etwas? Oder zahlen sie sich einfach raus?
Wer ein Bußgeld bezahlen muss, kauft sich damit nicht für die Zukunft frei; das Bußgeld ist eine Strafe für die Vergangenheit und selbstverständlich muss man sich dann in der Zukunft gesetzeskonform verhalten. Und wer einmal wegen eines Bußgelds in der Presse war, wird beobachtet, nicht nur von den Behörden, sondern auch vom Markt und von den Kunden. Ich glaube nicht, dass ein Unternehmen wegen des gleichen Verstoßes ein zweites (dann noch höheres) Bußgeld riskieren möchte, das würde einen massiven Vertrauensverlust der eigenen Kunden nach sich ziehen.
Bremst der Datenschutz digitale Innovationen?
Datenschutz darf nicht zur Innovationsbremse werden, das habe ich ja schon ein bisschen angedeutet. Dies versucht die europäische Datenstrategie, dazu gehören z.B. der Data Governance Act und der Data Act. Ziel der EU ist es, künftig eine Führungsrolle in der globalen Datenwirtschaft zu spielen. Die Verarbeitung personenbezogener Daten ist nur unter bestimmten in der DSGVO geregelten Voraussetzungen rechtmäßig. Das ist innerhalb von bestehenden Vertragsverhältnissen (Google, Facebook etc.) gewährleistet, wenn die Betroffenen in die Nutzung ihrer Daten aktiv einwilligen und zuvor über die Art und Weise der Nutzung transparent informiert werden. Ansonsten geschieht dies im Moment noch über Cookies, aber diese Technologie steht vor dem Ende. Das Tracking geht selbstverständlich über andere (ggf. illegale) Lösungen weiter, die wir gar nicht mitbekommen.
Inwieweit verändert die Digitalisierung auch Ihre Branche?
Die Rechtsbranche steht vor dem wahrscheinlich größten Umbruch, den es je gab. Die Digitalisierung ermöglicht nicht nur die Verschlankung von Arbeitsabläufen, sie wird viele Tätigkeiten ersetzen, von denen wir heute noch meinen, dass sie nur ein Anwalt leisten kann. ChatGPT zeigt uns, wie unsere Arbeitswelt in ein paar Jahren aussehen wird. Wir setzen heute bereits verschiedene Legal Tech Tools ein und bauen diese auch selbst, wenn es keine Lösung am Markt gibt; dafür haben wir gerade den Legal Tech Kanzleipreis des Deutschen Anwaltvereins gewonnen. Wir arbeiten schon lange papierlos und mittlerweile auch kabellos, was uns eine vollständige Flexibilisierung unserer Arbeitswelt erlaubt. Damit sind wir auf dem Weg zu einer ganz neuen Art von Kanzlei, weg von den typischen Klischees teuer, behäbig, eitel. MacBooks statt schwere Ledersessel!
Wie könnte man Datenschutz attraktiver und einfacher gestalten?
Wer sich ernsthaft um Compliance, Datenschutz und Datensicherheit in seinem Unternehmen kümmern möchte, muss den damit verbundenen Aufwand in Kauf nehmen. Wir setzen mittlerweile in der Beratung verschiedene Softwarelösungen ein, die – anders als noch in den letzten Jahren – vieles vereinfachen und damit schnellere und günstigere Lösungen schaffen. Aber auch die beste Software ändert nichts daran, dass die Prozesse im Unternehmen gemeinsam mit den MitarbeiterInnen verstanden und umgesetzt werden müssen.
Wo liegen die Chancen im Datenschutz?
Ich glaube, dass die Frage andersherum zu einer klareren Antwort führt: Worin liegen die Risiken, wenn man sich nicht um den Datenschutz kümmert? Es drohen massive Sicherheitsrisiken in der IT-Infrastruktur und damit verbunden sehr hohe IT-Kosten, ggf. Lösegeldforderungen und teurer Produktionsausfall, der Verlust von Daten, der Verlust von unbezahlbarem Vertrauen bei KundInnen und MitarbeiterInnen, und nicht zuletzt massive Bußgelder. Wer heute das Thema Datenschutz und Datensicherheit nicht ernst nimmt, und meint, es sei mit der Bestellung eines Datenschutzbeauftragten für ein paar Euro im Monat getan, hat ein ernsthaftes Problem. Das Schlimmste dabei ist, dass es ein nicht kalkulierbares Risiko ist: niemand weiß, wann wo welches Problem auftaucht, in welchem Umfang und mit welcher Wucht. Und natürlich ist das Unternehmen darauf dann auch nicht vorbereitet. Die Geschäftsleitung kann dann übrigens persönlich haften.
An welchen Stellen müssen noch Stellschrauben gedreht werden?
Ich meine, dass wir im Datenschutzrecht weg müssen von einem Verbotssystem hin zu einem Datennutzungsrecht. Eine künstliche Intelligenz beispielsweise braucht massenhaft Daten, um trainiert werden zu können; das Datenschutzrecht darf dafür kein Hemmschuh sein. Und wir müssen das datenschutzrechtliche Verhältnis zwischen EU und den USA klären. Viele der meistgenutzten Cloud-Technologien kommen aus den USA. Wir können es uns schlicht nicht leisten, diese wegen datenschutzrechtlicher Bedenken nicht einzusetzen; wir hinken sonst beim technologischen Fortschritt hinterher und verlieren irgendwann den Anschluss.
von Katharina Lindt/ Tanja Meckler
Jetzt Newsletter abonnieren und von vielen Vorteilen profitieren!
Das könnte Sie
auch interessieren
auch interessieren
