Datensammeln wird schwieriger
Konsumenten geben im Internet bereitwillig ihre Daten preis. Unternehmen müssen künftig umfassend informieren, was sie damit tun, und Obsorge tragen, dass diese nicht in die falschen Hände geraten. Fehlverhalten wird teuer.
Wien – Der erste Hype um Pokémon Go ist abgeflaut. Nicht nur die Eltern leidenschaftlicher Jungjäger dürften froh sein, dass in Sachen virtueller Monsterjagd Entspannung einkehrt. Auch so mancher Chef wird dagegen wenig einzuwenden haben. Immerhin wurde das Smartphone-Spiel als veritabler Produktivitätskiller in der Arbeit identifiziert. Hinterm Kopierer, neben der Tastatur: Enthusiastische Gamer ließ die Leidenschaft auch im Büro nicht los.
Vorgesetzte sollte dies aber nicht nur in Hinblick auf das „spielerische Fremdgehen“der Mitarbeiter während der Arbeitszeit sorgen, findet Constantin Wollenhaupt. Der Medienbetriebswirt hat andere Bedenken hinsichtlich ähnlicher zukünftiger Spiele: „Haben Sie am Firmenhandy Kundenkontaktdaten, vielleicht Umsätze per E-Mail, Fotos von Kundenevents, und Sie laden ein Spiel wie Pokémon Go herunter, ist die Firma ziemlich wahrscheinlich nahe dem strafrechtlichen Bereich. Es könnte sein, dass der betroffene Mitarbeiter Datenschutzverletzungen begeht.“Habe er 1000 Kontaktdaten am Telefon, begehe er schlimms- tenfalls Datenschutzverletzung in 1000 Fällen, so Wollenhaupt.
Hintergrund seiner Warnung ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie tritt 2018 in Kraft und birgt für Unternehmen einiges an Sprengkraft. Schon allein deswegen, weil viele gar nicht wissen, was auf sie zukommt, sagt auch Datenschutzrechtsexperte Gerald Trieb. „Manchen ist noch nicht klar, welch enormer Aufwand damit verbunden ist.“
Lockerer Umgang
Eine Einschätzung, die Wollenhaupt teilt. Schon mit der geltenden Rechtslage gingen viele Unternehmen ziemlich unbedarft um: „Gerade Start-ups haben in aller Regel gar kein Bewusstsein. Das Koppelungsverbot gilt etwa jetzt schon. Der Nutzer darf nicht mehr bestätigen, dass er AGBs und Nutzungsbedingungen gelesen hat und mit dem Newsletter einverstanden ist. Das müssen drei unterschiedliche Punkte sein. Das wird recht locker genommen.“
Derzeit seien die Strafen bei Verstößen noch so gering, dass „alle noch ein bisschen relaxed herumschwimmen“. Mit der neuen Verordnung ändere sich das gewaltig, warnt Wollenhaupt: „Es trifft wirklich jeden Unternehmer, von der Nageldesignerin, mit Kontaktformular auf ihrer Homepage, bis zum Pharmakonzern.“
Tatsächlich werde künftig kaum ein Unterschied gemacht, ob es sich um ein Ein-PersonenUnternehmen handelt oder einen Konzern mit 100.000 Mitarbeitern. Dereinst geplante Erleichterungen für Kleine seien gefallen, bestätigt Trieb. „Die Ausnahmebestimmung von der Verpflichtung zur Führung eines Verzeichnisses aller Datenanwendungen, in denen personenbezogene Daten verarbeitet werden für Unternehmen mit weniger als 250 Mitarbeitern, wurde so stark ausgehöhlt, dass sie wohl nur für wenige zur Anwendung gelangen wird.“
Grundsätzlich geht es aber schon an der Basis los. Verschärft wird mit der neuen DSGVO etwa die Informationspflicht: Wer eine Homepage mit Kontaktformular hat, muss schon im Voraus prominent und verständlich erklären, welche Daten er warum sammelt und was er damit zu tun gedenkt. Der große Unterschied sei, so Wollenhaupt: „Das darf nicht mehr in den AGBs stehen. Es reicht nicht, dass der Kunde bestätigt, er habe diese gelesen.“
Daten regelkonform einzuholen ist das eine, doch dann gilt es, sie auch regelkonform zu verwenden. „Der Anbieter, der ein Kontaktformular oder Newslettertool zur Verfügung stellt, muss für denjenigen, der seine Daten eingibt, sicherstellen, dass alle seine Rechte gewahrt sind. Ich sollte also volle Kontrolle und Zugriff auf die Daten haben. Da wird es ganz schnell kompliziert. Manche nehmen auch Whatsapp in ihre Kommunikation oder Facebook.“
Kulturwechsel
Für viele Unternehmen stehe ein Kulturwechsel bevor, sagt Trieb: „Der erste Schritt wäre, sich einen Überblick zu verschaffen, welche Datenanwendungen im Unternehmen betrieben und welche davon tatsächlich benötigt werden. Bisher ist es durchaus üblich, Daten im großen Stil zu sammeln, ohne zu wissen, zu welchem Zweck man sie benötigt.“
Die Sache ernst zu nehmen empfiehlt sich sehr, denn die Anforderungen und Verpflichtungen für Unternehmen werden saftig verschärft. Mit Strafen von 500 Euro wird man nicht mehr davonkommen, warnt Trieb: „Sie werden verachthundertfacht und können bis zu 20 Millionen Euro oder bis zu vier Prozent des Konzernumsatzes ausmachen. Das kann im Ernstfall unternehmensgefährdend sein.“