Dr. Dennis Voigt, Partner | MELCHERS Rechtsanwälte Partnerschaftsgesellschaft mbB
Datenschutz - Dialogmarketing - Lauterkeitsrecht - Werbung - personenbezogene Daten - Kommunikationskanal - Einwilligung - berechtigtes Interesse - Prozesse - Datenhaltung - Bußgelder - Aufsichtsbehörden - Informationspflichten - Dokumentationspflichten - Rechte von Betroffenen - Follow-Up-Werbung - Werbeagenturen - BDSG - DSGVO
Nicht nur für Datenschützer, sondern für alle, die im weitesten Sinne mit Daten arbeiten, spannend: In dieser Folge ist der Datenschutzexperte Dr. Dennis Voigt zu Gast, der schon seit vielen Jahren Werbeagenturen im Dialogmarketing sowie weitere Unternehmen im Datenschutz berät. Ihn zeichnet insbesondere sein Sinn für businessnahe Lösungen aus, der im Rahmen des Möglichen rechtssichere Lösungen ermöglicht. Wie kann in Zeiten der DSGVO dennoch erfolgreiches Dialogmarketing gelingen? Wie sah sein Start in das Datenschutzrecht aus und welche Rolle spielten Werbeagenturen in diesem Zusammenhang? Inwieweit hängen Datenschutz und Datensicherheit zusammen? Wie agieren die Aufsichtsbehörden? Inwieweit hat sich ihr Selbstverständnis seit Inkrafttreten der DSGVO gewandelt? Antworten auf diese und viele weitere Fragen gibt es in dieser Folge eures Jurapodcasts. Viel Spaß!
Viel Spaß 🎉 und vielen Dank für Euer Feedback! 🙏🏼
Bei der mittelständischen Full-Service-Kanzlei MELCHERS sind die Associates von heute die Partner:innen von morgen. Die Kanzlei legt viel Wert darauf, ihre Anwältinnen und Anwälte zu Unternehmerinnen und Unternehmern zu entwickeln. Neben „training-on-the-job“ und Unterstützung bei Fachanwaltslehrgängen bietet MELCHERS persönliche Freiheiten, um die jeweils eigene Beratungsnische zu finden.
Die DSGVO gewährt uns Freiheit bei der Datenverarbeitung, bringt aber Dokumentationspflichten mit sich. Datenschutz ist nicht nur Schutz, sondern auch ein Business-Antrieb, Projekte aktiv zum Erfolg zu führen.
KI-basiert und kann Fehler enthalten.
Herzlich Willkommen zu einer neuen Episode Irgendwas mit Recht. Mein Name ist noch immer Marc Ohrendorf und heute knüpfen wir an an IMR 162. Damals war ich für euch in Heidelberg und habe mit einem Partner von Melchers Rechtsanwälte gesprochen.
Heute bin ich für euch in Frankfurt wieder bei Melchers und heute spreche ich mit Dr. Dennis Vogt. Hallo Herr Vogt. Hallo.
Was machen Sie hier?
Ich bin Partner bei Melchers und leite hier die Praxisgruppe Datenschutz, Data und IT und genieße die tolle Arbeit, die mir dort zur Verfügung gestellt wird und die tollen Projekte, an denen ich mitarbeiten darf.
Fangen wir ganz vorne an. Warum Jura und wann war das in etwa? war?
Das leider schon sehr früh, von Anfang an, wollte ich gerne Anwalt werden. Ich habe es mal gedacht, eine Alternative war Erwachsenenbildung und dann war ich bei der Berufsberatung und dann wurde mir ein Studium nahegelegt, welches mir gar nicht lag und dann ist es dann doch Jura geworden.
Achso, dann haben Sie erstmal was anderes gemacht und dann gemerkt, oh ne, es sollte Jura sein?
Es war als Option gedacht und dann war aber das Studium, passte nicht in meine Vorstellungswelt und dann ist es dann doch gleich glücklicherweise Jura gewesen.
Wo haben Sie Jura studiert?
In Bayreuth und in Köln.
Ah, okay. Was ist denn heute anders als damals im Jurastudium, würden Sie sagen? Was hat sich verändert?
Ich habe manchmal das Gefühl, dass es damals etwas freier war. Letztlich die Examenzulassung in Köln erforderte am Ende des Tages drei Scheine plus einen weiteren in Rechtsgeschichte oder Ähnlichem. Und wenn ich das so mitbekomme, ist es heutzutage doch stärker verschult.
Und es wird auch mehr darauf geachtet, dass zwischendurch Leistungen erbracht werden, die einem dann vielleicht auch dem Examen etwas näher bringen.
Weil es dann doch, ich finde auch immer noch, also ich habe 2000, dann habe ich den ersten Examen gemacht, 2013, da war es auch immer noch so, dass man ziemlich viel am Ende lernen musste. Also eigentlich hat man ein bisschen studiert und dann irgendwann angefangen fürs Examen zu lernen. Das waren aber zwei verschiedene Paar Schuhe.
Bei uns auch.
Ich hoffe, dass es heute besser, wenn ihr das hier hört. Naja gut, vielleicht. Wie ging es dann weiter für Sie?
Ich habe dann zuerst nach dem ersten Staatsexamen, bin ich bei meinem Doktorvater am Institut gewesen, habe mit ihm an einem Projekt arbeiten dürfen für die Kommission, wo wir uns um Lauterkeitsrecht, die Entwicklung eines Regulierungsvorschlages für Lauterkeitsrecht in der Werbung auseinandergesetzt haben.
Was ist das Lauterkeitsrecht für diejenigen, die da noch nicht so tief drinstecken?
Da geht es im Wesentlichen um die Frage, unter welchen Bedingungen ich Werbeaussagen tätigen darf und wie das zu gestalten ist, wie die Produktbeschreibung zu machen ist, alle vorvertraglichen Aussagen, die ich als Unternehmen im Rahmen des Absatzes und Vertriebs meiner Waren und Dienstleistungen und so von mir gebe.
Das ist so dieses typische, man sieht eine schöne Autowerbung mit so einem kleinen Asterix und dann steht unten so in acht Zeilen kombinierter Verbrauch auf 100 und ganz viel anderes.
Richtig, genau. Das kommt zwar aus einer anderen Ecke, aber das würde definitiv darunter fallen. Ja, und dann habe ich Referendariat in Berlin gemacht und dann wollte ich ja unbedingt Anwalt werden und da habe ich damals, das war 2004, relativ wenig Berufsaussichten und Chancen und Perspektiven in Berlin gesehen und bin dann in der Kanzlei, habe dann in der Kanzlei angefangen, bei der ich schon seit 1999 als freier Mitarbeiter tätig war und hier bin ich immer noch.
Ach, bei Melchiors, also ein klassisches Eigengewächs.
Ein klassisches Eigengewächs, richtig, jetzt seit über 20 Jahren.
Und in welchem Rechtsgebiet haben Sie damals angefangen?
Ganz am Anfang hatten wir ein bisschen Leasingrecht, war so ein bisschen mit dabei und ein bisschen Gesellschaftsrecht. Und es war aber damals schon so, dass der Frankfurter Standort von Melchis sich dadurch auszeichnete, dass er einen großen Mandantenstand im Bereich der Werbeagenturen hatte.
Und wir von Beginn an uns mit Dialogmarketing bezogenen Fragen auseinandersetzen durften. Also da ging es um Fragen, wie kann ich eine Kundendatenbank aufbauen, eine Interessentendatenbank aufbauen, Und unter welchen Voraussetzungen kann ich sie nutzen? Wie muss ich meinen Preis ausschreiben? Mein Gewinnspiel machen? Wie kann ich einen Claim formulieren, sodass er möglichst abmahnfrei ist? Also das ist sicherlich ein bekannt, die wahrscheinlich längste Praline der Welt.
Jetzt nicht in unserer Kanzlei entwickelt worden, aber das sind sicherlich, das sind so Arbeiten, das wahrscheinlich einfügen, das wäre eine Arbeit gewesen, die wir abends gemacht haben.
Okay, da sieht man doch wahrscheinlich eine ganze Menge und ziemlich viel Buntes und viele Branchen, Ja.
Sehr spannend, gerade über die großen Werbeagenturen. Das war wirklich industrie-sektorspezifisch überschreitend. Große Fluglinien oder Kfz-Hersteller oder Software-Games-Anbieter, deren Werbekampagnen wir beraten durften im Hinblick auf die Frage, was gibt es irgendwelche Aussagen drin, die vielleicht irreführend sind, die vielleicht abmahnfähig sind.
Gibt es Pflichtangaben? Wie muss ich meine Werbung gestalten, damit ich eine bestimmte FSK-Freigabe bekomme, wenn ich die Werbung im Fernsehen schalten möchte? Das sind Fragestellungen gewesen, mit denen wir uns hier auseinandergesetzt haben. Genauso war auch, wenn es darum ging, einen neuen Claim, eine neue Marke, ein neues Kennzeichen zu entwickeln.
Da sind viele, viele, viele Vorschläge im Vorfeld, bis das tatsächlich an den Markt gebracht wird und das haben wir im Vorfeld geprüft und gefragt und versucht herauszufinden, ob es Schwierigkeiten gibt, wenn ich die neue Marke im Außenverhältnis verwenden möchte. Haben dann mit Strategien entwickelt, wie ich diese Marke schützen kann, wie ich die Inhalte schützen kann, um einen möglichst guten Werbewert dann zu entwickeln.
Ich finde das ganz witzig, wie man Jahre später, wenn man diesen Podcast schon ein bisschen länger macht, dasselbe wieder aus einer anderen Facette hört. Ich suche mal die Folge im Nachgang raus, das müsste so um die 30 gewesen sein.
Da habe ich mit Frau Hanna gesprochen, die arbeitet bei der Bundesprüfstelle für jugendgefährdende Medien und hat das sozusagen von der Gegenseite beleuchtet, was die gerade beschrieben haben von der anwaltlichen Sicht. Also insofern nach dieser Folge da gerne mal reinhören.
Ich habe mal eine Rückfrage. Sie haben gesagt, da gab es viele Werbeagenturen. Wie muss man sich das operativ dann vorstellen? Sind Sie dann über die Werbeagenturen mit reingekommen oder hatten Sie dann den direkten Kontakt zum Unternehmen und sozusagen haben sich nur mit den Werbeagenturen dann viel koordiniert? Wie muss man sich das ganz praktisch vorstellen?
Also wir sind über die Werbeagenturen reingekommen und an die Mandate gekommen, weil die Werbeagenturen den Auftrag bekamen, eine Dialog-Marketing-Kampagne zu entwickeln, ein neues Branding zu entwickeln, ein neues Fernseh-Commercial zu entwickeln oder ein Radiospot oder eine neue Poster-Plakat-Kampagne. Und wenn die Agentur dann soweit gekommen war, dass sie etwas entwickelt hatte, dann sind wir nochmal gefragt worden, ob man das dann tatsächlich auch verwenden kann und erst wenn das entsprechend der Fall gewesen ist, dann ist das zum Kunden gegangen und dann hat der Kunde es ausgewählt und gesagt, so machen wir es.
Ist das heute auch noch so? Ja. Okay, also dann sozusagen bietet die Werbeagentur wirklich ein fertiges Produkt an, wo das schon durch eine Kanzlei auch abgeklärt ist, dass man das so machen kann.
Ja tatsächlich gibt es sogar Rechtsprechungen in dem Bereich, dass eine Agentur, eine Werbeagentur eigentlich auch nur rechtlich zulässige Kampagnen vorschlagen darf und wenn sie das nicht tut und auch nicht darauf hinweist, dass es sich dann auch entsprechend schadensersatzpflichtig macht.
Ach so, die haften dann sogar theoretisch. Ist dann die Rechtsabteilung da nicht gegebenenfalls so ein bisschen außen vor oder ist das einfach so akzeptiert und normal, dass alle wissen, also sozusagen, wenn das von der Werbeagentur kommt, können wir das nehmen, weil die haften ja. Ich könnte mir vorstellen, dass im einen oder anderen Konzern die Rechtsabteilung hier schon mal sagt, müssen wir da nicht auch drüber schauen?
Das ist sicherlich im Einzelfall immer an die entsprechenden Begebenheiten des jeweiligen Unternehmens anzupassen. Aber vielleicht gibt es ja in der Rechtsabteilung nicht das Know-how oder auch nicht die Kapazitäten oder die Ressourcen, um das entsprechend zu prüfen. Und dann dürfen wir das machen.
Wo kam dann das ganze Thema Datenschutz sozusagen mit rein? Hat man damals schon von Datenschutz gesprochen oder war das eher dieser lauterkeitsrechtliche Aspekt?
Also es gab ursprünglich eine ganz klare Fokussierung auf den Bereich des Lauterkeitsrechts, insbesondere die Frage des Einwilligungserfordernisses für die Nutzung bestimmter Kommunikationskanäle. Und ich kann mich daran erinnern, dass wir irgendwann dann mal sagten, also Dialogmarketing geht ja eigentlich nur mit personenbezogenen Daten wirklich sinnvoll, denn nur ein individualisiertes Dialogmarketing ist auch in der Regel ein gutes Dialogmarketing und kommt gut an beim Empfänger.
habe. Und dann war auch so die Frage, wie sieht es denn eigentlich aus mit dem Datenschutz? Und dann stieß man auf verständnislose, weit aufgerissene Augen und wir haben ungefähr 2006, 2007 das erste Seminar gemacht, im Wesentlichen eigentlich für Mandanten unter dem Namen Praktiker-Seminar Dialekt-Direct-Marketing oder Dialog-Marketing. Und das war so ein bisschen die Keimzelle der datenschutzrechtlichen Beratung, die wir seit 2000, also bei mir seit 2004 tatsächlich durchführen und dann gab es 2009 eine Novelle im damals noch rein deutschen Bundesdatenschutzgesetz mit großer Bedeutung für die Dialogmarketingbranche, was auch dazu führte, dass es bekannter wurde, dass mehr Personen sich Gedanken über die Frage machten, was ist denn mit dem Datenschutz und das überhaupt mal als Fragestellung aufwürfen Und so konnten wir dann bis 2018 insbesondere mit einem ganz starken Fokus auf Dialogmarketing und interessentem Datenschutz hier eine umfassende Praxisgruppe aufbauen.
Was sind denn die Grundlagen beim Dialogmarketing, die man so kennen muss rechtlich? Worauf muss man achten? Also Einwilligung haben wir schon gehört, ist das eine. Ich würde mal jetzt mit so einer halben Laienkenntnis sagen, naja, wenn ich eine Einwilligung zur einen Marketingmaßnahme erteilt habe, dann ja wahrscheinlich auch noch nicht zu allen, oder?
Das ist richtig. Also man spricht beim Dialogmarketing immer von der Goldmedaille des Dialogmarketings. Ich kann mir das nur so erklären. Das ist vielleicht nicht ganz systematisch, ganz folgerichtig.
Aber wenn wir Dialogmarketing-Kampagnen beraten, dann gucken wir uns immer die beiden Seiten einer Goldmedaille an. Und die erste Seite, das ist die Frage, dort kümmern wir uns ausschließlich um die Frage, unter welchen Voraussetzungen ich einen bestimmten Kommunikationskanal zu Werbezwecken verwenden kann. Also nutze ich E-Mail, nutze ich vielleicht noch SMS.
Wir haben in den letzten zehn Jahren auch drei oder vier Faxkampagnen beraten dürfen. Das ist in der Regel bei Apothekern und Anwälten der Fall. Und SMS, MMS, In-App-Nachrichten, alles was unter den großen Bereich der elektronischen Post fällt.
Und natürlich auch Telemarketing, also Telefonkampagnen. Wenn ich das geklärt habe, unter welchen Voraussetzungen darf ich diesen Kommunikationskanal zu Werbezwecken verwenden, Dann drehe ich die Goldmedaille um und gucke mir die Frage an, verwende ich hier personenbezogene Daten, ja oder nein. Es gibt Dialog-Marketing-Kampagnen, Direkt-Marketing-Kampagnen, bei denen keine personenbezogenen Daten anfallen.
Zum Beispiel eine E-Mail-Kampagne rein an Info-Ad-E-Mail-Adressen, das wären wahrscheinlich keine personenbezogenen Daten. Deswegen brauche ich mir da nur die eine Seite anzugucken. Da aber im Dialogmarketing normalerweise schon versucht wird, eine individualisierte Ansprache zu gewährleisten, habe ich in der Regel eigentlich auch personenbezogene Daten mit dabei.
Und nachdem ich jetzt den Kommunikationskanal geklärt habe, gucke ich mir die Frage an, unter welchen Voraussetzungen gehen denn diese personenbezogenen Daten zulässigerweise zu verarbeiten. Und hier ist gar nicht mal der Ansatz einer zwingenden Einwilligungsnotwendigkeit, Denn es gibt nach der DSGVO die Möglichkeit, personenbezogene Daten auch dann zu verarbeiten, wenn es zur Wahrung eines berechtigten Interesses dient.
Und Werbung und Dialog und Direktmarketing ist von der DSGVO ausdrücklich schon in der Präambel als ein berechtigtes Interesse anerkannt. Sodass ich, wenn ich eine Einwilligung oder eine Zulässigkeit nach Lauterkeitsrecht zur Nutzung des Kommunikationskanals habe, natürlich auch die dazu erforderlichen personenbezogenen Daten nutzen darf.
Das heißt also, letztlich haben wir die Möglichkeit, mit der Einwilligung in den Kommunikationskanal gleichzeitig auch die Verarbeitung der personenbezogenen Daten zu legitimieren.
Okay. Und ohne Einwilligung dann aber trotzdem keine Werbung? Oder wie muss man das lesen?
Das hängt vom Kommunikationskanal ab. Also Briefen und Vorbeifahren und Briefschreiben und Vorbeifahren, das geht immer, bis ich einen entsprechenden Widerspruch habe. Nur wenn ich telefonieren möchte oder wenn ich eine E-Mail schicken möchte, dann brauche ich eine Einwilligung.
Sehr grob gesagt, es gibt Ausnahmen in bestimmten Bereichen, die sind aber für die Praxis in der Regel nicht relevant und nur als Feigenblatt geeignet, wenn denn dann die Abmahnung da ist. Und deswegen also, wenn ich eine E-Mail-Kampagne machen möchte, muss ich mir die einwilligen und komme in den Kommunikationskanal ein.
Kennt man ja auch.
Dadurch wird die Einwilligung kürzer.
Muss ich dann bei jedem Kommunikationskanal neu fragen?
Sie müssen bei den Kommunikationskanälen, bei denen eine Einwilligung erforderlich ist, die müssen Sie ausdrücklich abfragen. Und es war auch die ganze Zeit so, dass man im Rahmen der Beratungspraxis dringend dazu anriet, die einzelnen Kommunikationskanäle voneinander zu trennen. Zwischenzeitlich hat der BGH aber auch eine Einwilligung abgesegnet, in der mehrere Kommunikationskanäle auf einmal abgefragt wird.
Also das heißt sozusagen, ich versuche es mal konkret zu machen, ich kaufe mir jetzt online ein neues Hemd und dann fragt mich mein Hemdenhersteller, möchten Sie in Zukunft über unsere neuesten Aktionen informiert werden? Will ich vielleicht, weil ich gerade ohnehin wieder einen 20%-Gutschein hatte und sage, ja, die haben von mir Adresse, Telefonnummer und E-Mail-Adresse, weil ich die beim Account anlegen irgendwann mal hinterlegen musste.
Damals habe ich aber keine Anleitung, kein Häkchen bei der Werbung gemacht sozusagen, dann müsste da unten jetzt drinstehen in diesem einen Satz, um Sie per Kanal 1, 2 und 3 in Zukunft über Werbeaktionen informieren zu dürfen.
Richtig, genau. Und dann hätte ich aber, also Theorie gehen wir davon aus, ich möchte gerne per, das steht drin, per Telefon und per E-Mail. Und dann hätte ich die Möglichkeit, datenschutzrechtlich, ohne eine weitere Einwilligung, zumindest die E-Mail-Adresse und die Telefonadresse zu verarbeiten.
Und vielleicht auch noch die Tatsache, dass jemand bei mir Kunde gewesen ist. Wenn ich aber auch einwilligungslos die Frage, die Kaufhistorie mitspeichern möchte und verarbeiten möchte, weil nur das macht Sinn, weil ich will ja auf die Interessen abgestimmte Werbung schicken, dann schreibe ich in die Einwilligung rein, ich möchte gerne per Telefon und per E-Mail mit im Hinblick auf meine Interessen abgestimmte Werbung versorgt werden und dann habe ich sozusagen gleichzeitig auch die Rechtfertigung in datenschutzrechtlicher Hinsicht die Kaufhistorie zu speichern und weil das brauche ich ja schon, um die Interessen herauszufinden.
Und das ist ja ganz schön, weil ich natürlich als Kunde an meiner Kragenweite im wahrsten Sinne des Wortes und vielleicht an ähnlichen Produkten mehr Interesse habe als an jetzt, keine Ahnung, der neuen Hawaii-Hemd-Kollektion. Ich weiß es nicht.
Genau. Und dann gibt es da noch eine wunderschöne Ausnahme vom Einbindungserfordernis für E-Mail-Werbung und SMS-Werbung. Denn unter dem Begriff, das fällt so unter den Begriff der Follow-Up-Werbung. Ich kann mir, wenn ich einen...
Eine Ware oder eine Dienstleistung verkauft habe, nur durch das Aufnehmen eines Hinweises auf ein Widerspruchsrecht die Möglichkeit schaffen, meinen gesamten Kundendatenbestand mit E-Mail-Werbung zu vergleichen oder ähnlichen Waren oder Dienstleistungen zu versorgen. Das ist ein ganz signifikanter Unterschied.
Denn übliche Einwilligungsquoten sind ungefähr 5% in Werbung. Und wenn ich mit dieser Hinweis, mit dieser Follow-up-Werbungslegitimation, Wenn ich mit der arbeite, dann habe ich einen permission Datenbestand von 95 Prozent. Das lässt sich bei allen Waren- und Dienstleistungen hervorragend einsetzen, die für einen dauerhaften, wiederkehrenden, gleichartigen Konsumbedarf geeignet sind.
Also zum Beispiel Kaffeekapseln. Das wäre so der klassische Anwendungsbereich. Wer Kaffeekapseln verkauft und diese Möglichkeit zur Vollabwerbung, zur einwilligungslosen Vollabwerbung nicht nutzt, ist selber schuld.
Wo muss ich diesen Hinweis anbringen?
Im Zusammenhang, also Sie müssen die E-Mail-Adresse im Zusammenhang mit dem Vertragsschluss erhalten haben und letztlich in dieser Vertragsabschlussstrecke irgendwo den Hinweis anbringen, dass ein Widerrufsrecht besteht.
Aber vermutlich nicht irgendwie in den AGB so ganz unten drin, sondern schon so irgendwo wahrnehmbar.
Das ist richtig. Am besten natürlich neben dem Button, was wir jetzt kaufen und es wäre ein Widerspruch, dann hole ich mir halt nicht diese aktiv erklärte Einwilligung ein, sondern ich schreibe hin, Sie können der Verwendung Ihrer E-Mail-Adresse zur Zusendung von E-Mail-Werbung zugleich oder ähnlichen Waren oder Dienstleistungen jederzeit mit Wirkung für die Zukunft widersprechen, ohne dass Ihnen weitere Kosten nach den Basistarifen sozusagen entstehen.
Brauche ich dann Opt-out-Feld oder muss ich nur diesen Hinweis haben, dass sozusagen der User informiert ist, muss da aber schon noch eine E-Mail schreiben?
Sie brauchen kein Opt-out-Feld. Der Hinweis an sich reicht aus.
Ich würde sagen, jetzt hat sich dieser Podcast schon wieder für viele Menschen gelohnt und das ist ein guter Tipp. Ich finde, wenn wir auf unser Vorgespräch zurückblicken und auch auf die letzten 20 Minuten knapp dieses Podcasts, dann haben sie etwas, was zumindest viele vorurteilsbehaftete Menschen einem mit Datenschutz befassten Anwalt nicht unbedingt zusprechen würden.
Und das ist so eine Art Business-Antrieb, würde ich es mal nennen. Also zu sagen, wie können wir durch unsere Rechtsdienstleistung eigentlich was schaffen und nicht, wie können wir eine Abmahnung verhindern und wie können wir uns schützen und möglichst defensiv agieren. Ich formuliere mal ein bisschen spitzer.
Stimmt das?
Also wenn der Eindruck entstanden ist, dann freuen wir uns sehr. Tatsächlich ist es so, dass natürlich mit dem, früher hieß es, ich möchte ein Projekt entschleunigen, dann gebe ich es vielleicht ein bisschen in die Rechtsabteilung. Heute ist es, ich möchte ein Projekt zum Erliegen bringen, dann frage ich mal den Datenschutzbeauftragten.
Das sind typische Strategien, die man einsetzen kann. Tatsächlich ist es so, dass wir dann auch ins Spiel kommen, um ein Projekt zum Laufen zu bekommen. Wir kommen ja aus dieser konsequent auf eine konstruktive Arbeit ausgerichteten Tätigkeit und freuen uns sehr, wenn wir den da, wenn wir die DSGVO, wenn wir da mit den.
Der Überlegung, es ginge alles nicht aus datenschutzrechtlichen Gründen, wenn wir dem entgegentreten können. Tatsächlich ist es so, dass die DSGVO das materielle Datenschutzniveau im Vergleich zur vorherigen Rechtslage doch erheblich abgesenkt hat. Denn ich kann es auch belegen, also früher war es so, dass gerade diese berechtigten Interessen, von denen ich eben sprach, diese Rechtfertigungsgrundlage wurde so gesehen, dass sie bei Existenz eines Vertragsverhältnisses eigentlich gar nicht wirklich verwendet werden kann.
Die DSGVO sagt, alle meine Erlaubnistatbestände, also zwar ist alles verboten, es sei denn, ich erlaube es, aber alle meine Erlaubnistatbestände stehen gleichwertig nebeneinander. haben. Das bedeutet also, wenn ich Daten verarbeiten, weil das zur Ausführung des Vertragsverhältnisses erforderlich ist, aber genauso gleich kann ich die Daten auch verarbeiten, weil es zur Wahrung meiner berechtigten Interessen erforderlich ist.
Das heißt also, ich kann viel mehr machen, ich kann viel mehr spielen. Und wenn es nach Einführung der DSGVO immer hieß, das geht jetzt aus datenschutzrechtlichen Gründen nicht mehr, dann war das, ist es in der Regel eine falsche Aussage, denn das, was jetzt nicht mehr geht, ging früher schon lange nicht.
Es gab also, Also es gibt ganz wenige Bereiche, in denen die DSGVO das materielle Datenschutzniveau tatsächlich gehoben hat. In ganz wenigen Ausnahmen, in dem Großteil aller wirtschaftlich relevanten Bereiche. Können wir jetzt mit personenbezogenen Daten all das tun, was wir vorher schon machen durften und auch noch viel mehr.
Und das lässt sich, um diese Argumentation dann in der Praxis anzuwenden, bringt natürlich sehr viel Spaß, weil es mehr Spaß bringt, ein Projekt zum Laufen zu bringen, als ein Projekt zum Halten zu haben.
Woran liegt das denn dann, dass sozusagen mit der DSGVO 2018 dieses Thema so explodiert ist, jedenfalls in der Wahrnehmung der Menschen?
Das hat im Wesentlichen was damit zu tun, dass diese Freiheit der Datenverarbeitung, die uns die DSGVO jetzt gewährt, das steht übrigens auch schon im Artikel 1 mit drin, die Freiheit der Datenverarbeitung, die ist auf gewisse Art und Weise teuer erkauft. Denn wir haben in der DSGVO eine ganze Vielzahl von Dokumentationspflichten und insbesondere auch Informationspflichten.
Nach der DSGVO müssen wir jetzt zum Zeitpunkt der Erhebung personenbezogener Daten ein Pflichtinformationsblatt zur Verfügung stellen. Und das kennen wir alle leidvoll aus der 2018, 2019, dass wir überschwemmt wurden von Pflichtinformationsblättern, die wir am besten noch zustimmen sollten oder unterschrieben zurückschicken sollten oder ähnliches.
So beim Hausarzt auch ganz gerne und dann jedes Quartal aber bitte neu.
Ja, richtig. Und das hat natürlich dazu geführt, dass viel mehr Menschen und viel mehr Personen sich mit der Frage auseinandergesetzt haben, was ist denn das eigentlich Datenschutz? Und dann steht da ja auch sehr viel drin, was für einzelne Rechte den einzelnen Betroffenen zustehen. Und vielleicht hat es der ein oder andere tatsächlich mal gelesen.
Und deswegen gehe ich davon aus, dass es zumindest in der Breite durch diese Pflichtinformationen deutlich bewusster wurde, das Thema. Und dann kommt noch hinzu, dass aus unternehmerischer Perspektive die Bußgelder mit der DSGVO allein aufgrund formaler Verstöße extrem hoch, der Bußgeldrahmen extrem hoch gesetzt wird.
DOREEN SIEGFRIED. Drei Prozent des Jahresumsatzes? ist, im weltweiten Unternehmensverbund zu einer erheblichen Risikoexposition führen.
Ich habe das neulich gelesen, wir nennen mal keine Namen, von einem Telekommunikationsdienstleister zwischen Köln und Frankfurt. Der musste mal einen ganz ordentlichen Betrag zahlen. Ansonsten habe ich den Eindruck, dass die Datenschutzbehörden aber dann doch, wenn man jetzt nicht systematisch, trotz sozusagen auch …, Wiederholten auffordernd, da irgendwas falsch macht, jetzt nicht sofort die ganz große Keule schwingen, oder?
Das ist richtig. Also die Datenschutzaufsichtsbehörden hatten traditionell seit jeher einen tendenziell kooperativen Regulierungsansatz. Wenn es Probleme gab aufgrund von Beschwerden Betroffener, dann wurde zunächst einmal versucht, mit der verantwortlichen Stelle oder mit demjenigen, dem das Bußgeld hinterher treffen würde, in einen Dialog zu treten.
Und um zu schauen, dass man die Rechtslage und die tatsächliche Faktenlage einfach ändert. Tatsächlich ist aber auch so andererseits, dass die letzten zwei, drei Jahre durchaus wahrzunehmen ist, dass die Aufsichtsbehörden ein anderes Selbstverständnis an den Tag legen und auch deutschlandweit. Also die Aufsicht ist derzeit noch Länder in Länderhoheit und es gab gewisse Bundesländer, bei denen wurde das Datenschutzrecht strenger ausgelegt als in anderen und auch anders als in anderen Bundesländern.
Und jetzt sehen wir durchaus, dass durch die Bank weg in den einzelnen Bundesländern doch eine stärkere Bußgeldorientierung festzustellen ist. Hat auch was damit zu tun, dass die Aufsichtsbehörden personell erheblich aufgestockt haben.
Ah ja, okay. Und die DSGVO wahrscheinlich auch sozusagen jetzt etwas länger in Kraft ist und dementsprechend auch alle Beteiligten so ein bisschen mehr wissen, wo sie dran sind und was die entsprechenden Pflichten sind. Richtig.
Also ich kann mich daran erinnern, wir hatten vor der Krafttreten der DSGVO ein Bußgeldverfahren bei einer Aufsichtsbehörde und dann kamen wir an, wurden eingeladen, um das zu besprechen und sind dann dort angekommen, wurden von der Behördenleiterin persönlich empfangen und dann wurden wir auch in den Besprechungsraum gebeten und dann sagte die Behördenleiterin, also sie wüsste jetzt nicht so genau, wie sie das jetzt machen würde, wie sei das erste Bußgeldverfahren in der gesamten Behördengeschichte.
Und das entwickelte sich dann weiter, ging dann relativ glimpflich aus, das findet man aber sicher, so eine Situation würde es heute nicht mehr geben.
Dann lassen Sie uns noch ein bisschen über gute Prozesse sprechen, denn häufig führt ja Datenschutzberatung, datenschutzrechtliche Beratung auch dazu, dass auf Mandantenseite bestimmte Prozesse optimiert werden. Können Sie da ein Beispiel nennen oder ein bisschen Licht ins Dunkel?
Ja, ich versuche es. Also die DSGVO sieht ja zum einen umfassende Informationspflichten vor, zum anderen auch eine ganze Vielzahl von Rechten von Betroffenen. Und wenn ich diesen Informations- und Dokumentationspflichten einerseits und den Rechten der Betroffenen andererseits, wenn ich denen richtig nachkommen möchte, bin ich gezwungen als Unternehmen eine deutlich professionellere oder meine gesamte Datenhaltung deutlich zu professionalisieren.
Das beginnt damit, dass ich erstmal ein großes Data-Mapping-Projekt letztlich durchführen muss, um rauszufinden, wo habe ich denn eigentlich überhaupt welche personenbezogenen Daten von welcher Kategorie von Betroffenen gespeichert.
Das ist ja für sich je nach Unternehmensgröße schon ein relativ großes Projekt. Ja, richtig.
Und auch je nach Unternehmensalter. Und es gibt auch Unternehmen, die quasi ihr gesamtes Produkt und ihr gesamtes Portfolio über einen einzigen Datensilo organisieren können. Aber das ist schon eher die Ausnahme und das ist vielleicht bei Online-Diensten denkbar.
Bei allen anderen, die so eine Offline-Fulfillment haben, bei denen wird es schwierig. Da habe ich im Regelfall mehrere Datensilos, muss mir überlegen, wo sind die Daten gespeichert. Ganz große Schwierigkeiten sind sogenannte wilde Datensammlungen, weil ich ja gar nicht weiß, was meine Mitarbeiter auf den einzelnen Laptops, PCs, Server, Speicherräumen gespeichert haben.
Und wenn dann ein Betroffener sagt, bitte löscht alle meine Daten und ihm steht das Recht auch zu, dann muss ich diesem Löschungsanspruch ja irgendwie nachkommen oder diesem Löschungsrecht. Und das kann ich nur dann, wenn ich meine Datenhaltung so durchstrukturiert habe, dass ich sagen kann, ich weiß, dieses Datum ist dort, dort, dort und dort gespeichert und dann kann ich es auch entsprechend löschen.
Okay, ich versuche das mal in sozusagen Lionsphären zu übersetzen, was ich mir da gerade vorstelle. Ich denke an eine mittlerweile leider verstorbene Frau, die ich mal kannte zurück, wo tatsächlich vor vier Jahren, also 2020, noch ein Staubsaugervertreter nach Hause kam, der was verkaufen wollte.
Hat das sogar erfolgreich gemacht? Gab dann so ein paar Probleme, aber egal, führt zu weit. Der hatte vermutlich einen Laptop und nehmen wir mal an, dass der jetzt nicht mit einem zentralen Server gearbeitet hat, auf den er sich von unterwegs einloggt, sondern der hat die Daten auf dem Laptop.
Und dann gibt es da so eine Art Handelsvertreterorganisation, dass der zwar vielleicht nur in einem Gebiet tätig ist, aber vor ein paar Monaten war da noch jemand anders, weil das Gebiet neu zugeschnitten wurde. Dann wird es natürlich sehr schnell sehr kompliziert, dass dieser Anbieter von Staubsaugern da dann wirklich irgendwie eine Ordnung reinbringt, wer jetzt von welchem Kunden welche Daten hat.
Richtig.
Und wenn ich als Staubsaugerhersteller dann meine Datenhaltung so organisiert habe, dass zum Beispiel die Daten nicht erst auf dem Laptop des Vertriebspartners gespeichert werden, sondern gleich in meiner Online-Datenbank, dann bin ich dazu in der Lage, diesem Löschverlangen relativ gut nachzukommen.
Das wäre also so ein typischer Prozess, den man dann dahingehend optimieren würde.
Genau, man muss quasi bei einer DSGVO-Compliance immer gleich mitdenken, wenn ich ein Datum erhebe, wie lösche ich es denn eigentlich und wann lösche ich es denn?
Mit wem arbeiten Sie dann im Unternehmen regelmäßig zusammen? Ich könnte mir vorstellen, dass da ja auch Produktmanager, Sales-Abteilungen, vielleicht sogar Marketing-Abteilungen eine große Rolle spielen.
Also im Datenschutz, wenn wir eine DSGVO-Compliance machen, dann sind wir üblicherweise mit Leiter Personal, Leiter Vertrieb, Leiter Marketing, immer auch jemanden Leiter IT, weil das letztlich zwischenzeitlich die Abbildung der gesamten Unternehmensorganisation mit sich bringt. Und wir entwickeln dann üblicherweise zunächst mit der Unternehmensleitung ein Datenschutzkonzept, welches gesetzlich nicht verpflichtend ist, aber eigentlich zwingend erforderlich, um durch die Unternehmensorganisation durchzugehen und das stringent.
Top-Down umzusetzen. Ansonsten wird es schwierig. Wenn ich an der Grasruth Ansatz pflege, dann komme ich wirklich nie zu einem Ergebnis. Ich brauche sozusagen eine große Zielsetzung, eine Organisationsvorgabe. Die sprechen wir ab, die entwickeln wir mit der Unternehmensleitung und dann setzen wir es in den einzelnen Fachbereichen, Unternehmensbereichen dann um.
Gibt es da Unternehmen, die besonders viel Spaß machen oder ist das branchenunabhängig irgendwie mal so, mal so?
Es gibt Unternehmen, die besonders komplex sind. Entweder weil sie besonders komplexe Matrixstrukturen aufgesetzt haben, die vielleicht auch transnational aufgesetzt sind. Oder es gibt Unternehmen, die ein besonders komplexes Produkt haben, welches vielleicht auch unmittelbar datenschutzrechtliche Relevanz hat.
Wir hatten im Vorgespräch über Tracking-Dienstleister und Tracking-Software gesprochen, die wir datenschutzrechtlich begleiten und software-lizenzrechtlich natürlich auch. Und dort geht es um die Implementierung von neuen Techniken, alles unter dem Stichwort des Cookie-Less-Trackings, bei denen wir uns Gedanken, also bei denen wir zunächst mal ein tiefes technisches Verständnis uns erstmal besorgen müssen.
Wir sind ja Juristen, das muss ich mir immer erst erklären lassen. Und um dann hinterher auch die juristischen Schächtelchen zu finden, in die das Ganze zu packen ist.
Gut, dann würde ich sagen, jede oder jeder, der sich da mal ein spannendes Unternehmen aus der anwaltsberatenden Sicht näher anschauen möchte, sollte vielleicht sich mal bei Ihnen bewerben. Was ist Ihnen denn wichtig? Das ist auch so eine Frage, die wir sozusagen hier meistens stellvertretend stellen für den juristischen Nachwuchs.
Worauf achten Sie im Vorstellungsgespräch? Was ist ein No-Go? Was ist Ihnen vielleicht auch gar nicht mehr so wichtig, wie es woanders wichtig sein könnte? Also ich sag mal, weiß ich aus dem Vorgespräch, Sie haben eben schon gesagt, Sie sind jetzt nicht jeden Tag im Büro, vielleicht erwarten Sie das dann ja auch nicht von Ihren Mitarbeitern. Geben Sie uns doch da mal so ein Bild.
Im Anwaltsbereich stellen wir als mittelständische Kanzlei eigentlich nur Leute ein, von denen wir der Meinung sind, dass der Potenzial besteht, sie auch in die Equity-Partner-Stellung zu bringen. Wir suchen also Personen, die Spaß an der juristischen Arbeit haben, die ein Potenzial haben, Mandanten eigenständig zu führen.
Wir meinen auch, dass wir alle neuen Kollegen sehr schnell an Mandate ranführen und auch sehr schnell an Mandaten arbeiten lassen. Auch eigenständig und selbstständig. Da sind sicherlich eine gewisse Form von Kommunikationsfähigkeit erforderlich.
Tippfehler im Bewerbungsschreiben sind weiterhin für mich ein No-Go, weil wer nicht genug Zeit hat, um mal nach den Kommafehlern zu gucken im Bewerbungsschreiben, der wird es dann wahrscheinlich hinterher auch dann schwierig werden in der tatsächlichen Sachbearbeitung. Weil vielleicht irgendwann ist dann auch mal Zeitdruck und da muss was raus und das muss halt schon sitzen.
Denn die Form ist leider doch wichtig. Das ist das Erste, was unsere Mandanten beurteilen können. Wenn der Satz nicht vollständig ist oder wenn es schlecht geschrieben ist, dann lässt das vielleicht auch einen Rückschluss auf den Inhalt zu.
Was wir unbedingt brauchen, ist Englisch. Sehr gute, sehr, sehr gute Englischkenntnisse. Bei uns ist die Beratung zwischen 50 und 70 Prozent auf Englisch.
Weil Sie viele internationale Mandanten haben. Okay.
Und es wird schwierig, wenn man mit wenig Englischkenntnissen dann quasi versucht, in diesem Bereich dann eine Beratung aufzubauen. Eine Liebe für die Sprache. Ganz sicherlich, ganz klar. Und allgemein Lust zu arbeiten und zu sagen, jetzt wollen wir was schaffen und wir wollen kreativ mit dem uns vorhandenen gegebenen Rechtsrahmen umgehen.
Dann kurz, um Sie noch ein bisschen darauf festzunageln, was ist Ihre Homeoffice-Policy?
Eine große Diskussion zunächst mal, sicherlich. Und hier sind wir, also ich kann ja zunächst mal sagen, meine eigene Homeoffice-Policy ist, ich fahre dann in die Kanzlei, wenn ich einen Termin habe oder wenn ich meine, ich muss mal meine Kollegen sehen. Ich bin aber auch ganz gerne im Homeoffice.
Für mich persönlich stellt es sich weiterhin so dar, dass ich im Homeoffice konzentrierter arbeiten kann und das Gefühl habe, dass die Effizienz im Homeoffice durchaus höher ist, als wenn ich in der Kanzlei bin. Aber es ist natürlich extrem wichtig, dass wir uns hier als Team, also mein Team ist standortübergreifend, dass wir als Team zusammenkommen, dass wir eine Arbeitsebene finden.
Ich glaube auch gerade, wenn man anfängt, ist es wichtig, dass man relativ oft erst mal da ist, um zu gucken, wie läuft denn so der Laden eigentlich? Was sind denn hier für Kollegen? Mit wem? Und Kolleginnen natürlich auch. Mit wem verstehe ich mich gut? Mit wem verstehe ich mich nicht so gut? Wo sind Vernetzungsmöglichkeiten? Und es ist auch oft so, dass eine persönliche Anwesenheit natürlich dazu führt, Ach du, ich habe da gerade mal eine Frage und schon ist mein Mandat mit einbezogen.
Also ich denke, glaube zumindest am Anfang sollte man durchaus gucken, dass man tendenziell eher drei Tage und vielleicht auch mehr da ist und dann je nachdem, entwickelt sich das so, wie das in dem Team entsprechend gehandhabt wird. Bei uns im Team haben wir Kollegen, manche sind überwiegend im Homeoffice, andere sind überwiegend hier, weil sie sagen, ich habe zu Hause keinen Platz, wo ich in Ruhe arbeiten kann.
Bei manchen ist das ein Tag die Woche, zwei Tage die Woche und bei anderen, wie es halt passt. Also wir sind da, in unserem Team sind wir sehr flexibel. Ich weiß, dass es bei manches auch durchaus noch andere Teams gibt, die das genauso handhaben.
Insbesondere Teams, bei die standortübergreifend sind, weil es macht nun wirklich keinen Unterschied, ob die Videokonferenz von zu Hause gemacht wird oder aus dem Heidelberger Büro. In beiden Fällen kommen wir mit lauten Rufen nicht an.
Dann finde ich im übertragenen Sinne, dass Sie hier sehr laut gerufen haben in Sachen Datenschutz ist gar nicht so übel. Ich werde das dem einen oder anderen weiterleiten, dieses Gespräch, weil ich finde, dass es eine ganz frische Perspektive auf ein Rechtsgebiet war, was ansonsten hier und da vielleicht einen Tacken zu schlecht wegkommt. Vielen Dank.
Ich habe zu danken.