WiWo Top-Kanzleien: Auf dem falschen Dampfer: Datenschutz gilt auch im Urlaub
Nicht immer ein Vergnügen: Selbst bei Kreuzschifffahrten tauchen für Reiseveranstalter jede Menge unverhoffter Datenschutzprobleme auf
Foto: WirtschaftsWocheAuch Juristen arbeiten manchmal da, wo andere Urlaub machen. Der Datenschutzanwalt Christoph Werkmeister logierte jüngst auf einem Kreuzfahrtschiff, um Rechtsfallen aufzuspüren und seinen Auftraggeber, einen amerikanischen Reiseanbieter, vor Millionenbußen zu bewahren. Sechsmal flog der IT-Anwalt von der Kanzlei Freshfields deswegen nach Miami und auf die Bahamas, um an Ort und Stelle zu prüfen, wo auf so einem Dampfer überall Datenschutzfragen auftreten. Selbst für Schiffe nämlich, die etwa unter maltesischer Flagge unterwegs sind und einem amerikanischen Veranstalter gehören, gehen diese auf Nummer sicher und prüfen den strengsten Standard weltweit – und das ist die europäische Datenschutz-Grundverordnung (DSGVO).
Die Probleme, so erzählt Werkmeister, fingen schon beim Einchecken an: Alle Gesichter der Gäste, die das Schiff betraten, wurden biometrisch gescannt, um Kriminelle wie Heiratsschwindler und Diebe früh zu identifizieren. Auch deshalb gebe es an Bord Sicherheitsleute, die zum Beispiel eingreifen, wenn sich jemand unangemessen benimmt oder gegen die Gesetze der jeweiligen Länder verstößt, in deren Gebiet man schippert. Auch rund um das Verhalten dieser Mitarbeiter gibt es viele Unklarheiten. Etwa: Dürfen sie Bodycams tragen? Und wenn ja, wann dürfen sie sie einschalten? Lösung: Sie müssen zunächst die Problemkunden ansprechen, ihnen Verhaltensanweisungen geben und dann sagen: „Ich mache jetzt die Kamera an.“
Auch die Kellner begeben sich auf heikles Datenschutzterrain, wenn sie Gäste auf den Liegestühlen an Deck per Geoortung über ihre Handys aufspüren. Noch heikler ist die Überwachung der Kunden im Spielcasino, die nicht nur beobachtet werden, um Spielsüchtige vor sich selbst zu schützen. Sondern gerne auch, um dem Juwelier und dem Galerist in der Ladenstraße vom Schiff Tipps zu geben, welche Gäste besonders ausgabefreudig sein könnten.
Regeln Unternehmen solche Details nicht akkurat, drohen ihnen horrende Strafen – bis zu vier Prozent vom globalen Umsatz. „Gerade viele kleinere Unternehmen haben die Datenschutzthemen noch nicht im Griff“, weiß Thomas Müller, Anwalt bei Lutz Abel. Da denkt sich ein Arzt, der nachts seine Praxisräume videoüberwacht, nichts dabei, wenn die Arzthelferin beim An- und Ausschalten darauf zu sehen ist. Ebenso wenig wie der Gastwirt, der die Gästeliste während der Coronapandemie offen auf den Tisch legt. Dass die Behörden beim Verfolgen nicht zimperlich sind, zeigt der Fall H&M. 35 Millionen Euro beträgt die Geldbuße des Hamburger Datenschutzbeauftragten für den Textilhändler wegen Verstößen – bisher die Rekordbuße in Deutschland.
Wie die Behörde darauf kam? Durch den Bericht in einer Tageszeitung, der aufgezeigt hatte, wie die Führungskräfte der Textilkette planmäßig und über Jahre die Mitarbeiter bespitzelten – und zwar vor allem über Privates. Welche Krankheiten und Sorgen sie hatten, ob sie Ehekrach plagte, sie sich gar scheiden lassen wollten. Gesammelt wurden Details, die die Vorgesetzten und Teamleiter in persönlichen Gesprächen mit den betroffenen Mitarbeitern erfuhren oder beim Plaudern in den Büroräumen. Durch eine IT-Panne flog das Ganze auf: Ein Ordner mit all diesen Informationen war durch einen technischen Fehler für die gesamte Belegschaft im Unternehmen sichtbar geworden, Mitarbeiter im Kundencenter machten sie öffentlich.
Bußgeld wegen fehlender Dokumentation
Auch Pressemeldungen über Cyberattacken auf ein Unternehmen rufen Datenschutzbeamte auf den Plan, lassen sie doch auf unvollständige Sicherheitssysteme schließen. „Typischerweise fragen Behörden erst ganz breit, dann kommen spezifische Nachfragen“, berichtet Werkmeister. Zum Beispiel: Wer hat Zugriff? Was gibt es für Kontrollen? Sind sie passwortgesichert? Hat der Serverraum ein Schloss? Wie ist sichergestellt, dass Tochter- oder Schwesterunternehmen nicht auf die Daten zugreifen können? Zunächst wirken die Anfragen harmlos, doch jede dritte führt am Ende zu einem Verfahren, weiß der Anwalt.
Lesen Sie auch: So verletzbar ist Deutschland durch staatliche Hacker
Auch wegen eines wichtigen Details: „Unternehmen sind verpflichtet, die Nachweise und Dokumentationen vorzuhalten, um die Rechtmäßigkeit nachzuweisen, das Nichtvorhandensein ist an sich schon ein Bußgeldtatbestand“, sagt Werkmeister. „Selbst wenn man in der Sache alles richtig gemacht hat.“ Da fragen Behörden zum Beispiel nach der Dokumentation jener Argumente, die für oder gegen eine bestimmte Sicherheitsmaßnahme sprachen.
Hinzu kommt: Im Datenschutzrecht haben Unternehmen umfangreiche Kooperationspflichten und müssen alles liefern, was die Datenschützer anfragen. Immer häufiger setzen sie Unternehmen unter hohen Zeitdruck und geben für die Antwort nur 24 Stunden Zeit, berichtet Werkmeister. Dann schicke die Behörde eine E-Mail mit Fragen an die Geschäftsführung und ruft zusätzlich an, um auf die E-Mail hinzuweisen.
Gegenwehr sei dabei meist zwecklos. So erzählt Werkmeister von einem Softwareanbieter, der sich weigerte, der Behörde die geforderten Informationen zu geben, so überzeugt war er von seiner Unschuld. Am Ende gab die Geschäftsleitung doch klein bei: „Die Drohkulisse mit mehreren Millionen Euro Geldbuße wegen fehlender Kooperation war zu hoch“, so der Anwalt. Durch die strengen Kooperationspflichten säßen die Behörden schlicht am längeren Hebel, ist Werkmeisters Fazit. „Wer sich sperrt, riskiert einen Gesetzesverstoß wegen mangelnder Kooperation.“ Das erklärt auch, warum die Strafe für H&M so hoch ausfiel: Der Konzern verweigerte die Zusammenarbeit beharrlich, das machte den Verstoß noch teurer.
Auf den folgenden Seiten finden Sie alle von der WirtschaftsWoche empfohlenen Anwaltskanzleien für Datenschutz- und IT-Recht