Herr Müller, die DSGVO und der Tod

Sind Sie eine Privatperson? Haben Sie eine Familie? Das ist doch wunderschön.

Ganz Privat

Stellen Sie sich einfach einen ganz normalen Tag vor. Sie wachen morgens auf, schauen auf Ihr WhatsApp, ob einer Ihrer Freunde oder Liebsten etwas Nettes geschickt hat. Sie freuen sich drüber und beschließen diesen nach dem Frühstück einfach mal anzurufen. Im Telefonat erfahren Sie, dass es morgen eine Ausstellung gibt. Sie gehen da hin, treffen einige interessante Künstler und andere Leute, tauschen Visitenkarten aus, weil Sie die ja auch mal weg müssen, machen ein paar Fotos und schicken die gleich Ihrer Schwester in Hamburg. Und weil es so nett ist, machen Sie gleich noch ein paar Fotos mit Kunstwerken und Künstlern.

Wieder zuhause angekommen schreiben Sie ein zwei Zeilen in Ihren Blog, wo sie schöne Erlebnisse sammeln und mit ihren Fotos garnieren. Es soll ja auch ein bisschen bunt sein und was zu sehen geben. Videos fänden sie toll, aber die muss man ja noch bearbeiten, darum haben Sie sich davon immer fern gehalten. Außer dieser Kameraschwenk über den Comer See, das war einfach zu toll.

Überhaupt: Früher haben Sie für sich so ein bisschen Tagebuch geschrieben, auf Papier; aber da ging es eher um Beziehungs-Seelennöte und Probleme im Job. Seit Sie diesen Wordpress-Blog haben, macht es irgendwie auch viel mehr Spaß. Und man schreibt ganz automatisch auch mehr über die Sachen, die Spaß machen. Vor allem muss man sich ja heute um nichts mehr kümmern, denn Videos kann man ganz einfach auf Youtube hochladen, Ihren Blog betreibt Wordpress.com für Sie und das WhatsApp — Mann, kennen Sie das noch, wo man allen Leuten SMS schicken musste und jede einzelne hat Geld gekostet? Jupp, dass waren Zeiten ...

Aber jetzt muss ich Sie aus dieser Idylle entführen. Denn Sie sind ja nur eine Privatperson. Es gibt aber ja in unserem Leben nicht nur Privatpersonen und Familien — es gibt auch die arbeitende Bevölkerung. Menschen in Firmen, Menschen, die arbeiten. Und unter solchen gibt es sogar welche, die das Risiko auf sich genommen haben, sich selbstständig zu machen. Sagen wir mal, ganz klein. Also zum Beispiel diese Künstler von eben mit ihrem Webshop mit den selbstgezogenen Kerzen. Oder noch viel einfacher, Ihr Klempner.

Menschen, die arbeiten

Sie sind jetzt Ihr Klempner. Sie sind so ein Ein-Mann-Betrieb, im schönen Thüringen. Sie können nicht alles, aber das, was Sie können, das können Sie richtig gut. Ihre Kunden kommen immer wieder, weil sie einfach sehr zufrieden mit Ihnen sind. Und wenn Sie etwas nicht können, dann kennen Sie einen fachmännischen Kollegen, der das kann. Man kennt sich ja. Und es ist der 26. Mai 2018.

Sie wachen also morgens auf und schauen auf Ihr Handy. Da ist eine Nachricht von Herrn Müller und er schreibt: "Hallo Herr Adamski, Frau Mayer aus der Bahnhofstraße 5 hat sie mir empfohlen. Bitte kommen sie heute bei mir möglichst bald vorbei, mir ist der Wasserhahn abgebrochen. Ich wohne gleich nebenan, meine Handynummer sehen sie ja. Bitte rufen sie mich kurz an." Dabei ein Bild, auf dem Herr Müller mit einem breiten Grinsen seinen Wasserhahn, bzw. den oberen Teil davon, in der Hand hält.

Frau Mayer, da waren Sie oft. Aber den Herrn Müller kennen Sie bisher noch nicht. WhatsApp selbst kennt Herrn Müller schon seit 5 Jahren. Denn obwohl Herr Müller damals schon 75 Jahre alt war, hat er sich noch ein Smartphone gekauft, eines mit Android von Google. Und mit dem WhatsApp, das ist schon toll. Hat er von seiner Enkelin geschenkt bekommen und im Endeffekt war alles doch ganz einfach zu bedienen.

Gerade wollen Sie Herrn Müller antworten, da bekommen Sie ein schlechtes Gewissen. Denn Sie haben Herrn Müllers Kontakt zwar schon im WhatsApp, aber Sie haben Herrn Müller ja noch gar nicht um seine Einwilligung gebeten — ob Sie seinen Kontakt überhaupt speichern dürfen. Denn Sie wissen ja: Name und Telefonnummer sind personenbezogene Daten. Und als Einzelunternehmer, der jeden Tag arbeitet und jeden Tag Daten seiner Kunden verarbeitet, müssen Sie selbstverständlich jede natürliche Person um die Einwilligung zur Verarbeitung seiner Daten bitten.

Herr Müller

Sie rufen also Herrn Müller an: "Hallo Herr Müller, vielen Dank ich helfe Ihnen gerne. Zuvor muss ich Sie allerdings um Ihre Einwilligung bitten, dass ich Ihren Kontakt speichern und verarbeiten darf. Sie wissen ja, es ist wie damals bei uns im Ostblock (Herr Adamski lacht etwas gekünstelt): Im Datenschutz ist alles verboten, was nicht explizit erlaubt ist! Sie haben mir Ihren Namen, Ihre Adresse und Ihre Hausnummer per Whatsapp mitgeteilt. Ich bin Herr Adamski und bin Verantwortlicher hinsichtlich Datenschutz in meinem eigenen Unternehmen — also ich bin ja sozusagen mein Unternehmen. Sie erreichen mich unter der Handynummer, wo sie mich schon erreicht haben, aber bitte senden Sie mir nichts auf WhatsApp. Ich habe nämlich mit WhatsApp bzw. Facebook keinen Vertrag zur Auftragsdatenverarbeitung. Den hätte ich normalerweise schon, aber leider kann ich bei dieser Firma meinen Kontrollpflichten als Verantwortlicher für den Datenschutz nicht nachkommen. Daher schreiben Sie mir bitte nächstes Mal eine SMS oder kommen Sie einfach vorbei."

Wie Sie so daherreden kommt ihnen irgendwo ganz tief in Ihrem Unterbewusstsein so ein Gedanke, ob die SMS nicht vielleicht auch von einer App gelesen und und ins nicht-europäische Ausland verschifft wird, wofür sie ggf. haftbar gemacht werden könnten — aber dieser Gedanke bleibt nur für eine Sekunde. Denn bevor Herr Müller etwas erwidern kann, klären Sie ihn kurz auf: "Herr Müller, ich bin verpflichtet, sie jetzt über Folgendes zu informieren: Ich möchte ihren Kontakt, bestehend aus Name, Adresse und Telefonnummer gerne speichern. Und zwar zu dem Zweck, dass ich sie besuchen kann und ihren Wasserhahn reparieren kann. Das ist die Anbahnung eines Vertrages, weswegen ich das auch darf. Sie müssen also gar nicht einwilligen, dass ich sie speichere. Aber informieren muss ich sie trotzdem. Ich gebe ihre Daten auch nicht weiter, auch nicht in ein Drittland. Das haben sie ja schon getan. Aber ich muss sie noch informieren, dass ich diese Daten nur speichern werde, bis ich ihr Haus gefunden habe. Sollte sich ein Vertrag ergeben, ist alles paletti. Ansonsten werde ich ihren Kontakt selbstverständlich sofort löschen und dies auch in meinem Löschprotokoll, welches Teil meines Löschkonzeptes ist, vermerken — selbstverständlich anonymisiert."

Stille

Am anderen Ende der Leitung ist es merkwürdig still, was Ihnen irgendwie unangenehm ist. Darum sprechen Sie schnell weiter: "Also, Herr Müller, ganz zu ihrem Besten lege ich sehr viel Wert auf Datenminimierung. Dass ich sie besuche, dafür brauche ich eigentlich die Telefonnummer gar nicht mehr, ich weiß ja jetzt, wo sie wohnen. Ich lösche diese sofort nach unserem Gespräch, versprochen! Was ich Ihnen aber auf jeden Fall noch sagen möchte — und muss:  Sie haben selbstverständlich das Recht, jederzeit die Löschung ihrer Daten zu verlangen. Oder auch eine Berichtigung. Also, wenn ich sie zum Beispiel falsch geschrieben habe, mit "ue" statt mit "ü" oder umgekehrt. Und ich kann die Verarbeitung ggf. auch einschränken, also sie zum Beispiel eine Zeitlang blockieren. Und ebenso kann ich ihnen Ihren Kontakt jederzeit auch in einem maschinenlesebaren Datenformat zur Verfügung stellen, ich weiß ja, sie haben ja auch ein Smartphone. Und sie sind ja auch schon etwas älter, falls sie sich mal vergessen."

Sie hören ein Schnaufen: "Herr Adamski, tut das denn alles Not? Früher war das doch 'ne Fünf-Minuten-Sache und jetzt reden sie schon eine Viertelstunde — kommen sie lieber her und reparieren Sie jetzt endlich meinen Wasserhahn!"

Verantwortung

"Ja, jetzt, wo sie es sagen... da weiß ich gar nicht, ob das eigentlich so ausreicht, wenn ich von ihnen gar nichts schriftlich habe. Wissen sie, ich habe ja immerhin die Verantwortung für ihre Daten." Müller: "Das sind meine Daten, nicht ihre Daten!!!" "Ja, Herr Müller, deswegen ja. Wenn sie wüssten, was für Mühe ich mir mit ihren Daten gemacht habe, dass auch alles korrekt ist." Müller: "Wie Mühe? Wir reden doch jetzt gerade erst ne Viertelstunde? Was machen sie denn noch all für 'nen Blödsinn?"

"Also Herr Müller, ich bitte Sie. Das habe ich mir ja nicht ausgesucht. Das ist der Datenschutz von der EU, der neue. Die neue Datenschutzgrundverordnung. Und ich möchte ja auch, dass da alles korrekt ist, wissen sie, da gibt es jetzt hohe Strafen. Und unser thüringischer Landesdatenschützer hat schon gesagt, dass es jetzt keine Schonfrist mehr gibt und dass jetzt bei Verstößen regelmäßig Bußgelder fällig sind. Herr Müller, wenn ich ganz ehrlich bin, ich habe mir da eigentlich nie so Gedanken gemacht, früher. Und dann hab ich durch Zufall da was im Internet gelesen und da ist mir dann erst auf gegangen, dass ich ja all sowas gar nicht habe. Und dann hab ich richtig Angst bekommen."

Protokolle von Tätigkeiten in Verzeichnissen

Müller: "Wie, all sowas?" "Na, ich brauche zum Beispiel jetzt ein Verzeichnis mit Verarbeitungstätigkeiten. Das braucht jetzt jedes Unternehmen, was regelmäßig Daten verarbeitet. Und das tue ich ja jeden Tag. Jeden Tag kriege ich E-Mails, jeden Tag ruft einer an, ich mache Termine und ich trage da Namen ein und Telefonnummern und manchmal auch E-Mail-Adressen. Und dann hab ich da noch meine Branchenlösung, wissen sie? Wenn ich was bestelle und den Steuerberater und meinen Lieferanten für meine Amaturen. Dann ist da auch noch der Walter, der mir die Webseite macht. Mit all denen brauche ich jetzt Auftragsdatenverarbeitungsverträge, weil ich ja sonst gar nichts rechtlich in der Hand habe, um ihre Daten, Herr Müller, zu schützen.

Ich muss das ja nachweisen können, dass ich ihre Daten auch schützen kann und wie soll ich das, ohne Vertrag? Ich muss diese Verträge auch in meine Liste eintragen und regelmäßig auch schauen, ob meine technischen und organisatorischen Maßnahmen, die ich brauche, um ihre Daten zu schützen, noch ausreichen. Dafür habe ich ein einfaches Risikobewertungsmodell entwickelt. Dann das Gesetz schreibt ja vor, dass sich der Schutz ihrer Daten, Herr Müller, vom Aufwand her am Risiko orientieren muss.

Risko

Müller: "Was denn für nen Risiko? Dass einer weiß, wie ich heiße? Oder wo ich wohne? Der soll mal wagen, hier bei mir aufzuschlagen. Wissen sie, was man früher mit dem gemacht hätte? Den werd ich ..."  "Herr Müller nun regen sie sich doch nicht so auf..." "ICH REGE MICH NICHT AUF!!!! Wissen Sie was, sie können mit meinen Scheißdaten machen, was sie wollen. Ich schenke sie ihnen!!!"

"Äh, Herr Müller... ich weiß nicht, wie ich es ihnen sagen soll, aber das geht nicht." Müller: "Wie, das geht nicht? Ich kann mit meinen Daten machen, was ich will!!!" "Äh, nein, also, so meine ich das nicht. Ich meine, das geht nicht mehr. Wenn ich Daten von Ihnen habe, dann können Sie mir sagen, dass ich damit machen kann, was ich will. Aber trotzdem muss ich sie über all die Dinge, die ich eben erwähnte, informieren. Das Gesetz sieht nicht vor, dass es da Ausnahmen gibt. Und diese Information muss ich auch rechtssicher protokollieren. Da weiß ich noch gar nicht, wie ich das machen soll. Also es gäbe eigentlich nur eine Ausnahme...."

Müller: "Und die wäre?" "Äh, also, ich weiß jetzt nicht, wie .... also die Ausnahme wäre, ... wenn sie tot wären" "Wenn ich tot wäre? Aber was soll ich denn mit 'nem neuen Wasserhahn, wenn ich tot bin?" "Ja, da haben sie eigentlich auch recht. Das macht nicht so viel Sinn, oder?" "NEIN, DAS MACHT NICHT SO VIEL SINN".

Am anderen Ende der Leitung wird es still. "Herr Müller? Herrrrrr MÜÜÜLLLLEEERRR?" Nichts. "Herr Müüüüüllllleeeeeerrrrrr?".

Kurz nach ...

... der Trauerfeier stellte ein Trauergast, vielleicht aus Zorn, vielleicht aus Trauer oder Rache, beim thüringischen Landesdatenschutzbeauftragten eine Beschwerde ein. Ein Herr Adamski hätte durch übertriebenen Datenschutz Herr Müller in den Tod getrieben. Eine nachfolgende Überprüfung des Datenschutzniveaus und der Aufzeichnungen von Herrn Adamski ergaben keine Beanstandungen.