Wir haben vor einigen Tagen einem Journalisten und einem Lehrbeauftragten für Datenschutzrecht einen uns vorliegenden Bußgeldbescheid des Hamburgischen Datenschutzbeauftragten (HHDSB) zur Prüfung und Verwendung überlassen. Das Echo in den Medien als auch unter Fachleuten des IT- und Datenschutzrechts ist unerwartet lebhaft. Und da der Bußgeldbescheid und einige darauf fußende Berichte naturgemäß in den wesentlichen Punkten die Sichtweise und Schlussfolgerungen des HHDSB wiedergeben, möchten wir an dieser Stelle ein paar Punkte klarstellen.

Aber zuerst möchten wir uns an unsere vielleicht erstaunten Kunden richten:

1. Kolibri Image und Campus nehmen Datenschutz sehr ernst. Und das nicht erst seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zum 25.5.2018. Schon seit Jahren gibt es eine Datenschutzerklärung auf unseren Seiten und dezidierte Maßnahmen, um persönliche Daten zu schützen.

2. Wir haben vor Inkrafttreten der DSGVO erhebliche Anstrengungen und Investitionen unternommen, um den Datenschutz auf den damals wie heute organisatorisch und technisch gebotenen und möglichen Stand zu bringen. Und wir tun das mit großer Sorgfalt weiterhin.

3. Der Hamburgische Datenschutzbeauftragte beanstandet keinen Datenverlust oder -veruntreuung, sondern ein aus seiner (und unter Fachleuten umstrittenen) Sicht fehlendes Dokument zur Datenverarbeitung, von der wir aber letztlich und faktisch Abstand genommen haben.

4. Der Bußgeldbescheid ist kein gerichtliches Urteil nach Beweisen, sondern ein formaler, behördlicher Akt aufgrund einer Vermutung, die wir zu widerlegen versucht haben. Der Bußgeldbescheid wird von namhaften Rechtsexperten für sehr wahrscheinlich rechtswidrig gehalten und wohl bis auf Weiteres für kontroverse Diskussionen sorgen, weswegen wir ihm auch mittlerweile widersprochen haben.

Soweit die Anmerkungen für unsere Kunden. Nun einige Ausführungen für interessierte Rechts- und IT-Fachleute.

Wenn einem ein Datenschutzbeauftragter spanisch vorkommt

Begonnen hatte alles im April 2018, als wir uns mit hohem Einsatz auf das Inkrafttreten der DSGVO zum 25.5.2018 vorbereiteten. Hauptsächlich war unser Versandgeschäft unter der Marke “Color & Style” davon betroffen. Dort wünschten unsere Kunden hin und wieder eine Expresszustellung ihres DHL-Pakets. Der Versand lässt sich über DHL direkt starten, es gibt aber auch Firmen, die die Versandaufträge mehrere Versender bündeln und damit von DHL Großkundenrabatte bekommen, die an die Versender, also auch uns, weitergereicht werden. Wir konnten dadurch die Expresszustellung unseren Kunden günstiger anbieten. Weitere Vorteile sind Sammelabrechnung und von der Rechnungsadresse abweichende Abholorte. All diese Vorteile bot uns die Firma Packlink, die wir in unserer Datenschutzerklärung auflisteten und an die wir in 2018 vier Versandaufträge per DHL mit Expresszustellung übergaben, zuletzt am 22.5.2018. Packlink bekam dazu die Lieferadressen von vier Kunden und übernahm gem. AGB als unser direkter Vertragspartner den Frachtauftrag.

Tenor unter Anwälten und Rechtsexperten damals war, dass damit eine sog. Auftragsdatenverarbeitung vorliegen könnte (sicher ist das bis heute nicht), die nur im Rahmen eines sog. Auftragsdatenverarbeitungsvertrag (ADVV) gem. DSGVO zulässig ist. Wir haben solche Verträge mit zahlreichen Dienstleistern abgeschlossen. Warum also nicht auch mit Packlink?

Sicher ist sicher, dachten wir uns und haben uns an deren deutsche Niederlassung in Neu-Isenburg gewandt (die im Impressum von E-Mails genannt wurde) und um einen Vertragsentwurf gebeten. Dort stieß unsere Anfrage auf Unverständnis weswegen wir nach längeren Chats und E-Mail-Wechsel an deren Datenschutzbeauftragten am Hauptsitz in Madrid verwiesen wurden. Auf Englisch und mit Verlinkung auf die entsprechenden Gesetzespassagen versuchten wir ihn davon zu überzeugen, uns einen ADVV zuzusenden. Er schickte uns aber nur einen Link auf die Datenschutzerklärung und meinte, daraus würde sich alles erschließen.

Gehe nicht zum Fürsten bevor Du gerufen wirst

Da unsere Bemühungen so nicht fruchteten, erinnerten wir uns an einen Satz auf der Website des Hamburgischen Datenschutzbeauftragten: “Wir stehen Ihnen für einen Beratungstermin gerne zur Verfügung.” Da Neu-Isenburg aber in Hessen liegt, meinten wir, sein hessischer Kollege wäre “näher dran” und könnte Packlink an seine Mitwirkungspflicht zu einem ADVV erinnern. Wir haben uns daraufhin an den Hessischen Datenschutzbeauftragten (HDSB) gewandt und um Rat gebeten. Zu unserer Überraschung ging der HDSB garnicht weiter auf Packlink als Vertragsnehmer ein, sondern erinnerte an die beiderseitige Mitwirkungspflicht und forderte uns auf, als Vertragsgeber anhand von PDF-Vorlagen, zu denen wir einen Link erhielten, selbst einen Vertragsentwurf zu erstellen.

Für uns hätte das bedeutet,

  1. unwahre (da mangels Einsicht völlig spekulative) Angaben zu den Datenverarbeitungsprozessen, Beteiligten und Verantwortlichen bei Packlink zu machen,
  2. den Vertrag von einem Anwalt prüfen zu lassen,
  3. eine Übersetzung ins Englische oder Spanische durch einen juristischen Fachübersetzer erstellen zu lassen,
  4. nach Madrid zu senden,
  5. und zu hoffen, dass der Vertragsnehmer unter einen aus seiner Sicht unaufgeforderten, unnötigen und unbekannten Vertragsinhalt eine Unterschrift setzt.

Das erschien uns so unwahrscheinlich und in Punkt 1 auch vollkommen unmöglich, dass wir dem HDSB enttäuscht mitteilten, “wir beließen dann lieber alles wie es ist” – d.h. kein Vertrag, erschöpft wie wir von der anstrengenden DSGVO-Vorbereitung mittlerweile waren keine weitere Mühe für ein nach den bis dato gemachten Erfahrungen mit dem Vertragsnehmer vergebliches Unterfangen. Dann lieber ganz auf weitere Beauftragungen von Packlink verzichten, womit wohl kein ADVV mehr nötig wäre (wenn überhaupt) und einen anderen Anbieter suchen, was dann auch so geschah.

Aufstieg in die Liga von Facebook und Google

Wir hielten es nicht für nötig, den HDSB auf unseren vollständigen Verzicht abschließend hinzuweisen – was sich als Fehler herausstellen sollte. Denn er schloss aus unserer Bemerkung, wir wollten uns vorsätzlich der DSGVO entziehen, weiter mit Packlink arbeiten und informierte darüber seinen Hamburger Kollegen.

Der HHDSB lud uns zunächst zu einer schriftlichen Anhörung zur Einleitung eines Bußgeldverfahrens von bis zu 10.000.000,00 € ein. Mit einem Mal standen wir in der Liga von Facebook und Google. Eingeschüchtert reagierten wir mit einer anwaltlichen Stellungnahme, in der der o.g. Verlauf und Sachverhalt dargestellt wurde.

Der Glaubwürdigkeit tat leider ein Versäumnis unsererseits einen Abbruch: Da unser Versandgeschäft über mehrere Websites und Verkaufskanäle läuft (z.B. eBay, Amazon), haben und pflegen wir wie es die DSGVO vorschreibt zur Zeit insgesamt 6 z.T. unterschiedliche Datenschutzerklärungen an 6 “Orten” in 2 Sprachen. In 5 davon war Packlink längst ausgetragen, nur eine hatten wir leider übersehen – und auf die stieß der HHDSB bei weiteren Recherchen. Das war bedauerlich und tragisch, denn damit war aus Sicht des HHDSB die anwaltliche Darstellung widerlegt. Wenige Tage später hielten wir fassungslos einen Bußgeldbescheid über 5.000,00 € nebst Gebühren in den Händen.

Wir haben daraufhin in einem Online-Forum für Versandhändler unseren Fall dargestellt und sind darüber mit Jörg Heidrich vom Heise-Verlag und später mit dem Anwalt und Lehrbeauftragten Stephan Hansen-Oest (datenschutz-guru.de) in Kontakt gekommen. Seit der Veröffentlichung auf Heise.de, in der leider einige wichtige Details unterbelichtet bleiben, haben uns zahlreiche Nachfragen und Anfragen erreicht. Unser Fall bewegt derzeit die Fachleute, wie wir von Stephan Hansen-Oest hörten.

DSGVO – für Verbraucher gedacht, für Anwälte gemacht

Warum unser Gang an die Öffentlichkeit? Warum der ganze Palaver? Wir möchten nicht die wichtige und richtige Arbeit der Datenschutzbeauftragten diskreditieren, weswegen wir auch eine Einladung zu einer TV-Show und -reportage abgelehnt haben. Auf beiden Seiten dieses Falls sitzen Menschen, die Respekt und Achtung verdienen. Wir scheuen auch nicht die Arbeit und Mühen für datenschutzkonforme Websites. Wir sind auch kein “trotziges Kind”, das sich bei Verbotenem ertappt fühlt und beleidigt ist.

Vielmehr wollten wir einerseits gegen eine DSGVO protestieren, die für kleine Unternehmen ohne Justiziar oder Standleitung zum Anwalt nicht rechtssicher umzusetzen ist. Zum anderen wollten wir ausloten, wie die rechtliche Lage derzeit eingeschätzt wird. Und da zeigt sich eine vollkommene Hilflosigkeit des deutschen Rechtswesen und anderer betroffener Anbieter. Ob ein ADVV überhaupt nötig gewesen wäre und noch heute in solchen Fällen ist, kann uns zweifelsfrei und rechtssicher

  • weder die DSGVO,
  • noch ein DSB (der Bayrische verneint in seinen FAQ die Notwendigkeit, Hamburg und Hessen bejahen ohne nähere Prüfung erstmal),
  • noch ausgewiesene Datenrechtsexperten,
  • noch die Wettbewerber von Packlink sagen (Umfrage unter 6 in Frage kommenden Firmen ergab 50:50).

Es liefe für uns und künftige Betroffene darauf hinaus, diese Frage gerichtlich durch alle Instanzen bis ggfs. zum EuGH klären zu lassen. Auf eigene Kosten und Risiko. Und solange wir oder kein anderer Betroffener das tut, bleibt alles offen – und wie wir erlebt haben: sehr riskant. Wie antwortete uns ein Wettbewerber von Packlink so bezeichnend: “Wir wollen wirtschaften und nicht streiten.” – Deren Kunden bleiben also weiter im Regen stehen und müssen mit bösen Überraschungen rechnen. Verantwortung sieht anders aus.

Wenn David in den Schuhen von Goliath laufen soll

Die DSGVO, so berechtigt und nötig sie ist, mutiert in unserem Fall zu einem Monster, das kleine Unternehmen verunsichert und ängstlich zurücklässt, in Erwartung des nächsten Keulenschlags. Ein weiteres Beispiel: Vorgestern teilte unser Provider in seinem Newsletter mit, dass Google den datenrechtlich relevanten Sitz bei Verwendung von ReCaptchas von den USA nach Irland verlagert habe und nun alle Websitebetreiber mit ReCaptchas (also auch wir) dringend ihre Datenschutzerklärungen anpassen müssten, damit sie nicht rechtswidrig werden. Also ganz fix 6 Datenschutzerklärungen aktualisieren. Ohne den Newsletter hätten wir davon nichts erfahren, da Google sich uns dazu nicht mitteilt. Und schon hätte ein DSB uns wieder belangen und zur Kasse bitten können.

Welches Kleinunternehmen kann neben all den überbordenden anderen gesetzlichen Verpflichtungen und EU-Verordnungen, zu denen fast monatlich neue hinzukommen, den Überblick und rechtssicheren operativen Rahmen wahren?

Wir fordern vom Gesetzgeber eine Entschärfung der Durchsetzungspraxis zur DSGVO für Kleinunternehmen, eine DSGVO-Durchsetzung “light”, wie sie in anderen EU-Ländern Praxis ist. Denn derzeit muss in Deutschland ein Kleinunternehmen fast den gleichen Aufwand wie ein Mittelständler leisten – bei völlig unterschiedlichen Ertragsbedingungen. Eine Datenschutzerklärung penibel zu pflegen kostet beide annähernd dasselbe. Einen ADVV aufzusetzen kostet beim Anwalt beide annähernd dasselbe. Aber Ertrag und personelle Ressourcen sind bei beiden völlig unterschiedlich.

Dem Datenschutz einen Bärendienst

Wir plädieren für eine andere Praxis bei den DSB. Es kann nicht sein, dass vertrauensvolle Anfragen zum Boomerang werden. Wer wird denn da noch mit einem DSB kooperieren, außer wenn das Kind längst in den Brunnen gefallen ist? Mit Angst und Schrecken werden nur die bestätigt, bei denen bis heute das Thema Datenschutz nicht angekommen ist: “Leugnen, vertuschen, verschweigen – da passiert mir am wenigsten.” Wenn die DSGVO das bewirkt, erweist sie dem Datenschutz einen Bärendienst.

Wir dürfen erwarten, dass wenigstens grobe rechtliche Unklarheiten endlich vom Gesetzgeber und nicht von den Betroffenen durch jahrelanges Klagen von Instanz zu Instanz an völlig überlasteten Verwaltungsgerichten gelöst werden. Die Kakofonie zur Notwendigkeit eines ADVV ist ein Skandal und ein Indiz für Versagen. Ja, es gibt im Rechtsstaat das Prinzip eines sich nach und nach entwickelnden Richterrechts. Schön und gut. Aber bei der DSGVO haben wir den Eindruck gewonnen, dass sich der Gesetzgeber in diesem Thema regelrecht davongestohlen hat. Und es ist kaum zu vermitteln, dass wir während wir diese Auseinandersetzung führen, erfahren, dass Falschangaben zur Person straffrei bleiben. Dass also derselbe Gesetzgeber ausgerechnet bei der Erfassung von vorsätzlich falschen persönlichen Daten besondere Nachsicht hat, aber das kleinste (vermeintliche und unbewiesene) Versäumnis bei deren Verarbeitung von einem 2-Frau/Mann-Unternehmen rigoros mit 5.000,00 €, zahlbar innert 14 Tagen, büßen lässt.

Update vom 03.04.2019: Heute erreichte uns vom HHDSB die Mitteilung, dass der Bußgeldbescheid zurückgenommen und das Verfahren eingestellt wird. Aus der Begründung: “Sie haben zutreffend darauf hingewiesen, dass die vom Bußgeldverfahren erfasste Tat (zumindest auch) einen Zeitraum vor der Geltung der DSGVO betrifft (…). Es ist unklar, ob nach dem 24.5.2018 noch Verstöße erfolgten. Daher war der Bußgeldbescheid zurückzunehmen. Da keine weitere Möglichkeit der Sachverhaltsaufklärung gesehen wird und Sie glaubhaft erklärt haben, sich zukünftig datenschutzkonform verhalten zu wollen, ist eine weitere Ahndung nicht geboten. Deshalb war das Verfahren einzustellen.”

(Foto: Pixabay)

PS: Rückfragen bitte nur an dm@kolibri-image.com