Datenschutz: Diese gesetzlichen Vorgaben sollten Unternehmer kennen

Aus aktuellem Anlass veröffentlichen wir ein Interview mit dem Datenschutz-Experten Mannus Weiß zum aktuellen Stand der DSGVO und des Hinweisgeberschutzgesetzes.

Hallo Herr Weiß, stellen Sie sich gerne vor.

Ich heiße Mannus Weiß, bin Geschäftsführer der Datenschutzkonzept GmbH und deutschlandweit unterwegs. Ich begleite Unternehmen bei der Umsetzung der DSGVO und des Datenschutzes als TÜV-zertifizierter externer Datenschutzbeauftragter und Datenschutzauditor, als Beauftragter des Hinweisgeberschutzgesetzes (Whistleblowing) und mittlerweile auch als Berater zum Thema Künstliche Intelligenz.

Wie sind denn Ihrer Erfahrung nach die Unternehmen mittlerweile aufgestellt was den Datenschutz angeht?

Das ist sehr unterschiedlich. Insgesamt mache ich die Erfahrung, dass die etwas größeren Unternehmen (ab ca. 50 Mitarbeitern) eher besser und die kleineren Unternehmen leider eher schlechter aufgestellt sind. Teilweise ist die DSGVO aber auch noch gar nicht umgesetzt.

Oft komme ich in Unternehmen die mir im Vorfeld mitteilen, dass sie „etwas“ Beratungsbedarf haben und die DSGVO „teilweise“ umgesetzt haben, aber die Geschäftsführer haben das Thema oft verdrängt und hinten angestellt. Wenn ich dann vor Ort bin, besteht der Datenschutz aus einer halbfertigen Datenschutzerklärung auf der Website, einem oft nicht funktionierenden Cookie-Banner und ein paar Vorlagen, in denen außer der Firmenbezeichnung nichts eingetragen ist.

Sobald ich dann etwas von den Erfordernissen der DSGVO erzähle, werden die Unternehmer immer unsicherer und merken, dass hier dringender Handlungsbedarf besteht.

Worauf führen Sie denn zurück, dass viele Firmen noch nicht gut aufgestellt sind und kein konkretes Wissen dazu haben, was sie eigentlich machen müssen?

Die DSGVO wird oft gerne, gerade bei kleineren Betrieben, aus dem Bewusstsein verdrängt und nach hinten geschoben, weil der Datenschutz – nach der Meinung vieler Geschäftsführer – nur Geld kostet, Ressourcen einschränkt und ansonsten nichts bringt.

Manche Unternehmer haben es 2018 auch schon einmal mit der Umsetzung versucht, sind dann allerdings gescheitert, weil einfach die Fachkenntnisse fehlten.

Allerdings schauen die Kunden – insbesondere auch die jüngeren – immer öfter darauf, was mit ihren Daten passiert und eine Umsetzung ist ja gesetzlich auch vorgeschrieben. Deshalb kann ich jedem nur raten, sich da vernünftig aufzustellen.

Können Sie uns denn in kurzer Form einmal vorstellen, was jedes Unternehmen machen muss, um DSGVO-konform aufgestellt zu sein?

Natürlich, sehr gerne:

  • Es muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden. Hier wird aufgeführt, welche Datenverarbeitungstätigkeiten mit welchen Grundlagen und Zugriffsmöglichkeiten durchgeführt werden. Das sind z.B. Zeiterfassung, Lohnbuchhaltung, Finanzbuchhaltung, E-Mail-Verarbeitung, Homeoffice, Nutzung von CRM-Systemen, Nutzung von Software, Videoüberwachung – ein heikles Thema –, Nutzung von Cloud-Diensten, usw. So ein Verzeichnis umfasst oft schon bei kleineren Betrieben 150 Seiten.
  • Es muss eine TOM-Liste (technische und organisatorische Maßnahmen) erstellt werden. Hier wird aufgeführt, was das Unternehmen unternimmt, um die personenbezogenen Daten zu sichern; also z.B. gibt es ein Antivirusprogramm oder eine Firewall? Welche Backups werden gemacht? Wer hat Zugriff auf welche Daten? Gibt es ein Berechtigungskonzept?
  • Es muss überprüft werden, ob Auftragsverarbeitungs- Verträge (AV-Verträge) existieren, bzw. abgeschlossen werden müssen. AV-Verträge müssen z.B. mit dem Webhoster, dem IT-Dienstleister, dem Cloud-Anbieter oder der Firma, welche den Drucker wartet, abgeschlossen werden.
  • Die Datenschutzerklärung und ggf. das Cookie-Banner müssen überprüft werden. In der Praxis sind hier in über 90 Prozent der Fälle Fehler zu finden. Viele Webmaster installieren z.B. Google Analytics, ohne dass der Kunde das überhaupt nutzt und benötigt. Die Behörden müssen z.B. Beschwerden von Kunden oder Wettbewerbern nachgehen und die Webseiten überprüfen. Wer dann z.B. Tracking- Tools nutzt, ohne funktionierende Einwilligung des Besuchers – also ohne einen oder mit einem nicht funktionierenden Cookie-Banner –, der bekommt einen Fragenkatalog geschickt, der im Regelfall nicht alleine zu beantworten ist und dann wird es teuer.

Das ist ja einiges, was es zu beachten gilt. War das denn alles?

Nein, da geht es noch weiter:

  • Es müssen ein Datenschutzkonzept und ein Löschkonzept erstellt werden und es sollten auch verschiedene Richtlinien – wie z.B. eine Unternehmensrichtlinie, eine Homeoffice-Richtlinie und eine IT-Nutzungsrichtlinie – erstellt werden. Zusätzlich muss der Mitarbeiter, genauso wie die Kunden, über die Verarbeitung seiner Daten informiert werden. Auch auf das Datenschutzgeheimnis und das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten muss er verpflichtet werden.
  • Initial müssen alle Mitarbeiter, welche Daten verarbeiten, zum Thema Datenschutz geschult werden. Einmal jährlich sollte man überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Diese Position des Datenschutzbeauftragten muss eine fachliche Qualifikation beinhalten, darf nicht in einem Interessenskonflikt stehen und darf natürlich auch nicht vom Geschäftsführer oder z.B. vom IT- oder Marketingverantwortlichen besetzt werden.

Was empfehlen Sie denn einem Unternehmer, der sich unsicher ist, ob er DSGVO-konform aufgestellt ist?

Das Unternehmen sollte sich auf jeden Fall an einen zertifizierten Fachmann wenden und sich beraten lassen, bevor es sich selbst an den Dokumentationen versucht. Das erspart viel Arbeit und auch Kosten.

Und wie ist das mit dem Hinweisgeberschutzgesetz? Hat das ebenfalls mit Datenschutz zu tun?

Ja natürlich, das spielt alles zusammen. Das Hinweisgeberschutzgesetz muss ja ab dem 17. Dezember 2023 bei jedem Unternehmen, welches mehr als 50 Mitarbeiter beschäftigt, umgesetzt sein. Dort muss eine interne Meldestelle eingerichtet werden, bei der Personen, welche im beruflichen Kontext mit dem Unternehmen stehen, z.B. Diskriminierungen, Übergriffigkeiten, Diebstähle, usw. melden können.

Bei der Einrichtung einer solchen Meldestelle muss eine sogenannte DSFA (Datenschutzfolgenabschätzung) erstellt werden. Das bedeutet für bestimmte Prozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen. Das ist eine anspruchsvolle Aufgabe, welche fachlichen Beistands bedarf.

Andernfalls ist es natürlich auch möglich, diese interne Meldestelle an ein externes Fachunternehmen auszulagern.

Welche DSGVO-Anforderungen muss jedes Unternehmen erfüllen?

  1. Das Verzeichnis der Verarbeitungstätigkeiten: Hier werden alle Datenverarbeitungsvorgänge aufgeführt (in den meisten Fällen liegt der Umfang zwischen 150 und 300 Seiten), wozu auch ein Löschkonzept mit Löschliste gehört, welches sich an gesetzlichen Fristen orientiert.
  2. Die TOM-Liste: Hier werden alle technischen und organisatorischen Maßnahmen aufgeführt, wie das Unternehmen die Daten schützt.
  3. Die AV-Verträge: Mit allen Subdienstleistern, z.B. Lohnbüros, IT-Dienstleister oder Hostern der Website, müssen AV-Verträge abgeschlossen werden. Darin verpflichten sich die Dienstleister, genauso sorgfältig mit den Daten umzugehen, wie man das selbst macht, und diese Sicherheitsmaßnahmen müssen dokumentiert werden.
  4. Die Datenschutzerklärung: Das Unternehmen muss hier den Kunden über seine Rechte aufklären und informieren, wie mit seinen Daten umgegangen wird. Normalerweise geschieht das über die Veröffentlichung auf der Website und es muss ein DSGVO-konformer Cookie-Banner eingebunden sein. Zusätzlich sollte eine DSGVO-konforme E-Mail-Signatur vorhanden sein.
  5. Verträge und Vereinbarungen mit Mitarbeitern müssen erstellt werden: Zum Beispiel eine Einwilligungserklärung für die Verwendung von Fotos, eine Verpflichtung auf das Datenschutzgeheimnis und das Telekommunikation-Telemedien-Datenschutz-Gesetz, eine IT-Nutzungsvereinbarung, eine Homeoffice-Richtlinie, eine Bewerbereinwilligung, ein Datenschutzkonzept, eine Kundeninformation nach § 13, eine Mitarbeiterinformation, eine Vertraulichkeitsvereinbarung (NDA), usw.
  6. Initial müssen Mitarbeiter zum Datenschutz geschult werden: Bei Unterlassung droht bei Datenpannen oder Fehlverhalten der Mitarbeiter im Umgang mit personenbezogenen Daten eine Durchgriffshaftung auf den Verantwortlichen, also z.B. den Geschäftsführer/Inhaber/Vorstand.
  7. Überprüfung, ob ein Datenschutzbeauftragter behördlich bestellt werden muss: Das ist z.B. der Fall bei mehr als 20 Mitarbeitern, der Verarbeitung von Daten nach Artikel 9 DSGVO (sensible Daten), der Datenverarbeitung als Kerntätigkeit oder ggf. dem Einsatz von Künstlicher Intelligenz.
  8. Überprüfung, ob das Hinweisgeberschutzgesetz umgesetzt werden muss: Bei mehr als 50 Mitarbeitern muss das Hinweisgeberschutzgesetz im Unternehmen umgesetzt werden.

Vielen Dank Herr Weiß.

Danke ebenfalls für die Möglichkeit, interessierten Unternehmern hier weiterzuhelfen.

Mannus Weiß

Mannus Weiß ist TÜV-zertifizierter externer Datenschutzbeauftragter, Datenschutzauditor, IT-Security-Beauftragter und Hinweisgeberschutzgesetzbeauftragter.

Die Datenschutzkonzept GmbH
Adelsweg 13
53909 Zülpich

E-Mail: info@datenschutzkonzept.com
Tel. 02225 99539950
Mobil 0170 8026396

Weitere Informationen unter: www.datenschutzkonzept.com

Vorheriger Artikel

Digitalisierung im Mittelstand: Wie moderne Tools die Effizienz steigern

Nächster Artikel

PMPG Steuerberatungsgesellschaft PartmbB: Alles rund um Steuer-, Rechts- und Unternehmensberatung

You might be interested in …

Arbeitsequipment schützen und Ausgaben reduzieren

Viele Arbeitgeber investieren jedes Jahr hohe Summen, um ihre Mitarbeiter mit Diensthandys, Laptops und Tablets auszustatten. Und es ist ärgerlich, wenn die teure Technik beschädigt wird. Um das zu verhindern, gibt es inzwischen zahlreiche Produkte, […]