DSGVO: Betrifft jeden Gewerbetreibenden
Karl Fröhlich, Chefred speicherguide.de
und zertifizierter Datenschutzbeauftragter Seit fast zwei Monaten ist die DSGVO (Datenschutz-Grundverordnung) nun am Start und die Wogen haben sich etwas geglättet. Aus meiner praktischen Arbeit als Datenschutzbeauftragter kann ich sagen, kleine Firmen haben weiterhin einen großen Nachholbedarf. Die große Abmahnwelle ist (noch) nicht eingetreten und alle, die bisher nicht behelligt wurden, denken sich, »passt scho«. Dem ist aber nicht so – bei weitem nicht.
Aus meiner Sicht gibt es zwei grundsätzliche Handlungs- bzw. Denkfehler: Viele wissen nicht, ob bzw. ab wann sie einen Datenschutzbeauftragten (DSB) benennen müssen. Wer keinen DSB benötigt, glaubt damit müsse er sich auch nicht um die DSGVO kümmern. Persönlich möchte ich behaupten, dass wirklich die überwiegende Mehrheit kleiner Firmen bis zirka 20 Mitarbeitern so denkt. Das kann ich natürlich nicht belegen, aber meine Erfahrung und auch die einiger DSB-Kollegen lässt keinen anderen Schluss zu.
Die DSGVO betrifft alle Gewerbetreibenden
Pauschal gilt, die DSGVO betrifft jeden Gewerbetreibenden. Es ist nahezu ausgeschlossen, dass man in Deutschland unternehmerisch tätig sein kann, ohne in irgendeiner Form personenbezogene Daten zu verarbeiten. Das Bayerische Landesamt für Datenschutzaufsicht stellt in seiner Broschüre mit dem Titel: »Erste Hilfe zu Datenschutz-Grundverordnung für Unternehmen und Vereine – ein Sofortmaßnahmenpaket« drei einfach Fragen:
- Biete ich Dienstleistungen oder Warten in Deutschland an?
- Biete ich Dienstleistungen oder Warten in der EU an?
- Habe ich Mitarbeiter in meinem Unternehmen?
Wenn man auch nur eine Frage mit »ja« beantworten kann, ist die DSGVO anwendbar und demnach auch verpflichtend. Was das genau bedeutet haben wir im Artikel »Datenschutz-Grundverordnung (DSGVO): Das gilt es zu beachten« genauer beschrieben. Ich komme aber gleich nochmal darauf zurück.
Datenschutz ist Chefsache
Zu allererst: Datenschutz ist Chefsache. Wenn die Geschäftsleitung und Vorstandsebene den Datenschutz nicht Ernst nimmt, kann das Thema auch von den Mitarbeitern nicht gelebt werden. Natürlich wird es in größeren Unternehmen vor allem als mehr oder weniger notwendiges Übel betrachtet. Daran ist auch nichts auszusetzen, solange man sich nicht gegen die Umsetzung sperrt. In kleinen Firmen, wenn der Eigentümer auch Chef ist, sieht es oft anders aus. Natürlich ist der Datenschutz nicht umsonst. Er kostet Zeit, Geld und auch Geduld. Wer offen mit dem Thema umgeht, gibt aber auch in seiner Außendarstellung ein positives Bild ab.
Datenschutz: Zeitaufwendig aber kein Hexenwerk
Im Grunde kann sich eine kleine Firma selbst behelfen. Aktualisieren Sie Ihre Datenschutzerklärung auf Ihrer Webseite, denn die ist zunächst das alleinige Einfalltor für mögliche Unruhestifter. Wir haben hier einige Tipps und Generatoren zusammengefasst.
Danach gilt es ein Verfahrensverzeichnis zu erstellen, über alle im Unternehmen angewandten Verarbeitungstätigkeiten mit personenbezogenen Daten. Je nach Firma und Branche ist dies mehr oder weniger einfach zu bewerkstelligen. Das heißt, bei Handwerkern, Beratern, Friseuren oder in einem Blumen- oder Schuhladen sollte dieses Verzeichnis relativ überschaubar sein. Betreibt der Schuhladen aber einen Webshop wird’s schon komplizierter.
Außerdem müssen Sie sich über die technischen und organisatorischen Maßnahmen (TOM) Gedanken machen. Hier wird unter anderem aufgelistet wie Sie die Sicherheit der gespeicherten Daten schützen, beginent bei der Zugangskontrolle ins Firmengebäude, dem Zugriffschutz bis hin zur Datensicherungsstrategie (Backup/Recovery). Was genau zu tun ist, werde ich in einem extra Beitrag erklären.
Ab wann ist ein Datenschutzbeauftragter zu stellen?
Für kleine Firmen ist der Datenschutz lösbar. Trotzdem macht es Sinn, einen Experten zu Rate zu ziehen. Auch wenn dieser Ihnen ein Honorar abverlangt, der Prozess geht schneller und Sie können sich dann auch sicher sein, dass Ihre Dokumentation stimmt und einer möglichen Prüfung standhält. Problem: Derzeit sind alle externen Datenschutzbeauftragten vollkommen Land unter und werden zu 100 Prozent von größeren Unternehmen in Beschlag genommen. Um kleine Firmen bei der Dokumentation zu unterstützen bleibt keine Zeit bzw. gehört gar nicht zum Angebotsportfolio. Nach dem Erwerb meines DSB-Zertifikats wollte ich eigentlich genau dies tun, bei der Dokumentation unterstützen. Und selbst ich, habe nun schon eine Handvoll feste Kunden, ohne groß etwas dafür getan zu haben.
Aus meinen Gesprächen weiß ich, kaum einer weiß, wann und unter welchen Umständen ein Datenschutzbeauftragter zu benennen ist. Hier ist leider viel (gefährliches) Halbwissen unterwegs, zum Teil auch durch Innungen, von ITlern oder Webmastern in die Welt gesetzt. Selbst einer meiner engsten Freunde, ein (eigentlich) sehr kluger Mensch und erfolgreicher Unternehmer, hört lieber auf seinen freiberuflichen ITler, der ihm sagt, »Du musst nichts machen«. Mein freundschaftlicher Rat, zumindest die Datenschutzerklärung zu aktualisieren, verhallt ungehört.
Fakt ist: Sind in der Firma mindestens zehn Mitarbeiter damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten, muss ein DSB benannt werden. Das heißt, entweder schicken Sie einen internen Mitarbeiter auf entsprechende Schulungen oder beauftragen einen externen DSB. Der Chef selbst kann nicht DSB sein, hier bestünde ein Interessenskonflikt. Der DSB übt eine Kontrollaufgabe aus und handelt weisungsfrei.
Nun kann man freilich darüber diskutieren, ob ab dem zehnten Mitarbeiter in der Praxis eine sinnvolle Größe ist. Aber auch da hängt es vom Tätigkeitsbereich ab. Ich betreue ein Autohaus sowie einen Online-Händler. Bei beiden hantieren zwölf Personen mit personenbezogenen Daten und beide sind jeweils in einem kleinen Städtchen angesiedelt, man könnte auch Dorf sagen. Ich vermute, dass auch der Jahresumsatz relativ identisch sein dürfte. Die Kundenbasis des Autohauses ist überschaubar und man könnte schon sagen, die Benennung eines DSB ist übertrieben. Der Online-Händler betreibt über 20 unterschiedliche Web-Shops und betreut tausende von Kunden. Der muss, und nimmt, den Datenschutz sehr ernst.
Datenschutz gilt für interne wie externe Daten
Auch oft gehört und ein großer Denkfehler: »Wir benötigen keinen DSB, es haben ja nicht alle Kollegen Kundenkontakt«. Die Buchhaltung und das Personalwesen werden gerne ignoriert. Der Datenschutz bezieht sich auf die Verarbeitung interner und externer Daten. Neben den Kundendaten schließt dies auch die Daten der Mitarbeiter (Voll- und Teilzeit), von Lieferanten, Partnern und Dienstleistern mit ein.
Beispiel: Zu den zwei Verkäufern und fünf Kundendienstlern kommen gerne noch zwei Personen in der Buchhaltung, ein Personaler sowie jemand, der für den Einkauf zuständig ist, hinzu. Dann noch zwei Geschäftsführer und vielleicht ein Abteilungsleiter und schon sind wir bei mehr als zehn Personen, die personenbezogene Daten verarbeiten.
Wichtig zu beachten: Jeder, der geschäftliche E-Mails empfangen und versenden kann, verarbeitet personenbezogene Daten. In einigen mir bekannter Fälle, konnte man die Mitarbeiterzahl sogar auf der Webseite in der Team-Übersicht nachzählen.
DSGVO ernst nehmen und umsetzen
Ich kann mich nur wiederholen, nehmen Sie die DSGVO ernst, auch wenn Sie nur ein Kleinbetrieb oder »Einzelkämpfer« sind. Es ist unwahrscheinlich, dass die Behörden von alleine auf sie aufmerksam werden. Schauen Sie sich in den sozialen Netzwerken um, das Denunziantentum lebt. Wenn Sie sich nicht richtig aufstellen, besteht immer die Gefahr, dass Sie ein unzufriedener Ex-Mitarbeiter und ein »angepisster« Kunde hinhängt. Die müssen ihre Meldung zwar begründen, ein vager Verdacht genügt nicht, diese kann aber online und anonym abgegeben werden.
Das Missachten der DSGVO ist wie fahren ohne Führerschein. Es kann sehr lange gut gehen, wer erwischt wird, hat ein massives Problem.
Die Dokumentation darf man schon als mühselig bezeichnen. Aus meinen ersten Erfahrungen kann ich aber sagen, es ist gar nicht schlecht, wenn man sein Unternehmen, Zuständigkeiten und Prozesse einmal näher beleuchtet. Da kommen durchaus Vorgehensweisen ans Licht, die so gar nicht gewollt sind. Dass eine ständig angeschlossene externe Festplatte als einziges Backup-Medium nicht die beste Datensicherungslösung darstellt. Das Passwort eine gewisse Mindestanforderung erfüllen sollte und es durchaus sinnvoll ist, den Mitarbeitern die Datenschutzgrundlagen näher zu bringen und alle dadurch an einem Strang ziehen.
- Link-Lösung: So erfüllen Sie die DSGVO-Informationspflicht
- EuGH-Urteil zu Facebook-Seiten: Ruhe bewahren
- Eine Woche DSGVO: Der Start hätte sinnvoller geplant sein können
- Nervfaktor DSGVO: Warum Zurückhaltung die bessere Strategie war
- Rant zur DSGVO/GDPR: Der größte Blödsinn des Jahrhunderts
- Ausbildung zum Datenschutzbeauftragten im Selbstversuch
- Warum brauchts eigentlich immer einen Arschtritt?