Stell Dir vor, dass jemand völlig Fremdes da draußen weiß

  1. Wann Du zu Hause bist
  2. Dass Du krank bist
  3. Dass Du religiös bist
  4. Wo Du wohnst
  5. Wie Dein Beziehungsstatus aktuell ist
  6. usw.

Wie fühlt sich das an?

Die meisten Menschen, die wir kennen finden diese Vorstellung beunruhigend und wollen das solch private Informationen privat bleiben. Die Sache ist nur die: Fast jeder von uns hinterlässt jeden Tag Daten im Internet, die das Wissen über diese Dinge beinhalten. So scherzen Experten aus diesem Bereich gern:

“Menschen sind zu niemandem so ehrlich wie zu der Suchmaschine.”

Die meisten Menschen vertrauen dem Suchschlitz der Suchmaschine fragen an, die sie niemals einer anderen Person stellen würden. Denn im Gegensatz zu einem Menschen urteilt die Suchmaschine nicht. Sie antwortet einfach in Sekundenschnelle. So verrät sie uns zum Beispiel,

  1. Wie lange wir jetzt von A nach B brauchen
  2. Ob die Bauchschmerzen, die wir haben etwas ernsthaftes sein könnten
  3. Wann der nächste Gottesdienst in unserer Nähe ist
  4. Welcher Internetanbieter uns schnelles DSL bieten kann
  5. Ob das Verhalten unseres Partners auf ein Fremdgehen hindeuten könnte
  6. Usw.

Jede Suchanfrage an sich ist harmlos, doch mit jeder Suchanfrage verrätst Du etwas über Dich. Schau Dir die beiden Listen im oberen Teil dieses Textes an. Siehst Du, dass jede Suchanfrage aus der zweiten Liste Informationen enthält, die uns die Fragen aus der ersten Liste beantworten lassen?

Welche Daten hat Dein Unternehmen von mir

Die meisten Menschen in Deutschland legen Wert darauf, dass Ihre Daten geschützt werden und die Spur, die sie im Internet hinterlassen nicht gegen sie eingesetzt werden kann. Um diese Daten zu schützen hat Europa in den letzten Jahren Gesetze und Verordnungen auf die Beine gestellt, die diese sensiblen Daten schützen sollen.

Für die Internet-User bedeuten diese Gesetze, dass sie seit einigen Jahren das Recht haben von Unternehmen zu erfragen, welche nutzerbezogenen Daten das Unternehmen gespeichert hat. Diese Anfrage ist für den Internet-User kostenlos und mit geringem Aufwand möglich.

Für Unternehmen bedeuten diese Gesetze, dass sie Prozesse brauchen, die Ihnen helfen die Fragen der Internetnutzer schnell und lückenlos zu beantworten. Unternehmen, die sich nicht um solche Anfragen kümmern, drohen hohe Strafen durch den Gesetzgeber.

Mammutaufgabe Datenschutz im Unternehmen

Für alle Unternehmen ist die Datenschutzgesetzgebung eine Herausforderung. Eine besonders schwierige Aufgabe stellt sie allerdings für Kleine und Mittlere Unternehmen (KMU) da. Ein Fliesenleger Betrieb mit zwei Mitarbeitern muss fast die gleichen Anforderungen der Datenschutzgesetzgebung erfüllen. Dabei hat er für die Umsetzung der Aufgaben deutlich weniger Ressourcen zur Verfügung als ein Multinationaler Konzern, der eigene Anwälte für diese Aufgabe beschäftigen kann.

Zum Glück gibt es Menschen wie Mannus Weiß von www.datenschutzkonzept.com , die den KMU gern beiseite stehen und mit Ihnen gemeinsam das Datenschutzthema im eigenen Unternehmen auf den Weg bringen. Zu unserer großen Freude konnten wir Mannus für dieses Interview zum Thema “Datenschutz in KMU” gewinnen und werden daher im folgenden Interview die Fragen beantworten, die den meisten KMU, die wir kennen spätestens seit dem Inkrafttreten der DSGVO 2018 unter den Nägeln brennen.

Büroräume von thiemwork, kurz vor einem Bewerbungsgespräch.

Hallo Mannus, stell Dich doch bitte mal vor …

Ich heiße Mannus Weiß, bin Geschäftsführer der Datenschutzkonzept GmbH und deutschlandweit unterwegs. Ich begleite Unternehmen aller Art als TÜV zertifizierter externer Datenschutzbeauftragter und Datenschutzauditor bei der Umsetzung der DSGVO und des Datenschutzes.

In der Einleitung zu diesem Interview haben wir ein bewusst ein emotional zugespitztes Bild zum Thema User und Datenschutz gezeichnet. Was sagen Deine Erfahrungen in der Zusammenarbeit mit deutschen Unternehmen? Spiegeln diese Nutzer-Emotionen die Realität wieder? Versuchen deutsche Kleine und Mittelständische Unternehmen (KMU) wo es nur geht an Nutzerdaten zu kommen, um diesen zum Kaufen zu verführen?

Die Erfahrung zeigt, dass die kleineren Unternehmen mit bis zu 20 Mitarbeitern sich wenig für Daten interessieren. Je größer das Unternehmen wird umso größer ist auch das Interesse an Daten zu kommen. Natürlich wissen die Unternehmen, dass der Datenschutz berücksichtigt werden muss und sind daran interessiert sich DSGVO-konform aufzustellen.

Warum ist das Thema Datenschutz in Unternehmen so kompliziert?

Das Thema ist nicht unbedingt kompliziert, nur hat die Regierung es versäumt die Unternehmen in normaler Sprache aufzuklären was umgesetzt werden muss.

Deshalb besteht oft eine große Unsicherheit in diesem Bereich und der Datenschutz wird gerne mal verdrängt, vergessen oder hintenangestellt.

Was sagt Deine Erfahrung? Wie gut bzw. schlecht sind Kleine und mittlere Unternehmen in Sachen Datenschutz aufgestellt?

Das ist sehr unterschiedlich, insgesamt mache ich die Erfahrung das die größeren Unternehmen mit ca. 50 Mitarbeitern eher besser, die kleineren Unternehmen leider eher schlechter aufgestellt sind. Teilweise begegnen mir sogar noch heute Unternehmen, die die DSGVO noch gar nicht umgesetzt haben, weil ihnen schlichtweg die Zeit, die Ressourcen und oder das Verständnis für das Thema fehlten.

Oft komme ich in Unternehmen, die mir im Vorfeld mitteilen, dass sie „etwas“ Beratungsbedarf haben und die DSGVO „teilweise“ umgesetzt haben. Oft haben die Geschäftsführer das Thema auch verdrängt und hintenangestellt. Machen wir uns an dieser Stelle nichts vor. Kein Unternehmen kann sich mal eben 2 Monate vom Markt zurückziehen, um solche Interna auf den Weg zu bringen.

Vor Ort bei den Unternehmen stelle ich daher nicht selten fest, dass der aktuelle Datenschutz aus einer halbfertigen Datenschutzerklärung auf der Website, einem oft nicht funktionierendem Cookie Banner und ein paar Vorlagen besteht, in denen außer dem Firmennamen nichts eingetragen ist.

Wenn ich dann etwas von den Erfordernissen der DSGVO erzähle, werden die Unternehmer immer unsicherer und merken, dass hier ein dringender Handlungsbedarf besteht.

Warum genießt der Datenschutz in diesen Unternehmen keine höhere Priorität?

Die DSGVO wird oft, gerade bei kleineren Betrieben, aus dem Bewusstsein verdrängt und nach hinten geschoben, weil der Datenschutz nach Meinung vieler Geschäftsführer nur Geld kostet, Ressourcen einschränkt und nichts bringt. Kein Kunde ist bereit mehr für ein Produkt zu bezahlen, nur weil sich ein Unternehmen an ein Gesetz hält. Zudem gibt es wenige Menschen, die sich die mehrere Seiten lange Datenschutzerklärung eines Unternehmens durchlesen und hierzu interessierte Fragen stellen.

Doch an diesem Punkt ändert sich aktuell etwas. Gerade die jüngeren Kunden achten immer öfter darauf was mit Ihren Daten passiert, damit steigt jeden Tag die Chance für Unternehmen, dass sie sich mit einer Datenschutzauskunftsanfrage konfrontiert sehen. Ich kann jedem Unternehmen, dass sich bis jetzt nicht abschließend um das Thema gekümmert hat, nur raten sich in Sachen Datenschutz vernünftig aufzustellen.

Kannst Du uns denn in kurzer Form mal vorstellen was jedes Unternehmen machen muss, um DSGVO konform aufgestellt zu sein?

Das mache ich gern:

  1. Es muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, hier wird aufgeführt welche Datenverarbeitungstätigkeiten durchgeführt werden. Das sind z.B.
    • Zeiterfassung,
    • Lohnbuchhaltung,
    • Finanzbuchhaltung,
    • E-Mail-Verarbeitung,
    • Home-Office,
    • Nutzung CRM-System,
    • Nutzung von Software,
    • Videoüberwachung (heikles Thema),
    • Nutzung Clouddienste
    • Usw.
  2. Es muss eine TOM Liste (technische und organisatorische Maßnahmen) erstellt werden. Hier wird aufgeführt was das Unternehmen unternimmt, um die Daten zu sichern, z.B.
    • gibt es ein Antivirusprogramm,
    • gibt es eine Firewall,
    • was werden für Backups gemacht,
    • wer hat Zugriff auf welche Daten,
    • gibt es ein Berechtigungskonzept,
    • usw.
  3. Es muss überprüft werden, ob AV (Auftragsverarbeitung) Verträge existieren, bzw. abgeschlossen werden müssen. AV Verträge müssen z.B. mit dem Webhoster, dem IT-Dienstleister oder der Firma, welche den Drucker wartet, abgeschlossen werden.
  4. Die Datenschutzerklärung und ggf. das Cookie Banner auf der eigenen Webseite müssen überprüft werden. In der Praxis sind hier in über 90% der Fälle Fehler zu finden. Viele Webmaster installieren z.B. Google Analytics ohne, dass der Kunde das überhaupt nutzt und benötigt.

An dieser Stelle besteht meiner Einschätzung nach aktuell besonders dringender Handlungsbedarf. Die Behörden überprüfen aktuell die Webseiten und wer Tracking Tools nutzt ohne funktionierende Einwilligung des Besuchers (also ohne oder mit nicht funktionierendem Cookie Banner) der bekommt einen Fragenkatalog geschickt, der nicht alleine zu beantworten ist und dann wird es teuer…

Das klingt nach einer Menge Arbeit. Kann an das Thema Datenschutz ein Häkchen, wenn diese 4 Punkte auf den Weg gebracht wurden?

Nein, da geht es noch weiter:

  1. Es muss ein Datenschutzkonzept und ein Löschkonzept erstellt werden und wenn ein Unternehmen Mitarbeiter hat, sollten auch verschiedene Richtlinien, wie z.B. eine Unternehmensrichtlinie oder eine Home-Office und IT-Nutzungsrichtlinie erstellt werden. Zusätzlich muss der Mitarbeiter auf das Datenschutzgeheimnis verpflichtet werden.
  2. Einmal jährlich müssen alle Mitarbeiter welche Daten verarbeiten zum Thema Datenschutz geschult werden und einmal jährlich sollte man überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss.

Was empfiehlst Du denn einem Unternehmer, der sich unsicher ist, ob er DSGVO konform aufgestellt ist?

Die Erfahrung zeigt, dass es für alle Unternehmen sinnvoll ist sich an einen Fachmann zu wenden. Ab einer bestimmten Größe können Unternehmen diesen inhouse beschäftigen. Kleinere Unternehmen können sich an zertifizierte Fachmänner wenden und sich in Sachen Datenschutz beraten lassen. Bei der Dokumentation gibt es viel zu berücksichtigen und der Versuch das Thema selbst zu lösen endet schnell mit der Feststellung, dass der eigene Zeitaufwand enorm groß ist und dass Alltagsgeschäft darunter leidet oder führt im schlimmsten Fall zu einer Geldstrafe, weil die DSGVO nicht korrekt umgesetzt wurde.

Findest Du, dass die DSGVO ein gut gemachtes Gesetz ist, oder hättest Du hier Vorschläge bzw. Wünsche, was der Gesetzgeber in Zukunft tun könnte, um das Thema Datenschutz für KMU entspannter zu gestalten?

Die DSGVO ist schon gut gemacht, aber es sollte noch mehr Bezug auf die Art des Unternehmens und den Umfang der Verarbeitung personenbezogener Daten Rücksicht genommen werden. Kleinere Betriebe die kaum Daten verarbeiten, sollten eher Erleichterungen bekommen. Größere Betriebe sollten vielleicht über eine freiwillige Selbstkontrolle einen jährlichen Auditbericht bei der Behörde einreichen und dafür dann eine Gütesiegel bekommen, welches veröffentlicht werden kann und nach außen DSGVO Konformität und Zuverlässigkeit mit der Datenverarbeitung dokumentiert.

Mannus, das war ja einiges an Input, danke für Deine Ausführungen.

Danke ebenfalls für die Möglichkeit interessierten Unternehmern hier weiterzuhelfen.