Im Januar 2024 führte das Magazin: „DIE WIRTSCHAFT KÖLN“ ein Interview mit Herrn Mannus Weiß, Geschäftsführer der Datenschutzkonzept GmbH.
Herr Weiß beantwortet hierin Fragen zu Herausforderungen und Notwendigkeiten für Unternehmen im Umgang mit der DSGVO.
Es wird deutlich, dass es aktuell vorwiegend kleinere Unternehmen sind, welche die Vorgaben der DSGVO aus unterschiedlichen Gründen nicht umsetzen.
Er erläutert unter anderem die Wichtigkeit eines umfassenden Datenschutzkonzepts, Implementierung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten und hebt die Verantwortung bzw. Haftbarkeit der Geschäftsführung bei Verstößen gegen die DSGVO hervor.
Ein weiteres Thema, welches im Rahmen des Gesprächs angesprochen wird, ist das seit Ende 2023 umzusetzende Hinweisgeberschutzgesetz. Auch hier stehen Unternehmen mit mehr als 50 Mitarbeitenden in der Pflicht, datenschutzrechtliche Verpflichtungen zu erfüllen.
Herr Weiß war so freundlich, uns das Interview zur Verfügung zu stellen.
Hallo Herr Weiß, stellen Sie sich gerne vor …
Ich heiße Mannus Weiß, bin Geschäftsführer der Datenschutzkonzept GmbH und deutschlandweit unterwegs. Ich begleite Unternehmen als TÜV-zertifizierter ext. Datenschutzbeauftragter und Datenschutzauditor bei der Umsetzung der DSGVO und des Datenschutzes und mittlerweile auch als Beauftragter des Hinweisgeberschutzgesetzes (Whistleblowing).
Wie sind denn Ihrer Erfahrung nach die Unternehmen mittlerweile aufgestellt, was den Datenschutz umgeht?
Das ist sehr unterschiedlich, insgesamt mache ich die Erfahrung, dass die etwas größeren Unternehmen (ab ca. 50 Mitarbeitern) eher besser, die kleineren Unternehmen leider eher schlechter aufgestellt sind, teilweise die DSGVO aber auch noch gar nicht umgesetzt ist.
Oft komme ich in Unternehmen, die mir im Vorfeld mitteilen, dass sie „etwas“ Beratungsbedarf haben und die DSGVO „teilweise“ umgesetzt haben, aber die Geschäftsführer haben das Thema auch oft verdrängt und hinten angestellt.
Und wenn ich dann vor Ort bin, besteht der Datenschutz in einer halb fertigen Datenschutzerklärung auf der Website, einem oft nicht funktionierendem Cookie-Banner und ein paar Vorlagen, in denen außer der Firmenbezeichnung nichts eingetragen ist.
Wenn ich dann etwas von den Erfordernissen der DSGVO erzähle, werden die Unternehmer immer unsicherer und merken, dass hier ein dringender Handlungsbedarf besteht.
Worauf führen Sie denn zurück, dass viele Firmen noch nicht gut aufgestellt sind und kein konkretes Wissen haben, was sie eigentlich machen müssen?
Die DSGVO wird oft gerne, gerade bei kleineren Betrieben, aus dem Bewusstsein verdrängt und nach hinten geschoben, weil der Datenschutz nach Meinung vieler Geschäftsführer nur Geld kostet, Ressourcen einschränkt und nichts bringt.
Manche Unternehmer haben es 2018 auch schon einmal mit der Umsetzung versucht, sind dann allerdings gescheitert, weil einfach die Fachkenntnis fehlte.
Allerdings schauen die Kunden, gerade auch die jüngeren, immer öfter darauf, was mit Ihren Daten passiert und eine Umsetzung ist ja gesetzlich auch vorgeschrieben, deshalb kann ich jedem nur raten, sich da vernünftig aufzustellen.
Können Sie uns denn in kurzer Form mal vorstellen, was jedes Unternehmen machen muss, um DSGVO-konform aufgestellt zu sein?
Natürlich, sehr gerne:
- Es muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, hier wird aufgeführt, welche Datenverarbeitungstätigkeiten mit welchen Grundlagen und mit welchen Zugriffsmöglichkeiten durchgeführt werden.
Das sind z.B. Zeiterfassung, Lohnbuchhaltung, Finanzbuchhaltung, E-Mail Verarbeitung, Homeoffice, Nutzung CRM System, Nutzung von Software, Videoüberwachung (ein heikles Thema), Nutzung Cloud-Dienste, usw … So ein Verzeichnis umfasst oft schon bei kleinerem Betrieben 150 Seiten. - Es muss eine TOM Liste (technische und organisatorische Maßnahmen) erstellt werden. Hier wird aufgeführt, was das Unternehmen unternimmt, um die personenbezogenen Daten zu sichern, also z.B. gibt es ein Antivirusprogramm, eine Firewall, was werden für Backups gemacht, wer hat Zugriff auf welche Daten, gibt es ein Berechtigungskonzept, usw.
- Es muss überprüft werden, ob AV (Auftragsverarbeitung) Verträge mit Unterauftragnehmern existieren, bzw. abgeschlossen werden müssen.
AV Verträge müssen z.B. mit dem Webhoster, dem IT-Dienstleister, dem Cloudanbieter oder der Firma, welche den Drucker wartet, abgeschlossen werden. - Die Datenschutzerklärung und ggf. das Cookie-Banner müssen überprüft werden. In der Praxis sind hier in über 90% der Fälle Fehler zu finden.
Viele Webmaster installieren z.B. Google Analytics, ohne dass der Kunde das überhaupt nutzt und benötigt. Die Behörden müssen z.B. Beschwerden von Kunden oder Wettbewerbern nachgehen und die Webseiten überprüfen.
Wer dann z.B. Tracking Tools nutzt ohne funktionierende Einwilligung des Besuchers (also ohne oder mit nicht funktionierendem Cookie-Banner) der bekommt einen Fragenkatalog geschickt, der im Regelfall nicht alleine zu beantworten ist und dann wird es teuer…
Das ist ja einiges, was es zu beachten gilt, war das denn alles?
Nein, da geht es noch weiter:
- Es muss zunächst ein Datenschutzkonzept und ein Löschkonzept (dazu gehören z.B. auch Papierakten, welche DSGVO-konform vernichtet werden müssen) erstellt werden.
Wenn ein Unternehmen Mitarbeiter hat, sollten auch verschiedene Richtlinien, wie z.B. eine Unternehmensrichtlinie, Homeoffice Richtlinie und eine IT Nutzungsrichtlinie erstellt werden.
Zusätzlich muss der Mitarbeiter, genauso wie die Kunden, über die Verarbeitung seiner Daten informiert und auch auf das Datenschutzgeheimnis und das TTDSG verpflichtet werden. - Initial müssen alle Mitarbeiter, welche Daten verarbeiten, zum Thema Datenschutz geschult und einmal jährlich sollte man überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss.
- Der Inhaber, bzw. Geschäftsführer ist für alle diese Dinge verantwortlich und haftet (Durchgriffshaftung) selbstverständlich auch dafür. Ich kann nur empfehlen sich mit der DSGVO zu beschäftigen, die Bußgelder richten sich nach dem Jahresumsatz und das kann sehr teuer werden …
Was empfehlen Sie denn einem Unternehmer, der sich unsicher ist, ob er DSGVO-konform aufgestellt ist?
Das Unternehmen sollte sich auf jeden Fall an einen zertifizierten Fachmann wenden und sich beraten lassen, bevor es sich selber an den Dokumentationen versucht, das erspart viel Arbeit und auch Kosten.
Und wie ist das mit dem Hinweisgeberschutzgesetz, das hatten Sie ja ebenfalls erwähnt, hat das ebenfalls mit Datenschutz zu tun?
Ja, natürlich, das spielt alles zusammen, das Hinweisgeberschutzgesetz, muss ja ab dem 17.12.2023 bei jedem Unternehmen, welches mehr als 50 Mitarbeitende beschäftigt, umgesetzt sein.
Dort muss eine interne Meldestelle eingerichtet werden, bei der Personen, welche im beruflichen Kontext mit dem Unternehmen stehen, z.B. Diskriminierungen, Übergriffigkeiten, Diebstähle, usw. melden können.
Bei der Einrichtung einer solchen Meldestelle muss eine sogenannte DSFA (Datenschutzfolgenabschätzung) erstellt werden.
Das bedeutet für bestimmte Prozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen. Das ist eine anspruchsvolle Aufgabe, welche fachlichen Beistands bedarf.
Vielen Dank Herr Weiß, das war ja einiges an Input…
Danke ebenfalls für die Möglichkeit, interessierten Unternehmern hier weiterzuhelfen.
Über den Autor:
Mannus Weiß ist TÜV-zertifizierter Datenschutzbeauftragter und Datenschutzauditor. Als Geschäftsführer der Datenschutzkonzept GmbH ist er in ganz Deutschland beratend für Unternehmen tätig.
Kontakt: info@datenschutzkonzept.com