Andreas Sutter, ist Selbstständiger Datenschutzbeauftragter, und Teil des Digital Power Teams 4.0. Hier im Interview über die Wichtigkeit von Datenschutz.
Lieber Andreas, schön, dass du heute hier bist. Welchen Aufgaben widmest du dich beruflich und im Kontext des Digital Power Team 4.0?
Meine Aufgabe sind die des externen Datenschutzbeauftragten und der Beratung zum Thema Datenschutz, wenn es um die Fragen der Digitalisierung geht. Ich würde mal behaupten: Es gibt keine Digitalisierung und keine digitale Transformation, ohne dass man den Datenschutz mitberücksichtigen muss.
Was würdest du sagen, sind die Standardthemen, die eigentlich jeden Unternehmer betreffen?
Es gibt zwei Bereiche, die man im Datenschutz trennen muss: Das eine ist der materielle Datenschutz, also wie schaffe ich technische Sicherheit, organisatorische Sicherheit und das andere sind die ganzen formellen Anforderungen. Je nach Unternehmensart gibts ganz große Unterschiede. Mal patzen die einen mehr im formellen Bereich, weil sie fehlendes juristisches Know-how haben oder keine Unterstützung. Mal patzen welche im rein organisatorischen oder technischen Bereich, wobei fast der organisatorische Bereich noch in vielen Fällen der größte Angriffspunkt ist, weil die Mitarbeiter nicht sensibilisiert sind oder die neuen Prozesse nicht stimmen. Beim Datenschutz gilt es, einfach alles unter die Lupe zu nehmen und alle Aspekte zu betrachten, um sich insgesamt gut aufzustellen: Das Geschäftsmodell im Unternehmen was wir erreichen wollen, so zu erreichen, dass eben nicht die Rechte anderer verletzt werden. Darum geht es ja im Datenschutz.
Datenschutz ist vor allem in den letzten Jahren sehr populär geworden – wo liegen die größten Risiken? Kannst du ein paar Beispiele nennen?
Viele einfache Datenschutzverletzungen entstehen erstmal durch reine Nachlässigkeit. Der Klassiker ist, die Mail an den falschen Empfänger zu schicken – also mit den falschen Daten, die nicht an Dritte geraten sollen. Oder fehlende Schutzmaßnahmen, dass man eben einfach Opfer eines Cybersangriffs wird. Oder einfach, dass man gedankenlos mit Daten umgeht. Da ist meines Erachtens der größte Irrtum zu denken, dass die Daten, die ich von meinen Kunden oder von meinen Mitarbeitern sammle, mir bzw. dem Unternehmen gehören. Da muss man das Verständnis entwickeln, dass die Daten nur treuhänderisch verwaltet werden und schon gehe ich gleich anders mit dem Thema um.
Ich mache es immer mit einem Beispiel deutlich: Wenn ich dir zum Beispiel jetzt 1.000 € in die Hand drücke und dich bitte darauf aufzupassen, dann würdest du von dir aus alle möglichen Schutzmaßnahmen ergreifen – es nicht am Schreibtisch rumliegen lassen, sondern vielleicht sogar wegschließen und gelegentlich gucken, ob noch alles da ist, weil ich dir vertraue. Genauso geht es mir mit den Daten der Kunden und noch wichtiger der Mitarbeiter. Die Mitarbeiter und die Kunden vertrauen darauf, dass du als Unternehmer diese Daten treuhänderisch verwaltest, dass du aufpasst und dir zumindest immer mal wieder Gedanken machst, wie ist das Risiko, worauf muss ich aufpassen.
Je sensibler die Daten sind – sozusagen ihr Wert – umso mehr Maßnahmen muss ich auch ergreifen. Das größte Problem ist häufig tatsächlich die Nachlässigkeit. Man macht sich keine Gedanken bzw. denkt nicht drüber nach. Sobald die Menschen anfangen darüber nachzudenken, stelle ich fest in meiner Arbeit, dann kommen die ganz allein auf ganz gute Ideen und sagen: „Eigentlich könnten wir das dann so machen, dann hätten wir das Problem schonmal gelöst“. Das sind oft ganz einfache Schritte, die dazu führen, das ganze sicherer zu machen.
Jetzt habe ich rausgehört, dass vor allem auch Mitarbeiter eine Schwachstelle sein können – wenn man sie nicht richtig für das Thema sensibilisiert. Was für einfache Schritte kann ich denn jetzt als Unternehmer einleiten?
Das kann man nicht so ganz allgemein fassen. Zu den Mitarbeitern: Die Daten von Mitarbeitern sind deswegen besonders wertvoll, weil es besonders schützenswerte Daten sind. Die Mitarbeiter sind ja meistens in irgendeiner Form wirtschaftlich oder sozial abhängig, können sich schlecht gegen bestimmte Vertragsbestandteile wehren, deswegen genießen sie vom Datenschutzrecht einen ganz besonders hohen Schutz. Gleichzeitig werden Daten oft sehr lange verarbeitet und auch sehr umfangreich – ist ja auch klar, über den Mitarbeiter erfährt man alle möglichen Dinge, auch was gesundheitliche oder finanzielle Thematiken zum Beispiel angehen. Deswegen ist hier ein besonderer Schutz erst mal nötig und es fängt damit an, dass man sich Gedanken macht: Wie schütze ich denn diese Daten meiner Mitarbeiter, dass auch nicht jeder im Unternehmen alles sieht, also beispielsweise in der Poststelle, wenn die Post rein kommt und die Krankmeldung vom Mitarbeitern, dass diese eben nicht von jedem gesehen werden kann, offen herum liegt, sondern zum Beispiel in die Personalabteilung einen eigenen Briefkasten zu installieren, der geschützt ist und so weiter. Es sind oft viele Kleinigkeiten, mit denen ich das schon erzielen kann.
Wie wird man überhaupt Datenschützer? Kannst du ein bisschen was zu deinem Werdegang und deiner Person erzählen, damit wir einen besseren Eindruck gewinnen können?
Wie kommt man zum Datenschutz? Meistens, in dem man sich für juristische und technische Thematiken gleichzeitig interessiert. Ich habe dann auch ein wirtschaftswissenschaftliches Studium absolviert und in dem Zusammenhang eben diese beiden Aspekte auch noch mit berührt. Und dann kommt man manchmal zum Datenschutz wie die Jungfrau zum Kinde und sagt „okay, das ist ein ausgesprochen spannendes Thema“. Und wenn man erst mal anfängt, sich damit intensiv zu beschäftigen, dass es ja hier um Grundrechte der Menschen geht und um Freiheitsrechte und das ist ein Thema, was uns alle irgendwie angeht und zunehmend angeht, dann wächst natürlich auch die Leidenschaft und die Begeisterung sich reinzuarbeiten und Wege zu finden, um letztendlich die Betroffenen zu schützen.
Gibt es Branchenthemen, die in der einen oder der anderen Branche spezieller oder häufiger anfallen, und gibt es auch Branchen, wo Daten eine geringere Rolle spielen – kannst du da noch ein bisschen was drüber erzählen?
Das ist leider eben auch komplett unterschiedlich. Es gibt typische Branchen, die bestimmte Arten von Daten verarbeiten; im Gesundheitswesen sind es viele Gesundheitsdaten, das ist natürlich logisch und naheliegend, wie bei einem Finanzunternehmen mit Finanzdaten, etc. Bei einem Handwerksunternehmen hat man vielleicht erst mal den Gedanken, dass hier weniger personenbezogene Daten anfallen. Wenn der Betrieb nun zum Beispiel auf die Idee kommt, den Kunden den Service anzubieten, dass diese online nachverfolgen können, wann der Handwerker tatsächlich vor der Tür stehen könnte, so ähnlich wie bei der Paketverfolgung, steht schon eine komplexe Datenverarbeitung dahinter. Hier greifen sehr viele Sicherheitsaspekte, denn damit wird der Mitarbeiter quasi verfolgt und getrackt. Es ist zu sehen, wo er überall ist und somit gibt es sozusagen ein persönliches Bewegungsprofil. Hier ist die Frage, wie sich beides vereinen lässt: Der Service für den Kunden und der Datenschutz für den Mitarbeiter.
Ganz aktuell haben wir beim Thema Homeoffice, auch politisch bedingt durch die Beschränkungen, die Forderung der Arbeitgeber, proaktiv den Arbeitsplatz in das jeweilige Zuhause des Arbeitnehmers zu verlagern. Wenn wir das konkrete Beispiel Homeoffice einfach mal nehmen; wie würdest du an das Thema Datenschutz rechtlich herangehen, also was sind da die Schritte, die man machen muss?
Das Thema Homeoffice – natürlich in der heutigen Zeit – ist einen extremes Datenschutzthema. Das war es schon vor einem Jahr. Da haben wir uns intensiv mit der Frage beschäftigt, wie man vor allem unter Druck reagieren muss; wenn man die Mitarbeiter ins Homeoffice schicken muss – wie geht man mit der Thematik um? So eine Drucksituation kann immer wieder mal vorkommen, auch nach der Corona-Zeit, weil beispielsweise das Betriebsgebäude nach einem Brandschaden z. B. nicht nutzbar ist. Man muss sich letztendlich auch immer Gedanken machen, wie solche Probleme lösbar sind. Da gibt es eine ganze Skala von Schritten, die man lösen muss. Also dass erste ist natürlich zu schauen, ob im Homeoffice der gleiche Sicherheitsstandard gelten kann wie im Betrieb selbst – geht das überhaupt? Zum Beispiel wegen der Vertraulichkeit der Daten: Gibt es ein wirkliches Büro in der Wohnung? Arbeitet der Mitarbeiter am Küchentisch? Das darf natürlich nicht sein, es muss ein abschließbarer Raum sein. Wie groß ist die Gefahr, dass Dritte irgendwie mithören oder Einsicht in die entsprechenden Datenverarbeitungen z.B. eine Telefonkonferenzen und Videokonferenzen nehmen können?
Technische Aspekte im Homeoffice gibt es natürlich auch, z. B. Das ungesicherte WLAN, was vielleicht einen Angriffspunkt darstellt. Oft übersehen wird auch das Multifunktionsgerät, das beim Scannen u.a. auch schon Daten speichert – dort verbleiben dann ggf. aus Versehen Datenreste. Da sind eine Menge technische Aspekte, die erst mal zu lösen sind und gleichzeitig eine Menge formelle Aspekte.
Das fängt eben damit an, auch die datenschutzrechtliche Einwilligung des Mitarbeiters zu haben – dieser muss mit der Situation auch einverstanden sein; dass in einer Videokonferenz seine Daten ganz anders verarbeitet werden, als im Unternehmen selbst und er muss möglicherweise auch zusätzliche Vereinbarung unterschreiben, was das Thema Vertraulichkeit angeht, im Umgang mit der Technik, mit den entsprechenden Geräten, die er vielleicht bekommt. Damit sind wir auch schon beim nächsten technischen Thema: Was natürlich ausgesprochen schwierig ist, wenn der Mitarbeiter eigene technische Geräte Zuhause nutzt, sei es den eigenen Laptop vielleicht oder das eigene Notebook, bis hin zu Peripheriegeräten wie der eigene Drucker oder selbst die Funkmaus können technische Probleme darstellen.
Das ist erstmal für jede IT-Sicherheitsbetrachtung natürlich erst mal Horror. Die Homeoffice Situation muss sehr, sehr gut überlegt und sehr gut geprüft sein, ob man es überhaupt im Einzelfall machen kann und der Mitarbeiter muss geschult sein. Also das ist einer der größten Aufgaben, die ein Datenschutzbeauftragter letztendlich hat: Die Mitarbeiter zu sensibilisieren und zu sagen „bitte achtet auf dieses und jenes“. Eigentlich müsste konsequenterweise jeder Mitarbeiter, der ins Homeoffice geschickt wird, vom Datenschutzbeauftragten einmal beraten werden, wie seine Situation zu Hause auch ausschaut und wie man mit der Situation umgeht und auf was man alles achten muss.
Ja, interessanter Punkt, aber wie sieht’s in der Praxis aus, passiert genau das, was du gesagt hast oder...?
Genau das wäre schön, dann hätten wir weniger Probleme. Tatsächlich ist es eher so, dass viele Unternehmer das – gerade auch in letzten Monaten unter einem gewissen Druck – sehr schnell und sehr nachlässig umgesetzt haben erstmal. Mit anderen Worten: Geht erst mal ins Homeoffice, irgendwie kriegen wir das schon hin. Dementsprechend sind natürlich auch viele Probleme entstanden. Also tatsächlich von der Schadsoftware, die sich der Mitarbeiter quasi im Homeoffice eingefangen hat weil er das eigene Gerät genutzt hat und dann das komplette Firmennetz lahmgelegt hat, bis hin, dass Daten da gelandet sind, wo sie nicht hingehören und so weiter. Eine ganze Menge Probleme sind da entstanden und meistens ist es so, dass ein Datenschutzbeauftragter erst dann geholt wird, wenn quasi das Kind schon in den Brunnen gefallen ist. Es ist wie beim Arzt: Vorbeugen ist besser als heilen und an der Stelle die bessere Alternative. Aus Schaden wird man bekanntlich klüger, aber die Praxis sieht leider noch nicht so aus, dass alle das komplett sinnvoll umsetzen das Thema.
Was kann mir als Unternehmer im schlimmsten Fall passieren? Jetzt bin ich Hals über Kopf mit meinen Mitarbeitern ins Homeoffice gegangen, hab einfach den Computer genommen und meinem Mitarbeiter mitgegeben. Hast du so ein Paradebeispiel? Was für ein Schaden oder Bußgeld kann mir als Unternehmer blühen?
Also im Grunde genommen zwei mögliche Probleme, die der Unternehmer bekommen kann: Das eine ist das Bußgeld, die Ordnungswidrigkeit, die zum Tragen kommen kann, wenn sich zum Beispiel einer der Betroffenen bei der Behörde beschwert und sagt, „mit meinen Daten ist nicht sinnvoll umgegangen worden, sie sind in falsche Hände geraten oder Ähnliches...“ dann ermittelt die Behörde und stellt fest, dass du als Unternehmer nicht deine Sorgfaltspflicht wahrgenommen hast oder dir gar keine Gedanken dazu gemacht hast, einfach wild und planlos vorgegangen bist, dann gibt es eben ein Bußgeld und das kann natürlich, je nachdem, wie schwer das Vergehen ist, unterschiedlich hoch ausfallen.
Wir kennen das alle dass bei der Datenschutzgrundverordnung theoretisch sehr hohe Bußgelder möglich sind, aber auch wenn es „kleine Bußgelder“ sind, von vielleicht 10.000 oder 50.000 €, dann ist das sicherlich sehr schmerzhaft, auch in der heutigen Zeit; denn, wie viel Umsatz muss ich machen, um dann dieses Bußgeld zu erwirtschaften? Das hätte ich mir sparen können, wenn ich mir vorher schon Hilfe geholt hätte.
Das zweite ist: Oft wird vergessen, dass es auch im Datenschutz einen Schadensersatzanspruch gibt der Betroffenen, der sehr unterschiedlich hoch ausfallen kann, je nachdem, was für ein Schaden entstanden ist, wenn Daten in fremde Hände geraten. Wir hatten erst kürzlich den Fall, dass die Personalstelle die Bewerbermail aus Versehen an Dritte geschickt hat. Da standen natürlich von dem Bewerber der Gehaltswunsch und der Lebenslauf drin. Der Bewerber hat dafür vor Gericht auch einen Schadenersatz zugesprochen bekommen, ca. 5.000 €. Das Problem ist jetzt aber, dass ich es im Datenschutz oft eben nicht mit Einzelfällen zu tun habe, sondern wenn ich so ein Leck habe, habe ich es vielleicht mit 100 Fällen oder 1.000 Fällen zu tun. Und das dann mal 5.000 € ist dann unter Umständen noch wesentlich problematischer als letztendlich das Bußgeld.
Die dritte Möglichkeit ist: Wenn ich mir grundsätzlich keinerlei Gedanken über das Thema Datenschutz mache und vorsätzlich auch Maßnahmen missachte in Schutzmaßnahmen, dann besteht auch immer die Gefahr, dass hier nicht nur ein Ordnungsgeld fällig wird, sondern dass es auch eine Straftat ist. Das Bundesdatenschutzgesetz sieht tatsächlich auch Freiheitsstrafen vor, wenn Unternehmen nicht richtig handeln. Unternehmen heißt in diesem Fall, wenn es juristische Personen sind, dann sind es die gesetzlichen Vertreter, die unter Umständen hier auch persönlich mit zur Rechenschaft gezogen werden.
Jetzt bist du auch lange im Bereich der Finanzdienstleistungsbranche unterwegs gewesen und hast heute auch noch große Kunden in diesem Bereich. Jetzt ist ja vielleicht auch die Branche ganz besonders betroffen vom Thema Datenschutz, weil diese persönlichen Daten über den Versicherungsvertrag bei sich im Büro, wie man es kennt, in Ordnern an der Wand haben, wo all diese Daten drin sind. Ist es überhaupt datenschutzrechtskonform, die Daten im Ordner zu haben?
Die Frage „Ist so was datenschutzkonform oder nicht?“ höre ich oft, ist aber eine Frage, die man so pauschal nicht beantworten kann. Es geht um die Frage: Wo hat man Risiken? Kundendaten oder überhaupt personenbezogene Daten, auch die Mitarbeiterdaten natürlich rein in Papierform nur zu speichern, hat natürlich erst mal sehr hohes Risiko. Habe ich ein Back-up? Also was passiert, wenn die Daten einfach mal verbrennen? Zum Teil muss ich die Daten auch über Jahrzehnte vielleicht sogar aufbewahren. Dann werden Ordner halt doch auch mal durch Feuchtigkeit oder Schimmel oder was auch immer, unleserlich.
Was ist, wenn der Ordner geklaut wird und so weiter? Die analogen Daten sind sehr viel anfälliger noch als die digitalen bzw. auf eine andere Art und Weise anfälliger. Mit den richtigen Maßnahmen könnte man natürlich hier auch aktiv werden, aber dann ist die Frage, warum nutzt man die Daten nicht gleich digital. Dann kann man sie auch viel schneller schützen, zum Beispiel durch Verschlüsselung und Äähnliches. Hinzu kommt das Problem: Bei Papierakten muss ich als verantwortliches Unternehmen auch bestimmte Löschpflichten wahrnehmen. Ich darf ja Daten nur so lange verarbeiten, wie ich auch eine Erlaubnis habe nach dem Gesetz. Hier gibt es bestimmte Fristen z.B. im Steuerrecht sind es ganz oft 10 Kalenderjahre und danach muss ich die Daten eigentlich löschen.
Und wie soll man das analog machen? Schwärzen geht nicht so einfach. Herausschneiden klappt nicht gut. Geht nur vernichten (lassen). Also digital muss ich die Daten natürlich auch nach einer bestimmten Frist löschen, hier geht es aber deutlich einfacher, wenn die Datenbanken und Datenstrukturen stimmen. Da haben wir dann eben oft das Problem, dass viele versuchen, ihr Büro zu digitalisieren, und ich sage es jetzt mal böse; die Unordnung des Aktenberges in eine digitale Unordnung überführen. Das hat einen Nachteil: Dass man gar nicht sieht, wie unordentlich es ist, aber es ist halt immer noch unordentlich und dann führt das am Ende auch zu Problemen, weil ich die Daten dann nicht wiederfinde und nicht löschen kann zum Beispiel.
Das heißt, die digitale Version oder die digitale Speicherung von Daten sind aus dem Gesichtspunkt des Datenschutzes eigentlich die bessere Option als die analoge? Ich könnte ja salopp sagen: Eigentlich kommt an die Daten niemand ran, weil sie bei mir weggesperrt sind.
Die Frage ist immer „wie sind sie weggesperrt sozusagen“. Das Wegsperren ist bei digitalen Daten sozusagen das Verschlüsseln von Daten. Damit erziele ich häufig eine höhere Sicherheit als beim Papierdokument, was relativ einfach gestohlen werden kann, während eben die verschlüsselte Datei, wenn siegestohlen wird, nicht ohne Weiteres gelesen oder entziffern werden kann.
Was für ein Unternehmen ist jetzt für dich relevant beim Thema Datenschutz? Fängt es bei dem Ein-Mann-Betrieb, bei dem Soloselbstständigen an und hört es bei 250 Mitarbeitern auf? Wie kann man sich das vorstellen?
Das Thema ist letztendlich für jedes Unternehmen jeder Größe, für jede Institution, für jeden Verein, für jede Stiftung also einfach weggedacht von dem normalen, klassischen Unternehmergedanken wichtig. Ab einer gewissen Größenordnung gibt es eine Pflicht einen Datenschutzbeauftragten auch zu bestellen, aber das befreit die Unternehmen ja nicht davon, diese Pflichten auch bei kleineren Unternehmen umzusetzen.
Dort ist es oft sogar sehr viel schwieriger, da kann man sich vorstellen, auch die kleine Einheit hat zum Teil recht große Risiken; denk mal an so eine kleine Kanzlei wie einen Insolvenzverwalter, der alle möglichen Daten sammelt von dem Unternehmen, die er im Insolvenzbereich betreut und die Daten sammelt. Diese muss er für 30 oder zum Teil 100 Jahre aufbewahren. Das ist also auch im Kleinen schon ein riesengroßes Problem.
Und dafür gibt es aber auch Großunternehmen, die vielleicht gar nicht so ein großes Risiko haben, die haben einfach nur viele Mitarbeiter oder großen Umsatz. Handelsunternehmen sind meistens relativ einfach handzuhaben im Vergleich. Aber es gibt halt so viele kleine Fallen, an die man denken muss, also, du musst im Prinzip anfangen, dir als Unternehmen Gedanken zu machen, wo überall Daten verarbeitet werden und wenn du dir das anschaust, wirst du überrascht sein, wo das alles passiert. Wenn ich gerade vom Einzelhandel spreche, da gibt es z.B. den Lebensmittel-Einzelhandel: Da gibt es dann, wenn es eine Kühlkette gibt, die Notwendigkeit, dass der Mitarbeiter regelmäßig unterschreibt, um zu bestätigen, dass die Kühlkette eingehalten wird. Schon habe ich ein personenbezogenes Datum, das vom Mitarbeiter verarbeitet wird und im Sinne des Datenschutzes oft übersehen wird. Deswegen ist die Frage pauschal nicht zu beantworten.
Ich sehe schon, dass Datenschutz extrem vielschichtig und sehr umfangreich ist und es gibt viele Fallstricke, die man vielleicht auf den ersten Blick gar nicht als so wahrnimmt. Schauen wir uns mal ein Fallbeispiel an: Ein Mittelständler möchte mit dem Thema Digitalisierung im Allgemeinen durchstarten und nun seine Eingangsrechnungen digitalisieren. Das Ganze soll in ein CRM-System überführt werden. Ab welchem Punkt kannst du den Unternehmer sinnvollerweise unterstützen?
Im Idealfall schon von den ersten Überlegungen an, denn bei dem Thema Digitalisierung legt man ja ganz schnell auch die Prozesse schon fest und sagt, wie es eigentlich ablaufen soll oder welche Prozesse ich überhaupt digitalisieren möchte. Und schon die müssen wir uns erst mal anschauen, damit zum Beispiel nicht aus Versehen, ein schlechter Prozess einfach schlecht digitalisiert wird und dabei dann weiter Datenschutzprobleme einfach fortgesetzt werden. Wenn erst mal die Prozesse stehen und ich werde dann erst dazu gezogen, dann wird es oft schwieriger. Lieber von Beginn an.
Das gleiche gilt für technische Entscheidungen, welche Software, welche Hardware wird genutzt zum Beispiel. Da sollte man von vornherein den Rat des Datenschutzbeauftragten in Anspruch nehmen, insbesondere, wenn es vielleicht Web-Dienste sind und u.a. nicht fest installierte Software ist. Also da möglichst frühzeitig. Und das ist dann eben auch der Part, wo unsere beiden Geschäftsmodelle sich überscheiden sozusagen: Wir schauen uns erst mal das Geschäftsmodell des Unternehmens an, was überhaupt gewollt ist und was letztendlich digitalisieren werden soll. Und ist das Digitalisieren nicht auch schlecht, wenn ich einfach versuche, was immer so gemacht wurde, in digitale Form zu übertragen?
Da sollte ich die Gelegenheit nutzen, mir einfach mal konkret Gedanken zu machen, ob das alles so in Ordnung ist, was ich mache. Bei Prozessen und Abläufen gilt es sich die Frage zu stellen, welche Daten überhaupt verarbeitet werden sollen. Viele vergessen, dass alle Daten, die erhoben werden, auch irgendwann gelöscht werden müssen. Viele neigen dazu, Daten zu sammeln. Hauptsache, ich habe diese erstmal. Doch man wird Daten nicht so schnell los. Wenn ich das irgendwann löschen muss, ist das ein Riesenaufwand. Und Daten haben einen besonderen einen Klebeeffekt – du kennst das vielleicht von Süßigkeiten Papier, was an den Fingern klebt; du möchtest es loswerden, aber es geht irgendwie nicht.
So ähnlich ist es mit Daten auch, daher ist es gut, sich von vornherein zu überlegen, welche Daten brauche ich überhaupt? Welche will ich überhaupt verarbeiten und kann ich nicht vielleicht vieles von dem, was ich bisher immer so gemacht habe, einfach auch vergessen? Nach dem Motto „Das habe ich immer schon so gemacht und das wollen wir jetzt immer so digital machen“ das geht aus datenschutzrechtlicher Sicht nicht.
Das heißt, es macht schon dann Sinn, sich mit dem Thema Datenschutz auseinanderzusetzen, wenn ich generell mein Unternehmen verändere, wenn ich es anders aufstelle, vielleicht auch digitaler mache, den Datenschützer zur Hand zu haben und zurate zu ziehen. Machst du auch so Themen wie Datenschutzverordnungen mit Bezug auf die Homepage? Da gibt es ja auch immer mal wieder so Themen. Was gibt es da, dass man im Blick haben sollte, bei der digitalen Außendarstellung?
Die Webseite des Unternehmens ist natürlich eine gewisse Visitenkarte. Man hat ja einen Internetauftritt, um in irgendeiner Form auch Kunden zu gewinnen oder vielleicht sogar auch Mitarbeiter zu gewinnen. Zu diesem ganzen Themenbereich im Datenschutz gehört immer auch der Bereich „Transparenzpflichten“: Ich muss also darüber informieren, wie ich die Daten weiterverarbeite. Viele Unternehmen erfüllen schon diesen Punkt gar nicht oder nur unzureichend – es gibt einfach haufenweise komplett falsche Datenschutzerklärungen auf den Webseiten oder falsche Informationen auf den Webseiten. Das geht bis dahin, dass Daten komplett fehlen und noch schwieriger wird es dann, wenn die Unternehmen auf die Idee kommen oder irgendein Mitarbeiter im Unternehmen beauftragt wird, die Texte dann vielleicht irgendwie zusammen zu kopieren und Passagen abzuschreiben. Wichtige Teile werden dann einfach komplett übersehen und somit falsch informiert. Zudem dann in einem Deutsch oder in einer Sprache, die nichts mit dem zu tun hat, was das Unternehmen verkörpern will, um Kunden zu gewinnen.
Auch die Datenschutzerklärung ist Teil des Webseitenauftritts und die muss schmackhaft sein. Das ist einer unserer Hauptpunkte, auf die wir natürlich achten in unserer Arbeit: Wir erarbeiten auch gute Datenschutzinformationen, die verständlich sind, die frisch klingen, die auch ein Nicht-Jurist verstehen kann und damit wir auch deutlich machen, dass der Datenschutz nicht nur so eine Schutzfunktion hat um etwas zu bremsen oder versuchen etwas zu verhindern, im Gegenteil; oft sind die Unternehmen hinterher ganz dankbar, weil ich ihnen dabei geholfen habe, weil sie einen Mehrwert haben, weil sie sogar besser dastehen, sowohl in Prozessen als auch in der Außenwirkung.
Bleiben wir doch bei dem Themengebiet: Webseite, Google, Server und Cloud. Da gibt es unterschiedliche Möglichkeiten; als Unternehmer habe ich mich darüber mal informiert und seit ein paar Jahren eine sehr gute Lösung bei mir im Unternehmen implementiert. Jetzt ist der Datenschutz ja auch dynamisch, da gibt es einige Veränderungen, Gesetze, EU und so weiter. Wie kann ich als Unternehmen mit dem Thema umgehen? Ist es ein laufender Prozess, also ist es für mich sinnvoll, dich als Datenschützer immer zur Hand zu haben oder reicht es aus, wenn ich das einmal richtig implementiert hab und habe ich dann für die nächsten paar Jahre Ruhe?
Auch, das wäre sicherlich ein Traum, wenn es so wäre. Tatsächlich ist es in der Praxis nicht so, sprich das Datenschutzkonzept, was jetzt entwickelt wird, ist nächstes Jahr in Teilen zumindest wahrscheinlich schon wieder überholt und muss zumindest verbessert werden. Aber auch von innen gibt es immer eine ganze Menge Änderungen. Das ist der eine Grund. Der zweite Grund, warum das Thema Datenschutz ein laufender Prozess ist, ist auch das, was man eben „kontinuierlicher Verbesserungsprozess“ nennt. Datenschutz hat was mit lernen zu tun. Es gibt keinen perfekten Datenschutz. Das funktioniert nicht, weil der perfekte Datenschutz wäre, ich würde dir sagen: „Schließ die Türe ab, schmeiß alle Kunden raus und alle Mitarbeiter. Dann verdienst du halt kein Geld mehr, aber du bist sicher“. Uns selbst das kann nicht funktionieren, weil du verarbeitest dann noch die Daten die du hast. Diese musst du dann ja noch 10 Jahre weiterverarbeiten. Dass kann nicht funktionieren. Also müssen wir schauen, mit welchem Risiko wir gerade zu tun haben und wie können wir uns optimal schützen. Und vielleicht fällt uns zwischendurch eine bessere Lösung ein, wie wir es noch besser machen können in der individuellen Situation.
Deswegen ist im Datenschutz das Mandat, dass wir da übernehmen oft auch ein Dauermandat – vergleichbar mit dem Steuerberater. Dort ist es ähnlich, die Gesetzeslage verändert sich ständig und gleichzeitig gibt es auch da immer Beratungsansätze für den Unternehmer, wo was getan werden muss. Wenn du nicht selbst Steuerberater bist, würdest du ganz automatisch jemand externes dafür nehmen weil der darauf spezialisiert ist. Es macht auch wenig Sinn, einen eigenen Mitarbeiter dafür abzustellen, der ausgebildet wird und sehr viel Zeit und Energie dafür verwendet und am Ende doch nicht spezialisiert ist. Dann lieber gleich zum Spezialisten geben, der den ganzen Tag nichts anderes macht und der Probleme viel schneller erkennen und wir schneller lösen kann.
Weiteres gibt es auf: https://www.digitalpowerteam.de/
