Die Daten­schutz­erklärung ersetzt kei­nen Daten­schutz

Vor allem Kleinst- und Ein­zel­un­ter­neh­men mei­nen, Daten­schutz redu­ziere sich auf das Erstel­len der Daten­schutz­erklärung. Mit­nich­ten!

Irr­tum vor allem bei Kleinst­un­ter­neh­men mani­fes­tiert

Zuerst dachte ich an einen Ein­zel­fall, aber als ich mehr­fach auf die­ses Phä­no­men gesto­ßen bin und auch DSB-Kol­le­gen davon berich­te­ten war mir klar, hier hat sich ein Irr­tum vor allem bei Kleinst­un­ter­neh­men, also Unter­neh­men mit weni­ger als 10 Mit­ar­bei­tern, und Ein­zel­un­ter­neh­men mani­fes­tiert. Und die­ser Irr­tum ist so gefähr­lich wie ver­brei­tet.

„Daten­schutz? Klar, hab ich gemacht. Da kann man sich mitt­ler­weile kos­ten­los online etwas zusam­men­stel­len, run­ter­la­den, ein wenig anpas­sen und fer­tig.“ Aha. Gemeint ist das Erstel­len einer Daten­schutz­erklärung mit­tels Online-Gene­ra­tor. Nun ist das erst ein­mal bes­ser als gar nichts, aber viel mehr auch nicht.

Mit der am 25. Mai 2018 in Kraft getre­te­nen DSGVO will die EU per­so­nen­be­zo­gene Daten inner­halb der EU bes­ser schüt­zen. Diese ver­ar­bei­ten Sie aber nicht nur auf Ihrer Web­site. Daher macht es auch wenig Sinn, die DSGVO zwar auf der Web­site, nicht aber im Unter­neh­mens­all­tag zu berück­sich­ti­gen. Die Auf­sichts­be­hör­den wer­den sich mit dem Ver­weis auf die Daten­schutz­erklärung ganz sicher nicht zufrie­den­ge­ben.

Unwis­sen­heit schützt vor Strafe nicht

Die DSGVO mag ner­ven, aber sie ist jetzt da und daher müs­sen wir uns alle mit ihr befas­sen – ob wir wol­len oder nicht. Die Steu­er­erklä­rung zählt sicher­lich ebenso nicht zu Ihrer Lieb­lings­be­schäf­ti­gung, igno­rie­ren kön­nen Sie diese ebenso wenig. Die DSGVO mag neu sein und man muss sich an sie gewöh­nen, aber irgend­wann ist sie und der Daten­schutz­be­auf­tragte genau so selbst­ver­ständ­lich wie die Steu­er­ge­setze und der Steu­er­be­ra­ter. War­ten Sie also nicht, bis die Auf­sichts­be­hörde auf sie auf­merk­sam wird, sie mit einem Buß­geld belegt und Sie fortan „auf dem Kie­ker hat“.

Sie ver­ar­bei­ten per­so­nen­be­zo­gene Daten. Wol­len wir wet­ten?

Was sind diese per­so­nen­be­zo­ge­nen Daten? Gemäß DSGVO sind per­so­nen­be­zo­gene Daten alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zierte oder iden­ti­fi­zier­bare natür­li­che Per­son bezie­hen. Letz­te­res bedeu­tet, dass es schon aus­reicht, wenn die Daten es theo­re­tisch erlau­ben wür­den, durch sie auf eine bestimmte Per­son schlie­ßen zu kön­nen. Um ein­fach ein­mal ein paar Bei­spiele auf­zu­lis­ten: Name, Anschrift, Geburts­da­tum, Foto, Unter­schrift, Tele­fon­num­mer, E-Mail-Adresse, IP-Adresse, GPS-Daten, Zug­fahr­karte, Sozi­al­ver­si­che­rungs­num­mer, Bank­ver­bin­dung, Coo­kies, Ver­si­che­rungs­num­mer, Arbeits­zeug­nis und und und.

Sie mei­nen, keine per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten? So gut wie kein Unter­neh­men ver­ar­bei­tet keine per­so­nen­be­zo­ge­nen Daten, das ist nahezu unmög­lich. Mit Sicher­heit haben Sie Kun­den, wahr­schein­lich auch Lie­fe­ran­ten, inklu­sive der Kon­takt­da­ten der Mit­ar­bei­ter, wie Tele­fon­num­mer und E-Mail-Adresse. Mit ein­ge­hen­den Bewer­bun­gen ver­ar­bei­ten Sie Bewer­ber­da­ten und diese sicher­lich digi­tal. Sie nut­zen eine Kon­takt­ver­wal­tung, ein soge­nann­tes CRM? Sie haben die Buch­hal­tung aus­ge­la­gert, an einen exter­nen Buch­hal­ter oder ein Online-Sys­tem? Nut­zen Sie E-Mail? Selbst wenn nur 2 x im Jahr gilt das bereits als rege­mä­ßig. Sie haben eine Web­site? Nutzt diese Coo­kies oder bin­det Dienste Drit­ter ein, wie z.B. Google-Ana­ly­tics oder Google-Web­fonts? Nut­zen Sie auf Ihrer Web­site ein Kon­takt­for­mu­lar? Allein die Log­files bei Ihrem Web­hos­ter rei­chen aus. All diese Daten ver­ar­bei­ten Sie, indem Sie sie auf­neh­men, wei­ter­ver­ar­bei­ten und even­tu­ell sogar an Dritte wei­ter­lei­ten, wie die o.g. Buch­hal­tung oder das Online-CRM. Die DSGVO geht Sie daher mehr an, als Sie wahr­schein­lich den­ken und damit sind Sie in der Pflicht. Und Sie wis­sen ja: Unwis­sen­heit schützt vor Strafe nicht!

Sie mei­nen fein raus zu sein, weil Sie kei­nen Daten­schutz­beauf­tragten benen­nen müs­sen?

„Ich habe nur 2 Mit­ar­bei­ter, ich brau­che kei­nen Daten­schutz­beauf­tragten und somit muss ich nichts machen.“ Höhe ich öfters, ist aber falsch! Mag sein, dass Sie kei­nen Daten­schutz­beauf­tragten benen­nen müs­sen, weil in Ihrem Unter­neh­men weni­ger als 10 Mit­ar­bei­ter regel­mä­ßig mit auto­ma­ti­sier­ter Daten­ver­ar­bei­tung (Erhe­bung und Nut­zung) zu tun haben, keine beson­dere Kate­go­rien von per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den und Sie auch keine per­so­nen­be­zo­gene Daten geschäfts­mä­ßig über­mit­teln, erhe­ben, ver­ar­bei­ten oder nut­zen. Das bedeu­tet aber nicht, dass Sie kei­nen Daten­schutz betrei­ben müs­sen und die DSGVO für Sie nicht gilt. Das heißt ledig­lich, dass Sie alles selbst erle­di­gen müs­sen, denn Daten­schutz ist Chef­sa­che. Wie beim Steu­er­be­ra­ter – haben Sie kei­nen, müs­sen Sie es selbst erle­di­gen.

Es nicht zu machen, ist keine Option

„Ich habe bis­her nichts gemacht, dass ist auch gut­ge­gan­gen“. Ein Spruch, den Sie wahr­schein­lich irgend­wann bereuen wer­den. Rus­sisch Rou­lette mag im TV-Film span­nend sein, im wah­ren Leben tun Sie sich die­sen Ner­ven­kit­zel hof­fent­lich nicht an. Die DSGVO gilt noch nicht lang und bis­her haben die Auf­sichts­be­hör­den zwei Augen zuge­drückt, doch das ist all­mäh­lich vor­bei. Es wird auf­ge­rüs­tet und die Kon­trol­len ver­meh­ren sich. Irgend­wann bekom­men Sie einen Brief und müs­sen die Doku­men­ta­tion Ihrer Daten­schutz-Maß­nah­men und DSGVO-Umset­zung vor­zei­gen. Kön­nen Sie das nicht, wird’s teuer.

Beach­ten sie auch, dass sich die Beweis­last umge­kehrt hat. Bis­her musste man Ihnen Daten­schutz­ver­stöße nach­wei­sen, nun ist es aber so, dass Sie nach­wei­sen müs­sen, dass Sie dem Daten­schutz Genüge tun, Ihren Ver­pflich­tun­gen nach­kom­men und die gefor­der­ten Doku­men­ta­tio­nen wie das Ver­fah­rens­ver­zeich­nis inklu­sive tech­nisch und orga­ni­sa­to­ri­scher Maß­nah­men, die Mit­ar­bei­ter­schu­lung u.v.m. umge­setzt haben. In der Regel erhal­ten Sie eine vier­wö­chige Frist, bei Ver­stö­ßen max. 72 Stun­den – zu kurz, um dann damit zu star­ten. Spie­len Sie kein Rus­sisch Rou­lette, fan­gen Sie an, wenn Sie es noch nicht getan haben!

Güns­ti­ger als Sie den­ken

„Ich kann mir das nicht leis­ten“. Die Frage, ob Sie sich Daten­schutz­leis­ten kön­nen, stellt sich nicht. Sie sin dazu ver­pflich­tet. Wie bei Ihrer Steu­er­erklä­rung haben Sie aber die Wahl, ob Sie es kom­plett allein machen, oder ob Sie einen Bera­ter hin­zu­zie­hen. Das Hin­zu­zie­hen, also die Benen­nung, kos­tet Sie in der Regel eine monat­li­che Gebühr von zum Bei­spiel 99 Euro im Monat. Dafür kön­nen Sie schon ein­mal einen Daten­schutz­beauf­tragten auf Ihrer Web­site bekannt­ge­ben, der fortan die Anlauf­stelle und Kon­takt­per­son für die Auf­sichts­be­hörde und betrof­fene Per­so­nen ist. Außer­dem erhal­ten Sie Tools an die Hand, wie das Daten­schutz-Manage­ment-Sys­tem und die Mög­lich­kei­ten, Ihren Daten­schutz­beauf­tragten zu kon­tak­tie­ren. Wir zum Bei­spiel garan­tie­ren, uns spä­tes­tens am Fol­ge­tag zurück­zu­mel­den, egal ob wochen­tags, am Wochende, fei­er­tags oder am Welt­un­ter­gang. Wird der Daten­schutz­be­auf­tragte nun aktiv, in wel­cher Form auch immer, wird minu­ten­ge­nau nach Auf­wand abge­rech­net. Sie sind zwar wei­ter­hin der Ver­ant­wort­li­che, hal­ten also wie bei der Steu­er­erklä­rung den Kopf hin, aber der Daten­schutz­be­auf­tragte unter­stützt Sie als Ihr Bera­ter, hilft Ihnen, berei­tet vor, zeigt Ihnen was Sie wie tun müs­sen, schult Sie, steht Rede und Ant­wort und haf­tet, zum Bei­spiel wenn er Mist erzählt oder Fris­ten ver­säumt – wie der Steu­er­be­ra­ter auch.

„Aber dann kann ich es doch gleich selbst machen“. Ja, kön­nen Sie – wie Ihre Steu­ern auch. Sie müs­sen dann aber wis­sen was und wie und sich daher selbst mit dem Thema befas­sen und sich wei­ter­bil­den. Haben Sie dafür die Zeit und Muße oder wol­len bzw. müs­sen Sie nicht eher Ihren Job machen? Letzt­end­lich ist es Ihre Ent­schei­dung, Haupt­sa­che Sie fan­gen an, betrei­ben Daten­schutz und set­zen die DSGVO um. Am bes­ten jetzt sofort!

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.