Datenschutz für Gründer und Startups
Die 7 größten Stolperfallen in der DSGVO
Featured image: XtravaganT - stock.adobe.com
Inhaltsverzeichnis
- 1. DSGVO-Datenschutzerklärung und Cookie-Einwilligung
- 2. Verarbeitungsverzeichnis und TOMs (Technische und Organisatorische Maßnahmen)
- 3. AV-Verträge – Die wichtigsten Datenschutzverträge
- 4. Datenschutzanfragen von Kunden richtig behandeln
- 5. Datenlecks, Datenpannen und Hacker-Angriffe
- 6. Der Datenschutzbeauftragte – Wann brauche ich einen?
- 7. Dauerhaftes Datenschutzmanagement mit den richtigen Tools
Gesamtes Inhaltsverzeichnis anzeigen
Das Jahr 2020 hat alle Rekorde gebrochen. Wegen allen möglichen Verstößen gegen Datenschutz und DSGVO haben die Datenschutzbehörden Bußgelder in 3-stelliger Millionenhöhe verhängt. Allein gegen die bekannte Modekette H&M über 35 Millionen Euro oder 10,4 Millionen Euro gegen notebooksbilliger.de.
Wenn du denkst, dass dich das als Gründer oder Einzelkämpfer überhaupt nicht betrifft, irrst du dich gewaltig. Es wurden sogar schon gegen Privatpersonen Bußgelder von mehreren tausend Euro verhängt, die Mails mit offenen Empfängern in CC verschickt haben. Natürlich wird keine Behörde mehrere 10.000 Euro von Gründern und Jungunternehmen fordern, die ihre Datenschutzdokumentation nicht vollständig haben – aber auch 5.000 Euro Bußgeld können sehr schmerzhaft sein.
Als Rechtsanwalt für Datenschutzrecht und externer Datenschutzbeauftragter betreue ich seit Jahren kleinere und größere Unternehmen aus verschiedenen Branchen. Von Coaches und Keynote-Speakern über junge Startups und Agenturen bis hin zu großen Unternehmensgruppen mit über 1.000 Mitarbeitern. Die Erfahrung zeigt, dass so gut wie alle Probleme und Versäumnisse im Datenschutz sehr ähnlich sind und sich mit der Zeit in den Strukturen festgesetzt haben. Ich höre ganz oft Sätze wie „Oh… Ja das ist so organisch gewachsen. An Datenschutz haben wir jetzt nicht gedacht.“ Dann ist es meistens schon zu spät. Man bekommt das als Unternehmer in der Regel nicht mehr selber gelöst. In solchen Fällen können nur noch teure Anwälte und Datenschutz-Auditoren helfen. Die Kosten gehen hier locker in den 5-stelligen Bereich.
Dabei kannst du den Stress und die hohen Kosten von Anfang an vermeiden, wenn du nur ein paar grundlegende Basics beachtet. In dieser Übersicht zeige ich dir die 7 wichtigsten Punkte, die jeder Gründer und Unternehmer schnell und einfach selber umsetzen kann – ohne teure Rechtsanwälte und Datenschutzberater.
1. DSGVO-Datenschutzerklärung und Cookie-Einwilligung
Als allererstes solltest du deine Webseite datenschutzrechtlich absichern. Das ist nämlich der Teil deines Unternehmens, der für jeden sichtbar sind. Datenschutzbehörden, Abmahnanwälte, Mitbewerber und Querulanten können kleinste Fehler und Versäumnisse sofort erkennen. Auch wenn deine Webseite im Netz vielleicht noch nicht allzu sichtbar ist – es reicht aus, wenn dich einfach nur jemand bei der Datenschutzbehörde anschwärzt. Das kann ein unzufriedener Kunde oder ein neidischer Konkurrent sein. Die Behörde ist dann nämlich verpflichtet, den Vorwürfen nachzugehen. Bestimmte DSGVO-Verstöße können auch von Verbraucherverbänden und Mitbewerbern abgemahnt werden – so können schnell dreifache Kosten entstehen: Bußgelder, Abmahnkosten und Kosten für die Beseitigung der Verstöße. Im schlimmsten Fall bist du wegen fehlerhafter Cookie-Einwilligungen, der Nutzung von Google Analytics oder fehlender Datenschutzverträge mit Newsletter-Anbietern (AV-Verträge) schnell 10.000 Euro und mehr los.
Um deinen Außenauftritt datenschutzrechtlich abzusichern, musst du folgendes tun:
Datenschutzerklärung mit einem automatischen Generator erstellen
Generatoren für Impressum und Datenschutzerklärung gibt es schon seit vielen Jahren. Wenn du keine extrem sensiblen Daten verarbeitest und keine völlig exotischen Plugins auf deiner Webseite einsetzt, musst du dafür nicht zum Anwalt. Die meisten Generatoren bilden die wichtigsten Sachen ab. Allerdings gibt durchaus große Qualitätsunterschiede. Generatoren werden mittlerweile nicht mehr nur von Anwälten und Juristen sondern auch von anderen Firmen angeboten. Diese sollte man mit Vorsicht genießen. Die Basics für den Inhalt und die Erstellung einer Datenschutzerklärung nach DSGVO haben wir dir in einem separaten Artikel bereits zusammengefasst.
Schwierig wird es aber, wenn man sich bei bestimmten Punkten nicht ganz sicher ist. Da du bei den meisten Generatoren alles selber eingeben musst, können sich schnell Fehler einschleichen. Es gibt mittlerweile aber auch Generatoren, die deine Webseite automatisch scannen und die Datenschutzerklärung konfigurieren können. Einen solchen automatischen Datenschutz-Generator mit Webseiten-Scanner haben auch meine Kollegen und ich entwickelt. Probiere ihn gern aus:
Datenschutzerklärung richtig einbinden
Nachdem du die Datenschutzerklärung erstellt hast, musst du sie richtig auf deiner Webseite einbinden. Am besten unter einem eigenen Menüpunkt „Datenschutzerklärung“ oder „Datenschutz“ z.B. im Footer deiner Webseite. Achte außerdem darauf, dass alle Links in der Datenschutzerklärung richtig funktionieren. Deine Datenschutzerklärung sollte von jeder Unterseite aus einfach erreichbar sein.
Überall dort, wo personenbezogene Daten auf deiner Webseite erhoben werden (z.B. Kontaktformular oder Newsletter-Anmeldung) solltest du gesondert auf die Datenschutzerklärung verlinken. Zum Beispiel: „Bitte beachten Sie unsere Datenschutzerklärung“. Hier können zusätzlich auch weitere Einwilligungstexte erforderlich werden – je nach dem welche Daten du zu welchem Zweck erheben möchtest.
Datenschutzerklärung aktuell halten
Wenn du die Datenschutzerklärung eingebunden hast, solltest du darauf achten, dass sie stets aktuell ist. Immer wenn du neue Plugins und Tools auf deiner Webseite einbindest, Affiliate-Programme und Werbenetzwerke nutzt, musst du deine Datenschutzerklärung ergänzen. Dasselbe gilt auch, wenn du bestimmte Technologien wieder entfernst. Wenn du nämlich „zu viel“ in deiner Datenschutzerklärung stehen hast, ist sie genauso fehlerhaft wie eine lückenhafte Datenschutzerklärung.
Cookie-Einwilligungen einholen
Wenn du fremde Technologien auf deiner Webseite einsetzt, ist es nach der DSGVO unbedingt erforderlich, dass du für bestimmte Analysetools, Werbenetzwerke etc. eine vorherige Einwilligung des Webseitenbesuchers einholst. Das bedeutet, dass die Tools nicht im Hintergrund laden dürfen, bis der Nutzer auf „Akzeptieren“ geklickt hat. Einfache Cookie-Banner mit einem Hinweistext reichen nicht aus, da sie die Tools nicht blockieren, sondern einfach nur einen Infotext anzeigen. Hier gibt es eine Reihe von technischen Lösungen, mit denen man die Einwilligungen relativ einfach einholen kann. Wir haben bei unserer DSGVO Software PRIVE ein solches „Cookie-Consent-Tool“ des Marktführers Usercentrics eingebunden. Das kannst du relativ einfach auf deiner Webseite installieren und die Tools rechtssicher blockieren. Es unterstützt über 200 Tools und ist vom Erscheinungsbild an deine Webseite anpassbar.
2. Verarbeitungsverzeichnis und TOMs (Technische und Organisatorische Maßnahmen)
Nachdem du deine Webseite rechtlich abgesichert hast, musst du dich den wichtigsten Datenschutzdokumenten für dein Unternehmen widmen. Das erste Dokument, nach dem Datenschutzbehörden fragen ist das sogenannte Verzeichnis von Verarbeitungstätigkeiten oder kurz „Verarbeitungsverzeichnis“. In diesem Verzeichnis sind sämtliche Vorgänge deines Unternehmens aufgelistet, die personenbezogene Daten deiner Kunden verarbeiten. Klingt kompliziert? Das kann es im Detail auch wirklich sein. Es reicht nämlich nicht, die einzelnen Vorgänge einfach aufzulisten – man muss auch mit einer Rechtsgrundlage beschreiben, warum die Tätigkeit erlaubt ist, wie lange die Daten aufbewahrt werden, wer die Daten noch erhält und ob die Daten auch ins Ausland gelangen können. Hier ein paar Beispiele:
Du verwaltest deine Leads und Kunden mit einer CRM-Software.
Deine erste Verarbeitungstätigkeit wäre also „Verwalten von Kundendaten“. Jetzt musst du genau bestimmen, welche Daten deiner Kunden du nutzt. In dem Fall z.B. Name, Anschrift, E-Mail, Rechnungsdaten, Vertragsdetails. Dann musst du festhalten, wer noch Zugriff auf diese Daten hat. Zum Beispiel deine externe Buchhaltung oder der Steuerberater. Anschließend musst du beschreiben, wie du die Daten deiner Kunden schützt. Beispielsweise mit verschlüsselten Datenbanken und einer 2-Faktor-Authentifizierung. Danach musst du genau sagen, wie lange du die Daten deiner Kunden aufbewahrst. Zum Beispiel „höchstens 12 Monate nach Kündigung“. Und schließlich musst du nachweisen, dass du die Daten auch wirklich nutzen darfst – in dem du eine Rechtsgrundlage für die Nutzung benennst. In dem Fall wäre es die Vertragsanbahnung bzw. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). So sieht dann deine erste Verarbeitungstätigkeit in deinem Verarbeitungsverzeichnis aus:
- Verwaltung von Kundendaten
Betroffene Datenkategorien: Anschrift, Rechnungsdaten, Vertragsgegenstand
Betroffene Personenkategorien: Kundennamen, sonstige Ansprechpartner
Empfängerkategorien: Externe Buchhaltung/Steuerberater
Löschfrist: Zweckfortfall – Löschung nach 12 Monaten
Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO)
TOMs: Passwortschutz, Datenbankverschlüsselung, 2-Faktor-Authentifizierung
Ansprechpartner: Max Mustermann
Du machst Newsletter-Marketing und nutzt dafür Mailchimp.
Mailchimp sitzt in den USA. Jetzt musst du prüfen, ob du die Daten deiner Newsletterempfänger einfach so in die USA schicken darfst. Die meisten Anbieter haben hierfür bestimmte Verträge und Vereinbarungen, mit denen die Übertragung in die USA rechtlich möglich wird. All das musst du in deiner zweiten Verarbeitungstätigkeit „Newslettermarketing“ beschreiben. Das würde dann so aussehen:
- Newslettermarketing
Betroffene Datenkategorien: E-Mail Adressen
Betroffene Personenkategorien: Newslettermpfänger
Empfängerkategorien: E-Mail Dienstleister (MailChimp)
Übermittlung an Drittländer: Unsicheres Drittland – USA
Garantien/Abkommen: Einsatz von SCCs (Standardvertragsklauseln)
Löschfrist: Löschung der Daten nach Austragung aus dem Newsletter
Rechtsgrundlage: Einwilligung des Empfängers (Art. 6 Abs. 1 lit. a DSGVO)
TOMs: Passwortschutz, Datenbankverschlüsselung, 2-Faktor-Authentifizierung
Ansprechpartner: Max Mustermann
So geht es dann immer weiter. Bearbeitung von Bewerbungen, Eingangs- und Ausgangsrechnungen, Betrieb einer Facebook-Seite, Analyse von Webseitenbesuchern usw. All das muss in einem Verarbeitungsverzeichnis ausführlich beschrieben werden. Wenn die Behörde nach einem Verarbeitungsverzeichnis fragt und du nichts vorlegen kannst, kommt ganz schnell das Bußgeld.
Mindestens genauso wichtig wie das Verarbeitungsverzeichnis sind in der DSGVO die sog. TOMs (Technische und Organisatorische Maßnahmen). Mit den TOMs beschreibst du, wie du in deinem Unternehmen die Daten deiner Kunden und Mitarbeiter schützt. Je nach Branche kann eine solche TOM-Liste sehr umfangreich werden. In der Regel ist die Beschreibung aber nicht sonderlich komplex. Hier muss man nur sämtliche Schutzmaßnahmen beschreiben. Zum Beispiel:
- Verschlüsselte Datenbanken
Wir setzen eine Verschlüsselung nach dem AES256-Standard bei sämtlichen Kundendatenbanken ein.
- Abschließbarer Serverraum
Unser Serverraum ist mit einem Sicherheits-Türschloss gesichert.
- SSL/TLS-Verschlüsselte Verbindungen
Unsere Webseiten sind per SSL/TLS verschlüsselt.
usw.
Ich habe mir gemeinsam mit Anwaltskollegen und Datenschutzbeauftragten viele Gedanken darüber gemacht, wie man das Verarbeitungsverzeichnis und die TOMs einfacher anlegen, konfigurieren und pflegen kann. Schließlich haben wir uns zusammengesetzt und einen umfangreichen automatisierten DSGVO-Generator mit vielen vorgefertigten Vorlagen entwickelt. Damit kannst du das Verarbeitungsverzeichnis und die TOMs für dein Unternehmen in 5 Minuten konfigurieren. Der TOM-Generator ist Bestandteil unserer Datenschutz-Software PRIVE.
3. AV-Verträge – Die wichtigsten Datenschutzverträge
Eine der größten Bußgeld- und Abmahnfallen beim Datenschutz sind fehlerhafte oder gar fehlende Auftragsverarbeitungs-Vertäge (kurz AV-Verträge). Doch was ist das überhaupt und in welchen Fällen müssen AV-Verträge geschlossen werden?
AV-Verträge sind Verträge über die Verarbeitung personenbezogener Daten im Auftrag eines anderen. Sie sind immer dann notwendig, wenn jemand personenbezogene Daten, also z.B. Kundendaten oder Mitarbeiterdaten verarbeitet, die ihm nicht gehören. AV-Verträge dienen dazu, diese fremde Datenverarbeitung rechtlich abzusichern, damit diese Daten nicht in falsche Hände geraten oder zu Werbezwecken genutzt werden. Um das ein weniger praktischer darzustellen, ein paar Beispiele:
- Du verwaltest deine Leads und Kunden mit einer CRM-Software in der Cloud. Da auch der Anbieter deiner CRM-Software Zugriff auf die Daten deiner Kunden haben kann, musst du mit ihm einen AV-Vertrag schließen, in dem er dir garantiert, diese Daten nur zu bestimmten Zwecken zu verwenden (in dem Fall Bereitstellung und Funktionsfähigkeit der CRM-Software) und nicht zu eigenen Zwecken verwendet (wie z.B. Anschreiben der Kunden zu Werbezwecken).
- Anderes Beispiel: Du machst Newsletter-Marketing und nutzt dafür eine Newsletter-Software. Auch hier muss sich der Newsletter-Anbieter dir gegenüber verpflichten, die E-Mail Adressen deiner Kunden sicher aufzubewahren und nicht zu eigenen Zwecken zu missbrauchen. Also ist auch in diesem Fall ein AV-Vertrag notwendig.
- Nächstes Beispiel: Du betreust die Webseite oder den Funnel eines Kunden, auf der ein Kontaktformular-Plugin o.ä. installiert ist. In dem Fall könntest du die Leads und Anfragen sehen, die an deinen Kunden gerichtet sind. Also musst du dich gegenüber deinem Kunden verpflichtet, diese Daten nicht zu missbrauchen. Auch hier muss wieder ein AV-Vertrag zwischen euch geschlossen werden.
- Weitere Beispiele für notwendige AV-Verträge:
- Google Analytics o.ä.
- externes Hosting
- Reseller-Hosting
- externe Lohnbuchhaltung (ohne Steuerberatung)
- Werbeagenturen mit Zugriff auf Kundendaten
- Entsorgung von Daten(trägern)
- Einsatz von Clouddiensten
- In den folgenden Fällen müssen in der Regel keine AV-Verträge geschlossen werden:
- Zahlungsdiensteanbieter
- Steuerberater
- Rechtsanwälte
- Wirtschaftsprüfer
- Sonstige Berufsgeheimnisträger
- Post-und Paketdienstleister
- Personalvermittler
Wenn ein AV-Vertrag geschlossen werden muss, sollten sich beide Parteien darum bemühen. Im Zweifel müssten bei Fehlen eines AV-Vertrages nämlich beide ein Bußgeld zahlen.
Da AV-Verträge sehr viele formelle Regelungen enthalten müssen, können sie durchaus ziemlich lang werden. So müssen in einem DSGVO-konformen AV-Vertrag zum Beispiel Regelungen über Art, Zweck, Umfang und Dauer der Datenverarbeitung, Betroffene Personen- und Datenkategorien, Weisungsbefugnisse des Verantwortlichen, Unterstützungspflichten des Auftragnehmers, Einsatz von Subunternehmern, die Löschung der Daten nach Vertragsbeendigung sowie über die Datensicherheit (TOMs) enthalten sein.
Die 10 besten Arbeitgeber in Deutschland
Das Berufs-Portal "LinkedIn" hat in eine neuen Studie der besten Arbeitgeber Deutschlands veröffentlicht und ein Ranking der TOP 10 erstellt.
Mehr erfahren
Mit den Einzelheiten der Klauseln musst du dich als Gründer oder Unternehmer aber in der Regel nicht beschäftigen. Da die meisten Inhalte eines AV-Vertrages absoluter Standard sind, reichen gute Mustervorlagen oder automatische Generatoren meist völlig aus.
Auch für AV-Verträge haben wir einen umfangreichen automatischen Generator mit vielen vorgefertigten Vorlagen entwickelt. Damit kannst du vollwertige AV-Verträge für dein Unternehmen in 5 Minuten konfigurieren und diese mit deinen Kunden und Partnern direkt online abschließen – mit digitaler Signatur. Damit entfällt der ganze Papierkram, der lange Postweg und der Organisationsaufwand. Der AV-Generator mit Online-Abschluss ist ebenfalls Bestandteil unserer Datenschutz-Software PRIVE.
4. Datenschutzanfragen von Kunden richtig behandeln
Wenn du mit Kunden zu tun hast, kommt es immer mal wieder vor, dass Kunden unzufrieden sind, sich schlecht behandelt fühlen oder generell sehr vorsichtig im Hinblick auf ihre personenbezogenen Daten sind. Dann kann es sehr schnell mal zu einer sogenannten Datenschutzanfrage kommen. Sie wollen dann z.B. Auskunft zu den gespeicherten Daten oder die Löschung ihrer Daten. Wenn bei der Behandlung solcher Datenschutzanfragen Fehler passieren, beschweren sich Kunden schnell mal bei der Datenschutzbehörde. Das ist im Unternehmeralltag ein ziemlich hohes Bußgeld- und Abmahnrisiko. Wenn du aber ein paar wichtige Punkte beachtest, kannst du dieses Risiko auf Null senken:
Welche Datenschutzanfragen können Kunden stellen?
Nach der DSGVO haben betroffene Personen ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch oder Rücknahme von Einwilligungen. Meist nutzen Kunden Mustervorlagen für ihre Anfragen, die überall im Internet kursieren.
Anfragen von Kunden können dich über verschiedene Kanäle erhalten – z.B. telefonisch, per E-Mail oder Post. Sie können auch bei so gut wie jedem Mitarbeiter eingehen, denn nicht alle Kunden schreiben an den Support oder an die Info-Adresse. Wichtig ist, dass du derartige Anfragen – egal über welchen Kanal – erkennst und korrekt einordnest.
Wie gehst du bei Eingang einer Datenschutzanfrage vor?
Dokumentiere den Eingang der Nachricht mit Datum und Uhrzeit. Bestätige dem Kunden den Eingang der Anfrage auf demselben Kommunikationsweg und teile ihm mit, dass seine Anfrage schnellstmöglich bearbeitet wird. Dokumentiere auch die Eingangsbestätigung mit Datum und Uhrzeit. Lese die Anfrage genau durch und prüfe, was dein Kunde von dir will. Wenn du Zweifel an der Identität des Kunden hast (z.B. abweichende E-Mail Adresse), lass dir die Identität Kunden gesondert bestätigen.
Achtung, Frist! Du musst dem Kunden spätestens innerhalb eines Monats über das Ergebnis seiner Anfrage informieren.
Was muss in deiner Antwort an den Kunden stehen?
Deine Antwort auf die Datenschutzanfrage muss sich an dem orientieren, was der Kunde genau von dir möchte. Gehe auf jeden einzelnen Punkt ein, um den Kunden nicht unnötig zu verärgern. In der Regel verlangen Kunden Auskunft über die bei dir gespeicherten Daten. Dann musst dem Kunden folgendes mitteilen:
- Zu welchem Zweck werden die Daten verarbeitet (z.B. Rechnungsstellung)?
- Welche Kategorien personenbezogener Daten werden verarbeitet (z.B. Zahlungsdaten)?
- Welche Empfänger oder Kategorien von Empfängern haben oder werden die Daten erhalten / einsehen (z.B. Mitarbeiter der Buchhaltung)?
- Wie lange werden die Daten gespeichert? Wenn keine konkrete Dauer genannt werden kann: Nach welchen Kriterien wird die Dauer bestimmt (z.B. gesetzliche Aufbewahrungsfristen oder Vertragsbeendigung)?
- Welche Rechte bestehen im Hinblick auf die Daten (Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht bei der Aufsichtsbehörde)?
- Wie wurden die Daten erhoben (Herkunft der Daten)?
- Findet auf Basis der Daten ein Profiling statt?
Achte darauf, dass deine Auskunft vollständig ist, ansonsten drohen Bußgelder und Abmahnungen. Und noch ein Hinweis aus der Praxis: Je häufiger du mit der Datenschutzbehörde zu tun hast, desto größer können die Bußgelder sein.
Wenn du nicht jede Anfrage händisch beantworten willst, kannst du dir entweder entsprechende Vorlagen im Internet zusammensuchen oder den automatischen PRIVE-Generator mit vielen vorgefertigten Vorlagen verwenden. Damit kannst du sämtliche Datenschutzanfragen verwalten, die Fristen im Blick behalten und in wenigen Minuten automatische Antworten für deine Kunden generieren. Das Modul für Datenschutzanfragen ist unserer Datenschutz-Software PRIVE ebenfalls enthalten.
5. Datenlecks, Datenpannen und Hacker-Angriffe
Super-GAU Datenpanne: Laptop verloren, Kundendatenbank gehackt oder USB-Stick geklaut – Hier verstehen die Datenschutzbehörden keinen Spaß. Die Behörden erwarten, dass man eine Datenpanne innerhalb von 72 Stunden meldet und bei großen Datenmengen sogar alle betroffenen Personen über die Datenpanne informiert. Ansonsten drohen Bußgelder. In folgenden Fällen besteht in der Regel eine Meldepflicht:
- Verlust, Beschädigung oder unbefugte Kenntnisnahme von Daten
- Hackerangriffe, Schadsoftware, Phishing
- gestohlene / verlorengegangene Dienstgeräte (z.B. Handy, Laptop, USB-Stick)
- gestohlene / verlorene Daten Allgemein
Was genau wann an die Behörde gemeldet werden muss, kann im Einzelfall recht kompliziert sein. Die Datenschutzbehörden bieten auf ihren Webseiten in der Regel Meldeformulare und Ausfüllhilfen an. Wir haben bei PRIVE eine Verwaltung für Datenpannen mit Fristenverwaltung und automatisierter Risikoeinschätzung entwickelt. Du kannst dir im Falle einer Datenpanne ein bereits vollständig ausgefülltes Meldeformular generieren, dass du bei der Behörde einreichen kannst. Bei einer wirklich großen Datenpanne solltest du dich aber auf jeden Fall anwaltlich beraten lassen.
6. Der Datenschutzbeauftragte – Wann brauche ich einen?
Oft hört und liest man von externen und internen Datenschutzbeauftragten. Aber wann muss man eigentlich einen Datenschutzbeauftragten für sein Unternehmen bestellen?
Das ist eigentlich ganz einfach: Ein Datenschutzbeauftragter ist immer dann erforderlich, wenn mindestens 20 Personen in ihrem Unternehmen mit personenbezogenen Daten hantieren (z.B. Kundendaten oder Mitarbeiterdaten).
Allerdings können auch kleinere Unternehmen und sogar Einzelkämpfer betroffen sein. Ein Datenschutzbeauftragter muss nämlich auch dann bestellt werden, wenn Sie besonders sensible Daten verarbeiten (z.B. Gesundheitsdaten, Daten zur Kreditwürdigkeit etc.). Die Datenschutzbehörden haben auch Listen und spezielle Vorgaben für ganz bestimmte Fälle, in denen ein Datenschutzbeauftragter bestellt werden muss.
Wenn du einen Datenschutzbeauftragten bestellen musst oder freiwillig einen bestellen möchtest, musst du ein paar Punkte beachten:
Du als Unternehmer, Gründer oder Geschäftsführer darfst nicht zugleich der Datenschutzbeauftragte sein. Ein Datenschutzbeauftragter muss nämlich eine gewisse Unabhängigkeit haben. Ansonsten besteht aus Sicht der Behörden ein Interessenskonflikt.
Du kannst einen internen Datenschutzbeauftragten benennen – zum Beispiel einen guten Mitarbeiter. Hier ist aber Vorsicht geboten. In seiner Tätigkeit als Datenschutzbeauftragter ist der Mitarbeiter nur beschränkt weisungsgebunden. Er muss die Vorgänge nämlich neutral einschätzen können. Es können sich auch Probleme beim Kündigungsschutz ergeben. Außerdem muss der interne Datenschutzbeauftragte eine gewisse Fachkunde nachweisen können. Das heißt du müsstest ihn zu einem Lehrgang für Datenschutzbeauftragte schicken, der schnell ein paar tausend Euro kosten kann.
Wenn du keinen Konzern mit tausenden Mitarbeitern leitest, solltest du einen externen Datenschutzbeauftragten bestellen. Solche externen Berater sind in der Regel gut ausgebildet und können mit ihrer Erfahrung viele Datenschutzprobleme pragmatisch lösen. Die Preise für externe Datenschutzbeauftragte variieren von 150 Euro pro Monat bis zu mehreren tausend Euro – je nach Beratungsaufwand. Wenn du lediglich einen externen Datenschutzbeauftragten bestellen willst aber keine regelmäßige Beratung benötigst, findest du bei PRIVE die Möglichkeit, ab 39 € / Monat einen TÜV-zertifizierten Datenschutzbeauftragten für dein Unternehmen zu bestellen.
7. Dauerhaftes Datenschutzmanagement mit den richtigen Tools
Wenn du alle Punkte beachtest, bist du schon sehr viel besser aufgestellt als die meisten deiner Mitbewerber. Viele Gründer denken nämlich erst viel zu spät an den Datenschutz und wachen oft erst richtig auf, wenn der erste Bußgeldbescheid ins Haus flattert. Dann geht es meistens zum Anwalt des Vertrauens, der für mehrere tausend Euro die fehlenden Dokumente und Verträge erstellt. Am Ende bleiben die meisten auf Anwaltskosten und Bußgeldern von 10.000 Euro und mehr sitzen.
Wenn du Bußgelder und Abmahnungen im Datenschutz dauerhaft vermeiden möchtest, solltest du das Thema Datenschutz ernst nehmen und für dein Unternehmen eine Datenschutz-Management-Software verwenden. Wenn du ein solches DSGVO-Tool im Einsatz hast, wirkt es nach Art. 83 Abs. 2 d) DSGVO sogar bußgeldmildernd. Das heißt: Auch im Falle eines Datenschutzverstoßes zahlst du ein geringeres Bußgeld, wenn du den Einsatz einer DSGVO-Software nachweisen kannst.
Es gibt auf dem Markt eine Reihe von Software-Lösungen, die auf Datenschutz-Profis zugeschnitten sind. Wenn du einen externen Datenschutzbeauftragten bestellst, wird dieser Profi-Tools wie Audatis, OneTrust und Co. nutzen. Für Gründer und Unternehmer sind solche Software-Lösungen aber in der Regel viel zu kompliziert. Wir haben uns gedacht, dass jeder den Datenschutz und die DSGVO im Griff haben sollte – egal ob er Anfänger oder Datenschutz-Vollprofi ist. Mit PRIVE haben wir in Zusammenarbeit mit Datenschutzanwälten und TÜV-zertifizierten Datenschutzbeauftragten ein Tool geschaffen, das wirklich jeder bedienen kann.
Wir haben bei PRIVE bereits über 7.000 Unternehmer und Gründer, die ihren Datenschutz dauerhaft und rechtssicher organisieren. 2020/2021 wurde PRIVE nach einer umfangreichen Kundenbefragung vom Deutschen Institut für Qualitätsstandards und Prüfung (DIQP) mit der Note „Sehr Gut“ ausgezeichnet.
Leser und Abonnenten von Gründer.de erhalten einen Rabatt von bis zu 40% auf die DSGVO-Komplettlösung PRIVE. Statt 49,- € zahlen Sie dauerhaft nur 29,- € / Mo. im Jahrespaket.
Ich habe das Thema außerdem auch in einem kostenlosen DSGVO-Webinar aufbereitet und erkläre dir gern alles persönlich Schritt für Schritt. Über 5.000 Unternehmer und Gründer waren schon dabei.
DU willst deine KI-Skills aufs nächste Level heben?
WIR machen dich bereit für die Revolution
KÜNSTLICHE INTELLIGENZ!
- Praxisbeispiele – sofort anwendbar für dein Business
- Aktuelle KI-Tools im Check
- Expertentipps für die neusten KI-Technologien
- Case Studies – von E-Mail-Marketing bis Datenanalyse
Ja, ich möchte den Newsletter. Die Einwilligung kann jederzeit im Newsletter widerrufen werden. Datenschutzerklärung.
Über den Autor
Alex Goldberg
Alex Goldberg ist Rechtsanwalt, Datenschutzbeauftragter und Online-Unternehmer. Er ist Partner der Anwaltskanzlei GAP Goldberg Altenburg in Berlin, Geschäftsführer der Datenschutzlösung PRIVE und Vorstand der Legalcore AG. Nach dem Studium der Rechtswissenschaft in Berlin und Potsdam war Rechtsanwalt Goldberg als wissenschaftlicher Mitarbeiter bei Prof. Dr. Dr. Dr. h.c. Franz Jürgen Säcker, als Referendar beim Bundeswirtschaftsministerium, bei einer internationalen Werbeagentur sowie in renommierten Wirtschaftskanzleien tätig. Rechtsanwalt Goldberg war außerdem Lehrbeauftragter für Medien- und Markenrecht an der Hochschule für Kommunikation und Design in Berlin und ist Autor zahlreicher Fachpublikationen zum Wirtschaftsrecht, Speaker und Dozent.
Kommentare sind geschlossen.