Datenschutzexperte Mannus Weiss im Gespräch mit dem Magazin „DIE WIRTSCHAFT KÖLN”
Im Januar 2024 führte das Magazin: „DIE WIRTSCHAFT KÖLN“ ein Interview mit Datenschutzexperte Mannus Weiß, Geschäftsführer der Datenschutzkonzept GmbH.
Herr Weiß beantwortet Fragen zu Herausforderungen und Notwendigkeiten für Unternehmen im Umgang mit der DSGVO.
Es wird deutlich, dass es aktuell vorwiegend kleinere Unternehmen sind, welche die Vorgaben der DSGVO aus unterschiedlichen Gründen nicht umsetzen.
Er erläutert unter anderem die Wichtigkeit eines umfassenden Datenschutzkonzepts, Implementierung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten und hebt die Verantwortung bzw. Haftbarkeit der Geschäftsführung bei Verstößen gegen die DSGVO hervor.
Ein weiteres Thema, welches im Rahmen des Gesprächs angesprochen wird, ist das seit Ende 2023 umzusetzende Hinweisgeberschutzgesetz. Auch hier stehen Unternehmen mit mehr als 50 Mitarbeitenden in der Pflicht, datenschutzrechtliche Verpflichtungen zu erfüllen.
Hier das gesamte Interview mit Datenschutzexperte Mannus Weiß
Hallo Herr Weiß, stellen Sie sich gerne vor …
Ich heiße Mannus Weiß, bin Geschäftsführer der Datenschutzkonzept GmbH und deutschlandweit unterwegs. Ich begleite Unternehmen als TÜV-zertifizierter ext. Datenschutzbeauftragter und Datenschutzauditor bei der Umsetzung der DSGVO und des Datenschutzes und mittlerweile auch als Beauftragter des Hinweisgeberschutzgesetzes (Whistleblowing).
Das ist sehr unterschiedlich, insgesamt mache ich die Erfahrung, dass die etwas größeren Unternehmen (ab ca. 50 Mitarbeitern) eher besser, die kleineren Unternehmen leider eher schlechter aufgestellt sind, teilweise die DSGVO aber auch noch gar nicht umgesetzt ist.
Oft komme ich in Unternehmen, die mir im Vorfeld mitteilen, dass sie „etwas“ Beratungsbedarf haben und die DSGVO „teilweise“ umgesetzt haben, aber die Geschäftsführer haben das Thema auch oft verdrängt und hinten angestellt.
Und wenn ich dann vor Ort bin, besteht der Datenschutz in einer halb fertigen Datenschutzerklärung auf der Website, einem oft nicht funktionierendem Cookie-Banner und ein paar Vorlagen, in denen außer der Firmenbezeichnung nichts eingetragen ist.
Wenn ich dann etwas von den Erfordernissen der DSGVO erzähle, werden die Unternehmer immer unsicherer und merken, dass hier ein dringender Handlungsbedarf besteht.
Die DSGVO wird oft gerne, gerade bei kleineren Betrieben, aus dem Bewusstsein verdrängt und nach hinten geschoben, weil der Datenschutz nach Meinung vieler Geschäftsführer nur Geld kostet, Ressourcen einschränkt und nichts bringt.
Manche Unternehmer haben es 2018 auch schon einmal mit der Umsetzung versucht, sind dann allerdings gescheitert, weil einfach die Fachkenntnis fehlte.
Allerdings schauen die Kunden, gerade auch die jüngeren, immer öfter darauf, was mit Ihren Daten passiert und eine Umsetzung ist ja gesetzlich auch vorgeschrieben, deshalb kann ich jedem nur raten, sich da vernünftig aufzustellen.
Es muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, hier wird aufgeführt, welche Datenverarbeitungstätigkeiten mit welchen Grundlagen und mit welchen Zugriffsmöglichkeiten durchgeführt werden.
Das sind z.B. Zeiterfassung, Lohnbuchhaltung, Finanzbuchhaltung, E-Mail Verarbeitung, Homeoffice, Nutzung CRM System, Nutzung von Software, Videoüberwachung (ein heikles Thema), Nutzung Cloud-Dienste, usw … So ein Verzeichnis umfasst oft schon bei kleinerem Betrieben 150 Seiten.
Es muss eine TOM Liste (technische und organisatorische Maßnahmen) erstellt werden. Hier wird aufgeführt, was das Unternehmen unternimmt, um die personenbezogenen Daten zu sichern, also z.B. gibt es ein Antivirusprogramm, eine Firewall, was werden für Backups gemacht, wer hat Zugriff auf welche Daten, gibt es ein Berechtigungskonzept, usw.
Es muss überprüft werden, ob AV (Auftragsverarbeitung) Verträge mit Unterauftragnehmern existieren, bzw. abgeschlossen werden müssen.
AV Verträge müssen z.B. mit dem Webhoster, dem IT-Dienstleister, dem Cloudanbieter oder der Firma, welche den Drucker wartet, abgeschlossen werden.
Die Datenschutzerklärung und ggf. das Cookie-Banner müssen überprüft werden. In der Praxis sind hier in über 90% der Fälle Fehler zu finden.
Viele Webmaster installieren z.B. Google Analytics, ohne dass der Kunde das überhaupt nutzt und benötigt. Die Behörden müssen z.B. Beschwerden von Kunden oder Wettbewerbern nachgehen und die Webseiten überprüfen.
Wer dann z.B. Tracking Tools nutzt ohne funktionierende Einwilligung des Besuchers (also ohne oder mit nicht funktionierendem Cookie-Banner) der bekommt einen Fragenkatalog geschickt, der im Regelfall nicht alleine zu beantworten ist und dann wird es teuer…
Nein, da geht es noch weiter:
Es muss zunächst ein Datenschutzkonzept und ein Löschkonzept (dazu gehören z.B. auch Papierakten, welche DSGVO-konform vernichtet werden müssen) erstellt werden.
Wenn ein Unternehmen Mitarbeiter hat, sollten auch verschiedene Richtlinien, wie z.B. eine Unternehmensrichtlinie, Homeoffice Richtlinie und eine IT Nutzungsrichtlinie erstellt werden.
Zusätzlich muss der Mitarbeiter, genauso wie die Kunden, über die Verarbeitung seiner Daten informiert und auch auf das Datenschutzgeheimnis und das TTDSG verpflichtet werden.
Initial müssen alle Mitarbeiter, welche Daten verarbeiten, zum Thema Datenschutz geschult und einmal jährlich sollte man überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss.
Der Inhaber, bzw. Geschäftsführer ist für alle diese Dinge verantwortlich und haftet (Durchgriffshaftung) selbstverständlich auch dafür. Ich kann nur empfehlen sich mit der DSGVO zu beschäftigen, die Bußgelder richten sich nach dem Jahresumsatz und das kann sehr teuer werden …
Das Unternehmen sollte sich auf jeden Fall an einen zertifizierten Fachmann wenden und sich beraten lassen, bevor es sich selber an den Dokumentationen versucht, das erspart viel Arbeit und auch Kosten.
Ja, natürlich, das spielt alles zusammen, das Hinweisgeberschutzgesetz, muss ja ab dem 17.12.2023 bei jedem Unternehmen, welches mehr als 50 Mitarbeitende beschäftigt, umgesetzt sein.
Dort muss eine interne Meldestelle eingerichtet werden, bei der Personen, welche im beruflichen Kontext mit dem Unternehmen stehen, z.B. Diskriminierungen, Übergriffigkeiten, Diebstähle, usw. melden können.
Bei der Einrichtung einer solchen Meldestelle muss eine sogenannte DSFA (Datenschutzfolgenabschätzung) erstellt werden.
Das bedeutet für bestimmte Prozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen. Das ist eine anspruchsvolle Aufgabe, welche fachlichen Beistands bedarf.
Vielen Dank Herr Weiß, das war ja einiges an Input…
Danke ebenfalls für die Möglichkeit, interessierten Unternehmern hier weiterzuhelfen. Als Datenschutzexperte stehe ich für weitere Fragen jederzeit gerne zur Verfügung.
Das Interview zum Nachlesen auf dem Magazin „DIE WIRTSCHAFT KÖLN“ oder auf der Webseite von Mammut Aktenvernichtung.