27. Nov. 2018 | Experten
Datenschutz ist ein sensibles Thema, das gerade von kleinen Unternehmen oft unterschätzt wird. Das Unternehmen datenschutzexperte.de stellt seinen Kunden externe Datenschutzbeauftragte zur Seite, die sie im Unternehmensdatenschutz beraten. Im Interview verrät uns Gründer und Geschäftsführer Dominik Fünkner mehr.
Hallo Dominik, kannst Du Dich und Dein Unternehmen datenschutzexperte.de einmal unseren Lesern bekannt machen?
Sehr gerne! Ich bin Dominik, zertifizierter Datenschutzbeauftragter (DEKRA) und Geschäftsführer von datenschutzexperte.de. Wir sind ein junges Legal-Tech Unternehmen aus München. Als externer Datenschutzbeauftragter beraten wir unsere Kunden – kleine und mittlere Unternehmen aller Branchen – dabei, die Anforderungen der europäischen Datenschutzgrundverordnung (EU-DSGVO) mit digitalen Datenschutzkonzepten einfach und sicher umzusetzen. Dabei legen wir besonderen Wert auf pragmatische und digitale Lösungsansätze. Unsere eigens entwickelte SaaS-Kundenplattform myDSE ermöglicht es unseren Kunden den Unternehmensdatenschutz vollständig digital und somit einfach, sicher und schnell umzusetzen und zu verwalten.
Ihr bietet euren Kunden ein Abomodell für den Datenschutz an. Wie genau funktioniert euer Geschäftsmodell? Welche Branchen zählen zu euren Kunden?
Das ist richtig. Unser Angebot untergliedert sich in das Basis-, Medium- oder Premium-Paket. Ein Faktor bei der Auswahl des passenden Modells ist beispielsweise, ob das Unternehmen eine Onlinepräsenz hat, oder nicht. Je nach Paket sind unterschiedliche Leistungen enthalten. Das Basis-Paket richtet sich an kleine Betriebe mit wenigen Angestellten, die eine klar abgegrenzte Kernleistung erbringen. Das Medium-Paket ist für kleine und mittlere Unternehmen geeignet, welche sich sowohl rechtlich absichern, als auch eine individuelle Beratung genießen möchten. Das Premium-Paket richtet sich an Unternehmen mit zahlreichen und/oder komplexeren Kernleistungen, bei denen auch sensible personenbezogene Daten verarbeitet werden. Unser erfahrenes Sales-Team unterstützt unsere Kunden bei der Auswahl des für sie passenden Modells. Bei einem etwa 30-minütigen Beratungsgespräch wird ganz individuell auf die Bedürfnisse des Kunden eingegangen und das richtige Modell ausgewählt.
Alle Leistungspakete beinhalten die Stellung eines externen Datenschutzbeauftragten, eine umfangreiche Datenschutz-Bestandsaufnahme in Form eines Audits sowie Zugang zu unserer Kundenplattform myDSE. Je nach Bedarf des Unternehmens bieten wir unseren Kunden darüber hinaus Beratungsstunden zu datenschutzrechtlichen Fragestellungen, Webinare und/oder Unterstützung bei externen Auditierungen.
Wir zählen Unternehmen über alle Branchen hinweg zu unseren Kunden – vom innovativen Startup bis zum etablierten Traditionsunternehmen vertrauen unsere Kunden auf unsere Produktlösungen.
Wann ist ein Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen?
Gemäß dem BDSG besteht für alle Unternehmen ab zehn Mitarbeitern die Pflicht zur Benennung eines Datenschutzbeauftragten, soweit diese ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Ein Unternehmen kann in Deutschland aus der Datenschutzgrundverordnung (DSGVO), sowie aus dem Bundesdatenschutzgesetz (BDSG) verpflichtet sein, einen Datenschutzbeauftragten (DSB) zu benennen.
Gemäß dem BDSG besteht für alle Unternehmen ab zehn Mitarbeitern die Pflicht zur Benennung eines Datenschutzbeauftragten, soweit diese ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss. Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört. Beispiele sind hier u.a. Mitarbeiter in Vertrieb und Kundenservice, im Marketing, in der Personalabteilung oder der Lohn- und Finanzbuchhaltung.
Hierbei ist es unerheblich, ob es sich bei den Mitarbeitern um Voll- oder Teilzeitbeschäftigte, freie Mitarbeiter oder Auszubildende und Praktikanten handelt.
Unabhängig von der Zahl der Mitarbeiter besteht gemäß DSGVO (§ Art. 37 Abs. 1) eine Benennungspflicht, wenn
Die Kerntätigkeit bezieht sich auf die Geschäftsbereiche eines Unternehmens, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen liegt z. B. vor, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.
Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt beispielsweise vor, wenn die Haupttätigkeit in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Die umfangreiche Verarbeitung von genetischen, biometrischen Daten sowie von Gesundheitsdaten fällt ebenfalls hierunter.
Keine Kerntätigkeit ist z.B. die Verarbeitung von Mitarbeiterdaten, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.
Interner oder externer Datenschutzbeauftragter: Was sind die Vor- und Nachteile?
Grundsätzlich kann ein betrieblicher Datenschutzbeauftragter (DSB) sowohl intern in Person eines Mitarbeiters, als auch extern als Dienstleister bestellt werden.
Fällt die Wahl des Unternehmens auf den internen DSB, so kennt der Mitarbeiter zwar die Betriebsabläufe und bedarf keiner gesonderten Einarbeitung, die Aus- und Fortbildung eines internen Datenschutzbeauftragten ist jedoch grundsätzlich mit enormen Kosten verbunden. Diese beschränken sich nicht auf eine einmalige Schulung zum zertifizierten Datenschutzbeauftragten, sondern umfassen darüber hinaus zeitintensive und aufwändige Weiterbildungsmaßnahmen. Der interne DSB genießt zudem einen besonderen Kündigungsschutz (vergleichbar mit einem Betriebsrat).
Für einen internen Mitarbeiter ist es oftmals nur unter enormem Aufwand möglich, neben seinem Tagesgeschäft zusätzlich den strengeren Anforderungen der DSGVO gerecht zu werden. Weiter kann sich bei einem internen DSB ein Interessenskonflikt mit der bestehenden Tätigkeit ergeben. Insbesondere dann, wenn eine Abwägung zwischen Datenschutz und Wirtschaftlichkeit nötig ist. Daher besteht zu Recht ein Verbot der Rollenvergabe an die Geschäftsführung, den IT- oder Personalleiter, da hier das Risiko eines solchen Interessenskonflikts besonders hoch ist.
Eine juristisch sichere sowie kostengünstige Alternative bietet die Stellung des Datenschutzbeauftragten durch einen externen Dienstleister – wie wir sie unseren Kunden bei datenschutzexperte.de bieten. Die hohe Expertise eines externen betrieblichen Datenschutzbeauftragten garantiert den besten Schutz für ein Unternehmen und lohnt sich insbesondere für kleine und mittlere Unternehmen.
Ein maßgeblicher Vorteil des externen DSB ist, dass die Kosten einer vertraglich festgelegten Preisstruktur folgen und somit volle Kostentransparenz geschaffen wird.
Ein maßgeblicher Vorteil des externen DSB ist dabei, dass die Kosten einer vertraglich festgelegten Preisstruktur folgen und somit volle Kostentransparenz geschaffen wird. Unsere zertifizierten Datenschutzbeauftragten weisen allesamt einen juristischen Hintergrund sowie zusätzlich zertifizierte Fachkunde auf. Diese Fachkunde nutzen wir dazu, das Risiko von Datenschutzverletzungen im Rahmen betrieblicher Datenverarbeitungen zu minimieren. Sollte es dennoch zu einem Verstoß kommen, so besteht die Haftung im Rahmen der vertraglichen Regelungen des Dienstvertrags. Die neutrale Position des externen Datenschutzbeauftragten ermöglicht uns dabei, pragmatische und praxisnahe Datenschutzlösungen zu finden.
Viele wussten gar nicht was auf sie durch die neue DSGVO zukommt. Bis Ende April gab es keinerlei Anwendungsbeispiele des Datenschutzgesetzes. Was waren die größten Veränderungen in der neuen DSGVO?
Die DSGVO hat vor allem die drohenden Sanktionen verschärft, weil sie den Rahmen der Bußgelder stark erhöht hat. Nach Art. 83 DSGVO können bei Verstößen gegen die Regelungen der neuen Verordnung Bußgelder bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Umsatzes verhängt werden. Darüber hinaus werden die Organe von Unternehmen mit drohenden Sanktionen stärker in eine persönliche Verantwortung eingebunden.
In der Praxis verlangt die DSGVO von Unternehmen beispielsweise die Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten und die detaillierte Dokumentation der technischen und organisatorischen Maßnahmen. Die neuen Vorgaben wirken sich auch auf (online und offline) Einwilligungserklärungen aus. Viele Unternehmen mussten daher insbesondere die Datenschutzerklärung Ihrer Unternehmenswebsite gewaltig überarbeiten.
Die DSGVO hat maßgeblich zum Ziel, die Rechte der Individuen zu stärken, was an den neuen Rechten auf Vergessenwerden oder bei der Verarbeitung von Mitarbeiterdaten deutlich wird.
Was sich seit Inkrafttreten der DSGVO tatsächlich verändert hat, ist wohl der Stellenwert, den der Datenschutz in der medialen Öffentlichkeit genießt – auch wenn die DSGVO mitunter in ein schlechtes Licht gerückt wird. Die Maßnahmen dienen dem Schutz unserer personenbezogenen Daten im digitalen Informationszeitalter.
Was sind die häufigsten Irrtümer und Fehler, die eure Kunden in Sachen DSGVO begehen?
Datenschutz wird leider oft mit IT-Sicherheit verwechselt. Diese deckt aber nur einen geringen Teil des eigentlichen Datenschutzes ab. Denn in jeder Unternehmensabteilung (Personal, Vertrieb, …) bestehen besondere datenschutzrechtliche Vorgaben, die von der IT-Abteilung nicht überschaut werden können. Viele – insbesondere kleine – Unternehmen gehen oft davon aus, dass sie keinen Datenschutzbeauftragten benötigen. Doch sobald mindestens zehn Personen (dazu zählen auch Freelancer, Praktikanten, …) z. B. Zugriff auf Outlook haben, ist ein Datenschutzbeauftragter vorgeschrieben. Meist rechnet man nicht damit, dass eine Kontrolle das eigene Unternehmen trifft, bis es passiert. Einige Firmen haben bereits eine Abmahnung erhalten, die sich auf die DSGVO stützt. Ein Großteil der digitalen Unternehmen rechnet fest mit solchen Abmahnungen.
Nach der DSGVO ist vor der ePrivacy Verordnung. Worauf müssen sich Unternehmer einstellen?
Die ePrivacy Verordnung soll auf EU-Ebene verbindliche Vorgaben für den Umgang mit sensiblen, personenbezogenen Daten in Online-Medien schaffen. Diese Vorschriften sollen das Vertrauen der Bürger in elektronische Kommunikationswege erhöhen und die Rahmenbedingungen für digitale Unternehmen in den EU-Ländern harmonisieren. Die ePrivacy Verordnung normiert Handlungsempfehlungen für Unternehmen in der Online-Branche und verlangt Einverständniserklärungen von Privatpersonen. Sie regelt den Umgang mit Cookies, die Datensicherheit bei elektronischen Kommunikationsdiensten und Formen der ungebetenen Kommunikation (z. B. Telefonmarketing).
Bislang liegt die ePrivacy Verordnung nur als Entwurf vor, der erst noch beschlossen werden muss. Wann dies der Fall sein und sie damit verbindliches Recht werden wird steht noch nicht fest.
Das Online-Marketing und der Online-Advertising-Markt müssen sich auf Verluste durch entgangene Werbeeinnahmen einstellen und stehen damit vor finanziellen Herausforderungen. Bei Verstößen gegen die ePrivacy Vorschriften drohen empfindliche Geldstrafen. Für die Nutzung von Cookies verlangt der EU-Gesetzgeber künftig eine Zustimmung der Websitebesucher. Damit schafft die ePrivacy Verordnung einen strengeren Rahmen für Websitebetreiber, die Cookies einsetzen.
Wie wird man eigentlich externer Datenschutzbeauftragter? Welche Voraussetzungen und Weiterbildungen sind nötig?
Um zertifizierter Datenschutzbeauftragter zu werden ist eine Ausbildung bei einer Prüfstelle (z. B. DEKRA oder TÜV) erforderlich. Die mehrtägige Ausbildung vermittelt tiefgreifendes Wissen über die geänderten Datenschutzbestimmungen und befugt den Kandidaten, als externer Datenschutzbeauftragter zu agieren. Sich dieses Fachwissen im Rahmen einer Schulung einmalig anzueignen, damit ist es meines Erachtens allerdings nicht getan. Derzeit passiert im Bereich Datenschutz sehr viel. Die befürchtete Abmahnwelle ist (glücklicherweise) ausgeblieben, doch Behörden stocken zunehmend Personal auf, um allen Datenschutzanfragen gerecht zu werden und die ersten Datenpannen und Datenschutzverletzungen werden bereits vor Gericht ausgetragen. Wer da nicht am Ball bleibt, kann der beratenden Tätigkeit des Datenschutzbeauftragten nur schwer gerecht werden.
Wie gehst Du als Datenschutzexperte im Privatleben mit deinen sensiblen Daten um? Hast du ein paar Handlungsempfehlungen für uns?
Einige Handlungsempfehlungen, die ich geben kann:
Privat hinterfrage ich alles kritisch und gebe Acht darauf, meine personenbezogenen Daten nie fahrlässig herauszugeben.
- Sichere Konfiguration von Computer und mobilen Endgeräten, durch Änderung der vorgegebenen Einstellungen am Gerät selbst
- Einrichtung des Access Points (= Router) und die laufende Administration sollte über kabelgebundene Wege und nicht über Funk erfolgen, keine unbefugten Personen sollten direkten Zugang zu Access Points haben
- Änderung des Netzwerknamens (SSID) des WLANs; der Name sollte keinen Bezug der Personen herstellen können (Name, Straße, Wohnort, …) und auch nicht den Herstellernamen und Gerätetyp enthalten
- Für den privaten Bereich ist eine Verschlüsselung mit WPA2 empfehlenswert
- Komplexes Passwort mit mindestens 20 Zeichen für das WLAN daheim
- WLAN nur bei Gebrauch einschalten
- Vor dem Absenden von Bildern und persönlichen Informationen überlegen, inwieweit eine Veröffentlichung oder Verbreitung problematisch sein könnte und wer auf die Informationen zugreifen kann.
Weitere spannende Interviews: