DSGVO, EuGH, Schrems … In Sachen Datenschutz haben es Selbstständige und Unternehmer*innen in Deutschland wirklich nicht leicht. Welche Regelungen gelten? Welche Programme darf ich noch nutzen? Datenschutz ist unbequem, aber notwendig. Mit Jasmin Lieffering habe ich genau darüber gesprochen. Sie ist TÜV-zertifizierte Datenschutzbeauftragte und seit vielen Jahren absolute Expertin auf diesem Gebiet.
Simone Maader: Liebe Jasmin, was sind heute aus Deiner Sicht die absoluten Basics, wenn ich eine Website und vielleicht auch Social Media nutze, um mich in Sachen Datenschutz nicht angreifbar zu machen?
Jasmin Lieffering: Eigentlich haben sich seit 2018 gar nicht so viele Veränderungen ergeben, was die Datenschutzerklärung oder die Webseite angeht. Wichtig ist, die Datenschutzerklärung immer up to date zu halten und sie auch in Social-Media-Kanälen verfügbar zu machen, zum Beispiel über einen Link.
Was die Webseite angeht, solltest Du auch die eingebundenen Tools nicht vergessen. Hierbei ist darauf zu achten, wenn es Tools aus unsicheren Drittländern wie den USA sind, dass Du sowas wie Hinweise auf „Privacy Shield“ aus der Datenschutzerklärung entfernst und eine aktuell gültige Rechtsgrundlage wählst. Auch die Standardvertragsklauseln verändern sich immer mal.
Wenn ich mich umhöre oder umsehe, dann habe ich den Eindruck, dass viele Unternehmer*innen das nicht im Detail auf dem Schirm haben, jedenfalls nicht mehr so sehr wie 2018, als die DSGVO verbindlich wurde. Ist Datenschutz auf der Prioritätenliste wieder nach hinten gerückt?
Definitiv ja. Datenschutz war nie das tolle „unbedingt-haben-wollen“ Thema. Es bleibt auch ein Thema, das für viele nicht ganz so einfach zu verstehen ist. Das große Problem im Datenschutz ist, dass man selten Pauschalaussagen machen kann. Das bedeutet letztendlich, dass man den Datenschutz im eigenen Unternehmen immer individuell betrachten muss. Genau das trauen sich viele eben einfach nicht.
Häufig wird das Thema DSGVO immer wieder verschoben, es wird nicht aktiv angegangen und daraus resultiert dann ein hohes Risiko.
Was vielen nicht klar ist: Der Datenschutz wird auch immer mehr als Mittel gegen einen selbst eingesetzt. Wenn jemand versucht, Dir zu schaden, dann ist fast immer das Thema Datenschutz involviert.
Daher ist es wichtig, so etwas wie Auskunftsverlangen ernst zu nehmen. Und es ist genauso wichtig, zu wissen, wann eine Datenschutzverletzung vorliegt und diese rechtzeitig der Aufsichtsbehörde zu melden. Ich denke, das sind die größten Fallstricke, die man sich selber basteln kann.
Kann ich als Selbstständige*r oder als Unternehmensinhaber*in diese Aufgaben irgendwie auslagern oder abgeben, ähnlich wie die Buchhaltung? Zum Beispiel an jemanden wie Dich, Du bist ja Datenschutzberaterin. Oder ist Datenschutz immer „Chefsache“?
Der strategische Datenschutz bleibt immer Chefsache. Die operative Umsetzung allerdings, die kannst Du auch gut an andere abgeben. Als Chef im Unternehmen muss ich den Datenschutz immer ein wenig mitdenken. Die Entscheidungen, die man fällt, haben oft Auswirkungen auf den Datenschutz: sei es eine Veränderung im Geschäftsmodell; eine Veränderung in den Tools, die man einsetzt oder eine Änderung des Produktes. Aber auch Veränderungen in den internen Strukturen, dass man von Freelancern auf festangestellte Mitarbeiter umschwenkt zum Beispiel, das betrifft alles den Datenschutz.
Deshalb empfehle ich immer, auch wenn man nicht wirklich „groß“ ist, sich zu mindestens zweimal im Jahr so etwas wie einen Check-up zu gönnen. Man muss sich das so vorstellen, als würde man zweimal im Jahr zum Arzt gehen. Einfach um zu gucken, ob alles okay ist. Wenn alles in Ordnung ist, dann kann man auch wieder ruhig schlafen.
Wenn sich aber doch irgendetwas findet, dann muss natürlich im Datenschutz nachgebessert werden. Zum Beispiel beim Verzeichnis der Verarbeitungstätigkeiten, also dem Dokument, das erläutert bzw. regelt, wie ich mit Daten Dritter in meinem Unternehmen umgehe.
Ich denke, ein Chef muss sich nicht unbedingt in die Feinheiten der DSGVO und des Datenschutzes einarbeiten. Ich glaube auch, dass das fast gar nicht geht. Als Beispiel die Datenschutzerklärung. Wie lange braucht es, um eine Datenschutzerklärung selbständig zu erstellen? Wenn Du bei Null anfängst, dann musst Du Dich erst mal im Internet schlau lesen.
Jede*r muss selbst wissen, wieviel Zeit für das Thema Datenschutz übrig ist oder was man an Zeit und Frust spart, wenn man sich jemanden zur Unterstützung ins Boot holt. Abgesehen davon ist es sehr schwer, immer zu sehen, was wirklich notwendig ist, glaube ich. Vor allem, wenn man nicht im Thema steckt.
Was genau ist denn überhaupt eine Datenschutz-Verletzung? Wann ich sollte ich was konkret melden? Gibt es dazu Richtlinien? Und was sind deine Tipps?
Eine Datenschutz-Verletzung ist der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden zu melden. Sie muss dabei nicht unbedingt vollständig sein. Das ist so in der DSGVO festgelegt. Datenschutzverletzungen können ganz unterschiedlicher Natur sein.
Einer der häufigsten Verstöße ist das Versenden von Massen-Mails, also klassisch Newsletter, mit offengelegten E-Mail-Adressen. Anstatt also den Verteiler im bcc zu haben, Adressen einfach in cc zusetzen. Es können aber auch Anhänge an E-Mails sein, die falsch zugestellt worden sind; das Verschlüsseln eines Computers; der Verlust von Daten; Zugriff von unbefugten Dritten.
Also eine große Bandbreite an möglichen Fehlern, die einem unterlaufen können. In welchem Bereich siehst Du denn bei Verstößen gegen den Datenschutz die größten Risiken?
Die größten Risiken sehe ich eigentlich in dem Vertragswesen zur DSGVO. Ich meine damit konkret, die Auftragsverarbeitungsverträge aktuell zu halten. Schnell wird ein neuer Dienstleister eingesetzt oder ein neues Tool, und oft wird dann vergessen, nach dem Auftragsverarbeitungsvertrag zu fragen – oder der Dienstleister wird gar nicht auf Datenschutz geprüft. Denn darüber muss man sich im Klaren sein:
Als Chef*in im Unternehmen ist man verantwortlich.
Das kann man auch nicht in den AGB oder sonstigen Vereinbarungen anders gestalten. Man bleibt verantwortlich für das, was man tut. Auch wenn man andere mit dazu holt. Und dort sehe ich eigentlich das größte Risiko für Unternehmen.
Gerade jetzt, wo Aufsichtsbehörden anfangen, den Datentransfer in Drittländer mit nicht angemessenem Datenschutz-Niveau (also zum Beispiel die USA) zu überprüfen. Wenn man dann keine Risiko-Einschätzung gemacht hat und die richtige Version der Standardvertragsklauseln nutzt, kann einem die weitere Nutzung des Tools oder die Zusammenarbeit mit dem Dienstleister untersagt werden.
Wenn wir jetzt ganz konkret auf Tools aus den USA oder anderen Drittländern wie Großbritannien schauen: Rätst Du generell von der Nutzung solcher Angebote ab? Das betrifft ja nicht nur E-Mail-Dienste wie ActiveCampaign oder MailChimp, sondern auch die Google Suite oder Microsoft-Produkte.
Generell rate ich davon nicht unbedingt ab. Was ganz leicht vergessen wird ist, dass die IT-Sicherheit in vielen Fällen besser ist, als bei Alternativen in der EU. Bestes Beispiel ist die abgebrannte Serverfarm eines Hosters in Frankreich im März 2021. Dort waren eben auch die Backups am gleichen Ort gelagert.
Microsoft hingegen hat extrem hohe Standards für seine Server. Kaum ein europäischer Anbieter kann da mithalten. Auch die Zuverlässigkeit von Diensten kann für amerikanische Anbieter sprechen. Es hängt vom Schutzniveau der Daten ab. Das muss bestimmt werden und eben das Risiko, das mit einem solchen Transfer in Kauf genommen wird.
Muss ich, wenn ich mich dafür entscheide, das Risiko einzugehen (weil z. B. das Kosten-Nutzen-Verhältnis dafür spricht), jeden einzelnen Vertrag bzw. die Standardvertragsklauseln eigenständig überprüfen? Das ist alles immer auf Englisch und für Laien sind ja schon deutschsprachige Rechtstexte kaum verständlich. Was empfiehlst Du?
Im Grunde ist das exakt so vorgesehen. Du musst für jeden Anbieter schauen,
- welche Verarbeitungstätigkeit da drin ist,
- welche Daten an diesen Anbieter transferiert werden und
- welches Risiko besteht.
- Dann musst Du im zweiten Schritt das Datenschutzniveau des Landes, in dem der Anbieter sitzt, analysieren und mit dem Anbieter die neuen Standardvertragsklauseln abschließen.
Kann man selber machen, muss man aber nicht. Ich habe ja schon eine Menge Tools dahingehend geprüft. Man kann es sich also auch leicht machen und jemanden beauftragen, diese Prüfung durchzuführen.
Also: Entweder bei Tools bleiben, die auf deutschen oder europäischen Servern laufen und unproblematisch in Sachen DSGVO sind. Oder Unterstützung ins Boot holen. Liebe Jasmin, ich danke Dir für diese Einblicke. Datenschutz ist und bleibt ein wichtiges Thema.
Wenn Du jetzt für Dein Unternehmen prüfen möchtest, wie es in Sachen Datenschutz aussieht, dann kannst Du Jasmin Lieffering eine E-Mail an info@litc.de schicken und einen Termin für ein Erstgespräch vereinbaren. Vielleicht passen auch entsprechende Angebote aus ihrem Online-Shop für Dich.
Jasmin ist seit 2015 vom TÜV zertifizierte Datenschutzberaterin. Sie ist auf Online-Business, Projektarbeit und datenbasierte Geschäftsmodelle spezialisiert und hilft innovativen Unternehmern (vom Solopreneur bis zu KMU), Ideen und Prozesse auf eventuelle Datenschutzverstöße zu prüfen und Lösungen zu erarbeiten. Mehr dazu unter www.litc.de und im LITC-Online-Shop.