Mannus Weiß, leidenschaftlicher Netzwerker, der sich auf das Thema Datenschutz bei KMUs spezialisiert hat, unterstützt Unternehmen bei der (oft nicht so einfachen) Umsetzung der DSGVO, berät bei der Erstellung der notwendigen Dokumentationen, überprüft die IT-Sicherheit und schult die Mitarbeitenden. Nicht zuletzt sorgt er aber auch dafür, dass alle wieder ruhig schlafen können ohne Angst vor Bußgeldern und Abmahnungen. Im Interview mit DieWirtschaft Köln erläutert er, worauf es bei der Umsetzung zum Thema Datenschutz ankommt.
DIEWIRTSCHAFT: Hallo Herr Weiß, stellen Sie sich doch gerne vor …
Mannus Weiß: Ich heiße Mannus Weiß, bin Geschäftsführer der Datenschutzkonzept GmbH in Zülpich und deutschlandweit unterwegs. Ich begleite Unternehmen als TÜV-zertifizierter externer Datenschutzbeauftragter und Auditor bei der Umsetzung der DSGVO und des Datenschutzes, überprüfe die IT-Sicherheit und bin mittlerweile auch als Beauftragter des Hinweisgeberschutzgesetzes (Whistleblowing) tätig.
Kleine Unternehmen eher schlecht aufgestellt
DIEWIRTSCHAFT: Wie sind denn, Ihrer Erfahrung nach, die Unternehmen mittlerweile aufgestellt, was den Datenschutz angeht?
Mannus Weiß: Das ist sehr unterschiedlich. Insgesamt mache ich die Erfahrung, dass die etwas größeren Unternehmen (ab ca. 50 Mitarbeitern) eher besser, die kleineren Unternehmen leider eher schlechter aufgestellt sind, teilweise die DSGVO aber auch noch gar nicht umgesetzt ist.
Oft komme ich in Unternehmen, die mir im Vorfeld mitteilen, dass sie „etwas“ Beratungsbedarf haben und die DSGVO „teilweise“ umgesetzt haben. Aber die Geschäftsführer haben das Thema auch oft verdrängt und hintangestellt. Und wenn ich dann vor Ort bin, besteht der Datenschutz in einer halb fertigen DSE-Erklärung auf der Website, einem oft nicht funktionierenden Cookie-Banner und ein paar Vorlagen, in denen außer der Firmenbezeichnung nichts eingetragen ist. Wenn ich dann etwas von den Erfordernissen der DSGVO erzähle, werden die Unternehmer immer unsicherer und merken, dass hier ein dringender Handlungsbedarf besteht.
DIEWIRTSCHAFT: Worauf führen Sie denn zurück, dass viele Firmen noch nicht gut aufgestellt sind und kein konkretes Wissen haben, was sie eigentlich machen müssen?
Mannus Weiß: Die DSGVO wird oft gerne, gerade bei kleineren Betrieben, aus dem Bewusstsein verdrängt und nach hinten geschoben, weil der Datenschutz nach Meinung vieler Geschäftsführer nur Geld kostet, Ressourcen einschränkt und nichts bringt. Manche Unternehmer haben es 2018 auch schon einmal mit der Umsetzung versucht, sind dann allerdings gescheitert, weil einfach die Fachkenntnis fehlte.
Allerdings schauen die Kunden, gerade auch die jüngeren, immer öfter darauf, was mit ihren Daten passiert, und eine Umsetzung ist ja gesetzlich auch vorgeschrieben. Deshalb kann ich jedem nur raten, sich da vernünftig aufzustellen.
Datenschutzkonzept erstellen
DIEWIRTSCHAFT: Können Sie uns denn in kurzer Form einmal vorstellen, was jedes Unternehmen machen muss, um DSGVO-konform aufgestellt zu sein?
Mannus Weiß: Natürlich, sehr gerne:
Es muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden.
Hier wird aufgeführt, welche Datenverarbeitungstätigkeiten mit welchen Grundlagen und mit welchen Zugriffsmöglichkeiten durchgeführt werden. Das sind z. B. Zeiterfassung, Lohnbuchhaltung, Finanzbuchhaltung, E-Mail-Verarbeitung, Homeoffice, Nutzung CRM-System, Nutzung von Software, Videoüberwachung (ein heikles Thema), Nutzung Clouddienste usw. So ein Verzeichnis umfasst oft schon bei kleineren Betrieben 150 Seiten.
Es muss eine TOM-Liste (technische und organisatorische Maßnahmen) erstellt werden.
Hier wird aufgeführt, was das Unternehmen unternimmt, um die personenbezogenen Daten zu sichern, also z. B. gibt es ein Antivirusprogramm, eine Firewall, welche Back-ups werden gemacht, wer hat Zugriff auf welche Daten, gibt es ein Berechtigungskonzept usw.
Es muss überprüft werden, ob AV(Auftragsverarbeitung)-Verträge existieren bzw. abgeschlossen werden müssen. AV-Verträge müssen z. B. mit dem Webhoster, dem IT-Dienstleister, dem Cloudanbieter oder der Firma, welche den Drucker wartet, abgeschlossen werden.
Die Datenschutzerklärung und ggf. das Cookie-Banner müssen überprüft werden.
In der Praxis sind hier in über 90 Prozent der Fälle Fehler zu finden. Viele Webmaster installieren z. B. Google Analytics, ohne dass der Kunde das überhaupt nutzt und benötigt.
Die Behörden müssen z. B. Beschwerden von Kunden oder Wettbewerbern nachgehen und die Webseiten überprüfen. Wer dann z. B. Tracking Tools nutzt ohne funktionierende Einwilligung des Besuchers (also ohne oder mit nicht funktionierendem Cookie-Banner), der bekommt einen Fragenkatalog geschickt, der im Regelfall nicht allein zu beantworten ist, und dann wird es teuer.
DIEWIRTSCHAFT: Das ist ja einiges, was es zu beachten gilt. War das denn alles?
Mannus Weiß: Nein, da geht es noch weiter: Es muss ein Datenschutzkonzept und ein Löschkonzept erstellt werden und wenn ein Unternehmen Mitarbeitende hat, sollten auch verschiedene Richtlinien, wie z. B. eine Unternehmensrichtlinie, Homeoffice-Richtlinie und eine IT-Nutzungsrichtlinie, erstellt werden. Zusätzlich muss der Mitarbeitende, genauso wie die Kunden, über die Verarbeitung seiner Daten informiert werden und auch auf das Datenschutzgeheimnis und das TTDSG verpflichtet werden.
Initial müssen alle Mitarbeitenden, welche Daten verarbeiten, zum Thema Datenschutz geschult werden und einmal jährlich sollte man überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss.
Fachmännisch beraten lassen
DIEWIRTSCHAFT: Was empfehlen Sie denn einem Unternehmer, der sich unsicher ist, ob er DSGVO-konform aufgestellt ist?
Mannus Weiß: Das Unternehmen sollte sich auf jeden Fall an einen zertifizierten Fachmann wenden und sich beraten lassen, bevor es sich selbst an den Dokumentationen versucht, das erspart viel Arbeit und auch Kosten.
DIEWIRTSCHAFT: Und wie ist das mit dem Hinweisgeberschutzgesetz, das hatten Sie ja ebenfalls erwähnt. Hat das ebenfalls mit Datenschutz zu tun?
Mannus Weiß: Ja, natürlich, das spielt alles zusammen. Das Hinweisgeberschutzgesetz muss ja seit dem 17.12.2023 bei jedem Unternehmen, welches mehr als 50 Mitarbeitende beschäftigt, umgesetzt sein.
Dort muss eine interne Meldestelle eingerichtet werden, bei der Personen, welche im beruflichen Kontext mit dem Unternehmen stehen, z. B. Diskriminierungen, Übergriffigkeiten, Diebstähle usw. melden können. Bei der Einrichtung einer solchen Meldestelle muss eine sogenannte DSFA (Datenschutzfolgenabschätzung) erstellt werden. Das bedeutet für bestimmte Prozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen. Das ist eine anspruchsvolle Aufgabe, welche fachlichen Beistands bedarf.
DIEWIRTSCHAFT: Vielen Dank, Herr Weiß, das war ja einiges an Input.
Mannus Weiß: Danke ebenfalls für die Möglichkeit, interessierten Unternehmern hier weiterhelfen zu können.
(Eugen Weis)
Weitere Informationen auf www.datenschutzkonzept.com
Dieser Artikel erschien in der Ausgabe DIE WIRTSCHAFT 01 / 2024
Bildquellen
- Mannus Weiß: Manfred Limbach
