Datenschutz und DSGVO ohne Schnickschnack – Was muss ich unbedingt erledigen?

[00:00:00.170] – Intro
Die KMU-Berater auf Augenhöhe mit Herz und Verstand, mit Engagement und Erfahrung. Als Bundesverband Freier Berater haben wir uns dem Erfolg kleiner und mittelständischer Unternehmen verschrieben. Viele Herausforderungen brauchen viele Spezialisten. Mit Branchen Know-How und spezialisiertem Fachwissen bringen wir die Professionalisierung Ihres Unternehmens voran. Treffen Sie hier Ihre Berater, die am besten zu Ihnen und Ihren Herausforderungen passen. Die KMU-Berater auf Augenhöhe. Wir sprechen mittelständisch.

[00:00:36.890] – Ulrich Zimmermann
Unternehmer Lieblingsthema Datenschutz Grundverordnung DSGVO. Da kriegen wir alle Pickel und Kopfschmerzen. Und manche Leute haben da Spaß dran. Und genau mit so einem Menschen rede ich heute mit Mannus Weiß. Der hat wirklich Spaß daran, anderen Unternehmern zu helfen. Wie kriegt man denn dieses Kopfschmerz Thema einfach ein für alle Mal so gelöst, dass man es aus den Füßen hat? Und der sagt sogar da gibt es noch einen Haufen Chancen hinter der DSGVO, wenn man sie zur Chefsache macht. Also erst mal herzlich willkommen Mannus, bei uns heute hier im Podcast. Herzlich willkommen. Was, also ich frage mal so ganz direkt, was ist denn der Spaßfaktor, wenn man über die DSGVO redet?

[00:01:24.720] – Mannus Weiß
Ja, für die meisten Menschen ist das ja ein rotes Tuch. Absolut, absolut. Jeder weiß ja seit Mai 2018 spätestens, ich muss es umsetzen. Die meisten haben wir angefangen, dann haben die Formulare liegen ganz weit unter dem Stapel und da steht immer noch Firma Mustermann Musterstraße Musterstadt drauf. Jeder weiß Ach, ich muss eigentlich mal ein paar Dokumentationen erstellen, aber kein Unternehmer weiß eigentlich, wo er anfangen soll. Und das ist das Problem und deshalb wird das einfach verdrängt. Das andere Problem ist natürlich, wenn du einen Behördenkontakt hast oder wenn Kunden bei dir irgendwelche Sachen nachfragen, was Datenschutz angeht, du kannst nicht liefern, gibt es Ärger. Und das zu umgehen, sollte man einfach Datenschutz und eine DSGVO umsetzen. Und es ist natürlich auch ein Wettbewerbsvorteil, weil wenn junge Menschen vor allem merken, die Daten sind sicher aufgehoben, die trauen einfach den Unternehmen mehr.

[00:02:15.010] – Ulrich Zimmermann
Das wäre also das Reputationsthema zu sagen. Ist das erlebbar, dass die Leute sagen, ich gucke da hin und gucke sie nicht nur lästig, sondern tatsächlich ein Beweis für professionelle Arbeit?

[00:02:26.790] – Mannus Weiß
Ja, also es ist ja momentan diese Abmahnwelle unterwegs. Das ist ja ein eigenes Thema für sich. Aber es gibt auch viele junge Menschen – ich rede auch viel mit Startups, ich betreue auch viele Startups –, die gucken einfach drauf, dass die Daten nicht nach Amerika gehen oder informieren sich wirklich in der Datenschutzerklärung, welche Daten verarbeitet werden, zu welchen Zwecken. Also das Cookie Banner ist für viele nicht nur lästig, sondern die gucken sich das wirklich an und kreuzen wirklich an, welches Tracking bei ihnen erlaubt ist.

[00:02:57.510] – Ulrich Zimmermann
Das ist ja ein wichtiger Punkt.

[00:02:59.200] – Mannus Weiß
Dadurch wird natürlich andererseits die Analyse Software, zum Beispiel Google Analytics, die dahinter hängt, ist ja nicht mehr so aussagekräftig. Denn wer nicht zustimmt Google Analytics, ausspielen zu lassen, fehlen halt die Daten. Das andere Problem ist natürlich auch viele Cookie Banner sind noch in der Farm unterwegs und auf Webseiten, die nicht mehr zulässig sind. Das ist das eine. Und viele Cookie Banner sind falsch konfiguriert. Wenn ich Webseiten überprüfe – jetzt mittlerweile werden die Leute immer sensibler durch diese Riesen-Abmahnwelle wegen Google Fonds –, wenn ich Webseiten überprüfe, kann ich sagen: Na ja, 70 Prozent der Cookie Banner sind falsch konfiguriert.

[00:03:39.400] – Ulrich Zimmermann
Das hört sich ja alles relativ erschreckend an und der Spaßfaktor fehlt noch. Der Spaßfaktor wird natürlich dann umso schlimmer, wenn man eine Abmahnung trifft und irgendwie mal kurz vorm Atemstillstand ist, wenn man denkt „Oh Gott, das kostet einen Haufen Geld, kostet einen Haufen Stress, ein Haufen Arbeitszeit für nichts“ und auch einmal richtig gemacht. Und das wäre ja eine gute Frage. Was muss man denn überschaubar tun, damit es richtig gemacht ist? Das sind denn das? Sind ja nicht viele Punkte.

[00:04:06.490] – Mannus Weiß
Na ja, also so viele Punkte sind es nicht. Aber die Punkte haben natürlich Unterpunkte. Ja, es kommt auch so ein bisschen darauf natürlich auf das Unternehmen an. Es kommt darauf an, was für Daten verarbeitet werden, ob nur ganz normale personenbezogene Daten verarbeitet oder sensible Daten, also Daten wie Gewerkschaftszugehörigkeit, ethnische Herkunft, sexuelle Orientierung, Gesundheitsdaten allgemein. Das sollte man unterscheiden. Die haben besonderen Schutzbedarf. Und generell mache ich auch die Erfahrung, dass die größeren Unternehmen, sagen wir mal ab 50 Mitarbeiter aufwärts eher besser aufgestellt sind. Die haben sich schon mit dem Thema auseinandergesetzt, weil natürlich die Strafen auch empfindlich höher sein können. Strafen werden ja nach dem Jahresumsatz bemessen. Worst-case bis zu 4 Prozent. Das kann schon mal richtig wehtun. Und wenn du zum Beispiel ein großer Onlineshop bist, der viel Umsatz trägt, mit einer kleinen Gewinnmarge, kann dich das eine Existenz kosten. Deshalb die größeren Betriebe, auch die, die mehr Umsatz bringen, sind einfach sensibler. Und die kleinen verdrängen das oft. Es wird einfach verdrängt. Und deine Frage war jetzt, was man machen muss.

[00:05:09.070] – Ulrich Zimmermann
Was man machen muss, was sind denn so die Big Points, die, die, also was ist denn so der Mindeststandard, den man wirklich bringen muss, damit man auf der einen Seite auf der rechtlichen Seite safe ist, man nicht anschießbar ist und auf der anderen Seite – Thema Reputation „Wir sind zeitgemäß unterwegs, wir kümmern uns die Sicherheit unserer Kunden. Wir machen da keinen Unfug mit. Wir geben denen ein sicheres Gefühl.“ Also all diese Dinge. Was muss man denn dafür tun, dass das erreicht ist?

[00:05:36.900] – Drop
Auf ein Wort.

[00:05:38.860] – Mannus Weiß
Fangen wir am besten bei dem Größten an. Es muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden. In dem Verzeichnis muss alles aufgeführt werden, welche Daten von wem mit welcher Rechtsgrundlage verarbeitet werden, ob die Daten irgendwo hingegeben werden in ein Drittland, in ein unsicheres Drittland, wie zum Beispiel aktuell USA nach Wegfall des Privates-Logistik-Schilds und wer auf welche Daten zum Beispiel Zugriff hat. Da kommen zum Beispiel die Themen Zeiterfassung, Lohnbuchhaltung, Finanzbuchhaltung, E-Mail-Verarbeitung, Homeoffice Nutzung. Habe ich eine Videoüberwachung im Betrieb, die muss natürlich auch noch mal speziell ausgeschildert werden. Das ist auch wichtig, dass der Besucher, der in den Betrieb kommt, bevor er den Betrieb betritt, muss er über seine Rechte und über die Art der Videoüberwachung aufgeklärt werden. Man muss darlegen, welche Cloud-Dienste man nutzt, welche Software man nutzt und so weiter. Also alles, was in irgendeiner Form mit Datenverarbeitung zu tun hat, muss in diesem Verzeichnis der Verarbeitungstätigkeiten aufgeschrieben werden.

[00:06:38.000] – Ulrich Zimmermann
Hätte ich ja schonmal die erste Befürchtung, dass wir, wenn wir das laienhaft machen, ja natürlich maximal 5% der Dinge denken, die du da aufgezählt hast.

Mannus Weiß

Ja, natürlich. Also erst mal, das Problem ist natürlich auch der Unternehmer hat keine Software, er hat kein Wissen. Manchmal haben Institutionen, Handwerkskammer, IHKs und so ein kurzes Einführungsseminar gemacht. Dann haben die Leute ein paar Unterlagen bekommen und dann auf der zweiten Seite haben die dann schon aufgehört. Ich kriege ja immer diese Unterlagen hingelegt. Dann hängen die sagen ja, ich weiß gar nicht mehr, was ich da eintragen soll. Es fehlt einfach das Fachwissen.

[00:07:14.830] – Ulrich Zimmermann
Wir stehen da wieder zu deutsch für den Ochser Berg.

[00:07:15.700] – Mannus Weiß
Genau. Und der zweite Punkt, was gemacht werden sollte oder muss, ist eine TOM-Liste. Tom heißt technisch organisatorische Maßnahmen. Da führt das Unternehmen also auf, wie ist die Daten der Kunden sichert? Was gibt es für ein Antivirus-Programm? Was gibt es für eine Firewall? Was werden für Backups gemacht? Wie oft werden die Backups gemacht? Wer Zugriff auf welche Daten? Gibt es Berechnungskonzepte für das CRM-System wegen mir? Die TOM-Liste wird auch immer wichtiger, weil in heutigen Zeiten werden ja auch immer mehr Cyber-Risk-Versicherungen abgeschlossen. Und oft fordern die Versicherungen so eine Tom-Liste und wollen natürlich genau wissen, wie das Unternehmen die Daten schützt. Ja, ich habe eine Marketingagentur, die ich betreue, die macht Marketing für einen sehr, sehr großen LKW-Hersteller. Und die haben die jetzt angeschrieben, haben gesagt, schick mal bitte eure Tom-Liste, sonst kriegt ihr keinen Auftrag mehr von uns. Also das wird immer wichtiger mit der Tom-Liste. Es ist auch zur Selbsteinschätzung natürlich wichtig, dass man einfach mal vielleicht einen Fremden draufgucken lässt. Man lebt ja in seiner normalen Betriebsblindheit. Jeder ist ja irgendwie betriebsblind. Und wenn da so einer kommt wie ich zum Beispiel, ich bin ja auch IT-Sicherheitsbeauftragter und schaue mal über die IT drüber und gebe ein paar Tipps. Es kann ja nie schaden.

[00:08:34.740] – Ulrich Zimmermann
Du machst ja auch Auditierungen.

[00:08:36.570] – Mannus Weiß
Ja, ich mache Auditierung. Ich bin ein externer Datenschutzbeauftragter, wenn man das möchte.

[00:08:41.510] – Ulrich Zimmermann
Es hat immer viel Charme, wenn man selber keinen Spaß an einem Thema hat, jemanden drüber gucken zu lassen, der da Spaß und vor allen Dingen Ahnung von hat und tief in der Materie ist und selber ja andere Leute darin auditiert, weiterführt, weiterbildet. Da hat man natürlich einen anderen Zugriff auf Know how und Expertise. Man versucht es selber zu machen.

[00:08:59.330] – Mannus Weiß
Ich muss dazu sagen, ich habe ein Unternehmen kennengelernt in meiner Laufbahn jetzt seit wieviel Jahren. Das hat die DSGVO zu 99 Prozent selber umgesetzt. Ein kleines Unternehmen mit 30 Mitarbeitern, aber die Frau war so ein Freak. Die hat sich so da reingelesenund die ist auch freigestellt worden. Und da bin ich hingekommen und da habe ich gesagt Leute, es sind ein paar Kleinigkeiten, die wir im Verarbeitungsverzeichnis anpassen sollten. Aber alles andere war tipptopp, bis auf die Website. Okay, da war der Webmaster aber schuld. Aber es gibt wirklich Unternehmen, aber sehr, sehr wenige. Bei den Großen, die haben natürlich wirklich zig Leute eingestellt, Anwälte, externe Datenschutzbeauftragte sind fit. Aber wie gesagt, bei den kleineren KMUs, Handwerksbetrieben hapert es also sehr, sehr viel. Auch die Begrifflichkeiten, kommen wir mal zum dritten Punkt: AV-Verträge. Früher ADV, Auftragsdatenverarbeitung, heute AV-Auftragsverarbeitungsverträge. Die müssen mit all denen abgeschlossen werden, denen der Unternehmer Daten gibt. Also der Hoster der Website zum Beispiel. Der Webmaster, der die Website betreut, weil der hat in den meisten Fällen auch Zugriff auf die IP Adressen oder auf Google Analytics zum Beispiel. Hast du jemand, der deinen Drucker wartet und per Fernzugriff auf deine Drucker Festplatte zugreifen kann? Mit dem muss auch so ein AV-Vertrag abgeschlossen werden. Und der IT-Dienstleister, der sich mit TeamView auf deinen Rechner einwählen kann, dir zu helfen, mit dem muss auch so ein AV-Vertrag abgeschlossen werden. Und da kommen im normalen Leben schon die ersten Problemchen, weil der IT-Dienstleister, also wenn du dem einen Auftragsverarbeitungsvertrag hinlegst, sagst du dann schreib das mal bitte, dann muss der IT-Dienstleister, also es gibt da kein pauschales Ding für, also man muss nicht genau eintragen, welche Kategorien von Daten es geht, wer die betroffenen Personen sind, was überhaupt die Geschäftsgrundlage für den Vertrag ist. Und dann muss der IT-Dienstleister seine Tom-Liste, die wir eben besprochen hatten, auch bringen. Und wenn das eine kleine Klitsche, dann hat er keine Tom-Liste und dann fängt es nämlich an, weil dann ist der Vertrag nicht gültig, wenn er nicht seine TOMs bringt.

[00:11:06.500] – Ulrich Zimmermann
Das ist ja wie ein Kettenbrief. Das ist ja eine unendliche Reaktion.

[00:11:09.500] – Mannus Weiß
Ja, also die größeren IT-Systemhäuser und Dienstleister haben natürlich so eine AV-Fertigung oder haben auch TOM-List, weil die kleineren, da hapert es natürlich auch. Und dann sagt der ITler: Ach was, das brauche ich nicht. Doch, das brauchen wir doch, sonst gilt das nicht. Das sind manchmal endlose Diskussionen.

[00:11:25.650] – Ulrich Zimmermann
Das hört sich ja ziemlich spannend an

[00:11:27.520] – Mannus Weiß
Ja, ist auch spannend.

[00:11:29.170] – Ulrich Zimmermann

Ich sage mal, so ein kleines Unternehmen hat man ganz praktisch gefragt. Also so eine mini Glitsche wie mich, so ein ein, zwei, drei Mann Laden. Wie viel Zeitaufwand ist es da so? Weil das hört sich ja recht komplex an.

[00:11:42.180] – Mannus Weiß
Also wenn du es selber umsetzen willst ist eigentlich nicht möglich. Wenn man das zusammen macht, ist das ein Aufwand vielleicht von einer Woche. Tatsächlich. Weil es ist ja nicht nur eben mal gemacht. Es müssen ja der Webmaster mit dem muss gesprochen werden. Es muss mit dem IT-Dienstleister gesprochen werden. Es muss besprochen werden: Wie sollen denn die Mitarbeitervereinbarungen zum Beispiel aussehen? Was ist mit der Homepage? Was kann man optimieren? Viele Webmaster packen einfach auf die Homepage direkt Google Analytics drauf, sagen: Ja, das ist toll, damit kannst du deine Kunden analysieren. Die wenigsten Leute gucken wirklich drauf und nutzen das, haben dann aber ein Tool, was sehr, sehr umstritten ist und was oft nicht durch einen Cookie Banner blockiert wird. Und dann ist schon der Ärger da. Da muss man auch erst mal mit dem Unternehmer schauen. Was willst du? Ist deine Website einfach nur eine Visitenkarte, die zeigt dir ein bisschen, was du machst? Oder willst du wirklich tracken? Willst du die Mauszeiger-Bewegung von deinen Kunden tracken? Nutzt du das wirklich? Oder lass es lieber weg, dann gibt es halt keinen Ärger. Generell brauchen eine Website überhaupt nicht unbedingt Cookies. Nur die Webmaster packen es halt gerne drauf, aus welchen Gründen auch immer. Aber man muss wirklich mit dem Unternehmer sprechen, was er will.

[00:12:57.460] – Ulrich Zimmermann
Das sind ja echte Grundsatzüberlegungen, weil die allermeisten Webseiten werden ja nur als große Visitenkarten genutzt. Vielleicht eine Umleitung in einen Shop oder in irgendein eBook oder zum kostenlosen Download oder wie auch immer. Dann haben wir natürlich, wenn wir Adressen einsammeln, wieder ein Thema. Ausbewegungen, Trecken werden die wenigsten.

[00:13:17.360] – Mannus Weiß
Aber die Shops, also die sind teilweise krass, wenn ich so Shopseiten überprüfe, da sind so viele Cookies und Trecker drauf und dann ist das manchmal ein totales Problem, die zu blockieren. Da bin ich stundenlang mit dem Webmaster, also das ist schon aufwendig. Aber gerade beim Shop, der auch teilweise dann Millionenhöhe Umsatz trägt, ist es schon wichtig. Und was natürlich auch wichtig ist, die Datenschutzerklärung muss überprüft werden. Oft sind das noch alte Dinger, manchmal von 2017 oder 2018/19. Die nehmen Bezug auf falsche Rechtsgrundlagen. Damals gab es noch das Privacy Schild, was ja vor ungefähr zwei Jahren gekippt worden ist, von dem Max Schremms, der klagt immer ganz gerne gegen alles an. Und das heißt, da ist die Datenübermittlung nach USA schwierig geworden. Also Datenübermittlung nach USA heißt, also ohne Einwilligung geht gar nicht, ist eine unerlaubte Datenweitergabe in ein unsicheres Drittland, so wird das dargelegt. Und deshalb ist natürlich wichtig, dass der Cookie Banner funktioniert und dass man alles, was man auch auf der Website hat, in der Datenschutzerklärung erwähnt. Man kann aber nicht sagen, es gibt ja gute Konfigurator für Datenschutzerklärung. Man kann natürlich nicht sagen: „Ach komm, ich packe einfach mal alles rein, was es gibt, Analytics, Facebook, Pixel und und und und und nutzt es gar nicht. Damit ist die Datenschutzerklärung falsch. Also die Datenschutzerklärung muss schon genau auf die Website abgestimmt sein.

[00:14:40.010] – Ulrich Zimmermann
Die muss das abbilden, was die Realität ist.

[00:14:42.430] – Mannus Weiß
Und man muss natürlich genau in dem Cookie Banner erklären, wenn ich diverse Sachen nutze. Essenzielle Cookies sind okay, damit man die Website anschauen kann. Aber nutze ich Marketing Cookies, nutze ich Analyse Cookies und welche sind das? Und der Kunde muss explizit die einzelnen Cookies anwählen oder abwählen können. Und dabei ist es auch nicht erlaubt. Man nennt das Nudging, dass man sagt Ja, ich stimme zu und ganz schön einen ganz schönen dicken grünen Button machen mit dem Smiley wegen mir noch und ablehnen Button ganz klein in schwarz. Das ist nicht zulässig. Also es muss genau gleich dargestellt werden, damit der Kunde nicht manipuliert wird, auf den alles zustimmen Button zu drücken.

[00:15:22.310] – Ulrich Zimmermann
Also es hört sich so an, als wäre das für uns normale Unternehmerlaien ein völlig undurchdringbarer Dschungel und wir brauchen jetzt einen Guide, der uns da durchzieht. Jetzt hast du ja einen riesigen Erfahrungshorizont und eine riesige Expertise. Was ist denn der Spaßfaktor, der Antrieb, deine Motivation für dich, dahinter das zu tun?

[00:15:47.190] – Intro
Dein Antrieb.

[00:15:49.370] – Ulrich Zimmermann
Das ist ja ein tiefes Element, wo du dich da eingearbeitet hast.

[00:15:53.710] – Mannus Weiß
Was ist der Spaßfaktor? Ich gehe einfach gerne mit Menschen Ich, also es hört sich vielleicht jetzt blöd an, aber ich helfe einfach. Ich helfe gerne Menschen. Ich komme meist zum Unternehmer, der sagt dann Ja, kommen Sie mal vorbei, wir trinken einen Kaffee. Dann legt er mir ein paar Unterlagen hin. Das ist immer das Gleiche. Sagt Ja, ja, wir haben schon was gemacht. Und dann merkt der hinterher, dass er eigentlich gar nichts gemacht hat. Und es macht mir Spaß. Ich lerne Menschen kennen. Gut, ich verdiene auch ein bisschen Geld damit. Ist ja auch legitim. Und ich lerne Menschen kennen. Ich helfe Menschen. Und mir wird nie der eine Satz aus dem Kopf gehen. Der rief mich einen Personaldienstleister an und sagte Bitte kommen Sie mal vorbei. Ich will endlich wieder ruhig schlafen können. Ich will endlich dieses Ding aus dem Kopf haben, dass ich da noch was machen muss. Ich will einfach meine Ruhe haben. Und wir sind mittlerweile gut befreundet, gehen ab und zu mal ein Kölsch trinken und das macht Spaß. Und auch ich habe, also ich duze fast alle Kunden, ich habe oder 99 Prozent kann ich sagen duze ich. Ich habe mit allen ein persönliches Verhältnis und ich habe natürlich auch einen speziellen USP. Ich bin jeden Tag erreichbar von 9 bis 22 Uhr.

[00:16:56.790] – Ulrich Zimmermann
Ja, das ist sehr aufwendig. 9 bis 22 Uhr ist echt eine lange Zeit.

[00:16:58.520] – Mannus Weiß
Ja, samstags, Sonntag, Heiligabend, Weihnachten immer. Es macht mir einfach Spaß. Es macht mir Spaß, über Datenschutz zu reden. So verrückt sich das anhört. Und manchmal rufen mich Kunden oder auch Bekannte dann Sonntagnachmittags an und sagen: *Oh Gott, ist irgendwas passiert? Datenpanne, da muss man das bei der Behörde melden. *nein, ich wollte nur mal gucken, ob du wirklich ans Telefon gehst. Ist mir schon passiert. Und wie gesagt, ich mache es halt gerne und ich berate die Leute auch gerne, was sie machen müssen. Wenn du eine One-Man-Show bist, musst du natürlich wesentlich weniger machen, als wenn du jetzt Mitarbeiter hast. Du musst zum Beispiel auch, wenn du Mitarbeiter hast, Unternehmensrichtlinien erstellen. Du musst eine Homeoffice-Richtlinie erstellen, weil jeder arbeitet ja irgendwie, ich nenne es Homeoffice oder mobiles Arbeiten. Jeder arbeitet ja irgendwie von unterwegs heute oder im Homeoffice. Es muss definiert werden, was ist im Homeoffice? Was ist, wenn die Frau im Raum ist und der Mann arbeitet und die haben nur ein Zimmer und der Mann geht auf Toilette, dann ist der Rechner zu sperren und die Unterlagen sind weg zu tun. Ob das so gemacht wird, ist die andere Sache. Aber zumindest muss man eine Richtlinie erstellen.

[00:18:08.730] – Ulrich Zimmermann
Das musst du vereinbaren.

[00:18:09.720] – Mannus Weiß
IT ist ein ganz wichtiges Thema. Ich habe einen Handwerksbetrieb gehabt, da waren alle Rechner verschlüsselt. Da war einer der Gesellen der Mittagspause auf einer Dating Seite, hat sich vom netten Mädel Bild runtergeladen, hatte leider ein Virus. Alle Rechner waren verschlüsselt. Da war das eine Datenpanne, die mussten wir der Behörde melden. Und dann hat die Behörde natürlich gefragt, wie kann sowas vorkommen?

[00:18:34.020] – Ulrich Zimmermann
Eigentlich schon eine gute Frage.

[00:18:34.870] – Mannus Weiß
Gute Frage. Ist der Mitarbeiter geschult zum Thema Datenschutz? War er natürlich nicht. Gibt es eine IT-Nutzungsvereinbarung, die wegen mir die Server-Nutzung einschränkt? Was ist mit privaten E-Mails? Darf ich meine privaten E-Mails auf das betriebliche Postfach schicken, ja oder nein? Und da gibt es so viele Sachen. Passwortrichtlinie. Man sollte auch mal über das Thema Passwort nachdenken. Nicht ein, zwei, drei, vier, fünf oder 2022. Es muss ja auch eine Passwortrichtlinie für Mitarbeiter festlegen, damit er weiß, wie sieht ein Passwort aus? Und darf ich das Passwort unter die Schreibtischunterlage legen oder an den Rechner kleben? Ja, da auch erlebe es auch in der Praxis. Oder Mitarbeiter müssen zum Beispiel auch jetzt seit 1. Dezember letzten Jahres auf das TDDSG, früher Fernmeldegeheimnis verpflichtet werden. Die Mitarbeiter müssen auf das Datenschutzgeheimnis verpflichtet werden. Und das ist mehr als drei kleine Sätze im Arbeitsvertrag. Also ich kläre auch da gerne drüber auf. Ich mache ein Merkblatt fertig, damit auch jeder weiß, was er da unterschreibt. Und dann im Endeffekt ist der Unternehmer, wenn er dann die Unternehmensrichtlinien hat, mit mir zusammen erstellt hat oder die ganzen Dokumentationen, ist er einfach entspannt, weil er weiß, ich habe alles da. Es kann mal immer was kommen, es kann ein Behördenblock da sein, aber ich kann liefern. Wenn eine Behörde dann sagt: „Schicken Sie mir doch mal bitte Ihr Datenschutzhandbuch oder Konzept und man liefert das und das gut gemacht, dann sind die meist schon zufrieden, weil sie sehen: „Okay, die Behörde reißt einem ja auch keinen Kopf ab.“ Die Behörde ist ja eigentlich auch beratend tätig. Nur wenn natürlich eine Behörde sieht, da ist überhaupt nichts gemacht, der ist toverbo. Ich bin mal in ein Autohaus gekommen, habe dann gefragt, wo der Server steht. „Ja, der steht im Aufenthaltsraum.“ Oben drüber die Klimaanlage tropft auf den Server und es stand eine halbe Flasche volle Bierflaschen drauf. Das geht natürlich nicht so was.

Und natürlich sollte der Unternehmer prüfen, ob er einen Datenschutzbeauftragten bestellen muss. Das hat sich ja vor einiger Zeit geändert, von 10 auf 20 Mitarbeiter, also 20 Mitarbeiter, die mit Datenverarbeitung zu tun haben. Ab 20 Mitarbeitern sollte man dann einen Datenschutzbeauftragten bestellen. Oder wenn die Kerntätigkeit des Unternehmens in Datenverarbeitung liegt, also zum Beispiel ein Umfrageunternehmen mit zwei Mitarbeitern, sollte eigentlich einen Datenschutzbeauftragten haben oder eine Gemeinschaftspraxis mit zwei Ärzten. Aber wie gesagt, das versteht irgendwie keiner oder was heißt versteht keiner. Keiner hat Lust, sich darum zu kümmern, wie eben schon angesprochen. Und mir macht es halt Spaß, zum Unternehmer zu gehen, den aufzuklären, das mit ihm zusammen durchzuarbeiten, ihn zu beraten, das zu erstellen. Und hinterher sind die Leute froh und alles cool.

[00:21:26.690] – Ulrich Zimmermann
Wie oft muss man das wieder neu in die Hand nehmen und aktualisieren? Was ist da so eine Empfehlung?

[00:21:32.930] – Mannus Weiß
Ja gut, Datenschutz lebt natürlich. Wenn man jetzt einmal alles fertig gemacht hat, ich nenne das immer komplett Wohlfühl-Paket von der Website Mitarbeitervereinbarung, Tom, Verabredungsverzeichnis, dann ist man einmal auf Stunde null. Aber es gibt ja dauernd neue Sachen, gerade was Cookies und Webseiten angeht. Es gibt ja immer wieder Vorschriften, die sich ändern. Es gibt Richtlinien, die sich ändern und die muss man natürlich anpassen. Oder wenn ich zum Beispiel jetzt meine Software ändert, jetzt ist demnächst Zeiterfassung das große Thema. Beispiel: Ich empfehle immer, Leute nehmt keine Zeiterfassung mit Fingerabdruck. Das ist nämlich dann eine Zeiterfassung, weil wenn ich biometrische Daten verarbeite, das sind Gesundheitsdaten, dann wählen biometrische Datenverarbeitung, das sind Gesundheitsdaten. Dann ist schon wieder die Frage, ob man deshalb allein schon wieder Datenschutzbeauftragten bestellen muss, also besser eine normale Zeiterfassung wählen mit dem Chip oder irgendwas. Aber wenn sich etwas ändert und du nimmst ein neues Zeiterfassungssystem oder du nimmst eine neue Cloud wegen mir, dann musst du natürlich in das Verarbeitungsverzeichnis eingetragen werden. Es sollte überprüft und vielleicht mit mir durchgesprochen werden, ob ich das für gut finde oder nicht. Also ich bin natürlich jetzt keiner von denen, die immer alles verbieten. Gibt es ja auch.

Ich sage mal, wir müssen halt eine Lösung finden und einen Weg, das darstellen zu können. Und wenn ich jetzt eine neue Cloud für irgendwas nutzen möchte, dann empfehle ich natürlich dem Kunden, nehm eine Cloud, die am besten in Europa oder in Deutschland gehostet ist. Mach mit dem Cloud-Anbieter einen AV-Vertrag, dann ist das safe. Man muss nicht unbedingt eine amerikanische Cloud wählen.

[00:23:02.690] – Ulrich Zimmermann
Haben ja viele, ich auch.

[00:23:04.570] – Mannus Weiß
Ja. Ist so.

[00:23:05.020] – Ulrich Zimmermann
Weil wir ganz oft den konvenierenderen, den bequemeren Weg gehen. Klar. Also ich sehe schon, das ist sehr komplex. Das ist, ich sage es mal in meiner Sprache, ein großer Dschungel, wo wir echt einen Guide brauchen. Wenn wir am Ende unsere Podcasts jetzt mal sagen, drei zusammenfassende Tipps, wenn wir jetzt mal die ganzen letzten 20 Minuten zusammendampfen auf drei Tipps, was wären denn die drei essentiellen Dinge zum Thema? Wie machen wir aus diesem DSGVO Dschungel für uns eine Chance?

[00:23:40.140] – Intro
Drei Praxistipps.

[00:23:42.240] – Mannus Weiß
Also erst mal sollte man sich von einem qualifizierten Fachmann beraten lassen, ohne jetzt Werbung für mich zu machen. Jemand, der Ahnung hat. Jemand, der Ahnung hat, einfach ansprechen und sagen Komm mal vorbei. Also ich mache das kostenlos für meine Kunden. Ich mache eine Bestandsaufnahme. Guck mir das an, sag dem Kunden dann preislich, kann er entscheiden. Möchte ich oder möchte ich nicht. Wichtig ist zweitens der Außenauftritt. Der Außenauftritt jetzt gerade mit der Abmahnerei. Mittlerweile wird jetzt nach den Webfonds wird mittlerweile auch schon Pixel abgemahnt. Facebook Pixel Tracking habe ich auch schon Abmahnung gesehen. Der Außenauftritt muss erst mal anständig sein. Man muss zeigen, man geht sensibel mit Daten, wenn ich jetzt eine Arztpraxis wegen mir bin, dann ist es immer auch anzuraten, eine Patienteninformation an die Wand zu hängen. Ein nennt sich das, eine Diskretionszone, den Empfang zu machen. Ist auch oft ho, ho, ho. Ich komme auch an viele Praxen, da liegen alle Papiere rum mit Analysen, was weiß ich. Wichtig ist, sich nach außen gut aufzustellen und das fängt bei der Website an und natürlich im Außenauftritt des Unternehmens. Zweites Beispiel: Wenn ich jetzt Videoberwachung habe, muss man erst mal gucken: Wie lang darf ich überhaupt überwachen, wie lange darf ich überhaupt speichern? Man sagt meistens mittlerweile, maximal 72 Stunden. Denn wenn am Wochenende eingebrochen wird, Freitagnachmittag bis Montag, brauchen Sie 72 Stunden. Es gibt keinen Grund, länger zu speichern. Grundsatz der Datenminimierung. Und wenn ich zum Beispiel Video überwache, ein vernünftiges Schild hinmachen mit Kontaktdaten der Firma, des Datenschutzbeauftragen der Rechtsgrundlage und nicht nur diese Schilder, wo Schilder stehen. Vorsicht, Videoüberwachung. Ja, da kann schon jemand kommen sagen, pass mal auf, ich gehe zur Behörde, ich werde überwacht, ich weiß nicht, wie ich überwacht werde und zeigt dich bei der Behörde an und dann kommt schon der Ärger. Und dann ist es natürlich auch sehr wichtig, auch für die Mitarbeiter, den Datenschutz zu transportieren. Die Mitarbeiter müssen geschult werden. Also ich mache das so, ich schule die Mitarbeiter nicht und rassel dann die DSGVO von oben bis unten durch. Weil es viel zu viel ist. Ich gehe rein, ich sage: „Leute, hier passt auf. Ihr habt hier den Kundenkontakt. Was weiß ich. Wenn ihr jetzt Kundendaten im Auto liegen habt und geht raus, dann dreht ihr zumindest oder schließt die ab, je nachdem, was es für Daten sind. Und ich gehe einfach auf Praxisbeispiele ein, damit einfach auch die Mitarbeiter sensibilisiert werden.

[00:26:06.950] – Ulrich Zimmermann
Damit die verstehen, was da auch der große Kontext ist.

[00:26:07.480] – Mannus Weiß
Meine Kunden kriegen mal so ein ganz großes Poster von mir. Da sind so im Zeichentrick Stil zehn Situationen dargestellt und wir sprechen einfach mal diese Situation durch. Kennst du die Situation? Und dann kommt man ins Gespräch und dann merke ich auch, dass die Mitarbeiter total viele Fragen haben. Ja, was darf ich denn eigentlich? Was darf ich denn nicht? Weil wie gesagt einfach die Unsicherheit besteht. Ja, okay. Und so eine Mitarbeiterschulung sollte man alle ein bis zwei Jahre wiederholen. Also erst mal natürlich, damit der Mitarbeiter was lernt, damit der Mitarbeiter das nach draußen transportiert, dass die Firma Datenschutzkonform ist und damit dann natürlich auch der Geschäftsführer aus der Durchgriffshaftung raus ist, weil die Geschäftsführer ist verpflichtet, DSGVO umzusetzen.

[00:26:49.590] – Ulrich Zimmermann

Gibt es diese Mitarbeiterschulungen auch als offene Formate? Weil dann ist es ja wahrscheinlich günstiger, wenn da drei, vier, fünf von verschiedenen Firmen sitzen, wie wenn du alleine in der Zweimann Firma kommst?

[00:27:03.260] – Mannus Weiß
Also hört sich vielleicht blöd an, aber ich mache auch gerne Zweimann Schulung. Ich bringe da meist ein paar Rosinen-Schnecken mit und der Unternehmer macht einen Kaffee und dann setzen wir uns einfach eine Stunde zusammen. Es gibt natürlich auch die Möglichkeit, dass per Video. Ich kann ja einen Kunden auch oder den Mitarbeiter ein Video schicken mit Erfolgskontrolle und Zertifizierung. Aber ich mache das auch gerne so oder ich mache manchmal auch. Ich habe mir so ein Datenschutz Quiz vorbereitet, was ich mit den Mitarbeitern durchgehe. Aber es ergeben sich dann aus der Situation, aus der Schulung, so viele Fragen, dass meist eine Stunde angesetzt wird, und dann werden immer zwei draus. Weil es gibt da hunderte Fragen. Das ist zu komplex.

[00:27:42.140] – Ulrich Zimmermann
Ja, also zum Thema komplex und Zeit. Ich glaube, drei Tipps waren gut. Wir werden natürlich in den ShowNotes deine Website verlinken, deine E-Mail-Adresse, deine Telefonnummer von 9 bis 22 Uhr. Und ich glaube, du wolltest noch ein Special Offer auf den Weg bringen, dass du die Webseiten einfach mal als Idee checkst. Das wäre vielleicht so ein netter Punkt.

[00:28:08.110] – Mannus Weiß
Ja, mache ich gerne. Ist auch mein Hobby. Ich liebe es, Webseiten zu checken, obwohl die meisten fassen mir da vor den Kopf. Aber mir da vom Kopf. Mir macht das wirklich Spaß. Ich habe auch gute Analyse Programme, aber natürlich hält das nicht davon ab, dass man auch wirklich händisch überprüfen muss und auch die Datenschutzerklärung lesen. Also für interessierte Hörer des Podcasts bitte ich eine kostenlose Überprüfung der Website an. Ich überprüfe den Cookie Banner. Ist der richtig? Nach aktueller Gesetzesprechung ist der richtig eingebaut, was oft nicht der Fall ist? Und passt der Cookie Banner zu Datenschutzerklärung und passt die Datenschutzerklärung zu den Trackern und Cookies, die verwendet werden? Also ich mache eine kostenlose Website Überprüfung. Kriegt der Kunde von mir eine ein Ist-Zustand und ein paar Tipps, wie er es verbessern kann? Und dann kann der Kunde mich natürlich auch gern beauftragen, dass ich mit dem Webmaster spreche, wie auch immer. Aber generell kriegt der Kunde erst mal eine Bestandsaufnahme gemacht und weiß dann, wo er steht mit seiner Website.

[00:29:04.400] – Ulrich Zimmermann
Wir werden uns ja massiv gegen Aufträge, ist völlig logisch. Dann sage ich erst mal ganz herzlichen Dank und vielen Insights und natürlich viel Erfolg und hoffentlich viel Spaß mit dem dann leichter gewordenen TSGVO Thema.

[00:29:19.760] – Mannus Weiß
Vielen Dank. Ja und ich danke für das interessante Gespräch. Tschüss.

[00:29:25.340] – Outro
Brauchen Sie noch mehr Infos? Wollen Sie den persönlichen Kontakt aufnehmen? Den Link zu Ihrem KMU-Berater finden Sie in der Beschreibung und unter www.kmu-berater.de Wir wünschen Ihnen viele Erfolge, unternehmerisch und menschlich. Die KMU-Berater auf Augenhöhe. Wir sprechen mittelständisch.