Frust beim Datenschutz? So schützt du dich vor hohen Bußgeldern

269
Frust beim Datenschutz? So schützt du dich vor hohen Bußgeldern
© DatenschutzStockfoto – adobe.stock.com

Was tun bei einer Datenpanne? Wofür brauchen ich einen Datenschutzprofi? Und was will die Aufsichtsbehörde von mir? Auch wenn die DSGVO seit 2018 in Kraft ist, bewegen sich viele Selbstständige, GründerInnen und KMU bei dieser Materie auf dünnem Eis. Gerade in Zeiten von Homeoffice, Cloud, Videocalls und Co. bleiben beim Thema Datenschutz viele Fragen offen. Wie Betriebe am schnellsten Sicherheit bekommen, erklären wir dir jetzt.

Junge UnternehmerInnen haben in den ersten Betriebsmonaten anderes im Kopf als Datenschutz. Bei ihnen stehen Produktaufbau, Kundenakquise, Budgetpläne oder Marketing auf der Agenda. Nur die wenigsten widmen sich mit Leidenschaft ihrer IT-Sicherheit. Aber auch viele Betriebe, die schon länger auf dem Markt sind, nehmen es mit der DSGVO oft nicht so genau. Das rächt sich spätestens dann, wenn UnternehmerInnen einen Brief der Datenschutzaufsichtsbehörde im Briefkasten hat – die sie darauf aufmerksam macht, dass ihnen ein Bußgeld von bis zu 20 Millionen Euro droht. 

Ruhe bewahren – Datenschutz ist keine Bedrohung

Dann werden sie nervös. Welche GeschäftsführerInnen möchten ihr Business schon dem Risiko eines existenzgefährdenden Bußgeldes aussetzen? Nicht wenige EmpfängerInnen solcher offiziellen Schreiben verfallen in aktionistische Panik und tun alles, damit die Behörde zufrieden ist. Nur um die Sache schnell vom Hals zu haben. Dabei können wir alle UnternehmerInnen beruhigen: Dahinter steckt System.

Was auf diesem Papier steht, ist keine Bedrohung, sondern einfach nur ein Abdruck dessen, was seit 2018 in der DSGVO im Artikel 83 steht. 

Wenn InhaberInnen solche Post bekommen, heißt es erst mal Ruhe bewahren. Lies dir genau durch, was die Behörde überhaupt von dir will. Die gesetzte Frist, um solche Schreiben zu beantworten, reicht immer aus, um den Vorfall sauber aufzuarbeiten. Der zweite Grund, sich zu beruhigen: Eine Datenschutzbehörde ist kein Gericht. Erst vor Kurzem hat das Verwaltungsgericht Mainz (VG Mainz, 17.12.2020 – 1 K 778/19.MZ) bei einem Datenschutzthema eben nicht der Aufsichtsbehörde Rheinland-Pfalz, sondern einer klagenden Rechtsanwaltskanzlei recht gegeben. Die Kanzlei klagte gegen einen Bescheid der Behörde, dass die Kommunikation mit MandantInnen ausschließlich durch inhaltsverschlüsselte E-Mails stattfinden dürfe. Also, kein Grund zur Panik.

Datenpanne oder nicht?

Wenn die Datenschutzbehörde sich bei Unternehmen meldet, dann meist aus folgenden Gründen: Entweder gab es im Betrieb eine Datenpanne oder KundInnen, MitarbeiterInnen oder InteressentInnen haben sich bei der Behörde beschwert. Bei einem Datenproblem im Daily Business müssen InhaberInnen innerhalb von 72 Stunden eine Entscheidung treffen: Handelt es sich um einen meldepflichtigen Vorgang oder nicht? Wenn die Chefs bzw. der Chef entscheidet, dass es hier kein Problem gibt, sollte sie bzw. er das verständlich und nachvollziehbar dokumentieren. Falls die Behörde durch Dritte von der Panne erfährt und der Betrieb sie nicht gemeldet hat, brauchen UnternehmerInnen für diese Entscheidung eine gute Erklärung. 


Zusatztipp: Auch wenn es bisher noch nicht zu einem Daten-Zwischenfall in der Firma gekommen ist, sollten sich alle UnternehmerInnen schon heute einen Prozess überlegen, wie das Datenleck dokumentiert und gemanagt wird. Wer unterstützt zum Beispiel bei der Risikobewertung? Wie stellst du sicher, dass alle im Team im Falle einer Panne wissen, was zu tun ist? Wer dokumentiert den Vorgang und wo? 

Der andere Fall eines Behördenschreibens ist die sogenannte Intervention einer betroffenen Person. Sprich: Jemand hat sich beim Landesdatenschutzbeauftragten über dich als Unternehmen beschwert. Dann muss die Behörde reagieren und dich anschreiben. Ob die Reklamation berechtigt ist oder ob sie von einem notorischen Querulanten kommt, spielt dabei keine Rolle. Du als Verantwortliche Person musst erst einmal Stellung beziehen. Auch hier wirkt der obige Tipp Wunder: entspannt bleiben. 

Ruhe bewahren gelingt am besten, wenn sich UnternehmerInnen auf die häufigsten Anfragen vorbereiten. Zu den üblichen Verdächtigen gehören:

  • Auskunftsersuche
  • Löschbegehren oder
  • Werbewidersprüche

Ein festgelegtes Verfahren, wie das Unternehmen mit diesen Wünschen umgeht, verschaffen ChefIn und Team jede Menge Sicherheit, Übersicht und Transparenz. Es spart Ärger, Stress und Fragen, wenn Betriebe ein dokumentiertes Verfahren festlegen, wie sie mit solchen Umfragen umgehen und wie die Chefin bzw. der Chef sicherstellt, die vorgegebenen Fristen einzuhalten. Auskunftsanfragen zum Bespiel müssen Verantwortliche innerhalb von 30 Tagen beantworten. Auch wenn du als Firma keine Daten einer Person gespeichert hast, musst du diese mit einer Negativauskunft beantworten. 

EXTRA: Datenschutz in der Pandemie: 7 Tipps für den (Video-)Chat

Datenschutzprofi an der Seite

Natürlich können Selbstständige und UnternehmerInnen das Thema Datenschutz in verantwortungsvolle Hände geben. Wenn du mehr als 20 Leute beschäftigst, musst du das sowieso. Die DSGVO und das Bundesdatenschutzgesetz geben vor, dass Betriebe ab einer Mannschaft von 20 Leuten einen internen oder externen Datenschutzbeauftragten (DSB) benennen müssen. Doch diese Person soll keine symbolische Rolle ausfüllen. UnternehmerInnen benötigen in diesem dynamischen Themenbereich verlässliche und kompetente BeraterInnen.

Job des DSB ist somit, sich auf dem neuesten Stand der Sachlage zu halten und bei allen Fragen rund um die Datensicherheit Lösungsvorschläge in petto zu haben:

  • Kompetente DSB bewerten, wann Datenlecks meldepflichtig sind, kümmern sich um besagte Behördenschreiben und wissen, wie du als ChefIn Anfragen organisieren kannst.
  • Außerdem haben sie auf dem Schirm, welche Software bedenkenlos ist und ob die geplante Marketingkampagne dem Datenschutzrecht entspricht.
  • Die ExpertInnen versorgen UnternehmerInnen mit Hilfsmitteln, Informationen und Mustern. Wo immer es notwendig ist, informieren sie über offene Baustellen und Organisationslücken.

Wenn du niemanden mit diesen Themen beauftragst, muss du dich als InhaberIn selbst um alles kümmern. Denn die DSGVO gilt immer, auch für Soloselbstständige. Wer keine Lust auf Ärger hat, kann natürlich freiwillig eine oder einen DSB ausrufen. Dann kann auch kein Schreiben der Aufsichtsbehörde Unternehmer mehr in Panik versetzen. 

Achim Barth
Als digitaler Aufklärer kennt er sie alle – die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Achim Barth ist einer der kompetentesten Ansprechpartner rund um den Schutz personenbezogener Daten. Zielgerichtet, sachkundig und immer up-to-date begleitet der mehrfach zertifizierte Datenschutzbeauftragte Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert der Gründer von "Barth Datenschutz" mit praktikablen Lösungen. Risikomanagement ist sein Steckenpferd. Sein Fachwissen vermittelt er eingängig und unterhaltsam – sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!