Datenschutz first – ein Appell an Gründer, Startups und Selbständige

von 13. Feb 2020Datenschutz

Datenschutz als Stimmungskiller? Sich selbstständig zu machen, ein Unternehmen zu gründen, ist in Deutschland erstaunlich einfach. In den meisten Fällen benötigen Sie für den ersten Schritt lediglich eine Gewerbeanmeldung und ein Konto und schon kann es losgehen. Dass es nicht ganz so einfach ist (oder auf Dauer bleibt), wird den meisten schnell bewusst, wenn sie sich das erste Mal um Steuererklärungen und Co. kümmern müssen.

Wer seine Selbstständigkeit gut plant, weiß das vorher. Zahlreiche Infoportale und Plattformen im Internet liefern Informationen für den zukünftigen Unternehmer. Hier erhält man Input über die beliebtesten Buchhaltungs-Tools, die innovativsten Bezahlsysteme oder Fördermöglichkeiten.

Viele nützliche Tools stehen einem Startup heute direkt, online, preisgünstig oder sogar kostenlos zur Verfügung. Die Einstiegshürde ist niedrig, die Organisation des Arbeitsalltags kann heute digital mit Tools aus aller Welt in der Cloud dargestellt werden. Ein Schlaraffenland für alle, die neu anfangen und sich noch keinem System verpflichtet haben.

Auffällig selten wird hierbei der Datenschutz mit in die Waagschale geworfen. Die einschlägigen Existenzgründer-Portale berichteten knapp über die DSGVO, danach findet sich eher wenig zu dem Thema Datenschutz, welches oft als echter „Stimmungskiller“ gilt.

Datenschutz first! Warum der Datenschutz vor allem anderen kommen sollte.

Vielen Selbstständigen ist leider überhaupt nicht bewusst, dass sie vom Thema Datenschutz betroffen sind. Einzelunternehmer schätzen ihr eigenes Tun oft falsch ein. Es ist Ihnen nicht klar, dass sie Daten verarbeiten, die unter die DSGVO und das BDSG fallen, oder sie halten ihr Unternehmen für zu klein, um überhaupt davon betroffen zu sein. Beide Ansätze sind falsch!

Jeder Selbstständige muss sich an den Rahmen der DSGVO und das BDSG halten. Hierbei ist es zunächst einmal egal, ob er Einzelunternehmer ohne Mitarbeiter oder ein Betrieb mit 50 Personen ist. Auch ist es egal, ob Sie 5 Kunden oder 1000 Kunden haben. Auch Ihr Umsatz spielt keine Rolle.

Einzig entscheidend ist, ob Sie personenbezogene Daten verarbeiten. Auch wenn ich Sie und Ihr Unternehmen nicht kenne, würde ich sagen, dass Sie mit Sicherheit personenbezogene Daten verarbeiten und daher die DSGVO und das BDSG erfüllen müssen. Beispiele hierfür sind E-Mail-Verkehr, Kalender-/Terminverwaltung, Kontaktlisten/Kundenverwaltung, Buchhaltung, …

Nun wird es spannend: Was genau muss man tun (oder unterlassen), um die DSGVO zu erfüllen?

Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten führen (VVV oder VVT abgekürzt). In diesem Verzeichnis werden alle Verarbeitungstätigkeiten protokolliert, die durch Sie bzw. Ihr Unternehmen regelmäßig stattfinden. Inhalt des Verarbeitungsverzeichnisses sind Daten zum Verantwortlichen, Zweck der Verarbeitung, Kategorie der personenbezogenen Daten, falls zutreffend Informationen zur Übermittlung in sogenannte Drittländer oder eine internationale Organisation, sowie Fristen für die Löschung der Daten und Informationen zu den technischen und organisatorischen Maßnahmen.

Die genauen gesetzlichen Vorgaben zum Verarbeitungsverzeichnis finden Sie in Art. 30 DSGVO. Das Verarbeitungsverzeichnis muss der Aufsichtsbehörde, auf Anfrage, zeitnah vorgelegt werden. Sie sollten daher von Beginn an ein solches Verarbeitungsverzeichnis führen und dieses gewissenhaft pflegen. Änderungen sollten in einer Historie nachvollziehbar festgehalten werden.

Technische und organisatorische Maßnahmen (kurz: TOM)

Hierbei geht es um die Maßnahmen, die von Ihnen getroffen werden, um die personenbezogenen Daten, die Sie verarbeiten, angemessen zu schützen. Sie haben eine Rechenschaftspflicht!

Als technische Maßnahme versteht man beispielsweise die Sicherung Ihrer Büroräume durch eine Alarmanlage oder eine Schließanlage. Welche technische Maßnahme hier als angemessen erscheint, ist eine Frage der Daten, die Sie verarbeiten. Je sensibler die Daten sind, die Sie verarbeiten, desto höher sollte auch der technische Schutz der Daten sein. Unter dem organisatorischen Schutz von Daten versteht man hingegen beispielsweise eine Zugangs- (oder Zugriffskontrolle) zu den personenbezogenen Daten, die Sie verarbeiten. Zum Beispiel, indem Sie den Zutritt oder Zugriff einschränken, auf die Personen, die zwingend mit den Daten arbeiten müssen.

Relevant für die TOM sind z. B. auch die Verwendung von Aktenvernichtern, Passwortrichtlinien, Datenverschlüsselung und der Einsatz von Anti-Virensoftware.

AV-Verträge

Sobald Sie Daten mit Dritten teilen, kommen zwei Szenarien in Betracht: Eine gemeinsame Verantwortlichkeit oder es handelt sich um eine sogenannte Auftragsdatenverarbeitung. In beiden Fällen sind Sie verpflichtet, diese Zusammenarbeit vertraglich zu legitimieren, um ein angemessenes Schutzniveau der verarbeiteten personenbezogenen Daten zu gewährleisten.

Vielleicht denken Sie jetzt: Ich gebe doch keine Daten weiter, das trifft ganz sicher nicht auf mich zu… Aber ich denke, da täuschen Sie sich!

Sie nutzen ein cloudbasiertes Buchhaltungsprogramm? Sie benötigen mit dem bereitstellenden Unternehmen einen AV-Vertrag! Sie nutzen einen Messenger-Dienst für die Kommunikation mit Ihren Kunden? Sie müssen mit dem Anbieter einen AV-Vertrag schließen! Sie haben einen Hostingvertrag für Ihre Website oder Ihren Online-Shop? Auch hier müssen Sie mit dem Hoster einen AV-Vertrag schließen! Dies gilt übrigens auch für E-Mail-Anbieter. Aber Vorsicht! Nicht jedes Unternehmen stellt einen AV-Vertrag zur Verfügung oder ist bereit, einen mit Ihnen zu schließen! Manche Anbieter (dies betrifft vor allem Messenger-Dienste und E-Mail-Anbieter, manchmal aber auch Hoster) richten sich gezielt an Privatkunden, weshalb die Bereitstellung eines AV-Vertrages nicht gegeben ist. Manche Anbieter (z. B. Gmail) unterscheiden den Privatkundenbereich und das Segment der Geschäftskunden. Im privaten, kostenlosen Bereich, also dem Standard-Gmail-Account, steht kein AV-Vertrag zur Verfügung und kann auch keiner auf Anfrage geschlossen werden. Sie müssen hierfür einen Business-Account (G-Suite) buchen, damit Sie einen AV-Vertrag zur Verfügung gestellt bekommen.

An dieser Stelle wird langsam deutlich, warum „Datenschutz first!“ …

Wenn Sie von Anfang an durch die „Datenschutzbrille“ schauen, können Sie Ihre Selbstständigkeit direkt mit geeigneten Tools starten und so bares (Lehr-) Geld sparen.

Hiermit meine ich nicht nur mögliche Bußgelder oder Kosten für Abmahnungen, obwohl dies auch eine Rolle spielen kann. Viel wichtiger an diesem Punkt ist, dass Sie erhebliche Mehrkosten und Mehraufwand einplanen müssen, wenn Sie Systeme (vor allem dann, wenn das Geschäft erst einmal läuft) im laufenden Betrieb umstellen müssen.

Fehlentscheidungen können durch ein gutes Beratungsgespräch von Anfang an vermieden werden. Falsch gewählte Tools führen schnell in datenschutztechnische Sackgassen, weil sie nicht datenschutzkonform im Sinne der DSGVO und des BDSG betrieben werden können. Der Irrglaube vieler Selbstständiger besteht darin, dass alles erlaubt ist, was auch auf dem Markt verfügbar ist. Doch Unwissenheit schützt nicht vor Strafe und da es für fast jedes Problem auch eine (datenschutzkonforme) Lösung gibt, ist es in den meisten Fällen völlig unnötig, den riskanten Weg zu wählen. Gerade als Gründer sollte man die rechtlichen Risiken und die möglichen Konsequenzen gering halten.

Nichts ist so leicht angreifbar wie Ihre Website!

Diesen Satz können Sie ruhig doppeldeutig auslegen.

Natürlich ist eine Website (oder ein Online-Shop) immer einer gewissen Gefahr ausgesetzt, beispielsweise gehackt zu werden. Dies ist ein Sicherheitsrisiko und ein Sicherheitsrisiko ist auch immer ein Datenschutzrisiko. Fast immer werden durch eine Website personenbezogene Daten erhoben. Dies geschieht zum Beispiel bereits durch den Einsatz eines Kontaktformulars auf Ihrer Website. Diese personenbezogenen Daten können im Falle einer Sicherheitslücke abgegriffen werden oder öffentlich werden. In diesem Fall sind Sie verpflichtet, diese Datenschutzlücke umgehend der Datenschutzbehörde zu melden. Diese wird dann Ihr Unternehmen bzw. Ihre VVV und TOM genauer anschauen und daraufhin weitere Schritte, wie z. B. ein Bußgeld, abwägen.

Eine weitere Gefahr ist Ihre Website, wenn diese technisch nicht den Vorgaben und Anforderungen der DSGVO entspricht. Auch hier gilt wieder: Nicht alles, was zur Verfügung steht, ist auch erlaubt. Ob Web-Baukasten oder Werbeagentur – leider bekommen Sie von beiden häufig etwas ausgeliefert, was nicht der DSGVO entspricht. Dies ist besonders problematisch, weil man Ihnen dies zum Problem machen kann, ohne ein Hacker-Genie mit enormer krimineller Energie zu sein. Hierfür reicht ein verärgerter Kunde oder ein missgünstiger Mitbewerber und ein klein wenig Kenntnis über den geforderten Standard.

Das besonders Ärgerliche an dieser Sache ist nicht nur die mögliche Beschwerde eines Betroffenen bei der Aufsichtsbehörde oder die Abmahnung durch den Mitbewerber, sondern die Tatsache, dass die Ursache des Problems Ihnen noch nicht einmal einen Mehrwert bringt….

Ich gebe Ihnen ein Beispiel: Der Webseitenbaukasten oder die Werbeagentur meint es besonders gut mit Ihnen und bietet Ihnen die Möglichkeit, Google Analytics in Ihre Website einzubinden. Sie freuen sich, weil Sie nun jeden Tag dabei zusehen können, wie die Besucherzahlen Ihrer Website steigen. Doch die Verwendung dieses einen Tools (oder die falsche Konfiguration desselben) kann Sie vor eine Vielzahl von Problemen stellen, mit denen Sie eventuell erst konfrontiert werden, wenn eine Abmahnung auf dem Tisch liegt.

Der Einsatz von Google Analytics ist nicht gleich vom Start weg datenschutzkonform. Sie müssen die Verwendung des Tools legitimieren und bestimmte Bedingungen erfüllen. Dies geschieht nicht automatisch oder weil Google dies für Sie erledigt. Wahrscheinlich wird dies auch nicht im Webseitenbaukasten erwähnt und viele Werbeagenturen wissen selbst nicht genau, was nach der Implementierung des Tools noch erforderlich ist.

Zunächst benötigen Sie eine rechtliche Grundlage, die es Ihnen erlaubt, personenbezogene Daten durch Google Analytics zu erheben. Dies kann beispielsweise eine Einwilligung über einen Zustimmungs-/Cookie-Banner sein. In 80% aller Fälle sehen wir jedoch, dass die Einwilligung fehlt, weil der Banner schlichtweg falsch konfiguriert ist. Einen Cookie-Banner zu haben, ist also kein sicherer Hafen. Ihre Datenschutzerklärung muss einen Absatz enthalten, der genau über die Datenerhebung durch Google Analytics aufklärt. Das Tool selbst muss korrekt konfiguriert werden, da es mehr Möglichkeiten bietet, als erlaubt (und auch durch nichts legitimiert) sind. Sie benötigen mit Google einen Vertrag über die Datenverarbeitung.

Ob diese Punkte erfüllt sind, lässt sich selbst für einen Laien relativ einfach direkt auf Ihrer Website einsehen (abgesehen davon, ob Sie mit Google einen Vertrag abgeschlossen haben). Eine gute Datenschutzberatung oder eine datenschutzerfahrene Agentur würde Sie darauf hinweisen, dass Google Analytics diese Probleme mit sich bringt.

Wir würden Sie beispielsweise fragen, ob Sie sich sicher sind, dass Sie ein so leistungsstarkes Tool wie Google Analytics überhaupt benötigen. In den meisten Fällen hören wir dann: Natürlich, ich möchte ja sehen, wie viele Klicks meine Website hat. Die Alternative ist jedoch ganz einfach und für die meisten Kunden absolut ausreichend: Es gibt Statistiktools, die man in eine Website einbinden kann, die keine sensiblen Daten erheben, aber dennoch die Besucherzahlen auswerten und anzeigen, von welchen Quellen der Nutzer auf die Seite gefunden hat und welche Seiten am häufigsten besucht wurden. Dies ist alles, was sich die meisten Kunden wünschen und datenschutzrechtlich absolut unbedenklich.

Sie sehen, Sie müssen nicht unbedingt auf etwas verzichten, nur weil Sie sich an den Datenschutz halten. Natürlich umfasst dieser Beitrag noch nicht alle Punkte, die Sie als Unternehmer erfüllen oder einhalten müssen, aber mit den hier angesprochenen Punkten erhalten Sie einen Einblick, warum es sich lohnt, den Datenschutz von Anfang an einzubeziehen.

Wenn Sie neugierig sind und mehr erfahren möchten, laden wir Sie gerne ein, uns zu kontaktieren. Ein erstes Gespräch ist absolut unverbindlich und kostenlos. Gerne vereinbaren wir mit Ihnen einen Telefontermin oder ein persönliches Gespräch.