Stimmungskiller Datenschutz

Sich „Selbständig machen“, ein Unternehmen gründen, ist in Deutschland erstaunlich einfach. In den meisten Fällen benötigen Sie für den ersten Schritt lediglich eine Gewerbeanmeldung und ein Konto und schon kann es los gehen.

Dass es nicht ganz so einfach ist (oder auf Dauer bleibt) wird den meisten schnell bewusst, wenn sie sich ein erstes Mal um Steuererklärungen und Co. kümmern müssen.

Wer seine Selbständigkeit gut plant, weiß das vorher. Zahlreiche Infoportale und Plattformen im Internet liefern Informationen für den zukünftigen Unternehmer. Hier erhält man Input über die beliebtesten Buchhaltungs-Tools, die innovativsten Bezahlsysteme oder Fördermöglichkeiten.

Viele nützliche Tools stehen einem Startup heute direkt, online, preisgünstig oder gar kostenlos zur Verfügung. Die Einstiegshürde ist niedrig, die Organisation des Arbeitsalltags kann heute digital mit Tools aus aller Welt in der Cloud dargestellt werden. Ein Schlaraffenland für all die, die neu beginnen und sich noch keinem System verpflichtet haben.

Auffällig selten wird hierbei der Datenschutz mit in die Waagschale geworfen. Die einschlägigen Existenzgründer-Portale berichteten knapp über die DSGVO, danach findet sich eher wenig zu dem Thema Datenschutz welches oft als echter „Stimmungskiller“ gilt.

Datenschutz first! Warum der Datenschutz vor allem anderen kommen sollte

Vielen Selbständigen ist leider überhaupt nicht bewusst, dass sie vom Thema Datenschutz betroffen sind. Einzelunternehmer schätzen ihr eigenes tun oft falsch ein. Es ist Ihnen nicht klar, dass sie Daten verarbeiten, die unter die DSGVO und das BDSG fallen oder sie halten ihr Unternehmen für zu klein, um überhaupt davon betroffen zu sein. Beide Ansätze sind falsch.

Jeder Selbständige muss sich an den Rahmen der DSGVO und das BDSG halten. Hierbei ist es erst einmal egal, ob er Einzelunternehmer ohne Mitarbeiter oder ein 50 Personen Betrieb ist. Auch ist es egal, ob Sie 5 Kunden oder 1000 Kunden haben. Auch Ihr Umsatz spielt keine Rolle.

Einzig entscheidend ist, ob Sie personenbezogene Daten verarbeiten. Auch wenn ich Sie und Ihr Unternehmen nicht kenne sage ich mal, dass Sie mit Sicherheit personenbezogene Daten verarbeiten und daher DSGVO und BDSG erfüllen müssen. Beispiele hierfür sind Emailverkehr, Kalender-/Terminverwaltung, Kontaktlisten/Kundenverwaltung, Buchhaltung, …  

Nun wird es Spannend: Was genau muss man denn tun (oder lassen) um die DSGVO zu erfüllen?

Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten führen (VVV oder VVT abgekürzt)

In diesem Verzeichnis werden alle Verarbeitungstätigkeiten protokolliert, die durch Sie bzw. Ihr Unternehmen regelmäßig sattfinden. Inhalt des Verarbeitungsverzeichnis sind Daten zum Verantwortlichen, Zweck der Verarbeitung, Kategorie der personenbezogenen Daten, falls zutreffend Informationen zur Übermittlung in sogenannte Drittländer oder eine internationale Organisation, sowie Fristen für die Löschung der Daten und Informationen zu den technischen und organisatorischen Maßnahmen.

Die genauen gesetzlichen Vorgaben zum Verarbeitungsverzeichnis finden Sie in Art. 30 DSGVO

Das Verarbeitungsverzeichnis muss der Aufsichtsbehörde, auf Anfrage, zeitnah vorgelegt werden. Sie sollten daher von Beginn an ein solches Verarbeitungsverzeichnis führen und dieses gewissenhaft pflegen. Änderungen sollten in einer Historie nachvollziehbar festgehalten werden.

Technische und organisatorische Maßnahmen (Kurz: TOM)

Hierbei geht es um die Maßnahmen, die durch Sie getroffen werden, um die personenbezogenen Daten, die Sie verarbeiten, angemessen zu schützen. Sie haben eine Rechenschaftspflicht!

Als technische Maßnahme versteht man beispielsweise die Sicherung Ihrer Büroräume durch eine Alarmanlage oder eine Schließanlage. Welche technische Maßnahme hier als angemessen erscheint, ist eine Frage der Daten, die Sie verarbeiten. Je sensibler die Daten sind, die Sie verarbeiten, desto höher sollte auch der technische Schutz der Daten sein. Unter dem organisatorischen Schutz von Daten versteht man hingegen beispielsweise eine Zugangs- (oder Zugriffkontrolle) zu den personenbezogenen Daten, die Sie verarbeiten. Zum Beispiel in dem Sie den Zutritt oder Zugriff einschränken, auf die Personen die zwingend mit den Daten arbeiten müssen.

Relevant für die TOM sind z.B. auch die Verwendung von Aktenvernichtern, Passwortrichtlinien, Datenverschlüsselung und der Einsatz von Anti-Virensoftware.

AV-Verträge

Sobald Sie Daten mit Dritten teilen, kommen zwei Szenarien in Betracht: Eine gemeinsame Verantwortlichkeit oder es handelt sich um eine sogenannte Auftragsdatenverarbeitung. In beiden Fällen sind Sie verpflichtet diese Zusammenarbeit vertraglich zu legitimeren, um ein angemessenes Schutzniveau der verarbeiteten personenbezogenen Daten zu gewährleisten.

Vielleicht denken Sie jetzt: Ich gebe doch keine Daten weiter, das trifft ganz sicher nicht auf mich zu…. Aber ich denke, da täuschen Sie sich!

Sie nutzen ein cloudbasiertes Buchhaltungsprogramm? Sie benötigen mit dem bereitstellenden Unternehmen ein AV-Vertrag! Sie nutzen einen Messenger-Dienst für die Kommunikation mit Ihren Kunden? Sie müssen mit dem Anbieter einen AV-Vertrag schließen! Sie haben einen Hostingvertrag für Ihre Website oder Ihren Online-Shop? Auch hier müssen Sie mit dem Hoster einen AV-Vertrag schließen! Dies gilt im Übrigen auch für Emailprovider. Aber Vorsicht! Nicht jedes Unternehmen stellt einen AV-Vertrag zur Verfügung oder ist bereit einen mit Ihnen zu schließen! Manche Anbieter (dies betrifft vor allem Messangerdienste und Emailprovider, manchmal aber auch Hoster) richten sich gezielt an Privatkunden, weshalb die Bereitstellung eines AV-Vertrages nicht gegeben ist. Manche Anbieter (z.B. Gmail) unterscheiden den Privatkundenbereich und das Segment der Geschäftskunden. Im privaten, kostenlosen Bereich, also dem Standard-Gmail-Account steht kein AV-Vertrag zur Verfügung und kann auch keiner auf Anfrage geschlossen werden. Sie müssen hierfür einen Business-Account (G-Suite) buchen, damit Sie einen AV-Vertrag zur Verfügung gestellt bekommen.

An dieser Stelle wird langsam deutlich, warum „Datenschutz first!“…

Wenn Sie zu Beginn bereits durch die „Datenschutzbrille“ schauen, können Sie Ihre Selbständigkeit direkt mit geeigneten Tools starten und so bares (Lehr-) Geld sparen.

Hiermit meine ich nicht mögliche Bußgelder oder Kosten für Abmahnung, wenn gleich auch dies eine Rolle spielen kann. Viel wichtiger an diesem Punkt ist, dass Sie erhebliche Mehrkosten und Mehraufwand einplanen müssen, wenn Sie Systeme (vor allem dann, wenn der Laden erst einmal läuft) im laufenden Betrieb umstellen müssen.

Fehlentscheidungen können mit einem guten Beratungsgespräch von Anfang an vermieden werden. Schnell führen falsch gewählte Tools in datenschutztechnische Sackgassen, weil sie nicht datenschutzkonform im Sinne der DSGVO und des BDSG betrieben werden können. Der Irrglaube vieler Selbstständiger liegt darin, dass alles erlaubt ist, was auch auf dem Markt zur Verfügung steht. Doch Unwissenheit schützt nicht vor Strafe und da es zu fast jedem Problem auch eine (datenschutzkonforme) Lösung gibt, ist es in den meisten Fällen völlig überflüssig den riskanten Weg zu wählen. Gerade als Gründer sollte man die rechtlichen Risiken und die möglichen Konsequenzen geringhalten.

Nichts ist so leicht angreifbar wie Ihre Website!

Diesen Satz können Sie ruhig doppeldeutig auslegen.

Natürlich ist eine Website (oder ein Onlineshop) immer einer gewissen Gefahr ausgesetzt beispielsweise gehackt zu werden. Dies ist ein Sicherheitsrisiko und ein Sicherheitsrisiko ist auch immer ein Datenschutzrisiko. Fast immer werden durch eine Website personenbezogene Daten erhoben. Dies geschieht zum Beispiel bereits durch den Einsatz eines Kontaktformulars auf Ihrer Website. Diese personenbezogenen Daten können im Falle einer Sicherheitslücke abgegriffen werden oder öffentlich werden. In diesem Fall sind Sie verpflichtet diese Datenschutzlücke umgehend der Datenschutzbehörde zu melden. Die sich dann Ihr Unternehmen bzw. Ihre VVV und TOM genauer anschauen und daraufhin weitere Schritte, wie z.B. ein Bußgeld abwägen wird.

Eine weitere Gefahr ist Ihre Website, wenn diese technisch nicht den Vorgaben und Anforderungen der DSGVO entspricht. Auch hier gilt wieder: Nicht alles was zur Verfügung steht ist auch erlaubt. Ob Webbaukasten oder Werbeagentur – leider bekommen Sie von beiden häufig etwas ausgeliefert was nicht der DSGVO entspricht. Dies ist besonders problematisch, weil man Ihnen dies zum Problem machen kann, ohne ein Hackergenie mit enormer krimineller Energie zu sein. Hierfür reicht ein verärgerter Kunde oder ein missgünstiger Mitbewerber und ein klein bisschen Kenntnis über den geforderten Standard.

Das besonders Ärgerliche an dieser Sache ist nicht nur die mögliche Beschwerde eines Betroffenen bei der Aufsichtsbehörde oder die Abmahnung durch den Mitbewerber, sondern die Tatsache, dass die Ursache des Problems Ihnen noch nicht einmal einen Mehrwert bringt.

Ich gebe Ihnen ein Beispiel: Der Webbaukasten oder die Werbeagentur meint es besonders gut mit Ihnen und gibt Ihnen die Möglichkeit Google Analytics in der Website einzubinden. Sie freuen sich, weil Sie nun jeden Tag dabei zuschauen können, wie die Besucherzahlen Ihrer Website steigen… Alleine der Einsatz dieses einen Tools (oder die falsche Konfiguration dieses Tools) bringt Ihnen einen bunten Strauß von Problemen, den Sie eventuell erst kennenlernen, wenn eine Abmahnung auf dem Tisch liegt… Der Einsatz von Google Analytics ist generell erst einmal nicht datenschutzkonform. Sie müssen den Einsatz des Tools legitimieren und besondere Bedingungen erfüllen. Dies geschieht nicht von alleine oder weil Google sich für Sie darum kümmert, wahrscheinlich wird dies auch nicht im Baukasten erwähnt und viele Werbeagenturen wissen selbst nicht genau was hinter der Implementierung des Tools noch nötig ist. Erst einmal benötigen Sie eine rechtliche Grundlage, die es Ihnen gestattet personenbezogene Daten durch Google Analytics zu erheben, dies kann z.B. eine Einwilligung über einen Consent-/Cookie-Banner sein. Hier erleben wir zu 80% aller Fälle, dass die Einwilligung nicht vorliegt, weil der Banner schlichtweg falsch konfiguriert ist. Einen Cookie-Banner zu haben, ist also auch kein sicherer Hafen. Ihre Datenschutzerklärung muss einen Passus beinhalten, der genau über die Datenerhebung durch Google Analytics aufklärt. Das Tool selbst muss korrekt konfiguriert werden, da auch hier mehr zur Verfügung steht, als erlaubt (und auch durch nichts zu legitimieren ist). Sie benötigen mit Google einen Vertrag über die Datenverarbeitung.

Ob diese Punkte gegeben sind, lässt sich selbst für einen Laien relativ einfach direkt auf Ihrer Website einsehen (mal abgesehen davon, ob Sie mit Google einen Vertrag geschlossen haben).

Eine gute Datenschutzberatung oder datenschutzerfahrene Agentur würde Sie an dieser Stelle darauf hinweisen, dass Google Analytics diese Probleme mit sich bringt. Wir würden Sie z.B. fragen, ob Sie sich sicher sind, dass Sie überhaupt so ein mächtiges Tool wie Google Analytics benötigen. In den meisten Fällen bekommen wir dann zu hören: Natürlich, ich will ja sehen wie viele Klicks meine Website hat…. Die Auflösung ist allerdings ganz einfach und für die meisten Kunden absolut ausreichend: Es gibt Statistiktools die man in eine Website einbinden kann, die keine sensiblen Daten erheben, nichts desto trotz aber die Besucherzahlen auswerten und aufzeigen von welchen Quellen der Nutzer auf die Seite gefunden hat und welche Seiten am häufigsten besucht wurden. Eigentlich alles, was sich die meisten Klienten wünschen! Datenschutztechnisch absolut unbedenklich! Sie sehen, Sie müssen nicht unbedingt auf etwas verzichten, nur weil Sie sich an den Datenschutz halten.

Natürlich umfasst dieser Beitrag noch längst nicht alle Punkte die Sie als Unternehmer erfüllen oder einhalten müssen, aber mit den angesprochenen Punkten habe Sie schon einmal einen Einblick warum es sich lohnt den Datenschutz von Beginn an einzubeziehen.

Wenn Sie neugierig sind und mehr erfahren möchten, laden wir Sie gerne ein uns zu kontaktieren. Ein erstes Gespräch ist absolut unverbindlich und kostenlos. Gerne vereinabren wir mit Ihnen einen Telefontermin oder ein persönliches Gespräch.