Expertise kaufen oder entwickeln Datenschutzbeauftragter, Software oder "Do it yourself": So finden Sie die geeignete DSGVO-Lösung

Unternehmer müssen Datenschutz und IT-Sicherheit ­gewährleisten. Auch, wenn das Gesetz für ihren Betrieb keinen Datenschutzbeauftragten vorgibt. Mit Profi-Unterstützung machen Sie Ihren Betrieb fit und stärken das Vertrauen Ihrer Kunden.

„In vielen Betrieben ist der Datenschutz noch immer nicht angekommen“, sagt Rechtsanwältin Anna Rehfeldt aus Berlin. Die Expertin geht in die Firmen hinein, macht Unternehmer und Mitarbeiter fit für den Datenschutz, erarbeitet Konzepte und bietet Inhouse-Schulungen an. Die ersten Datenschutz-Baustellen entdeckt sie manchmal schon beim Betreten des Betriebs, „etwa wenn am Empfang einer Werkstatt der Kunde direkt auf den Bildschirm des Mitarbeiters blicken kann oder ein Ordner mit Rechnungen offen auf dem Tresen liegt“, erklärt Rehfeldt, die auch als externe Datenschutzbeauftragte für Unternehmen tätig ist: „Wer seine Mitarbeiter dafür braucht, dass sie Vollzeit ihren Job erledigen, ist mit einem externen Dienstleister besser bedient als mit einer internen Lösung.“

Datenschutz sichert Qualität

Auf den Profi verzichten und den Datenschutz auf die Schnelle selbst erledigen? Rehfeldt rät davon ab. „Das fängt schon bei den Dokumenten an. Übernehmen Sie nicht ungeprüft Vorlagen und Muster von unseriösen Quellen aus dem Internet. Die können veraltet sein oder inhaltlich nicht zum Betrieb passen. Besser wäre, Sie lassen solche Dokumente von einem Experten für Datenschutzrecht erstellen.“ Den Datenschutz rechtssicher zu organisieren, ist in Zeiten zunehmender Digitalisierung eine nachhaltige Qualitätskontrolle für den Betrieb. Rehfeldt: „Gehen Sie das Thema proaktiv an und stärken Sie damit das Kundenvertrauen.“

Das kann Unternehmer Danny Wandelt, Inhaber von „diefotomanufaktur – Fotostudio Winsen“ aus Winsen/Luhe in Niedersachsen, nur bestätigen. „Datenschutz wurde in meiner Firma schon immer großgeschrieben.“ Dann kam die DSGVO mit ihren zusätzlichen Pflichten. „Auch ich habe mich erst geärgert, dass mir als Chef eines kleinen Betriebes dieser Aufwand zugemutet wird. Dann habe ich mich entschlossen, das Thema anzupacken.“ Hilfreich zum Einstieg waren die Webssites des Zentralverbandes des Deutschen Handwerks, wo es Leitfäden zum Download gibt. Dann hat er seine Mitarbeiterinnen sensibilisiert.

Externe Hilfe für Detailfragen

„Datenschutz ist bei uns Teamarbeit“, sagt Wandelt. „Jeder soll sich damit auskennen.“ Gemeinsam überlegten sie, wo im Betrieb noch Handlungsbedarf besteht. „Wir wollten nicht nur die DSGVO-Pflichten erfüllen, sondern eine Lösung finden, die uns Sicherheit gibt und unseren Kunden bestätigt, dass wir mit ihren Daten seriös umgehen.“
Doch ohne externen Datenschutzprofi, räumt Wandelt ein, ging es nicht. Eine Kollegin empfahl ihm den Datenschutzbeauftragten Udo Kaethner , Leiter Innovations- und Technologieberatung bei der Handwerkskammer Braunschweig-Lüneburg-Stade. Wandelt: „Wir waren gut vorbereitet, als er zu uns ins Studio kam. So hatten wir Zeit, Detailfragen zu klären – zum Beispiel wie ich meine Pflicht einer zehnjährigen Aufbewahrungsfrist von Dokumenten erfülle, obwohl ein Kunde fordert, dass seine Daten gelöscht werden.“ Einen halben Tag war Kaethner kostenlos vor Ort. Dann wusste Wandelt, was zu optimieren war: die Datenschutzerklärung auf der Webseite, Verarbeitungsverzeichnisse und die Auftragsdatenverarbeitung.

Vorteile Digitaler Lösungen

Zusätzlich setzt Wandelt auf eine digitale Lösung, die er im Internet recherchiert hat und die zu seinem Betrieb passt. Für die rechtssichere Formulierung der AGBs für seinen Online-Shop und der Datenschutzerklärung nutzt er das Tool eines Datenschutzdienstleisters, der online über Fragebögen die Anforderungen für das Fotostudio ermittelt und die Dokumente erstellt hat – inklusive Update-Service. Wandelt: „Für meinen Betrieb ist das die ideale Lösung. Ich hätte weniger Zeit und Lebensqualität, wenn ich das selber erledigen müsste.“

Ein Argument, das Dr. Patrick Schweisthal, Senior-Datenschutzbeauftragter bei DataGuard, auch von seinen Kunden kennt. DataGuard ist ein Datenschutz-Unternehmen mit mehr als 1.000 Kunden – von Handwerksbetrieben bis zu internationalen Großkonzernen. „Wir setzen auf ein schlankes Datenschutzmanagement und haben einen hybriden Ansatz entwickelt, der den zeitlichen Aufwand für den Kunden so gering wie möglich hält.“ Ein Team aus zertifizierten Datenschutzbeauftragten betreut den Kunden individuell. Unterstützt wird die Beratung durch eine Web-Plattform, die Prozesse digitalisiert, automatisiert und Daten-Input verarbeitet. DataGuard führt mit jedem Kunden zu Beginn ein Datenschutz-Audit über Fragebogen und Interviews durch, wertet die Angaben aus, gibt Handlungsempfehlungen, was zu tun ist, um die Vorgaben der DSGVO zu erfüllen, und erstellt die erforderlichen Dokumentationen wie Verarbeitungsverzeichnisse. Dafür zahlt der Kunde wie bei vielen anderen Anbietern eine Monatspauschale. Schweisthal nennt die Vorteile: „Wenn Handwerkerchefs beim Datenschutz in ihrem Betrieb Sicherheit und Verlässlichkeit herstellen, erhöhen sie auch ihre Geschäftschancen.“

Udo Kaethner von der Handwerkskammer Braunschweig-Lüneburg-Stade empfiehlt Unternehmern, sehr genau abzuwägen, welche Lösung sich für den Betrieb am ehesten eignet und wie intensiv der Datenschutz im Betrieb bearbeitet werden soll. Er bestätigt die These der Anwältin: „Wer sich in seinem Betrieb selbst um den Datenschutz kümmern oder einen Mitarbeiter dafür einsetzen will, braucht Know-how, Zeit, Budget und das Personal.“ Der Mitarbeiter müsse über die Fachkenntnisse verfügen, in die Prozesse eingearbeitet werden und Interesse für das Projekt haben. Hinzu kämen Schulungen und Weiterbildungen sowie Kosten für Tools zum Aufbau und zur Dokumentation des Datenschutzes.

Anforderungen Formulieren

„Sobald Sie sich für eine externe Lösung entschieden haben, definieren Sie, was Sie von einem Dienstleister erwarten“, rät Kaethner. Beantworten Sie sich Fragen wie: Reicht ein Beratungstag? Sind Schulungen erforderlich? Sollen nur einzelne Dokumente wie AGBs und Einwilligungserklärungen rechtssicher aufgesetzt werden oder bevorzugen Sie ein Rundumsorglos-Paket, das den Datenschutz auf dem aktuellen Stand hält? Aus den Antworten resultieren die Anforderungen, die Sie an den Dienstleister richten. Wer einen Juristen hinzuziehen möchte, dem empfiehlt Kaethner einen Anwalt mit Datenschutzexpertise, der sich mit einem Betrieb in der Größe auskennt und die Branche gut kennt.

Sie können natürlich, wie es Fotograf Wandelt tat, einen Experten der Handwerkskammer in den Betrieb holen, die Einstiegsberatung ist für Mitgliedsbetriebe kostenfrei. Der Profi bietet auf Wunsch auch Schulungen an. Wer auf Online-Dienstleister setzt, profitiert gegen eine Monats-Pauschale (je nach Umfang für 10 bis 150 Euro) zusätzlich von Rechtsberatung über Telefon und Mail und kann an Webinaren und Online-Schulungen teilnehmen. Je nach Anbieter können Sie sogar einen Datenschutzbeauftragten buchen. Der kostet allerdings extra.

Checkliste: Diese fünf Datenschutz-Pflichten haben Chefs

Der Bundestag beschloss, dass Handwerksbetriebe erst ab 20 Mitarbeitern einen Datenschutzbeauftragten bestellen müssen. Unabhängig davon haben Unternehmer im Rahmen der Datenschutz-Grundverordnung (DSGVO) fünf wesentliche Pflichten:

1. Informationspflicht über die Datenverarbeitung im Betrieb gegenüber ihren Kunden. Sie können die Infos als Flyer weitergeben, als Text in den Angeboten und Rechnungen einbauen oder auf einer separaten Website vorhalten. In die Angebote und Rechnungen lässt sich dann anstatt des Textes der Link mit dem Hinweis auf die Informationspflicht angeben. Das Infoblatt muss nicht unterschrieben werden. Alternativ kann die Information – bei Betrieben mit Ladengeschäft – mit einem Aufsteller erfolgen.
2. Die Pflicht, Einwilligungen von Kunden einzuholen, wenn das Unternehmen diese per E-Mail bewerben möchte. Verwenden Sie die E-Mail-Adresse ausschließlich für die Vertragsdurchführung, benötigen Sie keine Einwilligung.
3. Auskunftspflicht, wenn ein Kunde wissen möchte, welche Daten über ihn gespeichert sind.
4. Dokumentationspflicht der Verarbeitungen, also der Programme, mit denen Sie personenbezogene Daten verarbeiten – zum Beispiel Erstellen und Führen einer Kundendatei, Personaldatenverwaltung und Lohnabrechnung sowie der Betrieb der Webseite.
5. Die Pflicht zur Überprüfung der Auftragsverarbeitungen, wie Website-Hosting-Dienstleister, Cloud-Anbieter, Abrechnungsunternehmen, und der Abschluss entsprechender Verträge. Tipp: Dienstleister geben auf Anfrage in der Regel vorbereitete Verträge heraus.

Checkliste Diese Daten schützen Sie in Ihrem Betrieb

Vier bis fünf Verzeichnisse der Verarbeitungstätigkeiten sollten Sie als Chef anlegen: Lohnbuchhaltung, Personal- und Kundenverwaltung, Firmenwebsite und, falls vorhanden, Videoüberwachung. Mit diesen Dokumenta­­tionen weisen Sie nach, wie Sie Daten von Mitarbeitern und Kunden verwalten und sichern.

1. Lohnbuchhaltung
   Name, Geburtsdatum, Adresse,
   Bankverbindungsdaten, Lohn-/Entgeltdaten, ggf. Religionszugehörigkeit, Sozialversicherungsdaten, Steuerdaten (etwa Steuerklasse, Freibeträge) Berufsgenossenschaftsangaben Ihrer Mitarbeiter.
2. Personalverwaltung
   Name, Adressen, Zeitwirtschaftsdaten, Daten zur Arbeitsleistung, Leistungsbeurteilung, Lebenslauf, Bewerbungsunterlagen und weitere Daten rund um Ihre Mitarbeiter und Bewerber.
3. Kundenverwaltung
   Name, Adresse, Angaben zum Auftrag, eventuell Bankverbindungsdaten von Kunden.
4. Firmenwebsite
   Online stehen vor allem IP-Adressen im Vordergrund des Datenschutz-Interesses

Anleitung DSGVO-Profi gesucht – intern oder extern?

Sie müssen für Ihr Unternehmen keinen externen Datenschutzprofi (ED) beauftragen. Auch ein Mitarbeiter (MA) kann diese Funktion übernehmen. Das gilt auch, wenn Sie nach dem Gesetz einen Datenschutzbeauftragten (DSB) benennen müssen. Wägen Sie Vor- und Nachteile gründlich ab, bevor Sie Gespräche führen und sich endgültig entscheiden.

• Mitarbeiter: Ein Mitarbeiter als Datenschutzprofi kennt Betrieb, Kollegen sowie interne Abläufe und Prozesse. Und Sie kennen Ihren Mitarbeiter und vertrauen ihm.
  Externer Datenschutzprofi: Ein externer Dienstleister muss sich erst einarbeiten.
• Mitarbeiter: Für seine zusätzliche Funktion benötigt Ihr Mitarbeiter die erforderliche Zeit, die er dann für seine Fachaufgaben nicht mehr vollumfänglich zur Verfügung hat.
  Externer Datenschutzprofi: Beauftragen Sie einen externen Datenschutzprofi, kann sich Ihr Mitarbeiter auf seine Kernaufgaben konzentrieren.
• Mitarbeiter: Ihr Mitarbeiter muss fit sein in Datenschutzrecht und IT-Wissen. Planen Sie Schulungen und Fortbildungen ein.
  Externer Datenschutzprofi: Qualifikationen sowie Praxiserfahrung bringt der externe Dienstleister mit.
• Mitarbeiter: Ein interner Datenschutzbeauftragter (DSB) steht unter einem besonderen Kündigungsschutz. Das Arbeitsverhältnis darf während seiner Tätigkeit als DSB und für ein Jahr danach in der Regel nicht gekündigt werden.
  Externer Datenschutzprofi: Für einen externen DSB gilt dieser Kündigungsschutz nicht. Der Vertrag kann jederzeit gekündigt werden, soweit nichts anderes vereinbart wird.
• Mitarbeiter: Ein interner DSB darf weder Mitglied der Geschäftsführung noch Leiter der EDV oder Personalabteilung sein, da diese Personen für die Datenverarbeitung verantwortlich sind und sich als DSB selbst kontrollieren würden.
  Externer Datenschutzprofi: Diesen Interessenskonflikt umgehen Sie mit einem externen DSB.
• Mitarbeiter: Auch ein interner Datenschutzprofi verursacht Kosten, etwa Ausgaben für Fortbildungen und technische Ausstattung.
  Externer Datenschutzprofi: Für die Leistungen eines Dienstleisters sind je nach Umfang und Vereinbarung bestimmte Honorare oder monatliche Pauschalen zu zahlen.