Expertengespräch der Unternehmer-Vereinigung „Sag JA! zu Dorsten“:
„Datenschutz ohne Schnickschnack: Wie stelle ich mein Unternehmen DSGVO-konform auf?“
Am gestrigen Mittwoch (08. Juni 2022, 19 Uhr) fand mit rund 20 Mitgliedern und Interessierten in einem kleinen Saal im „Haus Schult“ in Dorsten-Östrich (Gahlener Str. 333, 46282 Dorsten) ein Expertengespräch mit dem zertifizierten Datenschutzbeauftragten Mannus Weiß zu dem wichtigen – jedoch oft unterschätzten – Themengebiet „Datenschutz für Unternehmen“ statt.
In Zusammenarbeit mit der „Sparkasse Vest Recklinghausen“, die an diesem Abend auch die Kosten für die Getränke-Versorgung der Teilnehmer übernahm, hatte die Unternehmer-Vereinigung „Sag JA! zu Dorsten“ sowohl Mitglieder als auch interessierte Unternehmerinnen sowie Unternehmer zu dieser kostenlosen Veranstaltung eingeladen, um in einem Expertengespräch spezialisiertes Wissen zu vermitteln und mit konkretem Austausch zu verbinden.
Experte Mannus Weiß erläuterte die „Must Haves“ des Datenschutzes und vermittelte Grundsätzliches zum Thema „DSGVO ohne Schnickschnack“. Er warb dafür, Datenschutz als Chance zu sehen und durchaus als Wettbewerbsvorteil zu nutzen.
Denn die 2018 für alle Unternehmen in der Europäischen Union verpflichtend gewordene Datenschutz-Grundverordnung („DSGVO“) gilt beispielsweise auch für Einzelunternehmen, kleine Handwerksbetriebe, Freiberufler und Kleingewerbetreibende, obwohl der Gesetzgeber mit diesen Regelungen ursprünglich auf die großen, weltweit-agierenden Konzerne wie beispielsweise Meta (Facebook, Instagram & WhatsApp), Google, Microsoft und Apple abgezielt hatte.
Der Referent Mannus Weiß ist zertifizierter Datenschutzbeauftragter, Datenschutzauditor und Geschäftsführer von „Die Datenschutzkonzept GmbH“ mit Sitz in Rheinbach. Ursprünglich aus dem Bereich Online-Marketing kommend ist er auf diesem Wege mit dem Thema „Datenschutz“ in Berührung gekommen und hat schnell festgestellt, wie wichtig ein verantwortungsvoller sowie rechtskonformer Umgang mit persönlichen Daten ist. Er betrachtet Online-Kompetenz und Datenschutz als gesellschaftliche Herausforderung und engagiert sich daher ehrenamtlich, Kinder sowie Jugendliche Datenschutz-technisch zu beraten und dabei zu unterstützen, ihre persönliche Integrität im Netz zu wahren.
Mit einem interessanten sowie kurzweiligen Vortrag mit zahlreichen konkreten Beispielen aus seiner Berufspraxis und im gegenseitigen Austausch mit den Teilnehmern konnte Experte Mannus Weiß den anwesenden Unternehmerinnen und Unternehmern (trotz des für Viele wohl eher „trockenen“ und unbeliebten Themas) unterhaltsam vermitteln, wie wichtig der Datenschutz und die Einhaltung der DSGVO sind.
Denn zunehmend überprüfen mittlerweile die Behörden die Unternehmen auf die Einhaltung dieser Vorschriften und bei Unstimmigkeiten oder fehlenden Unterlagen drohen tatsächlich empfindliche Strafen oder Bußgelder. Für Datenschutzverstöße sind in der DSGVO Bußgelder von bis zu 20 Millionen Euro oder von bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens vorgesehen (je nachdem, welcher Betrag höher ist).
Eine weitere Datenschutz-rechtliche „Gefahr“ für die Unternehmen könnten unzufriedene Kunden, ehemalige Mitarbeiter, abgelehnte Bewerber, Abmahn-Vereine oder „Hobby-Datenschützer“ sein, die beispielsweise die Unternehmens-Webseite und die vorgeschriebene Datenschutzerklärung akribisch auf Fehler oder Verstöße durchsuchen.
Die umfangreiche Praxis-Erfahrung des Experten zeigt, dass es tatsächlich wohl nur wenige Unternehmens-Webseiten gibt, die einer gründlichen sowie tiefergehenden Überfrüfung wirklich standhält, absolut frei von Fehlern ist und auch die aktuellsten Datenschutz-Vorschriften einhält.
Den teilnehmenden Unternehmerinnen und Unternehmern wurde ein kostenloser Datenschutz-Check ihrer Webseite angeboten. Bei einigen Live-Stichproben während der Veranstaltung stellte sich heraus, dass auch die Dorstener Unternehmen da keine Ausnahme darstellen und bei vielen noch akuter Handlungsbedarf besteht.
Eine häufige Fehlerquelle sind „Cookie-Banner“ auf den Unternehmens-Webseiten. Der Bundesgerichtshof (BGH) hatte 2020 entschieden, dass das Setzen von Cookies, die für den Betrieb einer Internetseite nicht zwingend erforderlich sind, nur nach einer aktiven Einwilligung der betroffenen Person zulässig sind. Diese Einwilligung muss freiwillig sowie vorab erfolgen, informiert erteilt werden und jederzeit durch den Nutzer widerrufbar sein.
Generell wird hier zwischen technisch notwendigen Cookies (für diese wird kein Banner benötigt) und anderen Cookies unterschieden. Dies können z. B. Cookies von „Google Analytics“, dem „Google Tag Manager“ oder auch „Youtube“-Videos sein. Besondere Sorgfalt ist geboten, sobald Daten an Unternehmen außerhalb der EU übertragen werden. Weil dort die DSGVO nicht gilt, gibt es hierbei besondere Anforderungen an die Einwilligung der Nutzer.
Da die Vorschriften – beispielsweise das seit Dezember 2021 geltende „Telekommunikation-Telemedien-Datenschutz-Gesetz“ („TTDSG“) – zum Teil noch nachträglich konkretisiert und angepasst wurden, entsprechen mittlerweile zahlreiche Cookie-Banner nicht mehr den aktuellen rechtlichen Vorgaben. Einfache Cookie-Hinweise, die lediglich über das Setzen von Cookies informieren, sind nicht ausreichend. Auch Formulierungen, nach denen Betroffene durch die Nutzung der Webseite auch dem Setzen von Cookies zustimmen, sind nicht DSGVO-konform.
Ein Cookie-Banner muss sicherstellen, dass Datenverarbeitungsvorgänge erst dann erfolgen, wenn die Besucherin oder der Besucher aktiv eingewilligt hat. Daher muss durch technische Maßnahmen sichergestellt werden, dass sämtliche Skripte der Internetseiten, die personenbezogene Daten erfassen, zunächst blockiert werden. Erst nach der freiwilligen Einwilligung des informierten Nutzers in die Datenverarbeitung darf diese auch tatsächlich stattfinden.
Wichtig ist auch, dass nach aktueller Rechtsprechung die Zustimmung zu den nicht-notwendigen Cookies nicht durch eine schon voreingestellte Auswahl erfolgen darf.
Auf einen weiteren häufig gemachten DSGVO-Verstoß machte Referent Mannus Weiß aufmerksam: zahlreiche Webseiten nutzen Schriftarten wie „Google Fonts“, bei deren Nutzung automatisch Daten vom Browser des Webseitenbesuchers (beispielsweise die IP-Adresse) angefordert und erfasst werden, was jedoch eine vorherige Nutzereinwilligung notwendig machen würde, wenn die Webseite Gesetzes-konform sein soll.
Er gab den Hinweis, dass nach der aktuellen Rechtsauslegung (die bedauerlicherweise oftmals etwas praxisfern ist) die Nutzung beispielsweise von „WhatsApp“ oder einer „Facebook-Fanpage“ durch Unternehmen für die Kommunikation mit Kunden streng genommen nicht zulässig wäre.
„WhatsApp“ greift ungefragt auf das interne Telefonbuch des Smartphones zu und hätte damit auch unzulässig Zugriff auf die dort gespeicherten Kundendaten (Telefonnummern, Namen etc.) des Unternehmers oder Mitarbeiters. „Facebook“ wird kritisch betrachtet, da der Social-Media-Dienst unzählige Daten auch von Nicht-Mitgliedern (in nicht überschaubarer Weise) erfasst und auswertet.
Auch bei der Nutzung von Video-Überwachung im bzw. am Betrieb oder bei der Nutzung von Mitarbeiter-Fotos sind einige neue Regelungen zu beachten.
Es gibt also unzählige eventuelle Fallstricke, die ein Unternehmen (und sei es noch so klein) bezüglich Datenschutz zu beachten hat.
Oder wussten Sie z.B., wie lange ein Unternehmen Bewerbungs-Unterlagen aufbewahren darf?
Bei vielen Unternehmen sind die personenbezogenen Daten von Bewerbern auch dann noch gespeichert, wenn sie für den ursprünglichen Zweck nicht mehr gebraucht werden. Das ist jedoch rechtlich nicht zulässig.
Nach 6 Monaten könnte es für das (möglicherweise diesbezüglich unwissende) Unternehmen teuer werden, wenn ein vielleicht abgelehnter Bewerber nachweisen kann, dass seine Unterlagen (beispielsweise Anschreiben, Lebenslauf sowie Zeugniskopien) und Daten länger als das erlaubte halbe Jahr gespeichert wurden. Sofern einem Bewerber abgesagt wird, müssen die Bewerbungsunterlagen spätestens 6 Monate nach der Absage vollständig datenschutzkonform vernichtet werden, dies gilt sowohl für Unterlagen in Papier- als auch in digitalisierter Form. Möchte sich das Unternehmen die Möglichkeit offen halten, später erneut auf den Bewerber zukommen zu können, um ihm eine andere Stelle anzubieten, muss das Unternehmen schriftlich die Einwilligung des Bewerbers erfragen.
Besonders wichtig ist auch die regelmäßige Schulung der Mitarbeiter und die konkrete Abklärung, wie sich die Mitarbeiter beim Umgang mit diversen gespeicherten Daten, bei der Nutzung des Internets, im Umgang mit E-Mails, bei der Nutzung von betrieblicher Hard- und Software, im Home-Office usw. zu verhalten haben. Einmal jährlich ist pro Mitarbeiter ein entsprechender Schulungs-Nachweis notwendig.
Auf seiner Internetseite „Die Datenschutzkonzept GmbH“ gibt Datenschutz-Experte Mannus Weiß zahlreiche weitere hilfreiche Tipps und Hinweise:
- Checkliste DSGVO und Datenschutz: https://datenschutzkonzept.com/informationen/checkliste-dsgvo/
- 10 Fragen, die Sie der Datenschutzbehörde beantworten können müssen: https://datenschutzkonzept.com/informationen/datenschutzbehoerde/
- So wird Datenschutz zum Gewinn: https://datenschutzkonzept.com/informationen/vorteile-datenschutz/
- Kostenloser Webseiten-Datenschutz-Check: https://datenschutzkonzept.com/informationen/webseite-datenschutz-test/
- Video-Interview mit Mannus Weiß zum Thema “Must Haves DSGVO”: https://datenschutzkonzept.com/informationen/interview-datenschutz-und-dsgvo/
Nähere Infos zur Unternehmer-Vereinigung „Sag JA! zu Dorsten“ finden Sie auf der meinDorsten-Vereinsseite (https://meindorsten.de/vereine-und-institutionen/unternehmervereine/sag-ja-zu-dorsten/) sowie auf der Homepage des Vereins (https://www.sagjazudorsten.de/).
meinDorsten unterstützt Vereine aus Dorsten und Umgebung
Wenn wir hier auch über Ihren Verein, Ihre Veranstaltungen und sonstige Tätigkeiten ausführlich in Wort und Bild berichten sollen, melden Sie sich doch gerne jederzeit bei uns per E-Mail (redaktion@meindorsten.de) oder per WhatsApp direkt bei unserem Redakteur und Fotografen Gregor Föcker (0160 – 64 14 051).
Sie kennen die Vereinsseiten von meinDorsten noch nicht?
Dann schauen Sie sich doch mal hier um: https://meindorsten.de/vereine-und-institutionen/
Eine strukturierte Übersicht von Vereinen, Organisationen sowie Institutionen aus der Region Dorsten finden Sie in unserem umfangreichen Vereinsverzeichnis: https://meindorsten.de/vereinsverzeichnis/
Ihr Verein ist eventuell bedauerlicherweise noch nicht in unserem Vereinsregister vertreten?
Dann sollten Sie die kostenlose Anmeldung hier schnellstens nachholen: https://meindorsten.de/registrierung-vereine/
Mehr über den Gasthof mit großem Festsaal (ca. 400 Quadratmeter) und Bundeskegelbahn, das Restaurant mit hervorragender Küche, das gemütliche Hotel mit 8 großzügigen Zimmern, der hauseigenen Familienbäckerei sowie über den traditionsreichen Familienbetrieb „Haus Schult“ in Dorsten-Östrich erfahren Sie hier: http://www.haus-schult.de/
Weiterführende Informationen zu den Themen Datenschutz und DSGVO finden Sie unter anderem hier:
- Datenschutz-Grundverordnung (Wikipedia): https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
- Telekommunikation-Telemedien-Datenschutz-Gesetz (Wikipedia): https://de.wikipedia.org/wiki/Telekommunikation-Telemedien-Datenschutz-Gesetz
- Datenschutzrichtlinie für elektronische Kommunikation (Wikipedia): https://de.wikipedia.org/wiki/Datenschutzrichtlinie_f%C3%BCr_elektronische_Kommunikation
- Datenschutz (Wikipedia): https://de.wikipedia.org/wiki/Datenschutz
- Cookie-Banner: fünf Fehler, die Sie vermeiden sollten! (IHK): https://www.ihk.de/halle/recht/datenschutz/sonstige-rechtsinformationen/cookie-banner-fuenf-fehler-die-sie-vermeiden-sollten–4854218
Auch bei den Handwerkskammern (HWK), Industrie- und Handelskammern (IHK) sowie bei zahlreichen Volkshochschulen (VHS) werden gelegentlich hilfreiche Seminare und Kurse zum Themenbereich Datenschutz und DSGVO angeboten.
Gregor Föcker / Redaktion meinDorsten / 09. Juni 2022
