Datenschutz im DIY – kann selbst machen gut gehen?

Der Begriff DIY ist eine Abkürzung des englischen Ausdrucks für Do it yourself und beschreibt den Trend Dinge selbst zu machen. Eigentlich in erster Linie so etwas wie Lampen, Möbel und andere Basteleien. Kann DIY aber auch im Datenschutz für Laien funktionieren? Wir behaupten ja, aber nicht für jeden.

Nehmen wir mal an, Sie sind motiviert das Thema Datenschutz in Ihrem Unternehmen selbst anzugehen – etwa, weil Sie der Geschäftsführer und damit verantwortlich für den Datenschutz sind oder weil Sie dazu von der Geschäftsführung bestimmt worden sind sich des Themas anzunehmen. In der Regel begegnen Ihnen die Herausforderungen, dass

  1.  man irgendwo mit dem Datenschutz anfangen muss,
  2. es viel zu beachten gibt
  3. und fertig wird man eigentlich nie.

Und wie das bei einem DIY-Projekt üblich, fängt man irgendwo an. Wie Ihr Datenschutz im DIY-Modus dennoch ein Erfolg wird und welche Werkzeuge Sie dabei unterstützen könnten, erklären wir Ihnen im Folgendem.

Punkt 1: Wo fängt man mit dem Datenschutz im DIY eigentlich an?

Jedes Unternehmen und andere Organisationen sind nicht erst seit der DSGVO (Datenschutzgrundverordnung) und des BDSG-neu (neues Bundesdatenschutzgesetz) verpflichtet, personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern und weiteren zu schützen und für einen korrekten Umgang in der Datenverarbeitung zu sorgen. Auch vorher gab es schon ein Bundesdatenschutzgesetz, dass dieses forderte. (Personenbezogene Daten sind dabei Daten, die Rückschlüsse auf eine natürliche Person erlauben also Name, Telefonnummer, Adresse, Kontodaten etc.).

Sobald Sie als also personenbezogene Daten verarbeiten, also Daten erheben, speichern, nutzen, übermitteln, löschen oder mit diesen auf jegliche Art und Weise zu tun haben, sind Sie zur Erfüllung gewisser Vorgaben, die sich aus den o. g. Gesetzen ergeben, verpflichtet. Dazu mehr im nächsten Punkt.

Als ersten Schritt beim Datenschutz im DIY-Verfahren sollten Sie sich also einen Überblick darüber verschaffen, welche personenbezogenen Daten wo, von wem, womit, wie, wofür und warum überhaupt verarbeitet werden. Also auch darüber, wer in Ihrem Unternehmen mit personenbezogenen Daten arbeitet.

Sie müssen wissen, welche Datenflüsse es bezüglich personenbezogener Daten in Ihrem Unternehmen gibt; also wo und wie kommen diese Daten in Ihre Organisation rein und wie und wo kommen sie überall an bzw. verlassen auch das Unternehmen wieder (z.B. Geschäftspartner, Kunden, Dienstleister), etwa im Zuge einer Auftragsverarbeitung.

Dokumentenberg - Datenschutz im DIY

Und woher weiß ich, was ich beim „Datenschutz selbst machen“ alles beachten muss?

Hier kommt der erste Knackpunkt: Wenn man nicht gerade den Datenschutzfachmann an Bord hat, tun sich Unternehmen in der Regel sehr schwer damit, eine vernünftige Aufstellung und einen Anfang für ihren Datenschutz zu finden. Der Zeitaufwand ist hoch, die Ressourcen dafür in der Regel knapp und sicher ist man trotzdem nicht, ob man wirklich alles beachtet. Ein komisches Bauchgefühl bleibt.

Abhilfe zu diesem Punkt versprechen – vor allem beim DIY-Datenschutz – DSGVO-Checklisten oder entsprechende Datenschutzsoftware-Lösungen. Wenn Sie keinen Datenschutzbeauftragten/-fachmann/-frau beauftragen, sollten Nicht-Fachkundige diese Hilfen unbedingt nutzen! Machen Sie sich das Leben nicht unnötig schwer.

DSGVO-Checklisten gibt es haufenweise kostenlos im Internet. Aber Vorsicht – am Ende des Tages sind es trotzdem „nur“ Checklisten, nicht mehr und nicht weniger und es ist wichtig auf die Quelle zu achten. Ist die Quelle der Checkliste seriös und passt die Checkliste zu meinem Zweck?

Datenschutz Softwarelösungen sind da schon intelligenter aufgebaut. Gute Lösungen geben Ihnen die geforderten Daten vor, gehen auf Ihre Eingaben ein und erstellen automatisch daraus resultierende Aufgaben. Damit wird die Bedienung vor allem zur Fleißarbeit und nicht zum Hexenwerk, das nur von spezialisierten Experten bewältigt werden kann.

Doch auch hier muss irgendwer für die Ausführung sorgen…

Wer übernimmt also die Aufgabe oder Koordination im Unternehmen?

Für den Datenschutz verantwortlich ist immer die Geschäftsführung. Hat der Geschäftsführer eines kleinen oder mittelgroßen Unternehmens Zeit sich auch um den Datenschutz zu kümmern fein. Er steht steht jedoch vor der selben Herausforderung wie der neu zum Datenschutz-Koordinator ernannte Kollege Mayer (der zufällig im falschen Moment am falschen Ort war und sich damit für diese Zusatzaufgabe qualifiziert hat).

Die Herausforderung lautet nach wie vor: woher weiß ich, was ich für den Datenschutz alles brauche? Damit wären wir wieder beim Datenschutzbeauftragten, Checklisten oder eben einer DSGVO-Software. Finden Sie eine für Sie passende Lösung, die genau diese Fragen beantwortet.

Berücksichtigen Sie dabei aber unbedingt Ihr vorhandenes Wissen im Datenschutz, Ihre zeitlichen Möglichkeiten und sowie Ihr Budget.

DSM-Online: die Datenschutzsoftware, die Sie bei der Umsetzung Ihres Datenschutzes zuverlässig unterstützt.

Jetzt 14 Tage kostenlos testen
UHier mehr erfahren!

Punkt 2: Es gibt im Datenschutz viel zu beachten – besonders im DIY. Ja was denn genau?

Da Sie an dieser Stelle in der Regel nicht einen Kurs oder eine Weiterbildung zum Thema Datenschutz absolvieren möchten, sondern vermutlich eher eine gesunde, knackige Kurzfassung erwarten, fassen wir uns bei diesem Punkt kurz.

Fakt ist: Eine fachgerechte Umsetzung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfordert Erfahrung und Expertise. Es erwarten Sie umfassende Dokumentationspflichten, denen Sie nachkommen müssen. Und das unabhängig davon, ob Sie ein kleines Unternehmen oder großer Konzern sind. Kommen Sie diesen gegenüber einer Aufsichtsbehörde nicht ausreichend oder gar nicht nach, kann Sie ggfs. ein Bußgeld erwarten.

Nachfolgend finden Sie eine Zusammenfassung der wichtigsten Punkte, die Sie im Falle einer Anfrage beispielsweise seitens Datenschutzbehörden nachweisen müssen.

Rechtsgrundlage

Verarbeiten Sie personenbezogene Daten nie ohne eine Rechtsgrundlage! Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, sofern sie nicht ausdrücklich durch eine Rechtsgrundlage erlaubt ist (Verbot mit Erlaubnisvorbehalt). Jegliche Datennutzung Ihrer Interessenten und Kunden usw. ist also nur zulässig, wenn sie ausdrücklich erlaubt wurde (bspw. durch einen Vertrag, eine Vertragsanbahnung, ein Gesetz…) oder wenn z.B. eine Einwilligung vorliegt.

Haben Sie für jede Verarbeitung eine Rechtsgrundlage definiert?

Zweckbindung & Datenminimierung

Stellen Sie sicher, dass die erhobenen Daten einem legitimen Zweck dienen und Sie nur die nötigsten Daten erheben.

Daten, Personen, Empfänger

Welche Daten erfassen Sie, über wen und an wen geben Sie sie weiter? Machen Sie eine Analyse.

Technische und organisatorische Maßnahmen

Die gespeicherten Daten müssen vor dem Zugriff Unbefugter und einem möglichen Datenmissbrauch mit allen zur Verfügung stehenden Mitteln und auf aktuellen technischen Stand geschützt werden. Können Sie angemessene Sicherheitsstandards nachweisen und haben Sie diese dokumentiert?

Organisation und Dokumentation

Gute Organisation und umfassende Dokumentation ist essenziell für den Datenschutz. Hier gilt es unter anderem die folgenden Punkte zu klären:

  • Wissen Ihre Mitarbeiter, was Datenschutz ist und wie sie mit personenbezogenen Daten umgehen müssen?
  • Haben Sie Ihre Mitarbeiter zur Vertraulichkeit und zum Datenschutz verpflichtet?
  • Wurden Sie und Ihre Mitarbeiter schon einmal im Datenschutz geschult? Nur wer weiß, um was es im Datenschutz geht, kann sich auch an den Datenschutz halten.
  • Haben Sie alle Prozesse, in welchen Sie personenbezogene Daten verarbeiten werden, analysiert? Wurden diese Prozesse im Verzeichnis der Verarbeitungstätigkeiten datenschutzkonform dokumentiert?
  • Sind Ihre Verträge datenschutzkonform (Kundenverträge, Angestelltenverträge…)?
  • Haben Sie wichtige Konzepte und Richtlinien für den Datenschutz erstellt? (Datenschutzkonzept, IT-Richtlinie, Umgang mit Datenschutz-Vorfällen…)
  • Haben Sie ein passendes Löschkonzept? Was nicht mehr benötigt wird, muss gelöscht werden (Datensparsamkeit). Sind Ihnen die Speicherdauer bzw. Löschfristen im Unternehmen bekannt? Bitte beachten Sie hier auch gesetzliche Aufbewahrungspflichten.
  • Haben Sie einen Prozess etabliert, der sich mit Datenschutzverletzungen und Datenschutzpannen beschäftigt? Hier kann es zu viel Ärger kommen, wenn kein sauberer Prozess definiert ist und vorgeschriebene Zeiten nicht eingehalten werden.

Betroffenenrechte

Sind Sie bereit für Auskünfte von Betroffenen, Änderungen, Löschbegehren und haben Sie entsprechende Prozesse etabliert? Kann Ihr Unternehmen auf Verlangen des Betroffenen, beispielsweise Auskunft darüber erteilen, wann, wie und welche Daten über ihn erhoben wurden und zu welchem Zweck?

Online-Aktivitäten

Betreiben Sie Ihre Online-Aktivitäten (Webseite, Facebook, LinkedIn, Newsletter, Webanalysedienst etc.) datenschutzkonform? Nutzen Sie als Websitebetreiber einen Webanalysedienst, um das Verhalten Ihrer Websitebesucher zur Verbesserung des Informationsangebots zu analysieren (z.B. Google Analytics), und entspricht dieser den Datenschutzrichtlinien?

Das waren nur einige übergeordnete Punkte, die Sie beachten müssen. In Summe ist es eine Menge, die man generell, aber vor allem beim Datenschutz im DIY, beachten muss.

Auch hier punktet eine Softwarelösung, denn der User wird in der Regel durch alle essentiellen Themen geführt, sodass nichts vergessen wird. Eine gute Ausgangsbasis für ein DIY-Datenschutz-Projekt.

Eine gute Datenschutzsoftware (bspw. DSM-Online) liefert zudem Vordrucke und Vorlagen und dient des Weiteren als Dokumentenablage, sodass sie den gesamten Datenschutz inkl. aller Verträge etc. online abbilden und dokumentieren können.

Punkt 3: Fertig wird man im DIY-Datenschutz eigentlich nie.

Das Thema Datenschutz hat sich mit einer einmaligen Umsetzung der rechtlichen Vorgaben nicht erledigt. Das wäre zu einfach. Vielmehr bedarf es einer kontinuierlichen Überwachung der Verarbeitungsprozesse, also einem klassischen KVP (Kontinuierlicher Verbesserungs-Prozess), wie man ihn auch aus der ISO9001 – Qualitätsmanagement sehr häufig kennt.

Wird eine neue Software eingeführt, etwa für den Newsletter oder Online-Meetings, müssen Sie prüfen, ob sie DSGVO-konform betrieben werden kann und sie entsprechend etwa in Ihrer Datenschutzerklärung und/oder in den Hinweispflichten aufnehmen.

Alle anderen Prozesse aus dem Verzeichnis der Verarbeitungstätigkeiten müssen ebenfalls regelmäßig auf ihre Aktualität hin überprüft werden. Diese Erinnerungsfunktion erfüllt ebenfalls eine Checkliste nicht. Sie müssen also beim Datenschutz im Do-It-Yourself-Verfahren selbst regelmäßig daran denken oder diesen voreingestellten Prozess selbst übernehmen.

Checkliste - Datenschutz im DIY

Unterstützung für den Datenschutz im DIY – eine Übersicht

Diese kleine Übersicht soll Ihnen ein paar unterstützende Möglichkeiten nennen, wenn Sie vorhaben den Datenschutz in Eigenregie umzusetzen. Denken Sie darüber nach, was zu Ihnen passt, wieviel Aufwand Sie auf Ihrer Seite vertragen können und wo Sie das beste Preis-/ Leistungsverhältnis sehen.

Tool / Hilfe / Lösung Merkmale
Checkliste
  • Oft kostenlos – Aufgepasst, was die Quelle angeht!
  • Gute Ausgangsbasis
  • Liefert Anregungen zum Nachdenken
  • eindimensional / einfache Möglichkeit zum Abhaken
  • nicht individuell – kann unnötig komplex oder unvollständig sein
  • Unklare Begrifflichkeiten / Handlungsempfehlungen müssen über weitere Wege nachgeschlagen werden
  • Organisation der daraus resultierenden Dokumentation in Eigenregie erforderlich
Software
  • Meist Intuitive Führung und auch für Laien verständlich
  • Kostenpflichtig, aber die Kosten sind eher gering
  • Führt durch alle relevanten Punkte
  • Setzt Folge-Aufgaben auf Basis der Eingaben
  • Liefert oft zahlreiche Vorlagen, Muster, Verträge
  • Bietet eine gute Struktur & Organisation aller Datenschutzthemen
  • Muss zum Unternehmen / Unternehmensbedürfnissen passen
Datenschutzexperte
  • Kann auch auf Wunsch lediglich für den Start / Aufbau beauftragt werden
  • Auch Teilbereiche des Datenschutzes, der Aufbau oder die gesamten Aufgaben können ausgelagert werden
  • Kosten nach Aufwand
  • Kann sofort ab Auftragserteilung starten
  • Tiefgreifendes Expertenwissen und Praxiserfahrung
  • Effizienter und gekonnter Aufbau

Rufen Sie uns gerne an, wenn Sie noch nicht sicher sind, wie Sie bei Ihrem Datenschutz vorgehen möchten. Wir helfen Ihnen die Möglichkeiten zu erörtern. Auch eine kostenlose Webdemo mit unserem Experten kann Ihnen helfen zu erörtern, ob beispielsweise eine Softwarelösung zu Ihnen passt.

Datenschutz einfach & strukturiert mit DSM-Online umsetzen. 14 Tage kostenlos & unverbindlich testen!

Jetzt 14 Tage kostenlos testen
UHier mehr erfahren!

Fazit – So klappt es mit dem Datenschutz im Alleingang

Man kann sagen – im Datenschutz wird man eigentlich nie fertig.

Umso wichtiger ist es, dass Sie Ihre vorhandenen Ressourcen gezielt und effektiv einsetzen, wenn Sie den Datenschutz gemäß dem DIY-Prinzip selbst in die Hand nehmen möchten. Sie sollten nicht mehr Zeit einsetzen als nötig, denn der Datenschutz ist nicht Ihre Kernaufgabe. Sie haben andere. Schließen Sie Lücken im Datenschutz zuverlässig und dokumentieren Sie strukturiert. So sind Sie auf der richtigen Seite.

Wenn Sie kein Fachmann auf dem Gebiet des Datenschutzes sind, suchen Sie sich die Lösung, die zu Ihrem Unternehmen, Ihren Möglichkeiten und Ressourcen und Ihren Bedürfnissen passt.

Tipp: Datenschutz-Kompaktpaket Beratertag

Sollten Sie keine freien Ressourcen haben sich auch noch um das Thema Datenschutz zu kümmern, holen Sie sich zumindest für den Start einen Fachmann an Bord, der Ihnen einen strukturierten Weg für den Datenschutz Ihres Unternehmens zeigt. Dies spart viel Zeit, Nerven und viel Geld. Die meisten Firmen setzen ja auch bei neuen Verträgen einen Fachmann (Anwalt) ein und übergeben die Steuerthemen an ihren Steuerberater. Warum also bei einem so wichtigen Thema mit möglicherweise gravierenden Folgen nicht auch einen Fachmann hinzuziehen?

Unser beliebtes Produkt ist hier der Datenschutz-Beratertag. Beim Datenschutz-Beratertag setzen wir bereits einen großen Teil Ihres Datenschutzes an nur einem Tag gemeinsam mit Ihnen um. Strukturiert und nachhaltig digital in der Datenschutzsoftware DSM-Online dokumentiert. Und das zu einem günstigen Paket-Preis mit zahlreichen Inklusivleistungen, die Sie wirklich weiterbringen. Schauen Sie sich unser Angebot an und kontaktieren Sie uns bei Fragen!

Zum Angebot

Das könnte Sie auch interessieren: