1. Herr Knetsch, Sie sind Vertriebsleiter und Datenschutzbeauftragter bei mein-datenschutzbeauftragter.de. Bitte erzählen Sie uns mehr darüber. Müssen eigentlich auch kleine Unternehmen und Startups einen Datenschutzbeauftragten haben?
Das Thema „Benennung eines Datenschutzbeauftragten“ ist in Deutschland klar geregelt. Sofern ein Unternehmen mehr als 20 Personen beschäftigt, die regelmäßig automatisiert personenbezogenen Daten verarbeiten, gilt die Benennungspflicht. Um es nicht so bürokratisch auszudrücken: bei 20 Personen, die zum Beispiel ein Mailprogramm nutzen. Ausnahmen bestätigen natürlich die Regel. Der benannte Datenschutzbeauftragte muss dann auch an die zuständige Aufsichtsbehörde gemeldet werden. Wichtig zu wissen ist, dass es sich hier nur um die Bestellpflicht handelt. Das Thema Datenschutz muss größenunabhängig in allen Unternehmen gesetzeskonform berücksichtigt und prozessual umgesetzt werden.
2. Welche Vorteile hat es, einen externen Datenschutzbeauftragten zu benennen?
Die Gründe, warum ein Unternehmen sich für einen externen Partner entscheidet, sind vielfältig. Das Thema interne Haftung der Geschäftsführung sowie des Datenschutzbeauftragten ist häufig das entscheidende Kriterium. Hohe Ausbildungs- und Weiterbildungskosten für eine interne Kraft sowie die Freistellung zur Erfüllung der Aufgaben sind weitere Argumente für ein Outsourcing. Alle wissen, dass es heute wirklich schwierig ist, neue Kollegen für sein Team zu gewinnen. Umso wichtiger ist es, dass sich ein Jeder auf seine Kernaufgaben fokussieren kann. Durch die Einbindung eines Experten wird Knowhow eingekauft und zielgerichtet an einer pragmatischen Lösung gearbeitet, anstatt planlos ein zeitintensives, aber nicht alltagstaugliches Konzept für die Schublade zu entwerfen. Ein gutes Datenschutzkonzept verbessert auch die Prozesse in den Unternehmen.
3. Müssen die eigenen Mitarbeiter in einem Startup im Datenschutz geschult werden?
Unbedingt! Datenschutzschulungen sind gesetzlich vorgeschrieben. Dies ist auch sinnvoll, denn die größte Gefahr lauert nach wie vor in den Unternehmen. Unwissenheit und Unsicherheit der Mitarbeiter führt häufig zu Fehlern. In Schulungen werden die Mitarbeiter im Umgang mit verschiedensten Szenarien sensibilisiert, damit zum Beispiel nicht doch versehentlich schädliche Anhänge geöffnet werden oder leichtsinnig irgendeine Software gedownloadet wird. Auch die Nutzung von „WhatsApp“ ist in den Unternehmen ein Dauerbrenner, welche geregelt werden muss.
4. Was bedeutet eigentlich Arbeitnehmerdatenschutz und was sollten Gründer hierbei beachten?
Zum Datenschutz gehören natürlich auch die Daten der Arbeitnehmer im Unternehmen. Da der Arbeitgeber in der Rechtsprechung das stärkere Glied darstellt, gibt es Spielregeln was Arbeitgeber mit den Daten der Arbeitnehmer machen und vor allem nicht machen dürfen. Arbeitnehmer sollen zum Beispiel vor unrechtmäßiger Überwachung, unrechtmäßiger Leistungs- und Verhaltenskontrollen und unrechtmäßiger Verarbeitung ihrer Daten geschützt werden. Gründer sollten von Anfang an darauf achten, transparent mit der internen Verarbeitung der Mitarbeiterdaten umzugehen und sich unter Umständen- sofern notwendig – die Einwilligung der Mitarbeiter einholen.
5. Was sollten Gründer, generell beim Anlegen und Führen von Personalakten, berücksichtigen?
Es beginnt mit der grundsätzlichen Aufbewahrung der Personalakten. Analog oder digital? Wichtig ist, dass die Daten vor unbefugter Einsichtnahme durch verschiedene Maßnahmen ausreichend geschützt werden. Der Mitarbeiter muss über diese Personalakte ausreichend informiert sein und hat auch jederzeit das Recht, diese einzusehen. Sofern nicht anders geregelt, dürfen nur Arbeitgeber und Arbeitnehmer in die Akte Einsicht nehmen, keine andere Person. Ein ebenso wichtiger Grundsatz ist die Datensparsamkeit in Personalakten. Grundsätzlich gilt: Es dürfen nur solche Daten gesammelt werden, welche für die Aufnahme, Durchführung oder Beendigung der Beschäftigung erforderlich sind. Grundsätzlich gelten natürlich auch die gesetzlich vorgeschriebenen Aufbewahrungs- und Löschfristen, nach denen sich Arbeitgeber zu richten haben.
6. Was sollten Startups beachten, die ihren Mitarbeitern gestatten, im Home-Office zu arbeiten?
Es ist wichtig, dass die Mitarbeiter mittels einer Home-Office Vereinbarung über die Schutzmaßnahmen in Kenntnis gesetzt werden. Um möglichen Strafen entgegen zu wirken, müssen Arbeitnehmer beispielsweise sicherstellen, dass sich das Home-Office in einem separat abschließbaren Zimmer befindet und betriebliche Unterlagen in einem Schrank gesichert werden können. Der Arbeitgeber sollte sich auch vorbehalten, die Räumlichkeiten zu Kontrollzwecken besichtigen zu dürfen.
7. Dürfen heutzutage eigentlich noch Mitarbeiternamen und Fotos auf der Unternehmenswebseite veröffentlicht werden?
In Bezug auf Mitarbeiternamen kann man sagen, dass die Veröffentlichung zulässig ist, sofern der Arbeitnehmer eine Stelle mit Außenwirkung besetzt. So könnte der Ansprechpartner im Vertrieb auf der Seite mit Namen und dienstlichen Kontaktdaten genannt werden. In Bezug auf Fotos sollte aber vorab das OK eingeholt werden. Mit einer Einwilligung für Foto- und Videoaufnahmen der Mitarbeiter ist der Arbeitgeber auf der sicheren Seite, sofern diese inhaltlich sauber vorbereitet wurde.
8. Ein Startup braucht schnell neue Mitstreiter: Wie soll eigentlich mit Bewerberdaten umgegangen werden? Dürfen diese gespeichert werden und wenn ja, wie lange?
Wichtig ist, dass Bewerbungen nur an die zuständigen Personen im Unternehmen gelangen. Eine E-Mail-Adresse, auf die viele Personen Zugriff haben, eignet sich nicht. Besser ist eine spezielle Bewerbungs-Adresse, auf die nur ein ausgewählter Personenkreis Zugriff hat. Grundsätzlich gilt, dass Bewerberdaten maximal sechs Monate nach Beendigung des Bewerbungsverfahren gelöscht werden müssen. Die sofortige Löschung zum Beispiel nach Absage eines Bewerbers ist nicht zu empfehlen, da ein abgelehnter Bewerber noch klagen könnte. Möchte man eine Bewerbung länger speichern, so wird eine Einwilligung des Bewerbers benötigt. Diese erlaubt es dann, Bewerbungsunterlagen bis zu 12 Monate aufzubewahren.
9. Aus Ihrer Erfahrung: Welche weiteren Problemfelder beim Datenschutz sehen Sie immer wieder bei jungen Unternehmen?
Ganz klar die Dokumentation. Die Unternehmen sind sich unsicher, welche Dokumente das Unternehmen benötigt und wie man diese in die Prozesse implementiert. Es fehlt das Knowhow und ein klarer Fahrplan, um zu identifizieren, welche Schritte einzuleiten und umzusetzen sind.
10. Wie läuft eine Datenschutzberatung bei mein-datenschutzbeauftragter.de ab?
Wir starten in den Unternehmen grundsätzlich immer mit einer Erstanalyse, einer klassischen GAP-Analyse. Vor Ort werden die Prozesse analysiert, in denen personenbezogene Daten verarbeitet werden. Dies natürlich abteilungsübergreifend. Neben den Prozessen schauen wir uns auch die technischen und organisatorischen Maßnahmen zur Sicherung im Unternehmen an. Der Umfang der Analyse kommt ganz auf den Umfang des Unternehmens an. Ergebnis der Analyse ist ein umfassender Bericht mit einem Aktionsplan. Die offenen Aufgaben werden mit den Unternehmen gemeinsam zur Umsetzung geplant. Ein intensiver persönlicher Austausch ist hier der Schlüssel und uns besonders wichtig. Der zweite Schritt ist die dementsprechende Umsetzung der offenen Aufgaben anhand des Aktionsplanes. Nach Umsetzung erfolgt eine Kontrollhandlung zur Prüfung des Umsetzungsstandes, welche wir in regelmäßigen Abständen wiederholen, ebenso wie die regelmäßigen Schulungen der Mitarbeiter. Nach der Umsetzung erfolgt die regelmäßige Betreuung unserer Mandanten. Diese werden stets über Neuigkeiten informiert sowie regelmäßig zum gemeinsamen Abgleich besucht. Jeder Mitarbeiter hat zudem die Möglichkeit, uns zu Fragen rund um den Datenschutz jederzeit zu kontaktieren. Die Benennung des Datenschutzbeauftragten bei der zuständigen Behörde übernehmen wir anfangs selbstverständlich auch.
Herr Knetsch, vielen Dank für das interessante und informative Gespräch.
Kontakt
Tobias Knetsch
Datenschutzbeauftragter und Vertriebsleiter
mein-Datenschutzbeauftragter.de (Herold Unternehmensberatung GmbH)
Hafenstraße 1a, 23568 Lübeck
Telefon: 0451 – 4988020
Email: info@hub24.de
Web: https://www.hub24.de
Web: https://www.mein-datenschutzbeauftragter.de
Tobias Knetsch
Datenschutzbeauftragter & Vertriebsleiter
mein-datenschutzbeauftragter.de
