+++ Sämtliche unserer Coachingmaßnahmen können wahlweise rein in Präsenz, rein online oder in Kombination durchgeführt werden. 0800.0007827 +++ Sämtliche unserer Coachingmaßnahmen können wahlweise rein in Präsenz, rein online oder in Kombination durchgeführt werden. 0800.0007827

17. Oktober 2024 | Redaktionsteam | merkur-start up

Datenschutz für Gründende mit Stefan Lang

Tags: , ,

Datenschutz fängt bei der Datensicherung an und hört bei der DSGVO noch lange nicht auf. Doch was hat es damit auf sich. Das Thema hat insbesondere in Deutschland einen enorm hohen Stellenwert. Und für alle Gründenden und Selbständigen ist es ein wichtiger Aspekt, sich um Kundendaten zu kümmern. Das sollte man nicht vernachlässigen. Wenn auch Sie sich unsicher sind in Bezug auf die aktuellen Gegebenheiten, dann finden Sie wertvolle Hinweise zum aktuellen Datenschutz für Gründende und Selbständige. Wir haben mit Coach und Datenschutzexperte Stefan Lang über das Thema gesprochen und es gibt viel zu sagen.

Datenschutz für Gründende und Selbständige

Datenschutz sollten alle Gründenden ernst nehmen

Wer gründet, sollte sich mit Datenschutz unbedingt ernsthaft befassen. Es geht dabei nicht nur um die eigenen Daten. Das Thema Datensicherung und Archivierung ist nur eine Seite der Medaille. Datenschutz ist die andere. Und dabei geht es hauptsächlich um den Schutz der Daten Ihrer Kunden und Geschäftspartner. In dem Zusammenhang ist die DSGVO die relevante rechtliche Grundlage für den europäischen Raum und fasst zusammen, was erlaubt ist und was nicht. Datenschutz ist aber mittlerweile sehr komplex geworden, sodass es hilft, hier mit einem Experten an der Seite einmal die wichtigsten Grundlagen zu besprechen. Denn umgehen lässt sich das Thema nicht. Sie sollten sich unbedingt informieren, den Datenschutz einhalten und auch immer auf dem neuesten Stand bleiben.

Stefan Lang unterstützt Gründende beim Datenschutz

Stefan Lang ist unser Experte, mit dem wir dieses Interview geführt haben. Er ist bei der merkur-start up GmbH Coach und Berater, aber es ist auch Datenschutz-Experte. Stefan Lang hat nach seinem Studium in Wirtschaft und Management, verschiedenste Positionen inne gehabt. Dabei hat er sich auch immer wieder weitergebildet, sowie auch den Betriebswirt gemacht und die Schulung zum zertifizierten Datenschutzbeauftragten. Neben seiner Tätigkeit als Coach und Berater ist Stefan Lang auch Dozent und unterstützt KMU beim Datenschutz-Management-Lösungen und der Prozessoptimierung durch die Digitalisierung. Und genau aus diesem Grund ist er der perfekte Gesprächspartner, um das Thema Datenschutz für Gründende und Selbständige einmal näher zu beleuchten:


Als Experte für Datenschutz ist die DSGVO natürlich die feste Größe, mit der Sie ständig in Berührung kommen. Doch Datenschutz ist mehr als die DSGVO, worauf müssen Gründende und Selbständige in erster Linie beim Datenschutz achten?

Gründer und Selbständige sollten beim Datenschutz auf folgende Punkte achten:

  • Datensparsamkeit: Nur notwendige Daten erheben.
  • Transparenz: Datenschutzerklärung bereitstellen.
  • Sicherheit: Daten verschlüsseln und sichern.
  • Rechtsgrundlagen: Einwilligung für Datenverarbeitung einholen.
  • Betroffenenrechte: Auskunfts- und Löschanfragen umsetzen.
  • Auftragsverarbeitung: Verträge mit externen Dienstleistern abschließen.
  • Meldepflicht: Datenschutzverletzungen rechtzeitig melden.

Was beinhaltet ein gutes Datenschutzkonzept für Gründer?

Ein gutes Datenschutzkonzept zeichnet sich durch viele Punkte aus. Zum Einen beinhaltet es das Dateninventar. Das bedeutet die Erfassung aller Arten personenbezogener Daten, die verarbeitet werden (Kundendaten, Mitarbeiterdaten, Lieferantendaten). Darüber hinaus betrifft es die Rechtsgrundlagen. Gründer sollten klären, auf welcher Basis die Daten verarbeitet werden (z. B. Einwilligung, Vertrag, berechtigtes Interesse). Natürlich sind im Datenschutzkonzept auch Datenverarbeitungstätigkeiten festgehalten. Damit ist die detaillierte Beschreibung der Prozesse, bei denen Daten erhoben, verarbeitet und gespeichert werden, gemeint. Nicht zu vergessen die Datensicherheit, insbesondere technische und organisatorische Maßnahmen zur Sicherung der Daten, wie z. B. Verschlüsselung, Firewalls, sichere Passwörter.

Dann kommt aber auch das Thema Transparenz hinzu, also die Erstellung einer verständlichen Datenschutzerklärung, die alle gesetzlichen Anforderungen erfüllt. Im Datenschutzkonzept sollten auch die Betroffenenrechte klar sein, sodass sicher gestellt ist, dass Betroffene ihre Rechte (z. B. Auskunft, Löschung) wahrnehmen können. Im Weiteren geht es um die Auftragsverarbeitung, das betrifft die Verträge mit Dienstleistern (z. B. Cloud-Anbietern), die personenbezogenen Daten verarbeiten. Ergänzend sollten Gründer auch an Schulungen denken, sodass Mitarbeiter und man selbst auch regelmäßig über Neuerungen zu datenschutzrelevante Themen informiert ist. Auch ein Notfallmanagement ist wichtig, denn dieser Plan zur Meldung von Datenschutzverletzungen innerhalb der 72-Stunden-Frist hilft in Krisensituationen. Als letzter Baustein im Datenschutzkonzept sollten Gründer die Dokumentation nicht vergessen, sodass sie ein Verzeichnis der Verarbeitungstätigkeiten als Nachweis der DSGVO-Konformität führen.

Gerade in Sachen Online Marketing ist der Datenschutz ein wichtiges Thema. Bei Websiteerstellung, Social Media, E-Mail-Marketing & Co. ist besondere Vorsicht geboten. Zahlreiche Tools und Plugins sind aus den USA, daher auch besonders kostengünstig. Leider gab es mit dem ePrivacy Shield (der Entsprechung der DSGVO für solche US-Software-Lösungen und -Dienste) in der Vergangenheit Probleme. Wie sieht der Schutz jetzt mit dem verbesserten Data Privacy Framework aus?

Das ist richtig, die wesentlichen Verbesserungen des Data Privacy Frameworks (DPF) sind:

  • Einschränkungen beim Zugriff durch US-Behörden: Die USA haben rechtliche Maßnahmen eingeführt, die den Zugriff von US-Geheimdiensten auf personenbezogene Daten von EU-Bürgern beschränken. Der Zugriff muss verhältnismäßig
    und notwendig sein.
  • Rechtsbehelfe für EU-Bürger: Betroffene in der EU haben unter dem DPF neue Möglichkeiten, gegen die unrechtmäßige Nutzung ihrer Daten vorzugehen. Sie können Beschwerden bei einer unabhängigen Datenschutzbehörde in den USA
    einreichen und haben Zugang zu einem Datenschutzgericht.
  • Pflichten für Unternehmen: Unternehmen, die sich dem DPF anschließen, verpflichten sich, die Datenschutzanforderungen der DSGVO zu erfüllen, wie z. B. Datenminimierung, Zweckbindung und Transparenz.
  • Stärkung der Aufsicht: Die US-Regulierungsbehörden überwachen die Einhaltung strenger und sorgen für Sanktionen bei Verstößen.

Für Gründer und insgesamt im Online Marketing bedeutet dass, wer US-basierte Tools und Dienstleistungen (z. B. Web-
Analyse-Tools, E-Mail-Marketing-Plattformen) verwendet, hat mit dem DPF eine rechtliche Grundlage, um personenbezogene Daten weiterhin in die USA zu übermitteln. Also der Einsatz dieser Tools ist damit abgesichert. Allerdings ist die Voraussetzung dafür, dass diese US-Dienstleister sich dem DPF angeschlossen haben müssen. Ein gründlicher Datenschutz-Check der genutzten Tools ist daher unerlässlich.

Das wiederum bedeutet, dass Gründer prüfen sollten, ob der Dienstleister und Anbieter am DPF teilnimmt. Nur zertifizierte US-Unternehmen dürfen Daten nach dem DPF verarbeiten. Außerdem muss man in der Datenschutzerklärung klar und transparent auf die Nutzung von US-Diensten hinweisen. Und zusätzlich muss die Einwilligung der Nutzer vorliegen. Diese Einwilligung der Websitebesucher ist besonders bei Tracking- und Analyse-Tools erforderlich.

Worauf muss ich bei der Wahl von Plugins für die Website und andere Tools achten?

Bei der Wahl von Plugins und Tools für die Website sollten Gründer und Selbständige besonderen Wert auf den Datenschutz legen. Dabei sollten Gründer gewissenhaft und gründlich vorgehen. Hier sind die wichtigsten Punkte, auf die sie achten sollten:

  1. DSGVO-Konformität
    Die Herkunft des Anbieters ist entscheidend. Genau aus diesem Grund sollten Gründer Tools von Anbietern aus der EU oder dem Europäischen Wirtschaftsraum (EWR) bevorzugen, da diese in der Regel DSGVO-konform sind. Außerdem sollte eine Zertifizierung der Anbieter vorliegen. Daher ist ein Check unerlässlich, ob der Anbieter für den Datentransfer in Drittländer (z.B. die USA) das Data Privacy Framework (DPF) nutzt oder andere geeignete Schutzmaßnahmen (Standardvertragsklauseln) getroffen hat. Und zuletzt sollte auch die eigene Datenschutzerklärung des Tools für die Datenschutzanforderungen klar und transparent formuliert sein.
  2. Datenminimierung
    Die Frage nach der Notwendigkeit der Datenverarbeitung sollten Gründer zuerst beantworten. Im besten Fall nutzt man nur Tools, die wirklich notwendig sind und nur die Daten erheben, die für den spezifischen Zweck benötigt werden. Plugins, die unnötig viele personenbezogene Daten sammeln, sollten vermieden werden.
  3. Einwilligungsmanagement
    Ein Cookie-Banner ist Pflicht für Tools, die Cookies setzen oder Tracking-Daten sammeln (z.B. Analyse- und Marketing-Plugins). Dafür benötigt man ein datenschutzkonformes Einwilligungsbanner. Das Plugin sollte in der Lage sein, Cookies erst nach Zustimmung des Nutzers zu aktivieren. Zusätzlich sollte man nur Tools nutzen, die die Einwilligung des Nutzers (Opt-in) erfordern, bevor Daten gesammelt werden, z. B. bei Google Analytics oder Facebook Pixel.
  4. Datenübertragung in Drittländer
    Wenn das Plugin Daten in Drittländer wie die USA überträgt, muss der Anbieter entweder am Data Privacy Framework teilnehmen oder Standardvertragsklauseln verwenden. Das betrifft alle externen Dienstleister. Dies sollte in den Vertragsbedingungen oder der Datenschutzerklärung ersichtlich sein. Zudem sollten Gründer eine Verschlüsselung nutzen. Wenn es für die Übertragung (besonders bei internationalen Diensten) eine Verschlüsselung gibt, kann man dadurch einen unbefugten Zugriff verhindern.
  5. Vertragsverhältnisse und Auftragsverarbeitung
    Wenn der Anbieter personenbezogene Daten verarbeitet, sollte ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Damit können Gründer sicherzustellen, dass der Anbieter die Daten nur im Rahmen der Weisungen verarbeitet und DSGVO-konform agiert.
  6. Transparenz und Kontrolle
    Das Tool sollte den Gründern auch die Möglichkeit geben, die Datenverarbeitungen klar nachzuvollziehen, z. B. welche Daten erhoben und wo sie gespeichert werden. Zudem ermöglichen gute Tools, dass personenbezogene Daten leicht gelöscht oder exportiert werden können, um Anfragen von Betroffenen (z. B. nach Art. 15 DSGVO) einfach zu erfüllen.
  7. Regelmäßige Updates und Sicherheitsstandards
    Sicherheitsupdates sind eine gute Maßnahme zur Absicherung. Plugins und Tools sollten regelmäßig Updates erhalten, um Sicherheitslücken zu schließen. Dabei sollte der Anbieter entsprechende Sicherheitsmaßnahmen implementieren, wie z. B. die Verschlüsselung von Daten. Darüber hinaus sind auch technische und organisatorische Maßnahmen ein Schutz. Anbieter sollten geeignete Maßnahmen zum Schutz der Daten vor Verlust oder unbefugtem Zugriff implementiert haben.
  8. Social Media Plugins
    Bei Social Media Plugins (z. B. „Gefällt mir“-Buttons von Facebook) sollten Gründer darauf achten, dass diese erst nach explizitem Anklicken des Nutzers Daten übermitteln (2-Klick-Lösung), um ungewollte Datenübertragungen zu verhindern.

Und was kommen an zusätzliche Aufgaben in Sachen Datenschutz hinzu, bspw. auch online?

Datenschutz betrifft auch den Büroalltag:

  • Zugriffskontrolle: Sensible Dokumente (z. B. Verträge, Personalakten) sollten in abschließbaren Schränken oder Räumen aufbewahrt werden, um unbefugten Zugriff zu verhindern.
  • Clean Desk Policy: Um sicherzustellen, dass keine sensiblen Informationen unbeabsichtigt offengelegt werden, sollten Schreibtische frei von vertraulichen Dokumenten gehalten werden, wenn Mitarbeiter nicht am Arbeitsplatz sind.

Auch der Umgang mit Papierdokumenten ist etwas, das genügend Aufmerksamkeit bekommen sollte:

  • Vernichtung von Unterlagen: Papierdokumente, die personenbezogene Daten enthalten, müssen nach ihrer Zweckbindung datenschutzkonform vernichtet werden, z. B. mit einem Aktenvernichter der Sicherheitsstufe 3 oder höher.
  • Archivierung: Sensible Dokumente sollten nur so lange aufbewahrt werden, wie gesetzlich erforderlich (z. B. Steuer- und Buchhaltungsdokumente) und danach ordnungsgemäß vernichtet werden.

Datenschutz ist auch immer wichtig für alle, denn es betrifft nicht nur Führungskräfte, Inhaber oder Geschäftsführer. Datenschutz betrifft alle, sodass Mitarbeiter durch die Schulung dafür sensibilisiert sind:

  • Datenschutzschulungen: Mitarbeiter erhalten bestenfalls regelmäßige Schulungen in Datenschutzthemen, sowohl für Online- als auch für Offline-Prozesse. Sie müssen wissen, wie mit personenbezogenen Daten umzugehen ist und welche Rechte
    betroffene Personen haben.
  • Verpflichtung zur Vertraulichkeit: Mitarbeiter müssen ein Verpflichtungserklärung zur Vertraulichkeit unterzeichnen, um sicherzustellen, dass sie vertrauliche Daten nicht unbefugt weitergeben.

Auch Telefon- und Kundenkommunikation ist ein Thema, dass sensible Daten betrifft:

  • Vertraulichkeit am Telefon: Sensible Informationen sollten nicht in einer Weise telefonisch besprochen werden, dass unbefugte Dritte mithören können. Dies gilt besonders in offenen Büroräumen oder bei mobilen Arbeitsplätzen.
  • Datenminimierung bei der Kommunikation: Im besten Fall werden nur die notwendigsten Informationen weiter gegeben und nur die Daten abgefragt, die für den jeweiligen Zweck erforderlich sind.

Auch das Besuchermanagement ist im Rahmen des Datenschutzes relevant:

  • Besucherprotokoll: Falls Besucher in Büro- oder Geschäftsbereiche kommen, in denen personenbezogene Daten verarbeitet werden, sollten diese registriert und möglicherweise eine Vertraulichkeitsvereinbarung unterzeichnen. Zudem sollten Zugangsbereiche klar geregelt sein.

Datenschutz betrifft auch immer die IT-Sicherheit für Offline-Daten:

  • Passwortschutz für Geräte: Auch bei Offline-Datenverarbeitung (z. B. auf lokal gespeicherten Computern oder USB-Sticks) ist ein starker Passwortschutz wichtig.
  • Verschlüsselung: Falls externe Datenträger (USB-Sticks, Festplatten) als Medium zur Speicherung von Daten dienen, sollte man diese verschlüsseln, um den unbefugten Zugriff zu verhindern.

Gerade im Rahmen der Datensicherung spielen Notfallmanagement und Backup eine große Rolle:

  • Physischer Schutz von Daten: Auch offline gespeicherte Daten brauchen Schutz vor Gefahren wie Feuer, Wasser oder Diebstahl. Dies könnte durch sichere Aufbewahrungsorte oder zusätzliche Schutzmaßnahmen
    erfolgen.
  • Backups: Regelmäßige Backups von Daten, egal ob online oder offline, sind essenziell, um im Fall eines Datenverlustes schnell reagieren zu können.

Gründer müssen auch an die Meldepflicht bei Datenpannen denken:

  • Datenschutzverletzungen offline: Auch bei offline gespeicherten Daten gilt die Meldepflicht gemäß DSGVO. Wenn personenbezogene Daten z.B. durch Verlust von Akten oder unbefugten Zugriff betroffen sind, muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden.

Verträge mit Dienstleistern sind ebenfalls ein Thema beim Datenschutz:

  • Wenn externe Dienstleister (z. B. für Aktenvernichtung oder Postverarbeitung) mit personenbezogenen Daten in Berührung kommen, muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser stellt sicher, dass auch der Dienstleister DSGVO-konform mit den Daten umgeht.

Zuletzt sollten Gründer auch an Verzeichnisse von Verarbeitungstätigkeiten denken:

  • Auch offline durchgeführte Datenverarbeitungen sollte man in einem Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Dies umfasst die Erfassung, Speicherung und Vernichtung von Daten auf Papier oder anderen physischen Datenträgern.

Immer wieder sind auch Abmahnwellen in den Medien. In Bezug auf die Nutzung von Google Fonts bspw. gab es große Probleme, da Daten abgerufen und Cookies gesetzt wurden. Wie kann ich selbst den Überblick behalten, wo Cookies gesetzt werden? Und wo sich Sicherheitslücken insgesamt auftun?

Auch hierbei kann ich natürlich wieder eine Menge tun, wie z. B.:

  1.  Cookie-Scanner-Tools nutzen
    Cookie-Scanner oder Audit-Tools wie Cookiebot, OneTrust oder CookieYes helfen dabei, um regelmäßig die eigene Website auf gesetzte Cookies zu überprüfen. Diese Tools identifizieren alle Cookies, die Website oder Drittanbieter (z. B. durch Google Fonts, YouTube, Social Media Plugins) setzen, und bieten eine Auflistung nach Kategorie (essenzielle Cookies, Marketing-Cookies, Statistik-Cookies). Diese Tools helfen auch, Transparenz zu schaffen und Nutzern eine datenschutz-konforme Cookie-Einwilligungsverwaltung anzubieten.
  2. Webbrowser-Inspektion
    Mit Hilfe der Entwicklertools von Browsern wie Google Chrome oder Mozilla Firefox Cookies kann man das auch manuell überprüfen. So bekommt man auch ohne externe Tools einen schnellen Überblick. So geht’s:
    o Öffnen Sie Ihre Website, klicken Sie mit der rechten Maustaste und wählen Sie „Untersuchen“.
    o Gehen Sie im Entwickler-Tool auf den Reiter „Application“ und wählen Sie „Cookies“ aus, um zu sehen, welche Cookies von Ihrer Website gesetzt werden, wann sie ablaufen und von welchen Drittanbietern sie stammen.
  3. Überprüfung von eingebundenen Drittanbieterdiensten
    Gründer sollten überprüfen, welche Drittanbieterdienste sie auf ihrer Website verwenden, z. B. Google Fonts, Google Analytics, Social Media Plugins (Facebook, Twitter), Videos (YouTube). Dann können sie sicherstellen, dass sie auch kontrollieren, wie und wann diese Dienste Cookies setzen. Bei Google Fonts können die Schriftarten auch lokal auf dem eigenen Server hosten, um den externen Abruf und das Setzen von Cookies zu vermeiden. Dies schützt auch vor Datenschutzproblemen, die durch den Abruf von Ressourcen von externen Servern entstehen können.
  4. Regelmäßige Sicherheitsüberprüfungen (Security Audits)
    Jeder sollte regelmäßige Sicherheitsaudits auf der eigenen Website durchführen, um Schwachstellen zu identifizieren. Tools wie Sucuri, Wordfence oder Netsparker scannen die Website auf Sicherheitslücken. Damit ist man über potenzielle
    Bedrohungen informiert. Diese Audits helfen, veraltete Plugins oder Software zu erkennen, die anfällig für Angriffe sein könnten.
  5. Content-Security-Policy (CSP) einrichten
    Eine Content-Security-Policy ist eine HTTP-Header-Richtlinie. Diese lässt sich auf dem eigenen Server konfigurieren, um zu steuern, welche externen Quellen (z. B. Fonts, Skripte, Stylesheets) geladen werden dürfen. Dies reduziert das Risiko von
    Cross-Site-Scripting-Angriffen (XSS) und kann helfen, das Setzen ungewollter Cookies zu verhindern. CSP ermöglicht außerdem die Überwachung des Datenflusses von und zur Website und eine bessere Kontrolle über den Abruf von Drittanbieterinhalten.
  6. Regelmäßige Plugin- und System-Updates
    Plugins, CMS (z. B. WordPress, Joomla) und sonstige Web-Technologien sollten immer auf dem neuesten Stand sein. Veraltete Plugins oder Systeme sind häufig ein Einfallstor für Hacker und Malware, die Sicherheitslücken ausnutzen könnten. Dafür kann man automatische Updates aktivieren, wenn möglich. Alternativ sollte man sich einen regelmäßigen Update-Zyklus einrichten.
  7. Monitoring von Sicherheitsvorfällen
    Sicherheitsbenachrichtigungsdienste wie Google Search Console, Sucuri, oder Wordfence helfen, da diese im Falle von Sicherheitsvorfällen oder ungewöhnlichem Verhalten auf der Website benachrichtigen. Regelmäßige Logfile-Analysen sind nützlich, um verdächtige Aktivitäten oder unautorisierte Zugriffe frühzeitig zu erkennen.
  8. Datenschutz-Folgeabschätzung (DPIA)
    Bei der Nutzung von risikobehafteten Tools, die viele personenbezogene Daten verarbeiten (z. B. bei Marketing-Tools oder Tracking), sollte man auch immer eine Datenschutz-Folgeabschätzung (DPIA) durchführen. Diese hilft dabei, potenzielle Datenschutzrisiken zu identifizieren und zu minimieren, bevor jemand diese Sicherheitslücken ausnutzt.
  9. Rechtskonforme Einwilligung für Cookies
    Eine Cookie-Einwilligungsplattform (Consent Management Platform, CMP) ist ebenfalls hilfreich, um sicherzustellen, dass Nutzer der Verwendung von Cookies zustimmen, bevor diese gesetzt werden. Diese Einwilligung sollte DSGVO-konform sein, also freiwillig, informiert und widerrufbar.

Fazit: Datenschutz fängt schon während der Gründung an

Das Thema ist komplex und daher lohnt es sich, wenn Gründer sich schon früh damit beschäftigen und das mitdenken. Im Interview hat Experte, Coach und Datenschutzbeauftragter Stefan Lang sehr deutlich gezeigt, woran man alles denken sollte. Datenschutz für Gründende und Selbständige betrifft nicht nur die Online-Welt, sondern auch Datensicherung sowie generelle Strukturen im Unternehmen. Aber vor allem im Bezug auf Website & Co sollte man sich intensiv damit beschäftigen und den Datenschutz immer im Blick behalten. Mit den vielen Tipps gelingt das nun mit Sicherheit einfacher.

 

 

Wenn Sie aber ganz auf Ihre Bedürfnisse zugeschnitten, mehr Informationen zum Datenschutz für Ihre Gründung erhalten wollen, nutzen Sie doch unser Gründungscoaching. Innerhalb des Coachings können Sie auch Datenschutzfragen stellen und Antworten erhalten. Jetzt Ihr kostenloses Erstgespräch vereinbaren und alle Infos erhalten!

 

Tags: , ,

Standortauswahl

Hier finden Sie die Übersicht aller merkur-start up Standorte in Deutschland