„Gar nicht so schlimm“, sagt Martin Klumpp von der Trewitax in Singen seinen Mandanten, wenn er ihnen klarmacht, dass für sie am Datenschutz kein Weg vorbeiführt.
Martin Klumpp beschäftigt sich schon seit Jahren mit Datenschutz. Inzwischen bietet seine Kanzlei auch für Unternehmen Datenschutzberatungen an. Nachdem der Inhaber nicht Datenschutzbeauftragter für die eigene Kanzlei sein darf, ließ er auch einige Mitarbeiter beim TÜV dazu ausbilden und zertifizieren.
DATEV magazin: Herr Klumpp, wie bringen Sie Ihre Mandanten dazu, sich mit Datenschutz zu befassen?
MARTIN KLUMPP: Wir sprechen das offensiv in Beratungsgesprächen zu anderen Themen an und machen klar, dass sie den Datenschutz auf jeden Fall brauchen. Kleinen Betrieben ist es oft gar nicht bewusst, dass auch sie Kundendaten verarbeiten oder dass sie diese Aufgabe an Dienstleister vergeben, zum Beispiel bei der Rechnungsschreibung oder bei Werbeaktionen. Aber auch Mitarbeiterdaten sind sehr sensibel zu behandeln. Daneben nutzen wir jeden Ortsbesuch, um unsere Mandanten zu sensibilisieren.
Warum sind diese Besuche wichtig?
Prozesse und Dokumente sind nur ein Teil des Ganzen. Bei den Besuchen vor Ort können wir Hinweise geben, was die vertrauenswürdige Handhabung von persönlichen Daten konkret bedeutet. Dass beispielsweise für die Betreuer in einem Hort oder einer Kita Listen hinterlegt werden, welches Kind eine Lebensmittelallergie hat oder wer regelmäßig Medikamente nehmen muss, ist natürlich wichtig. Nur darf so etwas niemals öffentlich für jeden Besucher einsehbar sein. Das Gleiche gilt in Arztpraxen für die digitale Krankenakte des letzten Patienten. Wenn die noch am PC geöffnet ist, während schon der nächste Patient allein im Behandlungszimmer wartet, ist das schlecht. Ebenso, wenn Kundendaten am PC einer Empfangstheke für jeden sichtbar sind, der dort vorbeikommt.
Wie sieht Ihre Arbeitsweise aus?
Aus Erfahrung wissen wir, was im konkreten Fall alles relevant und deshalb zu prüfen und zu dokumentieren ist. Da wir oft mehrere Unternehmen und Bestände parallel anschauen, arbeiten wir mit einer speziellen Software. Die bietet unter anderem auch Tutorials für die Unternehmen oder für die Mitarbeiter unserer Kunden an. Daneben organisieren wir selbst Schulungen für Mitarbeiter und Neueinsteiger. Wir informieren und sensibilisieren unsere Mandanten regelmäßig. Zum Beispiel schauen wir, wie sie auf eine Test-Mail mit einem Bad Link reagieren. Klicken sie ihn an oder erkennen sie die Falle? Dazu geben wir Feedback. Einmal im Jahr vereinbaren wir einen Datenschutztermin und gelegentlich machen wir Stichproben, ob die Datenschutzvorschriften eingehalten werden. Der Kunde hat den Vorteil, dass wir auf die DSGVO und die Datensicherheit schauen. Die Rückmeldungen sind positiv.
Wie viel Zeit müssen Ihre Mandanten investieren?
Bei kleinen mittelständischen Unternehmen gehen wir von drei bis vier Manntagen aus, bis alles eingerichtet und dokumentiert ist.
