Ein Gespräch mit Monika Stern über DSGVO, Praxisgründung und warum Aufklärung der wichtigste Teil von Datenschutz ist.
Monika Stern ist Gründerin und kreative Seele von sternloscreative, einer Designagentur mit Fokus auf ganzheitliches Branding, Web- und Printdesign sowie Datenschutz-Beratung. Nach ihrer fundierten grafischen Ausbildung an der Grafischen Bundes-Lehr- und Versuchsanstalt (GLV) in Wien sammelte sie langjährige Erfahrung in Drucktechnik, Typografie und Buchgestaltung, bevor sie 2016 den Schritt in die Selbstständigkeit wagte.
Ihr Wissensdurst ließ sie seither nicht los: Sie absolvierte Weiterbildungen in Webdesign, SEO, Usability, Mindset-Arbeit und Datenschutz – inklusive TÜV-Zertifizierung als Datenschutzbeauftragte. Heute führt sie ein kleines Team, spricht in ihrem Podcast über spannende Themen rund um Selbstständigkeit und entwickelt mit ihren „Sternenpaketen“ individuelle Komplettlösungen für Unternehmerinnen und Unternehmer, speziell für Gründerinnen und Gründer: von Logo und Website über Geschäftsunterlagen bis hin zum datenschutzkonformen Online-Auftritt.
Im Interview spricht Monika Stern darüber, warum Datenschutz gerade für Selbstständige im Gesundheitsbereich ein zentrales Thema sein sollte, wie man ihn von Anfang an sinnvoll in die Praxisorganisation integriert – und weshalb sie sich wünscht, dass das Thema endlich fixer Bestandteil jeder Ausbildung wird, in der Selbstständigkeit ein wahrscheinlicher Berufsweg ist.
Du bist Grafik- und Webdesignerin, aber auch auf Datenschutz (DSGVO) spezialisiert. Wie kam es dazu, dass du dich so intensiv mit diesem Thema auseinandergesetzt hast?
Im Prinzip hat das alles damit begonnen, dass ich Webseiten für meine Gründerinnen und Gründer erstelle. 2016 habe ich mich das erste Mal mit dem Thema Datenschutz beschäftigt. Als die Übergangsfrist 2018 endete, war ich natürlich gleich bei den ersten Infoveranstaltungen der Wirtschaftskammer dabei. Bei einer dieser Veranstaltungen saß ich neben einer Friseurin. Der Vortragende sprach ständig von „Browsern“ – bis die Dame irgendwann fragte: „Entschuldigung, was heißt denn eigentlich Browser?“ Der Vortragende lachte, daraufhin auch einige im Saal, und in der Pause war sie verschwunden. Ich fand das unglaublich arrogant. Man kann doch nicht voraussetzen, dass alle denselben Wissensstand haben. Wenn jemand beruflich kaum mit Computern zu tun hat, ist es völlig verständlich, dass ihm solche Begriffe fremd sind.
Da habe ich mir gedacht: So wird Datenschutz in der Beratung niemals ankommen. Außerdem fiel mir auf: Auf der Bühne standen ausschließlich Männer. Und ja, Männer und Frauen kommunizieren einfach unterschiedlich. Also habe ich beschlossen: Wenn ich mich ohnehin mit Datenschutz bei Webseiten beschäftige, warum nicht gleich tiefer eintauchen – und etwas entwickeln, das speziell für meine Gründerinnen passt? Ich habe recherchiert, eine Ausbildung bei der TÜV-Akademie gemacht und bin TÜV-zertifizierte Datenschutzbeauftragte geworden – inklusive Abschlussprüfung und Rezertifizierung, die alle vier Jahre fällig ist.
Seitdem beschäftige ich mich sehr intensiv mit dem Thema. Das lag auch nahe, weil wir im Grafik- und Webdesign ohnehin ständig mit Urheber-, Bild-, Schrift- und Nutzungsrechten zu tun haben. Die ganze Rechtswelt – das ist einfach genau meins.
Warum liegt dir das Thema DSGVO gerade im Zusammenhang mit Neugründungen besonders am Herzen?
Bei der Gestaltung von Websites für Neugründerinnen und -gründer sind Themen wie Impressum und Datenschutzerklärung wichtige Basics. Ich habe mir gedacht: „Ich bin ja die Einzige, die wirklich weiß, was datenschutzrechtlich auf einer Website passiert.“ Deshalb sehe ich es als meine Verantwortung, dass dort alles ordentlich umgesetzt wird. Natürlich ist mir bewusst, dass letztlich die Kundin oder der Kunde rechtlich verantwortlich ist – aber ich sehe mich in einer Mitverantwortung. Mir ist wichtig, meine Gründerinnen und Gründer sowie Einzelunternehmerinnen und -unternehmer so zu unterstützen, dass sie sich auf ihr Business konzentrieren können und von uns alles rundherum gut vorbereitet bekommen. Ich will, dass sie abgesichert sind und nicht später merken, dass etwas fehlt.
Wenn es Bereiche gibt, die ich selbst nicht abdecken darf – etwa juristische Beratung –, dann habe ich Dienstleister an der Hand, die das übernehmen können. Ich weise dann gezielt darauf hin, wenn sie in einem bestimmten Punkt genauer hinschauen sollten, etwa beim Datenschutz oder bei den AGBs. Gerade am Anfang ist das für viele ja ein komplettes Fremdthema. Sie beschäftigen sich hauptsächlich mit ihrer eigenen Fachrichtung und wissen gar nicht so recht, wo sie anfangen sollen. Aber das ist auch ganz natürlich – wir machen uns ja selbstständig, weil wir das, was wir gut können, für andere nützlich machen wollen. Trotzdem finde ich, man trägt als Selbstständige auch Verantwortung. Wenn mir ein Fehler passiert, dann stehe ich dazu. Mich aus der Verantwortung zu ziehen, käme für mich nicht infrage.
Viele Therapeutinnen und Therapeuten verwenden im Praxisalltag noch Messenger-Dienste wie WhatsApp, oftmals ohne das Bewusstsein, dass solche Dienste keine datenschutzkonforme Speicherung auf europäischen Servern bieten.
Genau, aber das Problem beginnt eigentlich viel früher – noch bevor wir über Messenger sprechen. Es fängt beim Computer an. Viele teilen sich zu Hause einfach ein Gerät, das gleichzeitig privat und beruflich genutzt wird. Genauso beim Handy: Nicht jede oder jeder Selbstständige hat ein eigenes Firmenhandy. Stattdessen wird das Privatgerät verwendet, inklusive privatem WhatsApp-Account, wo sämtliche Kontakte – privat und beruflich – vermischt sind. Dazu laufen oft noch Apps oder Spiele im Hintergrund, die viele Daten abgreifen, weil niemand sich anschaut, welche Zugriffsberechtigungen sie haben.
Es geht also nicht nur um Messenger, sondern um das gesamte digitale Fundament. Viele arbeiten zum Beispiel mit Windows in der „Family“-Version – die ist aber gar nicht für Selbstständige gedacht. Oder sie verwenden kostenlose E-Mail-Dienste wie GMX oder Gmail für ihre Business-Kommunikation. Das ist rechtlich problematisch, denn diese kostenlosen Versionen sind ausdrücklich nicht für gewerbliche Nutzung vorgesehen. Stattdessen sollte man eine Firmen-E-Mail-Adresse verwenden – entweder über den eigenen Provider oder über Microsoft 365 Business, wo ein Auftragsverarbeitungsvertrag (AV-Vertrag) vorgesehen ist.
Das klingt, als würde es oftmals schon an den grundlegenden digitalen Strukturen hapern. Welche Basics sollten Therapeutinnen und Therapeuten unbedingt beachten?
Das ist einer der wichtigsten Punkte: Immer dann, wenn ein externer Dienstleister personenbezogene Daten deiner Klientinnen und Klienten im Auftrag verarbeitet – egal, ob es um eine Software, eine Cloud-Plattform oder ein Newsletter-Tool geht – brauchst du einen sogenannten AV-Vertrag. Darin wird genau geregelt, wie der Dienstleister mit diesen Daten umgeht. Viele haben das überhaupt nicht auf dem Schirm und verlassen sich einfach auf die Standardnutzung – das reicht aber nicht aus. Wichtig ist außerdem: E-Mails sollten immer verschlüsselt übertragen werden und dürfen nicht einfach ungeschützt auf Servern liegen. Gerade bei sensiblen Daten ist das ein absolutes Muss, um die Vorgaben der DSGVO einzuhalten.
Und dann gibt es noch das Thema Drittstaatenübermittlung. Hier unterscheidet man zwischen sicheren und unsicheren Drittländern – und die USA bleiben ein Sonderfall. Zwar gibt es aktuell das sogenannte Data Privacy Framework (früher Privacy Shield), das von der EU als halbwegs rechtskonform eingestuft wird. Das Grundproblem bleibt aber bestehen: US-Behörden wie FBI oder CIA können im Verdachtsfall auf Unternehmensdaten zugreifen, und amerikanische Firmen sind verpflichtet, diese herauszugeben. Viele Anbieter betonen zwar, dass sie Daten schützen – aber das Zugriffsrecht ist im US-Recht fest verankert. Deshalb wird dieses Thema auch in Zukunft immer wieder für Diskussionen sorgen.
Natürlich können wir nicht für jedes Tool sofort eine rein europäische Alternative finden. Aber dort, wo es möglich ist, sollten wir das auch konsequent tun. Gerade wenn es spezielle Praxis- oder Therapeutensoftware gibt, die DSGVO-konform arbeitet, liegt es in meiner Verantwortung als Therapeutin oder Therapeut, bewusst zu entscheiden, was ich einsetze – und was nicht. Wenn mir bewusst ist, welche sensiblen Daten ich von meinen Klientinnen und Klienten erhalte – und welche Konsequenzen ein Datenleck haben könnte, etwa durch Stigmatisierung –, dann nehme ich das Thema automatisch ernster.
Viele empfinden das Thema Datenschutz als extrem komplex und ziehen sich deshalb lieber zurück. Wie kann man diesen Einstieg leichter machen?
Es braucht einfach mehr Aufklärung. Viele wissen es schlicht nicht besser, weil es ihnen niemand erklärt hat. Und weil das Thema so komplex wirkt, reagieren viele erst einmal mit Rückzug. Aber wenn man die Basics versteht, ist es gar nicht so kompliziert. Man braucht einfach jemanden, der es verständlich vermittelt.
Es macht natürlich auch einen Unterschied, ob ich ein großes Unternehmen mit eigener Compliance-Abteilung bin oder eine Therapeutin, die alleine arbeitet. Da geht es in erster Linie um die Grundlagen – die müssen sitzen. Alles Weitere kann man mit der Zeit aufbauen. Nach sieben Jahren DSGVO sollte diese Basis aber wirklich kein Neuland mehr sein.
Gerade wenn man nach der passenden Praxissoftware oder einem geeigneten Messenger-Dienst sucht, kann es also ein Qualitätsmerkmal sein, wenn klar erkennbar ist, dass die Daten DSGVO-konform gespeichert werden.
Ja, absolut – das ist immer ein gutes Zeichen. Was mich immer wieder schockiert, ist der Mangel an Aufklärung: Ich arbeite seit rund zehn Jahren mit Neugründerinnen und Neugründern, viele davon Lebens- und Sozialberaterinnen. Und obwohl deren Ausbildung teuer ist, kommt das Thema Datenschutz kaum vor.
Es gibt unzählige Regularien, welche Begriffe man verwenden darf oder nicht, was man darf oder nicht darf – aber niemand gibt praktische Hilfsmittel an die Hand. Zum Beispiel: Es gibt Alternativen zu WhatsApp. WhatsApp hat sich im privaten Bereich durchgesetzt, deshalb erscheint es selbstverständlich. Aber beruflich könnte man auch Signal nutzen – trotz US-amerikanischer Basis – oder Threema als europäische Alternative. Und man kann offen mit den Klientinnen und Klienten kommunizieren: „Mir ist eure Datensicherheit wichtig, daher arbeite ich nicht mit Messenger-Diensten, sondern bevorzuge E-Mail oder Telefon.“
Das ist völlig legitim – es ist schließlich das eigene Business, und man darf selbst festlegen, wie man damit umgeht. Wenn man das klar erklärt, verstehen die meisten das sofort.
Was muss eine Website für Therapeutinnen und Therapeuten unbedingt an datenschutzrechtlichen Standards erfüllen – Stichwort Impressum, Datenschutzerklärung, Cookies etc.?
Grundsätzlich beginnt das Thema schon viel früher, nämlich bei der Frage, wo und mit welchem Tool ich meine Website überhaupt erstelle. Das macht einen riesigen Unterschied. Viele nutzen heute Plattformen wie Wix, Squarespace, Canva oder Webflow für den Bau ihrer Website – das ist modern und praktisch, aber datenschutzrechtlich oft heikel. Wix zum Beispiel hostet zwar teilweise in Irland, aber sobald ich dort ein Buchungstool einbinde, landen die Daten in den USA. Squarespace ist ohnehin ein amerikanischer Anbieter, und Canva ebenfalls. Ich sage immer: Überlegt euch gut, ob ihr das wirklich wollt. Schon allein der Hosting-Standort entscheidet, ob eure Website datenschutzkonform betrieben werden kann oder nicht.
Wenn ich also weiß, wo die Basis meiner Website liegt, muss ich im nächsten Schritt prüfen, was ich technisch alles einbinde – etwa Kontaktformulare, Analyse-Tools oder Buchungssysteme. Jede dieser Funktionen verarbeitet personenbezogene Daten, und das erste davon ist bereits die IP-Adresse der Websitebesucher. Deshalb muss ich ganz genau wissen, wohin die Daten meiner Website-Besucher:innen weitergeleitet werden. Oft wird auch das Thema Cookie-Banner falsch verstanden. Viele denken, man braucht ihn nur, wenn Cookies gesetzt werden – das stimmt so aber nicht. Ein Cookie-Banner ist immer dann erforderlich, wenn auf der Website Dienste oder Technologien eingesetzt werden, für die eine Einwilligung nötig ist – etwa Analyse- oder Marketing-Tools. Für technisch notwendige Cookies braucht es zwar keinen Banner mit Einwilligung, aber auch hier muss in der Datenschutzerklärung transparent informiert werden.
Der Cookie-Banner ist übrigens auch eine sehr gute Möglichkeit, Besucherinnen und Besucher gleich zu Beginn eine kurze Vorinformation zu geben – zum Beispiel darüber, dass Daten verarbeitet werden und wohin diese weitergeleitet werden. Idealerweise enthält der Banner direkt einen Link zur ausführlichen Datenschutzerklärung. So erfüllst du nicht nur die gesetzlichen Vorgaben, sondern sorgst auch für maximale Transparenz auf deiner Website.
Ideal ist es natürlich, wenn man eine WordPress-Seite hat, die auf einem deutschen oder europäischen Server gehostet ist. Damit bleibt vieles lokal, und man hat mehr Kontrolle darüber, welche Daten wohin fließen.
Hast du Tipps für gute Vorlagen oder Generatoren online?
Wenn es um die Datenschutzerklärung selbst geht, gibt es gute Tools, die dabei helfen. Mein Favorit ist der Datenschutzgenerator von Dr. Thomas Schwenke – datenschutzgenerator.de. Das ist ein renommierter Datenschutzanwalt, der auch auf Markenrecht spezialisiert ist. Der Generator berücksichtigt sowohl deutsches als auch österreichisches Recht, und für Kleinunternehmen ist er – soweit ich weiß – sogar kostenlos, solange man unter einer gewissen Umsatzgrenze bleibt. Darüber hinaus kostet eine Lizenz rund 100 Euro im Jahr, was absolut fair ist.
Eine weitere gute Quelle ist e-recht24.de, das auch viele Webdesignerinnen und Webdesigner nutzen. Dort gibt es ebenfalls kostenlose Versionen, aber auch kostenpflichtige Lizenzen für den professionellen Gebrauch. Wichtig ist allerdings: Man sollte ungefähr wissen, was auf der eigenen Website passiert, um die richtigen Häkchen zu setzen. Sonst hilft der beste Generator nichts.
Wer sich das nicht selbst zutraut, kann sich natürlich Unterstützung holen. Ich arbeite zum Beispiel mit Mag. Elisa Drescher (Dataprotection Scaleline), einer Datenschutzjuristin, zusammen. Sie bietet zu fairen Preisen Website-Checks an und erklärt, wo mögliche Risiken liegen und was in der Datenschutzerklärung unbedingt enthalten sein muss.
Trotz der zahlreichen Kosten, die man gerade in der Gründungsphase organisieren und jonglieren muss, zahlt es sich doch aus, einmal in eine solide Basis zu investieren.
Ja, absolut. Ich finde, das ist gut investiertes Geld. Natürlich hat man am Anfang viele Ausgaben – aber genau deshalb sollte man von Anfang an bewusst einplanen, dass jemand mit Fachwissen einmal über alles drüberschaut. Wenn die Basis stimmt, dann steht sie auch. Klar, später können Dinge dazukommen – vielleicht kommt ein Mitarbeiter oder man erweitert das Angebot –, aber wenn das Fundament passt, ist das kein Problem mehr. Dann muss man nur anpassen, nicht neu beginnen.
Und es ist wirklich ein Unterschied, ob ich einmal im Jahr eine Datenschutz-Expertin oder einen Datenschutz-Experten bezahle, die überprüft, ob noch alles aktuell ist. Datenschutz ist nichts, das man einmal erledigt und dann abhakt – genau wie eine Website ja auch nie „fertig“ ist. Aber wenn das Grundgerüst solide aufgebaut ist, ist der spätere Aufwand überschaubar. Dann bleibt nur die regelmäßige Pflege, wie sie jede Selbstständige ohnehin hat.
Gerade bei Buchungstools kann es schnell heikel werden. Worauf sollte man bei Online-Terminbuchungen oder Kontaktformularen achten?
Genau, das ist ein wichtiges Thema. Grundsätzlich gibt es mittlerweile mehr als genug DSGVO-konforme Alternativen für Online-Buchungssysteme. Es kommt aber immer darauf an, mit welchem Website-System man arbeitet. Leider ist auch hier wieder ein amerikanischer Anbieter weit verbreitet – viele nutzen nach wie vor Calendly, obwohl es längst europäische Alternativen gibt. Beispiele wären etwa Meetago, zeeg oder TuCalendi – alle DSGVO-konform und auf europäischen Servern gehostet. Ich habe dazu sogar eine eigene Podcast-Folge gemacht, weil viele gar nicht wissen, dass es solche Tools schon gibt.
Das Problem ist nur: Nicht jedes Tool lässt sich überall einbinden. Wenn ich etwa mit Wix arbeite, gibt es dort eigene Buchungslösungen – und sobald ich externe Tools einfüge, kann das datenschutzrechtlich schnell kritisch werden. Wenn man bereits eine Praxissoftware nutzt, verfügt man meist schon über integrierte Buchungs- und Chatfunktionen, die datenschutzrechtlich abgesichert sind. Da ist es immer besser, innerhalb dieser geschlossenen Struktur zu bleiben, anstatt zig verschiedene Tools zu kombinieren.
Das führt mich auch zum Thema Datensparsamkeit: Ich muss mir nicht für jede Funktion ein eigenes Tool holen. Wenn ich zum Beispiel ohnehin mit Microsoft 365 arbeite, habe ich mit Booking schon eine sichere Lösung für Termine integriert – inklusive Auftragsverarbeitungsvertrag. Warum also noch ein zusätzliches System einführen? Mein Tipp: Schon bei der Auswahl der Software überlegen, was man künftig alles braucht. Vielleicht nicht sofort, aber in ein, zwei Jahren. Je mehr einzelne Tools und „Schnittstellen“ ich verwende, desto höher ist die Fehleranfälligkeit – und desto komplexer wird auch der Datenschutz.
Wenn man für alles das „fancy Tool“ verwendet, das auf Social Media angepriesen wird, kann es leicht passieren, dass man am Ende ein riesiges Verarbeitungsverzeichnis hat und unzählige kleine „Datenlöcher“ entstehen, durch die theoretisch etwas schiefgehen kann.
Muss jede Therapeutin bzw. jeder Therapeut ein Verzeichnis der Verarbeitungstätigkeiten führen – und wie sieht das praktisch aus?
Ja, unbedingt. Das Verzeichnis der Verarbeitungstätigkeiten ist im Grunde die Liste, an der die Datenschutzbehörde erkennt, ob du dir wirklich Gedanken darüber gemacht hast, was in deinem Unternehmen mit personenbezogenen Daten passiert – oder nicht. Es gibt zwei Dinge, die wirklich verpflichtend sind – da gibt’s keine Diskussion: das Verzeichnis der Verarbeitungstätigkeiten und die technisch-organisatorischen Maßnahmen (kurz: TOMs). Diese beiden gehören untrennbar zusammen.
Im Verzeichnis überlegst du dir als Unternehmerin oder Unternehmer Schritt für Schritt: Wo kommt meine Kundin/mein Kunde mit ihren/seinen Daten in mein Unternehmen hinein? Wo werden die Daten gespeichert oder verarbeitet? Wie lange bleiben sie dort – und dürfen sie das überhaupt? Wann und wie verlassen sie mein System wieder? Du gehst also deinen gesamten Arbeitsprozess einmal strukturiert durch – vom Erstkontakt bis zum Abschluss der Betreuung. Und ich sage immer: Das ist keine Last, sondern eine Chance. Gerade wenn man sich neu selbstständig macht und ohnehin tausend Dinge gleichzeitig zu bedenken hat, ist das Verzeichnis ein echter Leitfaden, um das eigene Business klar zu strukturieren. Denn beim Erstellen fallen einem oft Dinge auf, die man sonst gar nicht bemerkt hätte: Wie möchte ich kontaktiert werden – per Messenger, per E-Mail oder nur telefonisch? Welcher Kanal ist DSGVO-konform? Wie gehe ich mit Dokumentation und Aufbewahrung um?
Wenn das alles einmal ordentlich aufgesetzt ist, hat man eine solide Basis. Danach reicht es, einmal im Jahr drüberzuschauen, ob sich etwas verändert hat: Neue Tools, neue Versionen, geänderte Abläufe, andere Kundengruppen – all das kann man dort abbilden. Ich sehe das wirklich als Instrument der Unternehmensentwicklung. Man kann sogar darauf reagieren, wenn sich z. B. im ersten Jahr zeigt, dass viele Klientinnen und Klienten lieber über Messenger kommunizieren möchten. Dann kann ich prüfen, welche Lösung dafür sicher und passend ist, und das entsprechend ergänzen.
Man sieht Begriffe wie „Verarbeitungsverzeichnis“und denkt sich: Wie schaut so ein Verzeichnis konkret aus? Gibt es da vielleicht eine Vorlage, die du empfehlen kannst?
Die Datenschutzbehörde gibt keine optische oder formale Vorgabe (Formfreiheit). Das heißt, im Grunde könnte das auch ein handgeschriebener Zettel sein – Hauptsache, die Inhalte stimmen. Wenn die Behörde es sehen will, musst du es vorlegen können. Wie umfangreich das Ganze ist, hängt natürlich davon ab, wie viele Verarbeitungstätigkeiten du hast – also wie viele „Ein- und Ausgangstüren“ für Daten in deinem Unternehmen existieren. Bei manchen ist das eine halbe Seite, bei anderen sind es zehn.
Das eigentliche Problem: Viele Vorlagen sind völlig überfrachtet. Gerade jene, die man sich z. B. von der WKO herunterladen kann, sind oft mit juristischen und technischen Fachbegriffen gespickt, die niemand versteht. Ich habe immer wieder Kundinnen und Kunden, die damit zu mir kommen und sagen: „Ich steig da nicht durch.“ Es ist viel wichtiger, das Prinzip zu verstehen, als einfach eine komplizierte Vorlage auszufüllen. Wenn du weißt, welche Daten du wo verarbeitest, wie lange du sie aufbewahrst und wer darauf Zugriff hat, dann hast du die Grundlage schon richtig gemacht – ganz egal, ob du das in einer Excel-Liste, in einem Word-Dokument oder handschriftlich festhältst.
Womit wir wieder beim Thema Browser sind: Man muss einfach mal bei den Basics anfangen und diese verstehen.
Genau. Deswegen habe ich mir angewöhnt, das praktisch anzugehen: Im letzten von meinen drei Coaching-Paketen füllen wir das Verzeichnis gemeinsam aus, Schritt für Schritt. Ich erkläre alles so, dass es wirklich verständlich ist. Das Tolle daran: Man merkt sehr schnell, dass es bei diesem Thema keine blöden Fragen gibt.
Viele haben Angst, Fehler zu machen und deshalb in weiterer Folge auch Angst, überhaupt mit dem Thema anzufangen. Fehler sind allerdings in der Praxis nicht das Problem. Die Datenschutzbehörde beurteilt in der Regel, was jedem zumutbar ist – und juristisch perfekt kann man als Einzelunternehmerin/Einzelunternehmer oder Neugründerin/Neugründer ohnehin nicht sein.
Im Normalfall braucht man nicht für alles eine Datenschutz-Juristin oder einen -Juristen. Ich persönlich kann mir gut vorstellen, dass die Behörde im ersten Schritt nachsichtiger sein könnte, wenn man die beiden Hauptpunkte – das Verzeichnis der Verarbeitungstätigkeiten und die technisch-organisatorischen Maßnahmen –, nach bestem Wissen und Gewissen umgesetzt hat. Natürlich können inhaltliche Fehler auftreten. Dann bekommt man ein To-do, korrigiert es und reicht es nach. Aber wenn man gar kein Verzeichnis hat, sieben Jahre nach Inkrafttreten der DSGVO, dann ist das wirklich problematisch.
Das gilt glaube ich für alle Behörden: Wer offen kommuniziert, hat meist weniger Ärger, als wenn man einfach hofft, dass es niemand merkt.
Absolut. Und das gilt eben auch im Datenschutz. Wenn du dein Verzeichnis der Verarbeitungstätigkeiten hast und man darin sieht, dass du dir Gedanken gemacht hast, ist das schon sehr viel wert. Aber wenn da zehn amerikanische Tools stehen und nur ein einziges europäisches, dann wird sich die Datenschutzbehörde natürlich fragen: „Hast du dich wirklich mit dem Thema auseinandergesetzt – oder einfach nur alles eingebaut, was praktisch war?“
Das Entscheidende ist: Der Datenschutzbehörde geht es nicht um uns als Unternehmerinnen und Unternehmer. Wir sind ihr im Grunde egal. Es geht einzig und allein um den Schutz der Daten unserer Klientinnen und Klienten – und das muss uns bewusst sein.
Noch einmal zusammenfassend gefragt: Wie können Neugründerinnen und -gründer den Datenschutz von Anfang an gut in ihre Praxisorganisation integrieren, ohne sich direkt überfordert zu fühlen?
Ich würde mir zu Beginn wirklich ein Basiswissen aneignen – und das geht heute ganz unkompliziert online. Es gibt viele verständliche Checklisten und Übersichten, die zeigen, worauf man achten muss. Das Wichtigste ist: Hab das Thema von Anfang an auf dem Schirm. Sag nicht „In Österreich passiert da eh nichts“ oder „Das mache ich später irgendwann“, sondern nimm es gleich als fixen Bestandteil deiner Gründung mit auf. Denn Datenschutz beginnt viel früher, als man denkt – schon bei der Entscheidung, wie und womit ich meine Website aufbaue. Verwende ich ein kostenloses Baukastentool, bei dem ich gar nicht weiß, wo die Daten liegen? Oder investiere ich lieber einmal in eine gute Basis – etwa 1.000 Euro für eine Webdesignerin oder einen Webdesigner, der das Ganze DSGVO-konform aufsetzt?
Und ganz ehrlich: Sucht euch unbedingt Fachleute, die sich mit Datenschutz auskennen. Das sollte auf jeder To-do-Liste für die Selbstständigkeit stehen – gleich neben Finanzamt, Firmenkonto oder Steuerberater. Und noch ein Punkt, der immer wieder vergessen wird und den ich vorhin schon kurz erwähnt habe: Trennt eure berufliche und private Kommunikation. Ich weiß, viele sagen: „Ich will keine zwei Handys“, aber es gibt ja auch die Möglichkeit, ein Smartphone mit zwei SIM-Karten zu haben, das ist völlig ausreichend. Hauptsache, Kundendaten und private Daten laufen nicht über denselben Kanal. So entsteht Schritt für Schritt eine solide Basis – ohne Überforderung, aber mit einem klaren Bewusstsein für Verantwortung.
Gibt es „unsichtbare Risiken“, an die man oft gar nicht denkt – zum Beispiel bei Software, gemeinsam genutzten Geräten oder externen Dienstleistern?
Ja, auf jeden Fall. Viele Risiken sind – wie bereits erwähnt – ganz profan und liegen im Alltag verborgen – etwa der Gemeinschaftscomputer zu Hause oder der Drucker in der Praxis.
Ein anderes großes Thema sind Passwörter: Ein Passwort für alles – das ist leider immer noch weit verbreitet und extrem riskant. Besser sind Passwortmanager wie 1Password oder ähnliche Tools, die sichere Passwörter generieren und speichern. Viele unterschätzen, wer ein potenzieller Angreifer sein kann: Das ist nicht nur ein professioneller Hacker, das kann auch ein technisch versierter Jugendlicher sein, dem langweilig ist und der einen Bot durchs Netz schickt, der einfach schaut ob er auf irgend eine Website kommt. Wenn überall dasselbe Passwort benutzt wird, reicht ein einziger erfolgreicher Zugriff und der Angreifer kommt in alle Bereiche rein.
Kurz gesagt: Die „unsichtbaren“ Risiken sind meist alltägliche, vermeidbare Schwachstellen – gemeinsame Geräte, mangelnde Trennung von Privat/Business, schwache Passwörter oder unbedachte Nutzung von geteilten Druckern und Cloud-Diensten. Gerade diese Basics zu ordnen, bringt oft den größten Sicherheitsgewinn.
Apropos versteckte Risiken: Viele denken bei Datenschutz in erster Linie an Technik, aber Datenschutz geht noch weiter.
Ganz genau, Datenschutz ist weit mehr als nur Technik. Viele sehen nur die digitale Seite – Cookie-Banner, E-Mail-Verschlüsselung, sichere Passwörter. Aber Datenschutz betrifft auch den ganz analogen Alltag in der Praxis. Ein klassisches Beispiel: bauliche Gegebenheiten. Wenn die Wände zu dünn sind oder der Therapieraum schlecht gedämmt ist, dann kann es sein, dass andere Menschen im Nebenraum jedes Wort mithören. Auch das fällt unter Datenschutz – es geht schließlich um sensible, höchstpersönliche Informationen.
Das Gleiche gilt für andere räumliche und organisatorische Abläufe. Wenn ich zu Hause Klientinnen und Klienten empfange, muss ich mir überlegen: Darf ich in meiner Mietwohnung überhaupt eine selbstständige Tätigkeit ausüben? Gibt es eine Meldepflicht für meinen Firmensitz? In Österreich etwa ist es bei Einzelunternehmerinnen und -unternehmern so, dass der Firmensitz im Normalfall an den Wohnsitz gekoppelt ist – und der muss auch sichtbar gekennzeichnet sein, also mit einem kleinen Schild oder einer Beschriftung, die anzeigt, dass hier ein Unternehmen ansässig ist.
Und da höre ich zu 99 Prozent: „Nein, ich will meine Privatadresse nicht veröffentlichen.“ Ja, das verstehe ich – aber wenn ich keine alternative Geschäftsadresse habe, muss diese Information ins Impressum und in die Datenschutzerklärung. Sonst ist das rechtlich schlicht nicht korrekt.
Diese vermeintlichen Kleinigkeiten sind Teil der Professionalität. Es geht darum, ein Bewusstsein zu entwickeln: Wie arbeite ich, in welchem Umfeld und wie möchte ich wahrgenommen werden? Wenn ich Datenschutz ernst nehme, dann bedeutet das nicht nur, technische Tools richtig zu wählen, sondern auch räumlich und organisatorisch sicherzustellen, dass vertrauliche Informationen vertraulich bleiben.
Was passiert im schlimmsten Fall, wenn man die DSGVO ignoriert bzw. Fehler macht – und wie realistisch sind Abmahnungen für kleine Praxen?
Das ist eine spannende Frage, weil viele glauben, dass eh nichts passiert. Das stimmt aber so nicht. Der Grund, warum man kaum davon hört, ist, dass kleinere Fälle oft nicht medienwirksam veröffentlicht werden. Aber sie passieren! Ich hab mir zum Beispiel ein Urteil angeschaut – da ging es um eine Heilpraktikerin, die eine fehlerhafte Datenschutzerklärung auf ihrer Website hatte. Ergebnis: rund 800 Euro Strafe. Und das ist für eine kleine Praxis durchaus schmerzhaft.
Was viele außerdem nicht wissen: Wenn eine Anzeige eingeht, muss die Datenschutzbehörde tätig werden – ganz egal, wie klein das Unternehmen ist. Und sie schaut sich dann nicht nur das an, weswegen die Anzeige kam, sondern das ganze Unternehmen. Dazu kommt: Wenn man Post von der Datenschutzbehörde bekommt, hat man meist nur rund zwei Wochen Zeit, um alle Unterlagen vorzulegen. Wenn man dann erst anfängt, alles zusammenzusuchen bzw. sich das erste Mal mit der Thematik auseinanderzusetzen, wird’s richtig stressig.
Ich hatte einmal den Fall bei einer Kundin, die im Urlaub ein vermeintliches Datenleck gemeldet hat – obwohl sich später herausgestellt hat, dass gar keines bestand. Zum Glück hatte sie ihre Unterlagen schon gut vorbereitet, weil wir das Thema Datenschutz vorher mehrfach durchgesprochen hatten. Sie konnte also alles sofort einreichen. Die Behörde hat überprüft, festgestellt, dass alles in Ordnung ist, und den Fall geschlossen. Aber sie hat dazu geschrieben, dass sie die Praxis künftig wieder einmal stichprobenartig überprüfen wird. Das zeigt: Wenn man vorbereitet ist, ist so ein Vorfall halb so wild. Wenn man’s nicht ist, kann das dagegen richtig unangenehm werden.
Und mir geht’s gar nicht darum, mit Strafen Angst zu machen – sondern mit dem Imageverlust. Wenn öffentlich wird, dass du als Therapeutin oder Therapeut ein Datenschutzproblem hattest, ist das Vertrauen der Klientinnen und Klienten dahin.
Welche Vorteile hat es, wenn sich Therapeutinnen und Therapeuten selbst DSGVO-Wissen aneignen, statt sich ausschließlich auf „vermeintliche“ Expertinnen und Experten zu verlassen?
Wenn sich Gründerinnen und Gründer selbst ein Basiswissen zur DSGVO aneignen, passiert zweierlei: Sie verstehen die Grundprinzipien wie Datensparsamkeit, Sicherheit und Zweckbindung – und sie sind weniger abhängig davon, dass jemand ihnen etwas einbaut, das später teuer werden kann. Bei uns in der Agentur heißt das in der Praxis: Schon bevor ein Logo entsteht, reden wir über die technische Basis – Hosting, Buchungstools, Praxissoftware. Mein Grundsatz wie ich immer scherzhaft erkläre: Entweder die „rechte“ Hand des Teufels – Google – oder die „linke“ – Microsoft. Nicht zu viele unterschiedliche Systeme oder Programme mischen. Das erspart später viele Probleme.
Viele große Fehler entstehen, wenn Webseiten nach der Übergabe von „Laien“ gewartet werden oder Marketerinnen und Marketer einem Google Analytics, Meta-Pixel oder andere Tracking-Tools andrehen, die man als kleine Praxis überhaupt nicht braucht. Diese Tools setzen Cookies, verfolgen Nutzerinnen und Nutzer über lange Zeit und müssen in Datenschutzerklärung und Einwilligungsbanner (Cookie-Banner) korrekt ausgewiesen sein. Die Userin oder der User muss einwilligen. Passiert das nicht, hat man schnell eine datenschutzrechtliche Baustelle.
Mein Tipp: Lernt die Basics so weit, dass ihr selbst prüfen könnt, was auf eurer Seite und auch auf anderen Webseiten passiert und was tatsächlich notwendig ist. In jedem Browser kann man in der Entwicklerkonsole sehen, welche Skripte geladen werden. Wenn in der Cookie-Liste von einer Marketerin oder einem Marketer schon 150 Tracking-Tools auftauchen oder die Datenschutzerklärung eine endlose Aufzählung enthält, sollte man hellhörig werden: Will mir da jemand etwas aufschwatzen? Bin ich gut aufgehoben?
Am Ende geht es um unternehmerische Verantwortung: Je besser ihr über Datenschutz Bescheid wisst, desto bewusster könnt ihr entscheiden, welche Tools ihr wirklich braucht – und welche nicht.
Zum Abschluss: Was würdest du dir für die Zukunft wünschen – insbesondere in Bezug auf Ausbildung und Aufklärung rund um das Thema Datenschutz?
Ich würde mir wirklich wünschen, dass Datenschutz ein fixer Bestandteil jeder Ausbildung wird – vor allem in Berufen, bei denen eine Selbstständigkeit nach der Ausbildung sehr wahrscheinlich ist. Und zwar nicht als trockene, rechtliche Pflichtübung, sondern so, dass die Inhalte verständlich und praxisnah vermittelt werden. Gerade in der Gründungsphase ist das Thema oft mit Unsicherheit oder sogar Angst verbunden. Wenn man aber schon während der Ausbildung lernt, worauf es ankommt, verliert es seinen Schrecken. Dann wird Datenschutz zu etwas Selbstverständlichem – so wie Buchhaltung oder Steuerrecht.
Ich sehe oft, dass Neugründerinnen und Neugründer von Programmen oder Lehrenden riesige Ordner voller Dokumente bekommen – voll mit einem Sammelsurium an technischem und rechtlichem Kauderwelsch. Diese Unterlagen wandern dann meist ungelesen in die Schublade, weil einfach niemand versteht, was der Inhalt zu bedeuten hat. Ich wünsche mir, dass wir genau da ansetzen: die Menschen dort abholen, wo sie stehen.
Statt seitenlanger Gesetzestexte braucht es konkrete, verständliche Beispiele aus der Praxis. Zum Beispiel: Du bist frisch mit dem Studium fertig und startest in einer Gemeinschaftspraxis – was musst du beim Vertrag, bei der Datenaufbewahrung oder bei den Räumlichkeiten beachten? Wenn man Datenschutz so erklärt, dass er im Alltag greifbar ist, dann wird er nicht mehr als Last empfunden, sondern als Teil einer professionellen und verantwortungsvollen Arbeit.
Header © Manfred Baumann
