Datenschutz, der begeistert - Interview mit Jürgen Recha

Datenschutz, der begeistert - Interview mit Jürgen Recha

Seit über 20 Jahren liebt und lebt er Datenschutz, führt erfolgreich mehrere Unternehmen und ist Initiator eines Franchise-Systems für Datenschutz, welches wir mit konzipiert haben.

Seine Kunden profitieren nicht nur von Sicherheit, sondern haben vor allem ihre Ruhe in Bezug auf die zahlreichen Formalien und Vorgaben.

Das macht ihn zu einem wertvollen Kontakt für alle Unternehmer, die sich nicht um Datenschutz kümmern und auch keinen Ärger damit haben wollen.

 

Jürgen, gib uns doch mal einen Einblick: Warum begeisterst Du dich für das Thema Datenschutz, welches man im Volksmund eher als „trocken“ bezeichnet?

Der erste Kontakt zu diesem Thema war in meinem ersten Studiengang: Steuerrecht. Also wie ihr seht: Ich mag hochemotionale Themen. Ich habe Steuerrecht studiert, jetzt mache ich Datenschutz.

Ausschlaggebend war für mich die Erkenntnis, dass Daten eines der höchsten Wirtschaftsgüter von Unternehmen sind.

Dann wichtig zu verstehen: Was ist eigentlich Datenschutz?

Da gehen wir auf Artikel 1 Abs. 1 S. 1 unserer Verfassung ein.

Da steht drin, ihr wisst es alle: „Die Würde des Menschen ist unantastbar.“

Wenn also das höchste Gut die Daten sind, dann habe ich damit würdevoll und angemessen umzugehen.

Im Kontext geht es also erstmal darum, angemessen mit den Dir anvertrauten Daten umzugehen! Angemessenheit ist genau das, was wir tun und wo wir sagen: Bitte keinen Ärger machen für den kleinen Datenverkehr. Aber wenn es ein Krankenhaus oder ein Klinikum ist, dann entsprechend: Gehe angemessen mit den Dir anvertrauten Daten um.

Das ist Datenschutz für mich und das lebe ich, weil es richtig ist!

 

Viele Unternehmer haben den Eindruck, dass Datenschutz nur belastet, nur Kapazitäten frisst und nur Geld kostet. Warum ist Datenschutz für Unternehmer so wichtig?

Erstmal ist es okay für mich, dass es Geld kostet. Auch ich führe ein Unternehmen mit 12 Mitarbeitern.

Es ist ein Thema der inneren Einstellung.

Mit Datenschutz kann ein Unternehmer kein Geld verdienen. Das ist klar!

Aber wenn Du sehr betriebswirtschaftlich denkst, kannst Du damit Dein Vermögen schützen. Stichwort: Reputationsschaden etc.

Wenn einmal in der Presse stehst, dass Du schlecht mit Mitarbeiter umgehst…

…Ich denke da gerade an ein großes Unternehmen, das Computer verkauft, deutschland- oder europaweit sogar. Die haben Videoüberwachung bei Mitarbeitern gemacht. Das ist schlecht!

Es geht gar nicht um Datenschutz. Es geht um schlechten und nicht würdevollen Umgang mit den Mitarbeitern und den Kunden. Wenn ich als Unternehmer sage: Ich möchte ein Standing haben…

…ist das ähnlich wie der Garten um mein Gebäude. Damit verdiene ich kein Geld, wenn ich den Garten schick habe.

Aber es gibt ein Standing, ein gutes Gefühl. Reputation, Schadensabwehr, Vermögensabwehr…

Alle Kunden, die ich bis jetzt gefragt habe: Sag mal ganz ehrlich, was ist Dir wichtig am Datenschutz?

Die haben mir einen Satz gesagt: Ruhe haben.

  • Ich will mich nicht darum kümmern.
  • Ich möchte damit keinen Ärger haben.
  • Ich möchte mich mit dem Thema nicht beschäftigen.
  • Es soll mich nicht belasten.
  • Es soll meine Mitarbeiter nicht belasten.

Ruhe haben. Mach mal. Mach Ruhe, Jürgen.

 

Es ist ganz toll, dass ihr da eine Dienstleistung entwickelt habt. Denn ich sehe es auch so: Datenschutz ist keine Unternehmeraufgabe, sondern eine Aufgabe, die delegiert werden muss. Da braucht man Jemanden, der mit Herz und Verstand an diese Thematik ran geht und das dann auch entsprechend umsetzt. Aber steigen wir vielleicht einfach mal tiefer in diese Thematik ein.

Wenn man jetzt unbedarft ist und einfach mal nur die Datenschutzwälzer sieht…

…dann ist die Datenschutzwelt kompliziert, wenn man als klassischer Selbständiger nicht immer mit diesem Thema zu tun hat. Da geht man erstmal lieber zwei Schritte zurück, aus Respekt vor diesem Thema. Wie siehst Du das?

Also kompliziert…komplex? Sagen wir mal - die Umsetzung - ja. Im Kontext geht es mir wirklich nur um die Frage: Ist das angemessen?

Und da tun wir nichts anderes, wenn wir bei einem neuen Kunden sind und das Scanning, also die Ersterfassung, machen. Bei der Ersterfassung stellen wir uns - zurzeit eher virtuell – in die Mitte des Unternehmens und fragen:

  • Was machst Du? Was ist der Kern?
  • Wie hoch ist das Risiko?
  • Mit welchen Daten arbeitest Du?
  • Hast Du Daten von Deinen Kunden und Deinen Mitarbeitern?
  • Mit welchen Lieferanten arbeitest Du?
  • Sind die Daten irgendwo in einem Rechenzentrum in Rumänien oder hast Du diese in Deutschland?
  • Oder steht der Server schlimmstenfalls noch unter Deinem Schreibtisch, wo Du jeden Abend das Band wechselst?

Die Umsetzung nachher, der Formalismus, richtig verfahren, Zeit einhalten, Systeme entwickeln, Dokumentation…

…das ist komplex, aber auch sehr leicht zu strukturieren.

Wenn man sich damit beschäftigt, dann kann man eine sehr gute Struktur aufbauen. Man kann ganz viele Schubladen aufbauen und sagen:

Ich bin Klinikum, ich habe so und so viele Patienten oder ich bin ein Fortbildungsinstitut, eine Genossenschaft und dann ziehen wir die Schubladen.

Dann kann man genau sagen, was angemessen ist und welche Formulare und Verfahren Du brauchst.

 

Du hast vorhin erzählt, dass Du in Deinem Unternehmen 12 Mitarbeiter hast. Wie gehen denn Deine Mitarbeiter mit dem heiklen, sensiblen - eurem Hauptthema - Datenschutz um?

Sie lieben es! Es ist doch etwas Tolles, wenn ich den Mitarbeitern etwas zeigen kann, was nicht jeder tut.

Also so ein bisschen: Ich bin ein USP.

Und sie dann sagen: „Wow, der Jürgen hat recht. Ist das spannend.“

Wenn sie das dann leben bei den Kunden…Das ist klasse! Ich habe gestern eine Nachricht einer Mitarbeiterin von einem Kunden erhalten: „Bin ich „begeistert“ für Datenschutz.“ Ein Kunde sagt das!

 

Dann stellt man sich auch vielleicht die Frage: Wie kann man mit Datenschutz erfolgreich werden?

Diese Frage möchte ich mit einer anderen Frage beantworten. Ich habe diese Frage Kunden gestellt. Unser westlichster Kunde sitzt in Colorado. Unser östlichster Kunde sitzt in Indien. Ich habe genau die gefragt: Warum habt ihr uns genommen? Dann haben sie gesagt: „Na, weil ihr es könnt. Weil ihr es versteht.“

Weißt Du, wenn Du dann viele hundert Kunden hast…

…gerade in Deutschland haben wir x-hundert von Kunden, wo wir der externe Datenschutzbeauftragte sind.

Die Zahlen eine Gebühr für unsere Leistung. Wir haften auch für vieles was wir tun und übernehmen die Haftung für den Verantwortlichen, den Unternehmer. Davon leben wir, damit füllen wir unseren Kühlschrank. Mit Erfolg.

 

Sehr interessant. Du sprichst jetzt gerade davon, dass Du auf mehreren Kontinenten unterwegs bist.

Wie kann die Qualität eurer Arbeit gewährleistet werden?

Jetzt nur mal bei uns im Süden beispielsweise oder auch in der Mitte von Deutschland oder auch in Österreich und der Schweiz oder geschweige denn sogar auf einem anderen Kontinent.

Wie funktioniert so etwas?

Zwei Sachen.

Die erste Sache ist: Ein verdammt gutes System zu haben. Ein System, welches – wie ich eben erklärt habe – extrem komplex ist, wo ich aber ganz klar sagen: Du sitzt in Baden-Württemberg. Das ist eine andere Aufsichtsbehörde. Wie funktioniert diese Aufsichtsbehörde? Wie denkt diese Aufsichtsbehörde?

Dort wird immer der Landesdatenschutzbeauftragte gewählt und dann musst Du schauen, wie der tickt. Das wissen wir.

Das andere - Damit habe ich mich 18 Monate beschäftigt. Ich bin hingegangen und habe mich gefragt: Möchte ich jetzt überall Niederlassungen haben?

Fand ich sehr anstrengend für mich als Unternehmer. Mitarbeiter in Niederlassungen zu führen, so genannte nicht selbstständige Niederlassungen.

Da bin ich auf das System „Franchise“ gekommen.

Wir haben mittlerweile zehn Gebiete, die wir vergeben haben. Zwei Postleitzahlen sind immer ein Gebiet. Wo wir sagen, Du bekommst von uns alles, was Du brauchst: Marketing, Vertrieb und Wissen. Knowhow über Datenschutz.

Und wie geil ist es – stell‘ Dir vor Daniel…

…da lebt einer so den Datenschutz, wie wir es machen in der datarev, spricht aber so komisch, wie ihr da unten im Süden. Wie genial ist das denn? Das ist die Idee dahinter mit unserem Franchise System.

 

Jetzt ist es bei euch ja so, dass man nicht den One-Night-Stand hat, sondern die dauerhafte Ehe. Wenn das Ehegelöbnis ausgesprochen, also der Vertragsabschluss getätigt ist, wie geht es dann weiter?

Wenn jetzt ein Kunde, ein Endkunde, ein Unternehmen sagt: „Jetzt begeistere mich wirklich mit dem Datenschutz. Der Vertrag ist unterschrieben.“ Dann kommt der Franchisenehmer oder wir, wenn es bei uns vor Ort ist in der Nordregion und dann machen wir ein Scanning.

Ich habe es eben kurz mal angesprochen. Da stellen wir uns in die Mitte hin - gedanklich oder auch körperlich - im Unternehmen und gehen mit dem Unternehmer alles durch.

  • Wo werden Daten verarbeitet?
  • Wie ist wirklich die Sensibilität der Mitarbeiter?
  • Wann sind die das letzte Mal fit gemacht worden im Thema Datenschutz?
  • Gibt es Regularien?
  • Gibt es Verfahren?

Das ist das Scanning. Anhand des Scannings - und jetzt kommt‘s - das spiegelt wieder zurück, wie wir Datenschutz machen.

Drei Sachen. Keine vier keine fünf, nichts! Drei Sachen besprechen wir mit dem Unternehmer. Die ersten drei Sachen, die wir umsetzten.

Wo ist das höchste Risiko?

Wo wird das Unternehmen mit der höchsten Wahrscheinlichkeit haften?

Und das stellen wir sofort ab!

Dann machen wir es erst vier, fünf und sechs. Bei uns gibt es keine fünf Sachen, die wir sofort machen. Wir bestimmen mit ihm die drei wichtigsten Sachen, die wir ganz schnell abstellen. Konzentration, spitz drauf, abstellen! Denn alles andere ist Pareto, damit haben wir sicherlich 80 % weg. Die restlichen 20 % machen wir dann im Nachgang. Sind dann Schmuck. Meistens belasten die 20 % dann auch, denn das ist viel Formalismus und BlaBla.

 

OK, interessante Vorgehensweise. Jetzt spricht man ja ganz oft von Datenschutzbeauftragten. Was sind denn die Pflichten oder To-Do‘s eines Datenschutzbeauftragten?

Vor der DSGVO und der BDSG 9 war das sehr gut definiert.

Es ist jetzt ein bisschen schwammig, ein bisschen weich geworden. Man hat es versucht so ein bisschen EU-seitig aufzupeppen. Ich habe da jetzt auch keine Möglichkeit gehabt mich durchzusetzen – Unverständlicher-weise.

Die Pflichtaufgaben sind heutzutage im Endeffekt, dass der Datenschutzbeauftragte prüft, kontrolliert und auf den Verantwortlichen bzgl. Einhaltung des aktuellen Datenschutzes einwirkt.

Er war vorher mehr händisch unterwegs, hat selbst die Ärmel hochgekrempelt, hat selbst Formulare geschrieben und hat selbst umgesetzt. Heute, wenn man es jetzt wirklich auf dieses Buch (die DS-GVO) reduziert, ist es eher die Aufgabe, den Verantwortlichen zu kontrollieren.

Hey, hast Du eine TOMs geschrieben?

Hast Du einen AV-Vertrag?

Hast Du das getan? Wenn nicht, das musst Du tun, weil …

Ich finde es anstrengend, weil es so halb gesprungen ist für mich.

Wir tun das nicht. Wir sagen dann auch: Hier ist das Formular, hier ist das Konzept, ich habe es schon fertig.

Weil…ich zeige Dir, Deine TOMs sind schlecht und geh‘ wieder. Da sagst Du auch: Wer ist Tom? Das es die technischen und organisatorischen Maßnahmen sind, kommt Dir vielleicht, wenn Du googelst.

So gehen wir vor und das ist mir wichtig. Das sind die Aufgaben des Datenschutzbeauftragten. Wie gesagt sind die in der neuen Version anstrengender und sehr konzentriert auf Kontrolle und Prüfen.

Wir sagen: Mach‘ die alte Welt. Wir sind da die Fachleute.

 

Jürgen, wieso habt ihr keine Produkte, sondern einen Service?

Ja…cool, oder?

Ich habe verstanden…das ist stark aus Amerika herüber geschwappt: Es gibt zunehmend Menschen, die keine Autos haben wollen, sondern sie wollen fahren.

Damit habe ich mich sehr lange - über 6 Monate - beschäftigt. Mit dem sogenannten Subscription-Modell.

Machen wir ein Beispiel: Eine Datenschutzerklärung Deiner Website.

Du hast vorher bei uns die Datenschutzerklärung Website gekauft. Neu machen: Da muss ich die Datenschutzerklärung und Deine Website anschauen, ob da ein Analytics Programm dahinter ist. Was passiert mit den Kontakten? Dann haben wir die Datenschutzerklärung geschrieben. Dann hast Du ein Produkt bekommen.

Heute arbeiten wir nur noch mit dem Service Gedanken. Das heißt, wenn Du für zwei Jahre diesen Service „Datenschutz Erklärung“ buchst, stellen wir sicher, dass Du immer die aktuelle Datenschutzerklärung hast.

Wenn der EUGH wöchentlich sagt, mit den Cookies so, mit den Cookies so und Privacy-Shield funktioniert ja / nein…

…dann haben wir ein Problem. Aber das ist unser Thema. Wir stellen sicher, dass Du immer die aktuelle Datenschutzerklärung hast. Du bekommst kein Produkt, sondern einen Zugang. Ähnlich wie bei Netflix. Bei Netflix kaufst Du keinen Film, Du bekommst den Zugang.

Darauf haben wir unser komplettes Geschäftsmodell aufgebaut.

 

Kannst Du ein bisschen näher darauf eingehen, welche Services ihr da anbietet?

Ja, kann ich. Basis Modell ist das was in der DS-GVO steht. Das ist State of the Art. Damit fangen wir an. Das ist die Basis.

Dann beraten wir Dich auch, welchen Service Du dazu buchen solltest, damit es sinnhafter ist. Es fängt an bei den Konzepten und Formularen.

Nicht Du bekommst die Konzepte, sondern wir stellen sicher, dass Du immer die aktuellen Konzepte und Formulare hast. Das gleiche gibt es auch grundsätzlich bei Formularen in Englisch. Wir haben viele Unternehmen, die im Außenverkehr sehr Englisch orientiert sind. Datenschutzerklärung. Wir stellen sicher, dass Du immer die aktuelle Datenschutzerklärung hast.

Datenpannenmeldesystem. Meine Mitarbeiter haben Bereitschaftsdienst 24/7. Wenn bei euch eingebrochen und ein Laptop geklaut wird, dann hast Du die Möglichkeit Sonntag abends, nach dem Tatort, bei uns eine Datenpannenmeldung abzugeben. Dann meldet sich jemand bei Dir.

Datenschutzfolgeabschätzung. Wir sind sehr stark für Unternehmen, die im Gesundheitswesen tätig sind. Kliniken, Apotheken, Ärzte.

Reporting-System. Wir haben Kunden, die wollen einen Bericht haben. Am Ende des Monats, am Ende des Quartals, am Ende eines Jahres. Das sind sehr stark die juristisch orientierten Berufe. Also Anwaltskanzleien, Steuerberater. Die brauchen einen Bericht.

Dann haben wir noch Investigation. Das heißt, eine Ermittlerin prüft - sehr stark im Social Engineering Bereich - ob der Datenschutz bei euch eingehalten wird. Ob ihr das wirklich umsetzt. Das heißt, sie ermittelt verdeckt, ob sie bei euch reinkommt und an personenbezogene Daten gelangt.

Dann haben wir den ISB. Sehr interessant. Ein Franchise-Nehmer von uns macht das. Den Informationssicherheitsbeauftragten, immer mehr gefragt, gehört jetzt nicht zum Datenschutz aber wir bieten das an über den Franchise-Nehmer.

Und seit letzter Woche mit dabei: Arbeitsschutz / Arbeitssicherheit. Das ist einfach so ein Service, den geben wir weiter. Aber wir wollen das komplette Paket und haben da immer nur den Service Gedanken.

 

Was war denn für dich und für euch der Anlass vom, ich sage jetzt mal klassischen Produkt, weg zu gehen und eben in die Service-Lösung, das Subscription-Modell einzusteigen bzw. das komplett umzuwandeln?

Lifetime. Lifetime-Kunden auf der einen Seite sind natürlich das Genialste was Du haben kannst. Wenn Du jetzt schon sagen kannst, wie viel Ertrag Du in vier Jahren hast, weil es Vertragslaufzeit gibt. Also betriebswirtschaftlich sehr spannend und interessant.

Es passt zu unserer Philosophie. Weißt Du, Herzblut und nicht raushauen, Produkte verkaufen und Tschüss, sondern wirklich zu sagen: Wir tun alles, damit Du Ruhe hast.

Wir reden über Laufzeiten, wir reden nicht über Produkte. Wir tun alles, mal das, mal das. Deshalb passt Subscription-Modell.

Als ich vor einiger Zeit das erste Mal da eingetaucht bin in diese Welt… bevor ich da rumgedüst bin und mit Leuten, mit Firmen gesprochen habe…habe ich einfach verstanden: Es ist toll, weil Du Dich nicht mehr auf Dein Produkt, sondern auf den Kunden konzentrierst. Das ist eine ganz andere Orientierung.

 

Natürlich und genau das soll auch die Orientierung sein. Sehr gut. Gib uns doch mal einen Einblick - netto gesprochen. Was will denn jetzt ein typischer datarev-Kunde von einem Datenschützer?

Ruhe. Also wirklich, es ist schwierig, auch für uns. Das hat gedauert, das zu verstehen. Wir haben immer gesagt, wir machen das für Dich und das für Dich und das für Dich. Bis wir verstanden haben: Der möchte nicht den Datenschützer auf dem Schoß sitzen haben. Genauso wenig wie den Steuerberater.

Ein guter Freund hat einmal gesagt, er sieht zunehmend den Datenschützer, wie den Steuerberater. Für die Wichtigkeit im Unternehmen, aber auch in seiner Präsenzpflicht.

Wer will den Steuerberater permanent auf dem Schoß haben. Ich will keine Schreiben vom Finanzamt. Das soll er machen, interessiert mich überhaupt nicht. Wenn ich eine Fachfrage habe, anrufen: Lösung.

Das ist auch die Erwartungshaltung eines Unternehmens an einen Datenschützer. Kümmere Dich darum! Kein Ärger mit der Aufsicht. Wenn da Ärger ist, will er nichts davon wissen, wenn er nicht im Standing steht.

Wir sind ja bei den Aufsichten benannt und wir bekommen die Schreiben der Aufsichten wir bügeln. Nicht 99 immer 100 %. Das haben wir bis jetzt immer alles sauber und ordentlich mit der Aufsicht geklärt. Zur Zufriedenheit unseres Kunden. Das ist genau das, was der Kunde haben will.

 

Jetzt hat der Zuschauer auf jeden Fall ein Bild. Was bietest Du denn Selbstständigen an, die noch nicht die typischen Regularien haben, wie jetzt der klassische Regelunternehmer. Da gibt es ja eine Sparte bis 10 Mitarbeiter. Also dann, wenn ich noch nicht verpflichtet bin, einen Datenschutzbeauftragten zu haben. Was hast Du da für Lösungen?

Die Grenze von 10 ist vor knapp zwei Jahren leider auf 20 gegangen, was ich falsch finde. Also hast Du mehr als 19 Mitarbeiter, die Zugriff haben auf personenbezogene Daten, musst Du einen Datenschutzbeauftragten haben. Diese Grenze ist gestiegen von 10 auf 20 oder von 9 auf 19, was falsch ist.

Darüber muss ich einen Satz loslassen: Und zwar heißt das nicht, dass du kein Datenschutz machen musst, wenn Du jetzt 15 Mitarbeiter hast.

Mit 15 kannst Du genauso viel Mist machen, wie mit 25 und Du musst Dich genauso viel damit beschäftigen, wie mit 25.

Die Entbürokratisierung ist vollkommen in die Hose gegangen. Schwachsinn, ist so! Ich brauche jetzt keinen Datenschutzbeauftragten mehr…aber Du musst jetzt alles selber machen. Viel Spaß! Und die Strafen sind die gleichen.

So. Was biete ich an? Genau das haben wir gemacht, gerade für Selbstständige mit ein, zwei, drei, vier oder fünf Mitarbeitern. Wir haben ein Paket geschnürt, bei dem ich gesagt habe: OK, in diesem Paket hast Du alles einmalig drin, was Du brauchst. Da sind alle Formulare und Konzepte drin. Da ist eine Checkliste drin.

Hast Du Mitarbeiter? Dann das Formular. Ist Deine IP außerhalb von Deutschland? Dann das Formular. Setzt Du ein Smartphone ein? Dann das Formular. Da ist alles genau erklärt. Da ist ein langes Video von mir dabei. Wer das ertragen kann, schaut sich das bis zum Ende an. Da erkläre ich, was ich tun würde, wenn ich selbstständig wäre. Wie ich mit Datenschutz umgehe. Da ist die Datenschutzerklärung drin und da ist ein Gutschein drin, dass wir die Datenschutzerklärung für diesen Kunden herstellen. Das bekommt er einmal.

Hammermäßig läuft das, weil genau da der Bedarf besteht. Ich möchte selbstständig sein und habe da jetzt nicht die Ahnung. Selbstständige müssen sich jetzt selbstständig um alles kümmern. Unter DSGVO-Paket.de ist dieses DSGVO-Komplettpaket buchbar und da kriegt ihr alles sofort. Da bekommt ihr alles für wenig Geld.

 

Also habt ihr an alle gedacht, sehr gut! Hast Du zum Schluss noch einen ultimativen Datenschutz-Tipp quasi von Unternehmer zu Unternehmer?

Der ultimative Datenschutz Tipp ist: Wenn ihr darüber nachdenkt in euerm Unternehmen einen Datenschutzbeauftragten zu benennen, dann sage ich euch ganz ehrlich – und ich rechne es jedem sehr gerne vor – ist ein externer Datenschützer immer günstiger als ein interner. Das lässt sich wunderbar ausrechnen. Egal, wie groß Du bist. Egal in welcher Branche. Egal, den habe ich schon. Der ist jetzt in der Poststelle gesetzt, weil er nichts kann, jetzt macht er Datenschutz. Ich zeige euch ganz schnell rechnerisch auf, dass ein externer Datenschützer immer günstiger ist als ein interner. Das ist mein ultimativer Tipp an euch.

 

Sehr schön Jürgen, vielen Dank für den Input. Wenn jetzt unsere Zuschauer sagen: Das interessiert mich. Wie kann man denn in irgendeiner Weise mit Dir in Kontakt treten? Wie hättest Du es gerne?

Egal von welcher Seite.

Ganz einfach:

juergen.recha@interev.de

mail@datarev.de

oder bei LinkedIn oder Xing. Überall. Reicht schon „Der Datenschutzbegeisterer“ einzugeben und dann kommt mein Kontakt.

Da freu‘ ich mich drüber.