Wie heyData hilft, Datenschutz-compliant zu werden (Erfahrungsbericht)
heyData* ist ein Compliance-as-a-Service Unternehmen aus Berlin und hilft Unternehmen zum Pauschalpreis dabei, beim Datenschutz alles richtigzumachen. Denn Datenschutz ist für die meisten wohl eines der eher nervigen Themen, wenn es ums Online Business geht. Ähnlich wie bei der Buchhaltung, gibt es auch beim Datenschutz mit der DSGVO, dem TTDSG und anderen Richtlinien Rahmenbedingungen, die wir einhalten müssen, egal ob wir als Solo-Unternehmer oder als Großunternehmen tätig sind. heyData setzt genau hier an und will das Leben für Unternehmer als externer Datenschutzbeauftragter einfacher machen.
heyData
Ich bin froh, heyData als Datenschutzbeauftragten gefunden zu haben. Das Team ist nicht nur zu jederzeit freundlich und schnell, es hilft auch in der Praxis als Unternehmer. Ob bei der Formulierung und Aktualisierung von Datenschutzbestimmungen, über Beratung (Stand der aktuellen Rechtslage), bis hin zur Kommunikation und Aufbereitung von Sachverhalten mit Tool-Anbietern und der Datenschutzbehörde.
Meine Erfahrungen mit heyData
Ich selbst nutze heyData seit 2022 als meinen externen Datenschutzbeauftragen im Unternehmen. Als Betreiber eines E-Commerce Unternehmens habe ich täglich an verschiedensten Stellen mit der Verarbeitung von personenbezogenen Daten zu tun. Aber auch, wer einfach nur eine Website betreibt und z. B. Google Analytics und Google Fonts nutzt, oder einfach einen Hoster in den USA verwendet, der könnte bereits gegen geltendes Gesetz verstoßen. Auch bei meiner Abmahnung der Datenschutzbehörde wegen der Nutzung von Shopify wurde ich von heyData unterstützt.
Warum ich einen externen Datenschutzbeauftragten gesucht habe
Bevor ich auf die Suche ging, kannte ich die DSGVO bereits und war mir auch bewusst, dass der Einsatz von US-Tools wie Google Analytics und anderen kritisch sein könnte. Aber zu 100 % war ich mir nie sicher, wie, was, wann und unter welchen Umständen verwendet werden darf. Es gab immer Fragen, bei deren Antworten ich unsicher war, auch nach Rücksprache mit "Experten", intensiver Google Recherche oder Rücksprache mit anderen Unternehmern in der LSWW Community. Ein paar Beispiele, die mich beschäftigt haben:
- Wie genau darf ich Google Analytics verwenden? Und was ist mit serverseitigem Tracking über einen Google Server in Deutschland?
- Darf der VG Wort Pixel auch ohne Consent geladen werden?
- Welche Dokumente benötige ich, wenn ein US-Anbieter keine AVV bereitstellt (oder darf ich diesen dann gar nicht verwenden)?
- Welche Cookies müssen blockiert werden, bzw. wie klassifiziert werden (auch im Local Storage)?
- Dürfen Mitarbeiter eigentlich über ihr privates Endgerät auf geschäftliche, personenbezogene Daten zugreifen?
- und und und..
Alles beispielhafte Fragen, bei denen auch nach intensiver Recherche noch Fragen offen geblieben sind. Da ich auch eigentlich andere Dinge in meinem Unternehmen machen wollte, wollte ich dafür einen externen Datenschutzbeauftragten bestellen und bin am Ende bei heyData aus Berlin fündig geworden.
Was heyData anbietet
heyData bietet grob diese Leistungen an:
- Übernahme sämtlicher Datenschutzthemen (DSGVO)
- Persönliche Betreuung durch Volljuristen
- Fortlaufende Aktualisierung des Datenschutzes
- Onlinebasierte Mitarbeiterschulungen
- Umsetzungszeitraum von max. 2 Wochen
Zusätzlich gibt es Zugang zur heyData Software, in der folgende Themen abgebildet werden:
- Audit: Ein Fragebogen, der z. B. den Einsatz von bestimmter Tools abfragt.
- Dokumententresor: Hier sind alle Dokumente nach dem Audit hinterlegt.
- Prüfung: Übersicht der Themen.
- Mitarbeiterschulung: Z. B., um Mitarbeiter zu schulen. Nach erfolgreicher Durchführung der fünf Kapitel gibt es ein Zertifikat.
So lief das Onboarding bei heyData bei mir ab
Zunächst gab es ein Telefonat zum Kennenlernen, in dem ich meine aktuellen "Baustellen" kurz erläutern konnte. Anschließend bekam ich Zugang zur Software und meine erste Aufgabe war es, den Audit-Fragebogen auszufüllen.
Schritt 1: Audit-Fragebogen ausfüllen
Das sind die Bereiche, die abgefragt wurden:
In jedem Themenbereich gibt es nochmal unterschiedliche Fragen, die teilweise sehr spezifisch sind. Statt nur zu fragen „Macht ihr E-Mail Marketing?“ wurde zusätzlich gefragt, ob wir auch Klick- und Öffnungsraten messen und welches E-Mail Marketing Tool wir verwenden.
Schritt 2: Audit Video-Call
Nachdem ich alle Fragebögen ausgefüllt habe, wurden im Hintergrund bereits Dokumente und eine Datenschutzerklärung für meine Website erstellt. Im 1-stündigen Video-Call mit heyData wurden offene Fragen von beiden Seiten auf Basis des schriftlichen Audits besprochen.
Nachträgliche Änderungen waren kein Problem. Erst hatte ich ein Tool vergessen und dann - während der ersten Tage nach der Zusammenarbeit - habe ich ein neues Tool eingeführt, welches dann in der Dokumentation ergänzt wurde.
Offene Fragen kann ich zu jederzeit an meine Ansprechpartnerin schreiben und erhalte bisher immer innerhalb von etwa einem Werktag eine Rückmeldung.
Schritt 3: Umsetzung und (fortlaufende) Prüfung
Nach dem Video-Call mit heyData wurde ein Fenster von etwa 4 Wochen vereinbart bis zum nächste Update-Call. 4 Wochen, damit ich ausreichend Zeit habe, die identifizierten Maßnahmen umzusetzen. In meinem Dokumententresor finde ich dafür die passenden Anleitungen und Dokumente:
Auditbericht
Hier finde ich Anleitungen, was konkret zu tun ist. Das betrifft z. B.
- Dokumente (AVVs einholen).
- Richtiger Einsatz von Tools (z. B. YouTube Videos richtig einbinden).
- Mitarbeiter Schulungen und Dokumente (z. B. Verpflichtung auf Datengeheimnis, Umgang mit freien Mitarbeitern, Nutzung von privaten Geräten, etc.).
- Datenschutzerklärung für die Website (inkl. Datenschutz-Siegel) + Social Media
- Compliance Hinweise, z. B. Meldung von heyData als Datenschutzbeauftragten, Verzeichnis von Verarbeitungshinweisen, Übersicht über technische und organisatorische Maßnahmen (TOMs).
- Marketing und Vertrieb, z. B. Umgang bei Newsletter an Bestandskunden und per Anmeldung, Klickratenmessung, usw.
- Website und Social Profile, z. B. richtiger Einsatz eines Cookie-Banners, Kennzeichnung auf Social Media Profilen.
- IT & Sicherheit, z. B. Verschlüsselung auf Festplatten, Verwendung von VPN Software.
- Datenschutz-Folgeabschätzung (ob und an welchen Stellen diese nötig ist).
Was kostet heyData?
Die Kosten für heyData hängen vom gewünschten Umfang ab. Das Unternehmen bietet Pakete zu Pauschalpreisen in drei Tarifen an:
- Basis (ab 89 € / Monat): heyData wird externer Datenschutzbeauftragter, stellt Musterdokumente bereit und führt ein jährliches Audit durch. Konkrete Fragen (z. B. bei Abmahnung) können für 175 € / Stunde beantwortet werden. Reaktionszeit vom Support: Max 5 Werktage
- Professional (ab 197 € / Monat): beinhaltet zusätzlich 15 Beratungsstunden (Support) jährlich zu konkreten Anfragen und ein persönlicher Ansprechpartner, der innerhalb von 48 Stunden antwortet. Dokumente werden regelmäßig aktualisiert.
- Enterprise (ab 359 € / Monat): schnellerer Support (24 Stunden), 30 Stunden Beratung inklusive (jährlich), Dokumenten-Whitelabeling und Telefonsupport.
Das sind die Preise bei monatlicher Abrechnung. In einem Jahrestarife sinken die Kosten auf monatlich 79 €, 175 €, bzw. 319 €.
Zusätzliche Kosten für Onboarding oder das Audit entstehen nicht! Auf der Website* findest du auch einen Preisrechner, der sich neben dem gewünschten Grundtarif aus der Anzahl der Mitarbeiter, der Anzahl der Auftragsverarbeiter (eingesetzte Tools und Partner, die personenbezogene Daten verarbeiten) und Anzahl der Websites und Apps.
Aktion: Du bekommst 3 Freimonate, wenn du dich über meinen Emfpehlungslink* anmeldest.
Mein Fazit zu heyData
Ich bin froh, heyData gefunden zu haben. Datenschutz ist wichtig und wird immer relevanter. In einer Welt, in der wir Tools, Apps und Plugins in Anwendungen wie Shopify, Klaviyo (oder Klaviyo Alternativen) und Co. auf Knopfdruck mal eben schnell zusammenschalten, wird Datenschutz immer wichtiger!
Kunden und Nutzer wissen immer mehr und die Behörden sind wachsam. Gleichzeitig werden Gesetze gefühlt immer strenger und die Datenschutzanforderungen an Online Unternehmen immer höher. heyData hilft an der Stelle ideal mit Wissen, um Kunden und Behörden happy zu machen. Ein sauberer Datenschutz lässt nicht nur Geschäftsführer ruhiger schlafen und fokussierter arbeiten, sondern kann auch durchaus die Reputation verbessern. Wer möchte, dem stellt heyData dafür auch ein Siegel für die Website und Zertifikate (bei absolvierten Schulungen) zur Verfügung. Wer es sich leisten kann, für den könnte heyData durchaus eine gute Lösung sein.
Kein Spam, keine Weitergabe an Dritte. Nur du und ich.