Trends - Dokumentenmanagement

DSGVO – Respektvoller Umgang oder Panikmache

Wie Nachhaltigkeit, Transparenz und Verbindlichkeit in der Praxis gelebt werden können

Steffen Schaar, Mitglied der Geschäftsleitung von The Quality Group GmbH
Veröffenlicht in: DiALOG - DAS MAGAZIN FÜR ENTERPRISE INFORMATION MANAGEMENT | MÄRZ 2018

Am 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (EUDSGVO) in Kraft. Hunderte von Beiträgen sind darüber bereits verfasst worden. Alle reden darüber, manche haben schon gehandelt, andere lassen es auf sich zukommen. Selten ist das Druckmittel der Bußgeldandrohung so früh und klar formuliert worden und betrifft Unternehmen und Privatpersonen gleichermaßen. Zwischen respektvollem Umgang und damit verbundenem Handeln auf der einen und gefühlter Panikmache auf der anderen Seite liegt hier nur ein schmaler Grat.

Ist es neu, dass in Zeiten von Big- Data, Schad-Software (Spam- und Ransom-Software) und digitalem Strategieanspruch verstärkter Schutz den Daten und Informationen gehören sollte? Nein, wir wissen dies schon länger. „Aber“, versuchen sich viele zu beruhigen, „es hat ja bisher immer die anderen getroffen."

Es geht um Daten(eigentum), Persönlichkeitsrechte und Pflichten, es geht um GMV – gesunden Menschenverstand. Es gibt Datenschutz-(DS)-Beauftragte, Compliance-Officer, Digital Officer, Organisations- und Informationsabteilungen, die in den Unternehmen für geregelte, rechts- und revisionskonforme, ja compliancegesicherte Prozesse sorgen sollen. Und es sind Menschen mit Engagement, Kompetenz und vor allem einer Anstandsund Wertekultur. Warum also dieser Hype, diese Flut von Berichten, Drohszenarien und Empfehlungen wie bei einer Unwetter- oder Erdbebenwarnung?

Responsive Image

“Digitalisierung wird verschoben“ – titelte eine Schlagzeile zu einer Studie im Jahr 2017, laut der über 50% der Unternehmen wegen Erfolges keine Zeit für digitale Strategien haben. Sind hier Parallelen zur DSGVO zu erwarten? Muss nicht sein, darf nicht sein, denn „Wissen sind Daten im Handlungskontext angewendet.“ So die Theorie. Aus meiner Erfahrung gebe ich eine persönliche Weisheit dazu: „Gestern haben wir Daten verwaltet, heute managen wir Informationen mit digitalen Methoden, morgen werden wir digitales Wissen für gute Strategien Compliance-konform & revisionssicher anwenden und DSGVO-gerecht abgelegen müssen.“ Das wird gelingen, wenn wir es angehen, nicht jammern oder wegdiskutieren. Und so stelle ich mich brav in revisionssidie Schlange der Ratgeber und gebe meine Herangehensweise an dieses Thema als Diskussionsgrundlage zum (praktischen) Besten:

Die zwei wesentlichsten Säulen sind:

  1. Der Datenschutzbeauftragte ist nicht mehr für die Umsetzung des Datenschutzes verantwortlich, sondern er wird deren Einhaltung kontrollieren. Er soll die Organisation, den Arbeitgeber bei der Einhaltung unterstützen, überwachen und mit Rat und Tat zur Verfügung stehen.
  2. Die betrieblichen Prozesse des jetzigen (alten) Datenschutzes sind anzupassen:
    a. neue Prozesse in der Kommunikation mit der Chef-Etage etablieren
    b. Datenschutzhinweise, -vorlagen und -erklärungen anpassen
    c. Einwilligungserklärungen überarbeiten und neu einholen
    d. neue Richtlinien der Auftragsbearbeitung in Organisationsprozesse integrieren
    e. in neue Pflichten (Datenschutz- Folgenabschätzung, Dokumentationspflichten, etc.) umzuwandeln.

Als Headline formuliert: „Ein „Stiefkind“ mutiert zum vollwertigen Familien(Unternehmens)mitglied!“ Wie im normalen Leben geziemt sich auch hierbei mit dem notwendigen Respekt und einer angemessenen (individuellen) Unternehmenskultur mit dem neuen Partner „DSGVO“ umzugehen. Es ist in der Familie wie im Unternehmen. Ein neues Mitglied kostet Aufwand, braucht Wertschätzung, Achtung und Pflege. Der Mehrwert oder Nutzen (Vorteil) wird meistens erst sichtbar, wenn sich Situationen einstellen, die wir gern als Herausforderungen bezeichnen. Seien wir also positiv und gehen in die Offensive. Die wichtigsten Themen, Anforderungen und Informationen zur DSGVO in kompakter Form:

  • Stärkere Einbindung des Datenschutzbeauftragten, Verantwortlichkeiten festlegen
  • Datenschutz-Folgenabschätzung/ Privacy Impact Assessment als Prozess etablieren
  • Prozesse gestalten: Meldepflichten bei Datenpannen
  • Weitere Prozesse gestalten: Betroffenenrechte, Informationspflichten etc.
  • Alle Prozesse dokumentieren
  • Auftragsdatenverarbeitungs- (ADV)-Verträge anpassen
  • Verfahrensverzeichnis überprüfen Für Auftragsverarbeiter: Neues Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Schulungsplanung aufstellen
  • technische und organisatorische Maßnahmen (TOM) dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen
  • Wirksamkeit der TOM prüfen, Penetrationstests und Informationssicherheitsmanagement planen
  • Ggf. technische Umsetzung der Betroffenenrechte planen - Auskunft, Datenübertragbarkeit etc.
  • Formulare und Einwilligungen überprüfen
  • Datenschutzerklärung anpassen, ggf. Webtracking anpassen