DSGVO – Respektvoller Umgang oder Panikmache

Der digitale Wandel beweist seinen Status im Umgang mit der neuen DSGVO – Respektvoller Umgang oder Panikmache: Wie Nachhaltigkeit, Transparenz und Verbindlichkeit in der Praxis gelebt werden können

Kommentar von Steffen Schaar, Mitglied der Geschäftsleitung

Am 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Hunderte von Beiträgen sind darüber bereits verfasst worden. Alle reden darüber, manche haben schon gehandelt, andere lassen es auf sich zukommen. Selten ist das Druckmittel der Bußgeldandrohung so früh und klar formuliert worden und betrifft Unternehmen und Privatpersonen gleichermaßen. Zwischen respektvollem Umgang und damit verbundenem Handeln auf der einen und gefühlter Panikmache auf der anderen Seite liegt nur ein schmaler Grat. 

Ist es neu, dass in Zeiten von BigData, Schad-Software (Spam- und Ransom-Software) und digitalem Strategieanspruch verstärkter Schutz den Daten und Informationen gehören sollte? Nein, wir wissen dies schon länger.  „Aber“, versuchen sich viele zu beruhigen, „es hat ja bisher immer die anderen getroffen“.

Es geht um Daten(eigentum), Persönlichkeitsrechte und Pflichten, es geht um GMV – gesunden Menschenverstand. Es gibt Datenschutz-(DS)-Beauftragte, Compliance-Officer, Digital Officer, Organisations- und Informationsabteilungen, die in den Unternehmen für geregelte, rechts- und revisionskonforme, ja compliance-sichere Prozesse sorgen sollen. Und es sind Menschen mit Engagement, Kompetenz und vor allem einer Anstands- und Wertekultur. Warum also dieser Hype, diese Flut von Berichten, Drohszenarien und Empfehlungen wie bei einer Unwetter- oder Erdbebenwarnung?

“Digitalisierung wird verschoben“ – titelte eine Schlagzeile zu einer Studie im Jahr 2017, laut der über 50 % der Unternehmen wegen Erfolges keine Zeit für digitale Strategien haben. Sind hier Parallelen zur DSGVO zu erwarten? Muss nicht sein, darf nicht sein, denn „Wissen sind Daten im Handlungskontext angewendet“. So die Theorie. Aus meiner Erfahrung gebe ich eine persönlicheWeisheit dazu: „Gestern haben wir Daten verwaltet, heute managen wir Informationen mit digitalen Methoden, morgen werden wir digitales Wissen für gute Strategien compliance-konform & revisionssicher anwenden und DSGVO-gerecht abgelegen müssen.“ Das wird gelingen, wenn wir es angehen, nicht jammern oder wegdiskutieren. Und so stelle ich mich brav in die Schlange der Ratgeber und gebe meine Herangehensweise an dieses Thema als Diskussionsgrundlage zum (praktischen) Besten:

Die zwei wesentlichsten Säulen sind

  1. Der Datenschutzbeauftragte ist nicht mehr für die Umsetzung des Datenschutzes verantwortlich, sondern er wird deren Einhaltung kontrollieren. Er  soll die Organisation, den Arbeitgeber bei der Einhaltung unterstützen, überwachen und mit Rat und Tat zur Verfügung stehen.
  2. Die betrieblichen Prozesse des jetzigen (alten) Datenschutzes sind anzupassen: 
    1. neue Prozesse in der Kommunikation mit der Chef-Etage etablieren
    2. Datenschutzhinweise, -vorlagen und -erklärungen anpassen
    3. Einwilligungserklärungen überarbeiten und neu einholen
    4. neue Richtlinien der Auftragsbearbeitung in Organisationsprozesse integrieren
    5. in neue Pflichten (Datenschutz-Folgenabschätzung, Dokumentationspflichten, etc.) umzuwandeln.

Als Headline formuliert: „Ein „Stiefkind“ mutiert zum vollwertigen Familien(Unternehmens)mitglied!“

Wie im normalen Leben geziemt sich auch hierbei mit dem notwendigen Respekt und einer angemessenen (individuellen) Unternehmenskultur mit dem neuen Partner „DSGVO“ umzugehen. Es ist in der Familie wie im Unternehmen. Ein neues Mitglied kostet Aufwand, braucht Wertschätzung,Achtung und Pflege. Der Mehrwert oder Nutzen (Vorteil) wird meistens erst sichtbar, wenn sich Situationen einstellen, die wir gern als Herausforderungen bezeichnen. Seien wir also positiv und gehen in die Offensive.

Die wichtigsten Themen, Anforderungen und Informationen zur DSGVO in kompakter Form:

  • Stärkere Einbindung des Datenschutzbeauftragten, Verantwortlichkeiten festlegen 
  • Datenschutz-Folgenabschätzung/Privacy Impact Assessment als Prozess etablieren 
  • Prozesse gestalten: Meldepflichten bei Datenpannen
  • Weitere Prozesse gestalten: Betroffenenrechte, Informationspflichten etc. 
  • Alle Prozesse dokumentieren
  • Auftragsdatenverarbeitungs-(ADV)Verträge anpassen
  • Verfahrensverzeichnis überprüfen
  • Für Auftragsverarbeiter: Neues Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Schulungsplanung aufstellen
  • technische und organisatorische Maßnahmen (TOM) dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen
  • Wirksamkeit der TOM prüfen, Penetrationstests und Informationssicherheits-management planen
  • Ggf. technische Umsetzung der Betroffenenrechte planen - Auskunft, Datenübertragbarkeit etc.
  • Formulare und Einwilligungen überprüfen
  • Datenschutzerklärung anpassen, ggf. Webtracking anpassen

In Summe ergibt dies die Herausforderung, auf Daten, Informationen, Dokumente, Vereinbarungen und Verträge schnell, jederzeit und von jedem Ort aus zugreifen zu können. Dabei sind Organisationsabläufe und -prozesse so zu organisieren, dass ein effizientes Daten(schutz)management für unternehmensweite Informationen abteilungsübergreifend erfasst und transparent gelebt werden kann. 

Plakativ gesagt: „Nicht das Medium ist der Maßstab, sondern die Mitarbeiter sind es. Deren Handeln im Sinne transparenter Dokumentation, Ablage und Einhaltung von Organisationsprozessen lässt die EU-DSGVO ordnungsgemäß in den Unternehmen verankern“. Dann ist sie keine Bedrohung, sondern vielmehr Nutzen im Sinne von Daten(schutz), sorgfältigem Umgang mit sensiblen Personendaten, und auch in Bezug der Löschung von Daten.

Wie können Sie also die EU-DSGVO praktisch und mit dem notwendigen Respekt umsetzen:

  1. Interpretieren Sie für sich und Ihre Organisation das Gesetz,  definieren Ihre individuellen Anforderungen und erarbeiten eine kurzfristige Maßnahmenliste sowie langfristige Organisationsabläufe mit Terminen zur Kontrolle der Einhaltung und ggfs. auch einen KVP 
  2. Nach den gesetzlichen Regelungen sind bestimmte personenbezogene Daten revisionssicher und mit Schutz vor Löschung und Manipulation zu verwahren. Eine wesentliche Neuerung in der EU-DSGVO ist das „Recht auf Vergessen werden“. Daten müssen also gelöscht werden können, ebenso Links und Verweise. Eine unternehmensweite, abteilungsübergreifende Informations-(Daten)Management-Lösung im Sinne von EIM (Enterprise Information Management) ist eine langfristig, messbare Investition für eine zukunftsorientierte Lösung, die vor allem modular ausbaufähig für die agilen Veränderungen Ihres Unternehmens bei der digitalen Strategie (Datenschutz ist ein wichtiger Teil davon!) ist.
  3. Bei der Sicherstellung Ihrer Daten und deren Einhaltung ist es meistens ratsam auf bewährte Unterstützung zu bauen. Beratungsunternehmen und Lösungsanbieter haben sich auf das Thema EU-DSGVO gut vorbereitet und mit entsprechenden Checklisten und Lösungen positioniert. Eine gute Entscheidung ist es, wenn Beratung und Lösung aus einem Haus kommt, wie z. B. die TQG businessApp platform mit einer App als „Datenschutz-Dashboard“. Hier haben Sie Verträge, Dokumente, Verfahrenskontrolle, Verantwortliche, Fälle und Nachweispflichten/Reporting übersichtlich in einer App, konfigurier- und erweiterbar. 

Die Verantwortung liegt jetzt, wie eingangs beschrieben, in der Organisation, nicht mehr nur beim DS-Beauftragten. Er überwacht und berät, die Organisation trägt die Maßnahmen des Managements in die Praxis, die Umsetzung und Einhaltung der EU-DSGVO. Mitarbeiter und Menschen mit Verantwortung stellen sich als Team den Herausforderungen! So wird es dauerhaft und ohne Panikmache  gelingen die digitale Transformation so zu gestalten, dass wir eine der wertvollsten Ressourcen der Zukunft – Daten – mit höchstem Werteanspruch verbinden.