Datenschutz und Badehosen – DSGVO bildlich betrachtet
Über den Sprung ins kalte Wasser und die Implementierung von Datenschutz
Von: Galina Leutenegger
Versetz dich in die vergangenen Teenager-Zeiten. Es ist ein richtig heißer Sommertag und der Nachmittagsunterricht fällt aus. Fast alle aus deiner Klasse gehen ins örtliche Freibad, wo das Aroma von Pommes in der Luft liegt und der erfrischende Geschmack vom Cola-Eis dir noch heute ein Lächeln auf die Lippen zaubert. Mit dabei ist dein Schwarm, darum willst du dich von deiner besten Seite zeigen. Entschlossen steigst du auf den Sprungturm und beeindruckst mit deinem Mut und deiner Sprungtechnik. Aufgetaucht an der Oberfläche merkst du jedoch, wie sich Gelächter breit macht – denn deine Badehose schwimmt neben dir im Becken. Dein Schwarm schaut verlegen weg.
Fokussieren wir uns aber auf den (geschäftlichen) Datenschutz und betrachten die beschriebene Situation metaphorisch. Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) inklusive der Übergangsfrist sind mehr als sieben Jahre vergangen. Die Unternehmen hatten somit ausreichend Zeit, sich auf die neuen Datenschutzanforderungen einzustellen und ihre Prozesse anzupassen. Die meisten Verantwortlichen nehmen den Sprung vom Turm ernst und wollen mit entsprechenden Vorbereitungen sicherstellen, dass die Bestimmungen korrekt umgesetzt sind, um mögliche Geldbußen und rechtliche Konsequenzen zu vermeiden. Einzelne Maßnahmen zur Umsetzung der Datenschutzanforderungen in der Unternehmenspraxis können so aussehen:
Maßnahmen zur Umsetzung der Datenschutzanforderungen in der Unternehmenspraxis
Maßnahmen 1-3 der Grafik: So entsteht ein eleganter Sprung mit einer ordentlichen Eintauchtechnik
Datenschutzbeauftragte und Datenschutzkoordinatoren werden eingestellt, alternativ wird mit externer Unterstützung aufgebaut. Zahlreiche Datenschutzberatungsunternehmen und Rechtsanwälte mit Expertise im Datenschutzrecht verfügen über Fachkenntnisse, berücksichtigen individuelle Anforderungen bei der Lösungsfindung und bieten eine rechtliche und pragmatische Beratung. So sind die Maßnahmen 1-3 mit entsprechenden Investitionen und der Einbindung fachkompetenter Datenschutzexperten umsetzbar. Wie kommt es trotz der ganzen Bemühungen dennoch dazu, neben statt in der Badehose zu schwimmen? Was sind die Hintergründe von Datenschutzpannen und was ist erforderlich, um die DSGVO nachhaltig in Unternehmen zu implementieren?
Maßnahmen 4–7 der Grafik: Sicherstellung einer ordentlichen Badehose
Neben der Expertise ist entscheidend, dass die Unternehmen die DSGVO aktiv integrieren. Das ist mit einer tiefgreifenden Veränderung mancher Geschäftsprozesse, technologischen Veränderungen, Nachhaltigkeit von externen Beziehungen sowie Veränderung der Unternehmenskultur verbunden. Die Aspekte stellen einen ganzheitlichen Change-Prozess dar, welcher eines systematischen Ansatzes und einer strategischen Herangehensweise bedarf. Der Change-Prozess zielt darauf ab, die Mitarbeiter und das gesamte Unternehmen auf eine Veränderung vorzubereiten, sie zu akzeptieren und erfolgreich in die Praxis umzusetzen.
Klingt einfach? Mal schnell eine Badehose kaufen und die Unternehmenskultur verändern? Wenn du schon mal die Sendung Shopping Queen auf VOX gesehen hast, könnten du vermuten, dass die Umsetzung in die Praxis aus verschiedenen Gründen schwierig ist. Nachfolgend Praxisbeispiele, die aufzeigen, warum die Umsetzung von sorgfältig ausgearbeiteten Prozessen oft scheitert:
Zu 4) Umsetzung von komplexen technischen Anforderungen in IT-Systemen:
Die Komplexität des Unterfangens lässt sich am Art. 17 DSGVO, Recht auf Löschung, erläutern. So sind die personenbezogenen Daten zu löschen, sobald der Zweck der Verarbeitung wegfällt und dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Das bedeutet beispielsweise und salopp ausgedrückt, dass langjährige Kunden, die seit Jahren nicht mehr aktiv waren, automatisch aus ERP-Systemen und sämtlichen Sub-Systemen gelöscht werden. Auch potenzielle Kunden, mit denen kein Geschäftsverhältnis entstand, müssen aus Datenbanken (z.B. CRM-Systemen) gelöscht werden. Ebenso müssen Papierakten ehemaliger Mitarbeiter nach einer gewissen Übergangsfrist fachgerecht vernichtet werden. Die bloße Konzeptionierung der Löschfristen kann mit der Unterstützung der Datenschutzexperten erfolgen. Die korrekte und vollständige Umsetzung der einzelnen Löschregeln unter der Beachtung von etlichen Sonderfällen obliegt den Fachbereichen und stellt eine anspruchsvolle, ressourcenintensive Herausforderung dar. Anhand des aktuellen Bußgeldkatalogs lässt sich nachvollziehen, dass die Unternehmen sich insbesondere mit dieser Anforderung schwertun.
Zu 5) Zusammenarbeit mit Drittanbietern und Dienstleistern:
Gemäß Art. 28 DSGVO ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich, wenn personenbezogene Daten von einem Dritten weisungsgebunden verarbeitet werden. Wird also ein Dienstleister für DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung eingesetzt, muss neben einem schuldrechtlichen Vertrag im Regelfall auch ein Datenschutzvertrag abgeschlossen werden. Das gleiche gilt für den Einsatz von Cloud-Anwendungen, in welchen personenbezogene Daten gespeichert werden. Auf dem Markt existieren zahlreiche teilweise kostenlose Vorlagen für sämtliche Arten von Datenschutzverträgen. In der Praxis gelingt der Abschluss jedoch nicht immer reibungslos. Hierfür gibt es verschiedene Gründe. Beispielsweise haben insbesondere kleine Unternehmen nicht die notwendigen Ressourcen, die Vertragsmuster zu prüfen und nachzuweisen, dass sie über geeignete technische und organisatorische Maßnahmen (die sog. TOMs) verfügen, um die personenbezogenen Daten bestmöglich zu schützen.
Die Konflikte beim Vertragsabschluss werden verschärft, wenn der notwendige Aufwand dafür in keinem Verhältnis zum Umsatz der Kundenbeziehung steht (z.B. monatliche Mietzahlung Cloudsoftware von 12$). Rein aus Datenschutzsicht dürfen demnach keine personenbezogenen Daten fließen, woraus das Beenden der Geschäftsbeziehung resultieren würde. In der Praxis handelt es sich jedoch oftmals um einen Nischen-Anbieter oder ein Angebot mit besonders attraktiven preislichen Konditionen. Kommt es zu gegensätzlichen Interessen zwischen Fachbereich und Datenschutz, ist die Entscheidung durch das Management zu treffen. Die Abwägung der gesetzlichen Anforderungen gegen die wirtschaftliche Entwicklung des Unternehmens erfordert eine sorgfältige Analyse und Einschätzung der Risiken und Chancen. Dabei spielt eine große Rolle, ob die Implementierung des Datenschutzes in Unternehmen als integraler Bestandteil der Geschäftsstrategie betrachtet wird.
Zu 6) Veränderung der Unternehmenskultur und Sensibilisierung der Mitarbeiter:
Die mangelnde Einhaltung der DSGVO innerhalb der Unternehmen ist oftmals darauf zurückzuführen, dass Mitarbeiter nicht ausreichend über die Anforderungen des Datenschutzes informiert sind. Wenn die Mitarbeiter in ihrem täglichen Arbeiten keinen klaren Geschäftsprozess vorfinden, etwa zu welchem Zeitpunkt eine Einbindung des Datenschutzes erforderlich ist, kann dies zu Unsicherheit und Verwirrung führen. Dadurch könnten unangemessene Entscheidungen getroffen werden. Insbesondere wird empfohlen, neue Mitarbeiter mit besonders sensibler oder umfangreicher Verarbeitung personenbezogener Daten intensiver zu schulen. Würden deine Mitarbeiter die Notwendigkeit, den Datenschutzbeauftragten bei nachfolgend aufgezählten Prozessen vorab zu konsultieren, erkennen?
- Einführung eines Parksystems mit Kennzeichenerfassung
- Blogartikel eines Mitarbeiters für das firmeninterne Intranet
- Einsatz eines neuen A/B Testing Tools auf der Webseite
- Anschaffung einer Projektmanagement-Software
- Analyse und Segmentierung von Kundendaten in einem Business-Intelligence-Prozess
Zu 7) Integration der Datenschutzanforderungen in vielfältige Geschäftsprozesse:
Ein klarer Datenschutz-Freigabeprozess wird oft als zeitaufwändig und als mögliche Innovationsblockade wahrgenommen. Es besteht die Befürchtung, dass die Agilität und Flexibilität bei der Einführung neuer Produkte oder Dienstleistungen beeinträchtigt wird und dass kreative Prozesse behindert werden könnten. Diese Bedenken führen häufig zu Verzögerungen bei der Umsetzung aufgrund der Auseinandersetzung mit den Einschränkungen des Datenschutzes. Jedoch ist es wichtig zu betonen, dass Datenschutz und Innovation sich nicht gegenseitig ausschließen müssen. Eine mögliche Lösung besteht darin, den Datenschutzbeauftragten bereits in der Produktentwicklungsphase einzubeziehen und damit den Ansatz „Privacy by Design“ zu berücksichtigen. Dadurch können datenschutzrechtliche Anforderungen frühzeitig integriert werden, was letztendlich Zeit und Geld sparen wird. Es gilt, die Vorteile eines effektiven Datenschutzes zu erkennen und bei der Zusammenarbeit eine Balance zwischen Innovation und Datenschutz zu finden.
Fazit:
Die Umsetzung der Datenschutzanforderungen in die Praxis und das Ergreifen der geeigneten Maßnahmen ist aus verschiedenen Gründen schwierig. Neben technischen Herausforderungen und der Komplexität der Datenschutzvorschriften steht die Veränderung der Unternehmenskultur. Eine stärkere Sensibilisierung für Datenschutzfragen in der gesamten Organisation ist für den Erfolg unerlässlich. Nur so kann ein sicherer Umgang mit personenbezogenen Daten im täglichen Handeln entstehen.
Letztlich ist die Implementierung von Datenschutz in einem Unternehmen wie ein großes IT-Projekt zu betrachten: Mit dem bloßen Einkauf einer fantastischen Software ist es nicht getan. Vielmehr muss diese sinnvoll und rechtskonform implementiert und genutzt werden, um den gewünschten positiven Effekt zu bewirken. Die Episode mit der schwimmenden Badehose soll uns dran erinnern, die Details sorgfältig im Vorfeld vorzubereiten und zu überprüfen. Tritt dennoch eine unvorhersehbare Situation auf, wird verdeutlicht, dass Missgeschicke ein natürlicher Teil des Lernprozesses sind und den Datenschutz im Alltag etwas bunter machen.